AI ACT: wat zijn de gevolgen voor de werkgevers? (Group S)

ChatGPT, Mistral, Copilot, chatbots, spamfilters, aanbevelingssystemen… artificiële intelligentie (of AI) is alomtegenwoordig  in ons dagelijks leven.

In de wereld van werk, en in het bijzonder op het gebied van human resources, wordt AI steeds vaker gebruikt.

De Europese Unie is zich bewust geworden van de omvang van dit fenomeen en heeft besloten het te reguleren om ervoor te zorgen dat AI-systemen in de EU veilig zijn en zowel de grondrechten van burgers als de waarden van de EU naleven. Terwijl ze de schadelijke effecten van deze systemen bestrijdt, wil ze ook een zekere mate van rechtszekerheid waarborgen om investeringen en innovatie op dit gebied te vergemakkelijken.

De nieuwe AI-wetgeving is op 1 augustus 2024 van kracht geworden, maar zal volledig van toepassing zijn vanaf 2 augustus 2026. Zoals we hieronder zullen zien, zal de uitvoering echter geleidelijk gaan.

1.  Classificatie van AI-systemen op basis van risico’s

AI-systeem: een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.

AI biedt veel economische en sociale voordelen, maar brengt ook risico’s met zich mee.  Dit is waarom de IA Verordening een op risico gebaseerde aanpak heeft aangenomen: hoe groter het risico, hoe strenger de regels. AI-systemen zijn als volgt geclassificeerd:

1.1. AI-systemen met onaanvaardbare risico’s

Ze zijn in strijd met de normen en waarden van de EU en leiden tot flagrante schendingen van de grondrechten.

Dit omvat:

• systemen voor biometrische identificatie op afstand in real time in openbare ruimten ;
• AI-systemen die worden gebruikt om een beoordeling van natuurlijke personen (“social scoring”) ;
• AI-systemen die subliminale technieken of doelbewust manipulatieve of misleidende technieken gebruiken, met als doel of effect het gedrag van personen of een groep personen wezenlijk te verstoren.

1.2. AI-systemen met hoge risico’s

Ze hebben een negatief effect op de veiligheid of de grondrechten.

Op het gebied van tewerkstelling en human resources zijn AI-systemen met hoge risico’s systemen die bedoeld zijn om te worden gebruikt:

• voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties, en het beoordelen van kandidaten ;
• voor het nemen van besluiten over arbeidsgerelateerde betrekkingen, de bevordering of beëindiging van arbeidsgerelateerde contractuele betrekkingen ;
• voor het toewijzen van taken op basis van individueel gedrag of persoonlijke eigenschappen of kenmerken;
• of voor het monitoren en evalueren van prestaties en gedrag van personen in dergelijke betrekkingen.

Deze systemen kunnen aanzienlijke gevolgen hebben voor de toekomstige carrièrekansen en het levensonderhoud van deze personen, alsook voor de rechten van werknemers. Ze kunnen ook historische patronen van discriminatie in stand houden, (bijvoorbeeld ten nadele van vrouwen, bepaalde leeftijdsgroepen, personen met een handicap of personen met een bepaalde raciale of etnische afkomst of seksuele gerichtheid) of kunnen ook afbreuk doen aan hun grondrechten inzake gegevensbescherming en privacy.

1.3. AI-systemen met beperkte risico’s

De risico’s van deze systemen voor de rechten van EU-burgers worden beperkt geacht.

Deze categorie omvat online chatbots en AI-systemen die worden gebruikt om beeld-, audio- of video-content te genereren of te manipuleren die aanzienlijk lijkt op bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen en voor een persoon ten onrechte authentiek of waarachtig kunnen lijken (deepfakes).

1.4. AI-systemen met minimale risico’s

Dit zijn systemen die geen echt risico vormen voor de rechten van burgers, zoals spamfilters.

2. Verplichtingen in verband met AI-systemen

De verordening legt specifieke verplichtingen vast afhankelijk van de verschillende soorten AI-systemen en of je optreedt als aanbieder, distributeur, importeur of gebruiksverantwoordelijke (gebruiker) van deze systemen. Dit artikel behandelt alleen verplichtingen die een impact hebben op gebruikers.

