Toezicht en compliance onder de AI Act: de need to knows en must-do’s

Met de AI Act wordt de Europese Unie koploper in de regulering van artifical intelligence (AI). Wat staat organisaties in Nederland te doen om straks compliant te zijn? Kai Zenner van het Europees Parlement deelt inzichten en adviezen.

De regels van de Europese AI Act worden tussen 2025 en 2027 stapsgewijs van kracht. De regulering introduceert een stevig sanctiepakket, met onder meer boetes die oplopen tot zeven procent van de jaaromzet. Organisaties staan nu voor de uitdaging om het risiconiveau van AI-systemen te bepalen en zich voor te bereiden op de toekomstige regels.

Europees toezicht in ontwikkeling

“De AI Act is een complexe verordening met verschillende toezichtmechanismen, en er is nog veel onduidelijk over de organisatie van de handhaving”, zegt Kai Zenner, expert op het gebied van AI, data en aansprakelijkheid, en adviseur van Axel Voss, lid van het Europees Parlement. “Als je als bedrijf vraagt wie er in de Europese Unie het aanspreekpunt en de verantwoordelijke zijn voor de implementatie van de AI Act, dan zijn er gerust tien verschillende antwoorden te geven.”

Vooral in de eerste fase van de invoering van de verordening is het toezicht op Europees niveau nog in ontwikkeling, voorspelt Zenner, die tijdens het Nationaal AI Congres een keynote verzorgt over toezicht en handhaving onder de AI Act. “Er wordt een AI Office opgericht als onderdeel van het office van de Europese Commissie. Daarnaast komt er een AI Board met onder andere vertegenwoordigers van de lidstaten. De verwachting is dat de European Data Protection Board (EDPB) ook wordt betrokken, met name als het gaat om het gebruik van AI door Europese overheidsinstellingen.”

Complex toezicht op nationaal en Europees niveau

Er ontstaat op Europees niveau een lappendeken van toezichthouders, met onderling overlappende werkterreinen en tegelijkertijd verschillende invalshoeken, voorziet Zenner. “Ook als het AI Office in de lead is, liggen er verantwoordelijkheden bij diverse Europese instellingen en organen. Denk aan toezichthouders die zich bezighouden met de financiële sector, mensenrechten en cybersecurity.”

De situatie wordt volgens Zenner op nationaal niveau zelfs nog ingewikkelder. “Het grootste issue is dat er een grote kans is dat Europese lidstaten verschillende lead authorities aanwijzen. In het ene land ligt de verantwoordelijkheid dan bij de privacytoezichthouder, en in het andere land bij bijvoorbeeld de cyber security autoriteit. Elke organisatie heeft eigen aandachtspunten en visies. Daarnaast moeten de toezichthouders samenwerken met elkaar én met andere instellingen.” Zenner schat dat er straks in totaal honderd tot tweehonderd organen in de Europese Unie zijn betrokken bij het toezicht op de AI Act.

Risico-aversie

Zenner verwacht dat er de komende jaren langzaam meer duidelijkheid ontstaat over de kaders die de AI Act stelt. “De regels zijn van toepassing op alle ondernemingen die opereren op de Europese markt. Organisaties in de Europese Unie én daarbuiten zijn op zoek naar zekerheid over de implicaties van de AI Act. Bij allerlei producten en diensten met AI speelt bovendien vaak ook sectorale wet- en regelgeving, zoals voor medische apparatuur. Het is daarom ingewikkeld voor bedrijven om te bepalen met welke wet- en regelgeving er rekening moet worden gehouden bij de ontwikkeling en inzet van AI-toepassingen.”

Het gebrek aan helderheid over het nationale en Europese toezicht op de AI Act zou volgens Zenner kunnen leiden tot een sterke risico-aversie in de markt. “Dat creëert een fenomeen dat precies het tegenovergestelde is van wat de verordening beoogt, namelijk een marktconcentratie. Vooral kleinere ondernemingen zullen, uit angst voor non-compliance, terughoudend worden om te investeren in toepassingen en producten met AI. Daarmee versterken grote techbedrijven de expertise, slagkracht en marktdominantie, en wordt Europa mogelijk nog meer afhankelijk van Amerikaanse aanbieders.”

Samenwerking als sleutel

De AI Act heeft een goede balans gevonden tussen het verminderen van de risico’s en het benutten van de kansen van AI, schreef Zenner recent in een blog op LinkedIn. “Ik ben voorzichtig optimistisch dat er meer duidelijkheid ontstaat over de concepten, toezichthouders, uitvoeringswetten en aanpalende wet- en regelgeving – en dat de AI Act daarmee positief uitpakt voor de praktijk”, vult hij aan. “Er wordt hard gewerkt aan standaards en guidelines, en de Europese Commissie stimuleert organisaties om expertise, ervaringen en use cases te delen. Er ligt een groot potentieel voor publiek-private partnerships om samen met de Commissie en de nationale toezichthouders guidelines en codes of conduct te ontwikkelen, en voor ondernemingen om actief bij te dragen aan uitvoeringswetten.”

Wat staat Nederlandse organisaties nu te doen om zich voor te bereiden op de komst van de AI Act? Zenner ziet samenwerking als sleutel tot succes. “Er is heel veel kennis nodig om de AI Act tot een succes te maken, en er is volop ruimte voor organisaties om daarin een rol te spelen. Dat kan door expertise te delen in het Advisory Forum en het Scientific Panel van de Europese Commissie. Maar ook door onder meer input te geven voor standaardisatie-initiatieven, AI-systemen te testen in Regulatory Sandboxes, en bij te dragen aan de guidelines die het AI Office ontwikkelt.”

Organisaties die serieus werk hebben gemaakt van de implementatie van de General Data Protection Regulation (GDPR) zijn nu in een sterke positie om vaart te maken met de naleving van de AI Act, aldus Zenner. “Compliance met de AI Act begint immers met acties die je ook voor de GDPR zou ondernemen. Van de inventarisatie van datastromen tot de uitvoering van risico-analyses.”