Vanaf 2 februari 2025 geldt verbod op AI-systemen met onaanvaardbaar risico

AI of artificiële intelligentie sluipt steeds meer ons leven binnen. Sluipt, want vaak weten we niet of producten waar we gebruik van maken al dan niet gemaakt zijn met AI.  

AI kan een belangrijk concurrentievoordeel opleveren en ondernemingen helpen om gunstige resultaten te behalen, maar tegelijkertijd kan AI risico’s met zich meebrengen en schade aanrichten.  

Om ervoor te zorgen dat er een gelijk concurrentieveld bestaat binnen Europa enerzijds én de openbare belangen en grondrechten van de Uniewetgeving worden beschermd anderzijds, heeft Europa een verordening uitgevaardigd. Dit met als doel de werking van de interne markt te verbeteren door een uniform rechtskader vast te stellen voor de ontwikkeling, het in de handel brengen, het in gebruik stellen, en het gebruik van artificiële intelligentiesystemen (AI-systemen) in de Unie. 

De Europese verordening voorziet heel wat regels voor aanbieders, fabrikanten, importeurs en distributeurs van AI-systemen. Maar ook voor gebruiksverantwoordelijken, zijnde alle natuurlijke of rechtspersonen die een AI-systeem onder eigen verantwoordelijkheid gebruiken, werden een aantal rechten en plichten vooropgesteld.  

Werkgevers zullen doorgaans als gebruiksverantwoordelijken optreden, maar wanneer men een bestaand AI-systeem verder laat ontwikkelen en ter beschikking stelt voor gebruik onder eigen naam, kan men ook als aanbieder aanzien worden.  

In wat volgt gaan we dieper in op de rechten en plichten van de gebruiksverantwoordelijken en we leggen ook de link met de verplichtingen voor de Algemene Verordening Gegevensbescherming (ook wel General Data Protection Regulation of GDPR). 

De AI-verordening is in werking getreden op 1 augustus 2024, maar de toepassing ervan wordt in de tijd gespreid. Hieronder geven we telkens aan wanneer de concrete bepalingen in werking treden. 

Wat is een AI-systeem?

De verordening definieert een AI-systeem als een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen. Met andere woorden: een AI-systeem is een computersysteem dat specifiek is ontworpen om data te analyseren, patronen te identificeren en die kennis te gebruiken om weloverwogen beslissingen te nemen of voorspellingen te doen.  

Onderscheid tussen AI-systemen op basis van risico

Er zijn verschillende soorten AI-systemen in omloop en ontwikkeling, elk met hun eigen risico’s voor de gezondheid, de veiligheid en de grondrechten van de Europese Unie. In de verordening maakt men een onderscheid in aanpak en regelgeving, in overeenstemming met het risico dat aan het AI-systeem verbonden is. 

AI-systemen met onaanvaardbare risico’s 

In deze categorie bevinden zich AI-systemen waarvan het gebruik onaanvaardbaar wordt geacht. Dit omdat dergelijke systemen in strijd zijn met de waarden van de Unie, bijvoorbeeld vanwege een schending van grondrechten. Zulke AI-systemen worden dan ook verboden binnen de Europese Unie.  

Concreet slaat het verbod op AI-systemen die een aanzienlijk potentieel hebben om personen, zonder dat ze zich daarvan bewust zijn, te manipuleren of misbruik te maken van de kwetsbaarheid van specifieke kwetsbare groepen, zoals kinderen of personen met een handicap. Zo verbiedt de verordening op AI gebaseerde ‘sociale scoring’, waarbij mensen beoordeeld worden op basis van hun sociale gedrag of persoonlijke kenmerken. Ook AI-systemen met emotieherkenning worden verboden, net als het gebruik van ‘realtime’ biometrische systemen voor identificatie op afstand in openbare ruimten. 

Werkgevers moeten nagaan of ze geen verboden AI-systemen gebruiken. Mocht dat effectief het geval zijn, moeten ze vóór 2 februari 2025 het gebruik stoppen. Vanaf 2 augustus 2025 riskeren organisaties die verboden AI ontwikkelen of inzetten hoge boetes.  

AI-systemen met hoge risico’s 

AI-systemen met een hoog risico zijn wel toegelaten op de Europese markt, maar ze moeten wel voldoen aan bepaalde dwingende voorschriften en vooraf een conformiteitsbeoordeling ondergaan (waar de aanbieder voor moet instaan).  

