Overslaan en naar de inhoud gaan

Overheden moeten zich nú voorbereiden op conformiteitsbeoordelingen

AI Act
Beeld: Shutterstock

Met het akkoord op de Digitale Omnibus in mei is er wat lucht gekomen voor aanbieders en gebruikers van aan hoog-risico AI. De deadline voor risicovolle toepassingen is uitgesteld van 1 augustus 2026 naar 1 december 2027, die voor gereguleerde producten naar 1 december 2028. Belangrijke reden hiervoor is dat de geharmoniseerde normen die de verplichtingen uit de AI-Act moeten uitwerken in praktische richtlijnen nog in ontwikkeling zijn. Laatste nieuws op dit gebied is dat de eerste hiervan, standaard EN 18286 voor AI Kwaliteitsmanagement, op 11 juni 2026 is goedgekeurd en binnenkort zal worden gepubliceerd.

Conformiteitsbeoordeling

Bij overheidsinstellingen die gebruik maken van hoog-risico AI, bijvoorbeeld systemen die frauderisico’s inschatten of sollicitatiebrieven beoordelen, betekent het uitstel van de verplichtingen dat hen deze zomer een boel werk bespaard blijft. Was de oude deadline in stand gebleven, dan had voor alle hoog risico-AI die vanaf die datum in gebruik zou worden genomen een zogenoemde conformiteitsbeoordeling moeten plaatsvinden. Dit betekent dat de aanbieder van de AI (vaak de overheidsinstelling zelf) een formele beoordeling moet uitvoeren om vast te stellen of een systeem daadwerkelijk aan alle (nieuwe) wettelijke eisen voldoet. Alleen bij de vaststelling van volledige compliance met de AI Act zou je dan de voor hoog-risico AI vereiste CE-markering mogen voeren en het AI-systeem in gebruik mogen nemen.

Dit brengt twee heel concrete issues met zich mee.

  • Ten eerste kan het zijn dat niet voor alle AI kan worden hard gemaakt dat aan alle eisen is voldaan. Met als gevolg dat je deze toepassingen (vooralsnog) niet kunt inzetten;
  • Tweede probleem dat zich kan voordoen is dat in je organisatie, en wellicht ook daarbuiten, de kennis of de capaciteit voor het uitvoeren van conformiteitsbeoordelingen ontbreekt. Dan kom je dus niet eens aan de compliancevraag toe.

Met het uitstel van de verplichtingen, lijken bovenstaande issues een stuk minder urgent dan enkele maanden geleden. De vraag is in hoeverre dat terecht is.

Wat nu?

Het goede nieuws is dat we, met de maatregelen van de Digitale Omnibus, in ieder geval tijd hebben om te beoordelen of de anderhalf jaar die we nog hebben lang of kort is in verhouding tot wat er nog moet gebeuren. Om dit voor de eigen organisatie boven tafel te krijgen, zou je als bestuurder op korte termijn antwoord willen krijgen op de volgende vragen:

  • Hebben we AI in huis die kwalificeert als hoog-risico in de zin van de AI-Act, of zijn we daarmee bezig? Zo ja: welke?
  • Wat is onze rol in de ontwikkeling en/of de toepassing ervan? Oftewel: zijn we alleen gebruiker van het systeem, of doen we meer en zijn we in de ogen van de AI Act (ook) aanbieder van de AI?

Heb je hoog risico AI in huis waarvoor je de rol van aanbieder hebt, of ben je bezig met de ontwikkeling ervan, ga dan een stap verder en onderzoek waar je nu staat ten opzichte van de lat van december 2027. Gebruik hiervoor in ieder geval de eerdergenoemde EN 18286 standaard voor kwaliteitsmanagement, en daarnaast de (algemene) eisen uit de AI-Act, de reeds gepubliceerde drafts van de geharmoniseerde standaarden en voor andere onderwerpen de bestaande ISO- en NEN-standaarden.

Alleen door deze vragen hardop te stellen, weet je of je NOG anderhalf jaar hebt, of SLECHTS anderhalf jaar. Om aan de eisen te voldoen, maar ook om ervoor te zorgen dat je straks conformiteitsbeoordelingen kunt uitvoeren. En wat het in ieder geval ook oplevert: een goed beeld van hoe ingewikkeld het is om binnen je organisatie dit soort vragen beantwoord te krijgen.

Auteurs kennisbijdrage:

Highberg
V.l.n.r.: Nelleke Groen, Dorus-Jan ten Boom en Sabine Steenwinkel-den Daas.

Meer weten? 
Neem gerust contact op met de auteurs van dit artikel:

Nelleke Groen, AI governance consultant bij het Rijks ICT Gilde
Dorus-Jan ten Boom, Adviseur Digital Law & Ethics bij Highberg
Sabine Steenwinkel-den Daas, Adviseur Responsible AI bij Highberg

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

(advertentie)

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in