Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


Buitencontractuele aansprakelijkheid:
het nieuwe boek 6 is een feit

Prof. dr. Ignace Claeys en prof. dr. Thijs Tanghe (Eubelius)

Webinar op dinsdag 5 maart 2024


Intellectuele eigendomsrechten in de onderneming:
wie is eigenaar van door werknemers en dienstverleners ontwikkelde creaties?

Dr. Nele Somers (ARTES) en mr. Veerle Scheys (Mploy)

Webinar op dinsdag 23 april 2024

Wanneer valt de AI die je gebruikt onder de nieuwe AI-act? (Mr. Franklin)

Auteur: Olivier Sustronck (Mr. Franklin)

De AI-act is een feit! Op 2 februari hebben alle EU-landen de tekst unaniem goedgekeurd. Het laatste obstakel is nog een goedkeuring van het Europese parlement, maar aan de tekst zelf van de AI-act kan niets meer veranderen.

Waar staat de AI-act voor?

De AI-act is een Europese wetgeving die AI-toepassingen aan bepaalde verplichtingen wil onderwerpen inzake veiligheid, ethische overwegingen en menselijke controle.

Om te bepalen of een AI onder de AI-act valt, wordt een onderscheid gemaakt tussen 3 categorieën: De verboden AI’s, de hoog risico AI’s en de restcategorie.

Verboden AI

De verboden AI’s mogen in geen geval op de Europese markt ingezet worden. Onder de verboden AI’s vallen onder meer social crediting systemen, gebruik van bepaalde biometrie op openbare plaatsen, het laten voorspellen van crimineel gedrag, emotieherkenning op het werk en exploitatie van zwakkeren.

Hoog risico AI

Om te bepalen of een AI als een hoog risico wordt aanzien, moeten vier stappen worden doorlopen:

In de eerste stap moet gekeken worden of een AI een veiligheidscomponent is van een bij wet gereguleerd product zoals productiemachines, liften, speelgoed, medische apparaten, voertuigen en zo meer. Zo zal een systeem dat moet nagaan of de deurtjes van een draaimolen op een speelplein goed gesloten zijn, automatisch als een hoog risico AI worden aanzien. Een AI die de ‘flosh’ bestuurt op de draaimolen valt hier dan niet onder.

In een tweede stap moet gekeken worden of er profilering wordt uitgevoerd door de AI. Hierbij is de definitie van profilering dezelfde zoals bepaald in de GDPR. Als de toepassing onder één van deze twee stappen valt, wordt deze sowieso als hoog risico AI aanzien.

In de derde stap moet nagegaan worden of de AI op de risicolijst zoals opgenomen in Annex III van de AI-act staat. Deze lijst omvat onder meer fysieke veiligheid van kritieke infrastructuur, toegang tot onderwijs, recruitment, toegang tot publieke diensten en het inschatten van verzekeringsrisico’s. Toepassingen die niet op de lijst staan (en niet aan de eerste twee stappen voldoen) worden niet aanzien als een hoog risico AI. Voor de toepassingen die wel op deze laatste lijst staan, moet nagegaan worden of ze al dan niet als accessoir aanzien kunnen worden of niet. AI’s zijn accessoir indien ze slechts gebruikt worden voor het opschonen of corrigeren van taalfouten, er slechts beperkte procedurele taken worden uitgevoerd of enkel afwijkingen detecteert van het gebruikelijke beslispatroon, zonder zelf een beslissing te nemen. Indien de AI dus wel op de lijst staat maar niet onder deze uitzonderingen valt, is er sprake van een hoog risico AI.

Welke verplichtingen een hoog risico AI met zich meebrengt, zal in een volgende blog besproken worden.

Laag risico AI

Ten slotte zijn er enkele verplichtingen opgenomen voor de laag risico AI, die hoofdzakelijk beperkt zijn tot informatieverplichtingen aan de gebruikers van de AI. Zo moet een chatbot uitdrukkelijk aangeven aan de gebruiker dat hij met een AI aan het praten is. Ook door AI gegenereerde video’s en foto’s moeten met een watermerk aanduiden dat zij door AI gemaakt zijn.

Conclusie

De AI-act heeft AI-toepassingen willen indelen in verschillende risico categorieën en daaraan verschillende verplichtingen gekoppeld om deze risico’s zo goed als mogelijk op te vangen. Een hoog risico AI moet aan zware verplichtingen voldoen die de nodige voorbereiding zullen vragen. Het is dus erg belangrijk om tijdig een AI die ingezet wordt, ingezet zal worden of ontwikkeld zal worden te toetsen aan de AI-act om te zien of deze al dan niet op de verboden lijst of op de hoog risico lijst staan opgenomen.

Tot slot moet nog benadrukt worden dat de AI-act niet in de plaats komt van andere regelgeving zoals de GDPR maar ernaast komt. Zo is het mogelijk dat een AI als laag risico aanzien wordt voor de AI act maar wel als een hoog risico aanzien wordt inzake verwerking van persoonsgegevens. De AI-act is dus een bijkomende wetgeving die mogelijk extra verplichtingen oplegt en niet noodzakelijk aansluit met de bestaande wetgeving.

Bron: Mr. Franklin

» Bekijk alle artikels: IT & IP