De verordening voorziet een lijst van AI-systemen die als ‘hoog risico’ worden aangeduid. Dit gaat dan over systemen die je kan gebruiken bij het werven of selecteren van natuurlijke personen, met name voor het plaatsen van gerichte vacatures, het analyseren en filteren van sollicitaties, en het beoordelen van kandidaten.  

In deze categorie passen ook AI-systemen die beslissingen kunnen nemen die van invloed zijn op de voorwaarden, de bevordering en/of de beëindiging van contractuele arbeidsrelaties.  

Ook AI-systemen die beslissingen kunnen helpen nemen over de toewijzing van taken op basis van individueel gedrag of persoonlijke eigenschappen of kenmerken horen hier thuis, net als AI-systemen die prestaties en gedrag van personen in contractuele arbeidsrelaties monitoren en evalueren.  

Als gebruiksverantwoordelijke moet een werkgever die gebruik maakt van AI-systemen met een hoog risico: 

1. passende technische en organisatorische maatregelen nemen om te waarborgen dat de AI-systemen gebruikt worden volgens de gebruiksinstructies; 
2. menselijk toezicht op de AI-systemen opdragen aan natuurlijke personen die beschikken over de nodige bekwaamheid, opleiding en autoriteit en de nodige ondersteuning krijgen; 
3. ervoor zorgen dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico (voor zover hij/zij controle heeft over de inputdata); 
4. de werking van het AI-systeem monitoren en eventuele risico’s of incidenten rapporteren. Zo moeten de logs die automatisch gegenereerd worden ten minste zes maanden worden bijgehouden;  
5. meedelen aan de werknemersvertegenwoordigers en de betrokken werknemers dat zij op de werkplek onderworpen zullen worden aan het gebruik van het AI-systeem met een hoog risico, en dit alvorens het AI-systeem  
6. in gebruik wordt gesteld of wordt gebruikt; 
7. de werknemers informeren dat het AI-systeem met een hoog risico op hen wordt toegepast voor het nemen of helpen nemen van beslissingen met betrekking tot natuurlijke personen. 

De verplichtingen rond AI-systemen met hoge risico’s moeten vanaf 2 augustus 2026 gerespecteerd worden. 

AI-systemen met beperkte risico’s 

Deze categorie omvat AI-systemen waarvan men het risico voor de rechten van de EU-burgers eerder beperkt inschat, omdat ze de besluitvorming niet wezenlijk beïnvloeden of die belangen niet wezenlijk schaden. 

Een AI-systeem met een beperkt risico voldoet aan volgende voorwaarden: 

1. het AI-systeem moet bedoeld zijn om een enge procedurele taak uit te voeren, zoals een AI-systeem dat binnenkomende documenten classificeert in categorieën of een AI-systeem dat wordt gebruikt om binnen een groot aantal aanvragen dubbels op te sporen. Dergelijke taken zijn dermate specifiek dat ze slechts beperkte risico’s met zich meebrengen. 
2. de taak die het AI-systeem uitvoert, moet bedoeld zijn om het resultaat van een eerder voltooide menselijke activiteit te verbeteren. Die kenmerken in beschouwing genomen, voegt het AI-systeem slechts een extra laag toe aan een menselijke activiteit, en houdt dit bijgevolg een lager risico in. Dit is bijvoorbeeld het geval voor AI-systemen die bedoeld zijn om de taal van eerder opgestelde documenten te verbeteren, bijvoorbeeld qua professionele toon of academische stijl. 
3. het AI-systeem moet bedoeld zijn om besluitvormingspatronen of afwijkingen van eerdere besluitvormingspatronen op te sporen. Het risico zou in dergelijke gevallen lager liggen, omdat het AI-systeem wordt gebruikt na een eerder afgeronde menselijke beoordeling en het niet de bedoeling is dat het AI-systeem die beoordeling vervangt of wijzigt zonder gedegen menselijke toetsing. Dergelijke AI-systemen omvatten bijvoorbeeld systemen die, aan de hand van een bepaald beoordelingspatroon van een leerkracht, achteraf gebruikt kunnen worden om na te gaan of de leerkracht mogelijk van dat patroon is afgeweken, en dus mogelijke inconsistenties of anomalieën signaleren.  
4. het AI-systeem moet bedoeld zijn om een taak uit te voeren die slechts dient ter voorbereiding van een beoordeling die relevant is voor een AI-systeem met een hoog risico, waardoor het mogelijke effect van de output van het systeem een zeer laag risico inhoudt voor de beoordeling die erop volgt. Daarbij kan het onder meer gaan over slimme oplossingen voor bestandsbeheer - waaronder verschillende functies zoals indexering, opzoekwerk, tekst- en spraakverwerking, of het koppelen van gegevens aan andere gegevensbronnen - of AI-systemen die worden ingezet voor de vertaling van brondocumenten. 

