Hoera, de AI Act is door het Europees Parlement aangenomen!

AI wordt straks beter gereguleerd in Europa. Dat is goed nieuws, want deze systemen kunnen grote gevolgen hebben voor burgers. Maar, hoe ga je je als organisatie nu goed voorbereiden op deze wet? Hieronder een aantal do’s and don’ts.

Allereerst, de AI Act zal waarschijnlijk eind mei van kracht worden. Er is een overgangstermijn van kracht en niet alle onderdelen van de wet lopen daarin gelijk.

De belangrijkste termijnen voor publieke organisaties:

• Binnen 6 maanden na inwerkingtreding moeten verboden AI systemen gestopt worden.
• Binnen 36 maanden moeten organisaties voldoen aan de vereisten rondom hoog-risico AI toepassingen (o.a. impact assessment fundamentele rechten en duurzaamheid uitvoeren).

Organisaties hebben na inwerkingtreding van de wet dus een half jaar om verboden toepassingen stop te zetten en drie jaar om compliant te worden voor hoog-risico AI-toepassingen. Daarbij worden er vanuit Nederland naar verwachting aanvullende inspanningen gevraagd van organisaties, bijvoorbeeld de registratie van niet alleen hoog-risico AI-toepassingen maar ook impactvolle algoritmes (dus ook niet-AI).

DO: Ga inventariseren! 🔎
De eerste organisatie die al een volledig ‘algoritmelijstje’ heeft moet ik nog tegenkomen. In beeld krijgen waar AI en impactvolle algoritmes rondzwerven in je organisatie is namelijk een enorme kluif. First order of business is dus ook inzicht in welke algoritmetoepassingen waar gebruikt worden én of deze onder de verboden categorie uit de AI Act vallen.

DO: Voer risico-classificaties uit! ⚠
Bekijk de algoritmetoepassingen systematisch en voor een risicoclassificatie uit. Houd hierbij ook rekening met de aanvullende verplichtingen die de Nederlandse overheid stelt.

DO: Stop verboden AI-toepassingen direct 🚫
Als je AI-toepassingen geïdentificeerd hebt die onder de AI Act verboden zijn, zet deze direct stop.

DO: Begin met nadenken over en werken aan een algoritmegovernance 🤔
Hoe ga je algoritmetoepassingen en AI-toepassingen systematisch beheersen in je organisatie? Denk hierbij bijvoorbeeld ook aan ex ante interventies, zoals het toepassen van inkoopvoorwaarden voor algoritmes en AI.

DON’T: Afwachten 💤
If you snooze, you lose. Misschien flauw, maar als je te laat begint is het onwaarschijnlijk dat je op tijd compliant bent. Dat biedt financiële en reputationele risico’s (boete). Belangrijker: het kan betekenen dat je niet zorgvuldig en goed handelt als publieke organisatie.

Lees ook:

• Grote druk om de AI Act vóór de Europese verkiezingen aan te nemen – iBestuur
• Verhoogd risico: Wanneer valt een AI onder de AI Act? – iBestuur
• Europa pakt met AI Act de regie over kunstmatige intelligentie terug – iBestuur