Kunstmatige intelligentie (AI of Artificial Intelligence) gaat niet alleen over innovatie, het is ook een fundamentele economische motor. De Europese Unie is van mening dat er betere randvoorwaarden nodig zijn voor de ontwikkeling van AI en heeft daarom de AI-verordening in het leven geroepen, ook wel de EU AI-wet genoemd.
In dit artikel bekijken we wat de EU AI-wet voor jou betekent, of je nu aan het roer staat van een start-up of de financiën van een scale-up beheert. Beschouw de wet niet als louter een verzameling regels en voorschriften. Het gaat erom dat je begrijpt hoe ze jouw AI-strategie en investeringen vorm kan geven, nu en in de toekomst.
Dit behandelen we:
Waarom wordt de wet van kracht?
Wat de wet omvat – reikwijdte en bepalingen
Wat zijn de praktische gevolgen van de AI-wet?
EU AI-wet: Waar je bedrijf rekening mee moet houden
Moeten accounting- en financiële teams zich zorgen maken over de nieuwe wetten?
Zeven tips om je voor te bereiden op de AI-wet en ze na te leven
Wat is de EU AI-wet?
De Europese AI-wet zal waarschijnlijk in 2025 in werking treden. Het is een wetgevend kader om het gebruik en de ontwikkeling van AI binnen de EU te reguleren. De EU is daarmee de eerste die uitgebreide en transparante regels voor AI-systemen heeft opgesteld.
AI-gebruik, gegevensbescherming en risicobeheer zijn nu al relevant voor bedrijfsplanning en goed bestuur (corporate governance). Iedereen die zaken doet in de EU, zal zich moeten aanpassen aan de nieuwe vereisten qua naleving.
Als je de AI-regelgeving en -wetgeving evalueert, moet je ze zowel bekijken als:
- Een uitdaging: zorg ervoor dat je AI-gedreven projecten voldoen aan de regelgeving.
- Een kans: Alle bedrijven moeten zich aan dezelfde regels houden, maar de manier waarop kan aanzienlijk verschillen. Als je verder gaat dan naleving en actief ethische en verantwoorde AI-principes omarmt, kan je bedrijf zich van de concurrentie onderscheiden.
Mark Brown, global managing director Digital Trust Consulting bij BSI: “Nu AI meer mainstream wordt, kan je vertrouwen opbouwen door het publiek te informeren. Dat kan grote voordelen opleveren. Organisaties met een langetermijnvisie zullen merken dat ze met AI hun cyberbeveiliging, privacy of digitale risicobeheersing kunnen verbeteren.”
Waarom wordt de wet van kracht?
De AI-wet is er gekomen door de dubbele aard van AI.
AI-kansen
AI biedt ongekende mogelijkheden op het gebied van innovatie, efficiëntie en probleemoplossing. Voor innovatie, competitiviteit en intellectueel eigendom wil de EU een concurrentieel landschap creëren. Ze moedigt bedrijven aan om te investeren in onderzoek en ontwikkeling van AI-technologieën.
AI-uitdagingen
AI brengt ook aanzienlijke risico’s en uitdagingen met zich, vooral als er geen adequaat toezicht is. De wet vereist dat je AI-systemen ontwikkelt die de menselijke autonomie respecteren en schade voorkomen. Het doel is om een veilige en betrouwbare omgeving voor AI te creëren, zodat je de bedrijfsrisico’s kunt beheersen en tegelijkertijd de voordelen maximaliseert.
De wet categoriseert AI-toepassingen op basis van hun risico, variërend van onaanvaardbaar tot minimaal, en legt de bijbehorende eisen en wettelijke verplichtingen op.
Privacy en persoonlijke rechten
Een van de meest urgente zorgen die de wet aan de orde stelt, is de mogelijkheid dat AI-systemen inbreuk maken op de privacy en persoonlijke rechten. Het vermogen van AI om enorme hoeveelheden gegevens te verwerken, kan leiden tot invasieve monitoring of vooringenomen besluitvorming. Dat kan grote gevolgen hebben, van carrièrekansen tot toegang tot bepaalde dienstverlening.
Gebrek aan transparantie
Doordat AI-algoritmen niet transparant zijn, valt het soms moeilijk te begrijpen hoe AI-beslissingen neemt en wie aansprakelijk is.