Er moet worden opgemerkt dat specifieke regels gelden voor leveranciers van AI-modellen voor algemene doeleinden (zoals Chat GPT).  In het bijzonder moeten ze technische documentatie en gebruiksaanwijzingen verstrekken, voldoen aan de richtlijn over auteursrechten en een samenvatting op te stellen van de content die voor de training van het model is gebruikt

2.1. AI-systemen met onaanvaardbare risico’s

Deze systemen zijn verboden en mogen niet worden gebruikt, behalve voor de gevallen voorzien door de verordening.

Dit verbod op het gebruik van AI-systemen met onaanvaardbare risico’s gaat in op 2 februari 2025.

2.2. AI-systemen met hoge risico’s

Voor deze systemen voorziet de Europese verordening wat volgt:

• De werking ervan moet voldoende transparant zijn om gebruiksverantwoordelijken in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken.
• er moeten gebruiksinstructies in een passend digitaal of ander formaat zijn die beknopte, volledige, juiste en duidelijke informatie bevatten die relevant, toegankelijk en begrijpelijk zijn voor gebruiksverantwoordelijken.
• Technische en organisatorische maatregelen moeten worden genomen om ervoor te zorgen dat ze worden gebruikt volgens de gebruiksinstructies.
• Het menselijk toezicht moet worden opgedragen aan natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid.
• Gebruiksverantwoordelijken moeten de logs die automatisch worden gegenereerd door dat AI-systeem bewaren voor zover dergelijke logs onder hun controle vallen en dit gedurende een periode die passend is voor het beoogde doel van het AI-systeem, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens.
• Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, moeten gebruiksverantwoordelijken die werkgever zijn de werknemersvertegenwoordigers en de betrokken werknemers informeren dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoge risico’s.
• Wanneer de gebruiksverantwoordelijken op basis van een AI-systeem beslissingen nemen of geholpen worden om beslissingen te nemen over natuurlijke personen, moeten ze de natuurlijke personen informeren dat zij aan het gebruik van een AI-systeem met hoge risico’s zijn onderworpen.

Deze verplichtingen moeten vanaf 2 augustus 2026 gerespecteerd worden.

2.3. AI-systemen met beperkte risico’s

Informatie- en transparantieverplichtingen moeten worden nagekomen:

• De gebruikers van een AI-systeem dat afbeeldingen of audio/video-inhoud genereert of manipuleert, moeten aangeven dat de inhoud is gegenereerd of gemanipuleerd door een AI. Deze verplichting geldt niet wanneer het gebruik bij wet is toegestaan of wanneer de inhoud deel uitmaakt van een kennelijk artistiek, creatief, satirisch, fictief of analoog werk of programma.
• De gebruikers van een AI-systeem dat tekst genereert of bewerkt dat wordt gepubliceerd om het publiek te informeren over aangelegenheden van algemeen belang, moeten bekendmaken dat de tekst kunstmatig is gegenereerd of bewerkt. Deze verplichting is echter niet van toepassing wanneer het gebruik bij wet is toegestaan of wanneer de door AI gegenereerde inhoud een proces van menselijke toetsing of redactionele controle heeft ondergaan en wanneer een natuurlijke of rechtspersoon redactionele verantwoordelijkheid draagt voor de bekendmaking van de inhoud.
• Behoudens uitzonderingen waarin de wet voorziet, moeten gebruikers van een chatbot ervan op de hoogte worden gesteld dat ze met een AI-systeem communiceren dat is ontworpen om rechtstreeks met hen te inter-ageren.

Deze verplichtingen moeten vanaf 2 augustus 2026 gerespecteerd worden.

2.4. AI-systemen met minimale risico’s

De Europese Verordening voorziet geen specifieke verplichting voor deze systemen.

3. Welke actie moeten werkgevers ondernemen? 

Werkgevers moeten identificeren welke AI-systemen ze gebruiken en voor welk doel.

De werkgever moet daarom controleren:

• wat zijn rol als gebruiker, aanbieder, importeur of distributeur van het AI-systeem is;
• in welke risicocategorie het systeem valt.