AI-autonomie
Er zijn ethische bezwaren tegen autonome AI-systemen. Naarmate AI geavanceerder wordt, neemt het risico toe dat de systemen beslissingen nemen zonder menselijk toezicht. Wie is verantwoordelijk als AI-gestuurde beslissingen schadelijke gevolgen hebben?
Wat de wet omvat – reikwijdte en bepalingen
De AI-wet werpt een breed net uit en heeft betrekking op verschillende aspecten van de ontwikkeling en toepassing van AI. De wet deelt AI-systemen op in verschillende niveaus op basis van hun potentiële risico’s voor de samenleving en individuen.
AI-systemen met een hoog risico
De wet richt zich voornamelijk op AI-systemen met een hoog risico, omdat die een grote impact kunnen hebben. Het gaat om AI-technologieën die worden gebruikt voor kritieke infrastructuur, onderwijs, werkgelegenheid, essentiële privé- en publieke diensten, wetshandhaving, migratie en rechtspraak.
Aarti Dhapte, teamleider bij Market Research Future: “Je bedrijf zal waarschijnlijk maatregelen moeten implementeren zoals cyberbeveiliging en data-encryptie, zodat je AI-systemen bestand zijn tegen aanvallen.” De AI-wet zal eisen dat je de kwaliteit kunt waarborgen van gegevens, transparantie en menselijk toezicht.
Naarmate AI zich verder ontwikkelt, neemt het risico toe dat de systemen beslissingen nemen zonder menselijk toezicht. Dat kan leiden tot onbedoelde uitkomsten of ethische dilemma’s waarbij de logica van de machines botst met menselijke waarden en maatschappelijke normen. Een AI- aanwervingssysteem moet transparant zijn in zijn besluitvormingsproces en vooroordelen vermijden, zodat bijvoorbeeld alle sollicitanten eerlijk worden behandeld.
AI-systemen met een minimaal risico
AI-toepassingen met een minimaal risico, zoals AI-gestuurde videogames of spamfilters, zijn onderworpen aan minimale regelgeving. Het doel is om innovatie aan te moedigen en er tegelijk voor te zorgen dat de gebruikers dergelijke low risk-toepassingen nog altijd kunnen vertrouwen en veilig kunnen gebruiken.
Verboden praktijken
De wet identificeert ook onaanvaardbare AI-praktijken die een duidelijke bedreiging vormen voor de menselijke veiligheid, broodwinning en rechten. Het gaat bijvoorbeeld om AI-systemen die menselijk gedrag manipuleren om de vrije wil van gebruikers te omzeilen (zoals deepfakes die worden gebruikt om verkeerde informatie te verspreiden) en “sociale scoresystemen”, waarbij overheden technologie gebruiken om burgers te beoordelen en te rangschikken op basis van hun gedrag, activiteiten en andere criteria.
Transparantieverplichtingen
De wet verplicht transparantie voor specifieke AI-systemen, zoals chatbots, zodat gebruikers weten dat ze interageren met een AI. Dat is van cruciaal belang in een context als klantenservice, waarbij de vraag of je communiceert met een mens of met een AI-systeem de kwaliteit van de interactie sterk kan beïnvloeden.
Wat zijn de praktische gevolgen van de EU AI-wet?
De wet benadrukt dat AI-systemen grondig moeten worden getest en doorgrond voordat ze worden ingezet voor het publiek, om zo de risico’s te beperken.
Naleving
Bedrijven die AI ontwikkelen of gebruiken, moeten strenge nalevingsnormen in acht nemen, vooral voor toepassingen met een hoog risico. De cyberbeveiligingssector ontwikkelt en gebruikt AI-systemen volgens strikte Zero Trust-principes. In plaats van aan te nemen dat alles binnen het netwerk van je organisatie kan worden vertrouwd, werkt Zero Trust volgens het principe dat niets vanzelf mag worden toegelaten. Zero Trust vereist een strikte identiteitsverificatie voor elke persoon en elk apparaat dat toegang probeert te krijgen tot bronnen op een privénetwerk, ongeacht of ze zich binnen of buiten het netwerk bevinden.
Tim Freestone, chief marketing officer bij Kiteworks: “De principes van Zero Trust Generative AI (ZTGAI) leven de AI-wet na, met een strenge gebruikersauthenticatie, controles op gegevensintegriteit en voortdurende procesbewaking. ZTGAI pleit voor multifactorauthenticatie, gedetailleerde validatie van gegevensbronnen en realtime anomaliedetectie om AI-systemen te beveiligen. Voorts moet de output via overkoepelende activiteitenaudits worden gescreend op ethische en beleidsstandaarden.”
Volgens Tim zal ZTGAI de AI-naleving versterken met een beveiligingsbeleid op inhoudsniveau, een beperkt gebruik van gevoelige gegevens en strenge controles. “Het kader moet garanderen dat AI-activiteiten helder en traceerbaar zijn en de hoogste normen van gegevensbeheer handhaven, in lijn met de doelen van de wet voor een betrouwbare AI-gedreven toekomst.”
Piyush Tripathi, tech lead bij Square, was betrokken bij verschillende spraakmakende projecten, waaronder een API-platform voor contacttracering tijdens de covidcrisis in New York. “We hebben toen een communicatie-API voor kmo’s ontwikkeld. De kwaliteit van de data was allesbepalend. Een klein foutje of hiaat in de basisdata kan tot grote problemen leiden. Belangrijk was ook om het consumentvertrouwen te verdienen en behouden. In dit digitale tijdperk spelen ethische normen voor gegevensverzameling en -beheer een grote rol.”
Opleiding
De EU-wet legt niet expliciet specifieke opleidings- of trainingsvereisten vast. Maar wie deze technologieën ontwikkelt, inzet en gebruikt, moet wel een adequate kennis en begrip van AI-technologieën hebben – zeker in risicoscenario’s.
Igor Jablokov, CEO en oprichter van AI-bedrijf Pryon: “Bedrijven beginnen zich te realiseren dat hun medewerkers niet weten hoe ze de AI-tools op de juiste manier moeten gebruiken. Gevoelige content en informatie wordt gelekt of belandt op de verkeerde plaats. Tot nu toe was de AI-sector nogal vaag over de manier waarop de systemen worden bestuurd en informatie wordt beschermd. Je bedrijf zou een bestuursstructuur moeten creëren, zodat werknemers begrijpen wat er precies in hun software zit en hoe ze zichzelf beter kunnen controleren. Zodat je de vruchten van AI kunt plukken zonder onbedoelde inbreuken.”
Op de London Tech Week zei Kate Janssen, lead product manager van Cleo, dat het management de kans moeten grijpen om begeleiding en context te bieden in plaats van AI-toepassingen te controleren. “AI-tools kunnen de productiviteit aanzienlijk verhogen, maar het gebruik ervan moet in overeenstemming zijn met de risicobereidheid en het privacybeleid van je organisatie. Om de juiste balans te vinden, is het cruciaal dat het management communiceert over welke soorten gegevens medewerkers veilig kunnen delen of gebruiken in toepassingen als ChatGPT.”
EU AI-wet: Waar je bedrijf rekening mee moet houden
Als de AI-wet van toepassing is op jouw bedrijf, kan dat significante aanpassingen betekenen voor je AI-ontwikkeling en implementatieplannen.
- Elk bedrijf dat actief is binnen de EU of gegevens van EU-burgers verwerkt, moet aan de wet voldoen. Bekijk welke categorieën van AI-risico je bedrijf heeft en pas je daaraan aan.
- Hoogrisico AI-toepassingen vereisen een grondige beoordeling, waarbij de kwaliteit van de gegevens, transparantie, menselijk toezicht en robuuste archivering worden gewaarborgd.
- Mogelijk moet je operationele veranderingen doorvoeren, zoals AI-systemen herontwerpen om aan de normen te voldoen, personeel opleiden op het gebied van naleving en regelmatige audits en risicobeoordelingsprocessen organiseren.
Het wereldwijde landschap van AI-regelgeving is gevarieerd en in volle evolutie. Inzicht in de verschillen is essentieel om het complexe terrein van AI-naleving en -strategie te beheersen.
Het VK
Net als in de Europese Unie neigt de benadering van het Verenigd Koninkrijk naar een balans tussen innovatie bevorderen en een verantwoord gebruik van AI. Maar het heeft niet de rigiditeit van een overkoepelende AI-wetgeving. De focus ligt op aanpassingen aan bestaande wetten en sectorspecifieke regelgeving om AI-technologieën te integreren. Het gaat onder meer ook om updates van wetten voor gegevensbescherming en ethische richtlijnen specifiek voor AI. Die flexibelere aanpak kan de integratie van AI-technologieën vergemakkelijken, maar je moet het juridische landschap nog altijd grondig beheersen.