Zo kan hij zijn verplichtingen in kaart brengen en een actieplan opstellen en uitvoeren.

In het algemeen stelt de Europese Verordening dat gebruikers van AI-systemen maatregelen moeten nemen om ervoor te zorgen dat hun personeel en anderen die namens hen betrokken zijn bij de werking en het gebruik van AI-systemen, voor zover mogelijk, voldoende kennis en begrip van AI hebben. Daartoe moeten ze rekening houden met hun technische kennis, ervaring, opleiding en vorming en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.

Werkgevers zullen deze maatregelen moeten nemen om vanaf 2 februari 2025 te zorgen voor voldoende AI-kennis.

Als de werkgever AI-systemen met hoge risico’s gebruikt, zoals voor het werven of beheren van werknemers, of AI-systemen met beperkte risico’s, dan moet hij voldoen aan de verplichtingen die aan deze systemen verbonden zijn (zie punten 2.2. en 2.3).

Werkgevers die nog geen AI-systeem met hoge risico’s gebruiken, moeten de werknemersvertegenwoordigers en de betrokken werknemers hiervan op de hoogte stellen. De verordening bepaalt dat deze informatie moet worden verstrekt volgens de in de lidstaat geldende regels, procedures en praktijken. Als het gebruik van een AI-systeem met hoge risico’s voldoet aan de voorwaarden om als de invoering van een nieuwe technologie beschouwd te worden in de zin van cao nr. 39, moet de ondernemingsraad geïnformeerd en geraadpleegd worden.

4. AI Act en AVG?

Deze 2 Europese verordeningen vullen elkaar aan om ervoor te zorgen dat de verwerking van persoonsgegevens rechtmatig, eerlijk en transparant is in de context van AI-systemen.

De Gegevensbeschermingsautoriteit (GBA) legt deze complementariteit uit in een informatiebrochure waarin het juridische kader wordt uiteengezet en praktische richtlijnen worden gegeven voor het begrijpen en naleven van de vereisten van de AVG en de AI-verordening bij het ontwikkelen en gebruiken van AI-systemen.

De GBA beveelt onder andere de volgende goede praktijken aan:

• transparantie : in de gegevensbeschermingsverklaring duidelijk uitleggen hoe persoonsgegevens worden verzameld, gebruikt en opgeslagen in het AI-systeem ;
• minimale gegevensverwerking: alleen de minimale hoeveelheid persoonsgegevens die nodig is voor het gebruik van het AI-systeem mogen worden verzameld en gebruikt;
• opslagbeperking: persoonsgegevens moeten niet langer worden bewaard dan nodig, in overeenstemming met de gerechtvaardigde doeleinden waarop de verwerking is gebaseerd.

5. Sancties

Overtreders van de regels in de AI-Act kunnen boetes opgelegd krijgen die aanzienlijk kunnen zijn: bij voorbeeld, administratieve geldboeten tot 35 000 000 EUR of, indien de overtreder een onderneming is, tot 7 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, indien dat hoger is.

De sancties zijn van toepassing vanaf 2 augustus 2025.

6. Wat te onthouden?

Vanaf 2 februari 2025 :

• AI-systemen met onaanvaardbare risico’s zijn verboden ;
• moeten werkgevers maatregelen nemen om ervoor te zorgen dat hun werknemers voldoende kennis hebben van AI.

Vanaf 2 augustus 2026 moeten werkgevers die AI-systemen met hoge risico’s (punt 2.2.) of AI-systemen met beperkte risico’s (punt 2.3.) gebruiken, voldoen aan de verplichtingen die aan deze systemen verbonden zijn.

Werkgevers die nog geen AI-systeem met hoge risico’s gebruiken, moeten de werknemersvertegenwoordigers en de betrokken werknemers hiervan op de hoogte stellen. Als het gebruik van een AI-systeem met hoge risico’s voldoet aan de voorwaarden om als de invoering van een nieuwe technologie beschouwd te worden in de zin van cao nr. 39, moet de ondernemingsraad geïnformeerd en geraadpleegd worden.

Een modelpolicy voor het gebruik van AI in bedrijven zal binnenkort beschikbaar zijn.