De VS
De Verenigde Staten hebben gekozen voor een meer gedecentraliseerde aanpak van de AI-regulering. In plaats van één allesomvattende AI-wet zijn er verschillende initiatieven en richtlijnen op federaal en staatsniveau, vaak gericht op specifieke sectoren als gezondheidszorg, financiën en transport. De aanpak weerspiegelt de focus van de VS op marktgestuurde innovatie, waarbij de regelgeving vaak achteroploopt op de technologische vooruitgang. Door de sectorspecifieke focus moet je een grondig begrip hebben van de relevante regelgeving voor elk AI-toepassingsgebied.
Internationale bedrijven hebben een veelzijdige benadering van AI nodig
Je bedrijf moet flexibel genoeg zijn om te voldoen aan de uitgebreide regelgeving van de EU, zich aan te passen aan het veranderende juridische landschap in het VK en de sectorspecifieke regels in de VS te beheersen. Op de hoogte blijven van al die verschillende regelgevingen is cruciaal voor je nalevingsbeleid en biedt de kans om optimaal te profiteren van de kansen op de wereldwijde AI-markt.
Potentiële uitdagingen voor naleving
Een van de grootste uitdagingen zijn de kosten en inspanningen die met naleving gepaard gaan. Bestaande AI-systemen aanpassen om aan de nieuwe normen te voldoen, kan veel middelen vergen. Daarnaast zijn er de onzekerheden door de brede reikwijdte en het evoluerende karakter van de wet, waardoor je op de hoogte moet blijven van de voortdurende ontwikkelingen op het gebied van regelgeving.
Clare Walsh is director of education aan het Institute of Analytics en een vooraanstaand academicus op het gebied van data analytics en AI. “De wetgeving legt de problemen bloot tussen technische experts en domeinexperts. De communicatie tussen beiden is in het beste geval gespannen en vaak zelfs vijandig. De wetgeving verbiedt geen enkele technologie of gebruik, maar vereist een afweging van de beperkingen en de risico’s van een bepaalde technologie in een specifiek gebruiksgeval. Met andere woorden, we hebben meer dan ooit behoefte aan betere communicatie tussen multifunctionele teams. Het is niet genoeg om experts in silo’s te laten werken. We moeten allemaal beter worden in gegevensverwerking.”
Moeten accounting- en financiële teams zich zorgen maken over de nieuwe wetten?
Volgens Clare Walsh is het twijfelachtig of de EU AI-wet accountancy en financieel werk direct zal beïnvloeden. “Accountancy is vooral het bijhouden van historische gegevens. Dat valt in de categorieën met weinig tot geen risico op het analysegebied.” Maar naarmate het werk onder de invloed komt van AI, zal accountancy- en financieel werk toch meer en meer onder de AI-regelgeving van de EU vallen. “De toegevoegde waarde van financiële professionals ligt alsmaar meer in analyses en prognoses, en die vallen onder de definitie van probabiliteitsbenaderingen, die onder de EU-wet vallen.”
Het is nu al illegaal om een beslissing uitsluitend te baseren op waarschijnlijkheidsberekeningen als ze een reële impact hebben op klanten. Artikel 21 van de GDPR en de Amerikaanse Bill of Rights hebben allebei gelijkaardige “opt-out” clausules.
Clare: “Neem nu de profielbepaling van een hypotheekaanvrager om te bepalen welke hypotheekrente je hem aanbiedt. Zolang een mens de redenering kan uitleggen, is het proces legaal. Maar als de technologie ‘black-boxed’ is, kunnen we nooit weten waarom de machine iemand heeft geselecteerd. De selectie kan gebaseerd zijn op zinnige redenen, zoals bewezen financiële verantwoordelijkheid. Maar ze kan ook gebaseerd zijn op iets volkomen willekeurigs, bijvoorbeeld omdat je voornaam Susan is.”
“Financiële professionals die gewend zijn om met software van derden te werken, moeten zich misschien meer gaan bezighouden met de manier waarop beslissingen tot stand komen, en met de resultaten.”
Andere mogelijke financiële toepassingen onder de nieuwe regelgeving zijn bijvoorbeeld profielen voor fraudedetectie of de manier waarop audits worden uitgevoerd, zegt Clare: “We zullen financiële professionals nodig hebben die toezicht kunnen houden op geautomatiseerde boekhoudprocessen en die een deel van hun auditvaardigheden kunnen inzetten voor de boekhouding en de wiskundige gegevensverwerking.”
“De technologieën zijn haast nooit gewoon een vervanger van de menselijke processen, maar vereisen enige aanpassing van de werkomgeving eromheen.” Net zoals magazijnen speciaal ontworpen moeten worden afhankelijk van het feit of ze worden bemand met mensen of robots, moeten besluitvormingsprocessen aangepast worden aan AI-teamleden.
Clare meent dat er betere feedbackmechanismen moeten komen om te zorgen voor adequaat toezicht. “Financiële professionals moeten een tandje bijsteken”, stelt ze. “Voor accountants is de nieuwe wetgeving een kans om te profiteren van de digitalisatie. Iemand moet zorgen voor transparantie, en er is momenteel een enorm gat in de arbeidsmarkt van mensen met het vermogen en de ervaring om rapporten en audits te produceren.”
Zeven tips om je voor te bereiden op de AI-wet en ze na te leven
Door actief om te gaan met de uitdagingen en veranderingen die de EU AI-wet met zich brengt, kun je naleving verzekeren en je bedrijf positioneren om AI-technologieën verantwoord en effectiever te gebruiken.
1. Voer een uitgebreide AI-audit uit
Evalueer je huidige AI-systemen en -processen en bepaal hoe ze aansluiten bij de EU AI-wet.
Identificeer gebieden die moeten worden gewijzigd of verbeterd om te voldoen aan de nalevingsnormen.
2. Ontwikkel een strategie voor risicobeheer
Stel een kader voor risicobeheer op voor AI-toepassingen met een hoog risico. Implementeer mechanismen die de risico’s van AI-systemen bewaken, rapporteren en beperken. Voor toepassingen met een laag risico is het nog altijd van belang om transparant te blijven over de werking en de nauwkeurigheid van de informatie die ze verwerken. Communiceer duidelijk over de manier waarop de AI functioneert en de aard van de gegevens die ze verwerkt.
3. Investeer in training en bewustwording
Zorg ervoor dat je personeel goed op de hoogte is van de EU AI-wet en de gevolgen ervan. Regelmatige trainingssessies kunnen helpen om een organisatiecultuur te bouwen die gericht is op naleving.
4. Werk samen met experts in AI-ethiek en naleving
Raadpleeg deskundigen op het gebied van AI-ethiek en naleving om de complexe regelgeving te beheersen. Zij kunnen inzicht geven in best practices en je helpen om veranderingen in de regelgeving voor te blijven.
5. Bevorder transparantie en verantwoordelijkheid
Ontwikkel duidelijke beleidsregels en procedures voor AI-transparantie en aansprakelijkheid. Houd gedetailleerde dossiers bij van AI-besluitvormingsprocessen en -resultaten.
6. Gebruik technologie voor je nalevingsbeleid
Gebruik algemene en AI-specifieke software en tools voor nalevingsbeheer om delen van je processen te stroomlijnen en te automatiseren, zodat ze efficiënter worden en minder vatbaar zijn voor fouten.
7. Blijf op de hoogte en wees flexibel
Blijf op de hoogte van de updates in de regelgeving en wees voorbereid om je AI-strategieën aan te passen naarmate de regelgeving verandert.
Slotopmerkingen
Inzicht in en naleving van de EU AI-wet is essentieel. De wet is ook een uitstekende gelegenheid om standaarden vast te leggen om AI op een verantwoorde manier te gebruiken, wat je vertrouwen bij klanten en andere bedrijven zal vergroten.
De wet biedt een kans om de regelgeving niet louter te zien als een hindernis. Gebruik ze als roadmap voor innovatieve, ethische AI en zorg voor meer transparantie en verantwoordelijkheid in je financiële activiteiten. Door de EU AI-wet op die manier te gebruiken, kan je laten zien dat je bedrijf zich niet alleen aanpast aan verandering, maar ze ook actief aanstuurt.
Aanbevolen om hierna te lezen
Vijf manieren om meer te doen met AI
Schrijf je in voor de Sage Advice-nieuwsbrief en ontvang ons laatste advies rechtstreeks in je inbox.