Voor dergelijke AI-systemen met beperkte risico’s moet je als gebruiksverantwoordelijke (werkgever) voldoen aan bepaalde informatie- en transparantieverplichtingen: 

1. bij AI-systemen die voor directe interactie met natuurlijke personen bedoeld zijn, moeten betrokken natuurlijke personen geïnformeerd worden dat zij interageren met een AI-systeem. Zo moeten gebruikers van een chatbot geïnformeerd worden dat ze met een AI-systeem communiceren;  
2. gebruiksverantwoordelijken van een AI-systeem dat beeld-, audio- of videocontent genereert of bewerkt die een deepfake vormt, moeten bekendmaken dat de content kunstmatig is gegenereerd of gemanipuleerd; 
3. gebruiksverantwoordelijken van een AI-systeem dat tekst genereert of bewerkt die wordt gepubliceerd om het publiek te informeren over aangelegenheden van algemeen belang, moeten bekendmaken dat de tekst kunstmatig is gegenereerd of bewerkt. 

De verordening bepaalt dat deze informatie verstrekt moet worden volgens de in de lidstaat geldende regels, procedures en praktijken. Bij de ingebruikname van een AI-systeem met hoge risico’s moet daarom zeker nagegaan worden of dit systeem voldoet aan de voorwaarden om als invoering van nieuwe technologie beschouwd te worden in de zin van cao nr. 39. Is dit het geval, dan moet de ondernemingsraad geïnformeerd en geraadpleegd worden. 

De bepalingen over de informatie- en transparantieverplichtingen voor AI-systemen met beperkte risico’s moeten gerespecteerd worden vanaf 2 augustus 2026. 

AI-systemen met minimale risico’s 

Voor AI-systemen die geen of minimale risico’s inhouden, voorziet de Europese verordening geen specifieke verplichtingen. 

AI-geletterdheid

Werkgevers moeten vanaf 2 februari 2025 voorts ook maatregelen nemen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken.  

AI-geletterdheid gaat over de vaardigheden en de kennis die, en het begrip dat iedereen in de organisatie, betrokken bij AI-systemen, nodig heeft om geïnformeerd Al-systemen in te zetten en bewust te zijn van de kansen en risico's van Al en de mogelijke schade die AI kan veroorzaken. 

De manier waarop deze AI-geletterdheid verworven moet worden, wordt niet verder omschreven in de verordening. De werkgever kan dus zelf de te nemen stappen bepalen. Dit kan gaan van een algemene AI-training tot specifieke cursussen, toegespitst op het gebruik van een specifiek AI-systeem. 

AI-beleid

Als werkgever doe je er goed aan om duidelijke richtlijnen op te stellen voor het gebruik van AI-systemen binnen je organisatie. In een AI-policy kan je voorzien welke systemen gebruikt mogen worden, voor welke doeleinden, door welke personeelsleden enzovoort. 

AI en GDPR (AVG)

De gegevensbeschermingsautoriteit heeft een brochure uitgebracht waarbij ze de verplichtingen uit de AI-verordening toetst aan de verplichtingen die uitgewerkt werden in de GDPR. Het gaat dan concreet over:  

1. De verplichting uit de GDPR tot rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens, waarbij zes rechtsgronden worden vooropgesteld tot het verwerken van persoonsgegevens. Deze rechtsgronden blijven van toepassing op AI-systemen die persoonsgegevens verwerken. Deze systemen mogen de persoonsgegevens niet gebruiken voor doeleinden waarvoor ze niet bedoeld zijn, noch mogen ze buitensporig veel gegevens verzamelen. De persoonsgegevens mogen niet langer worden bewaard dan nodig om de doeleinden te bereiken waarvoor ze werden verzameld. 
2. Zowel de GDPR als de AI-verordening wijzen op het belang van menselijke betrokkenheid bij geautomatiseerde besluitvormingsprocessen die gevolgen hebben voor natuurlijke personen. De GDPR focust daarbij vooral op de mogelijkheid om, na het besluit, bezwaar in te dienen bij een menselijke besluitvormer. De AI-verordening legt dan weer de nadruk op een proactief menselijk toezicht bij de geautomatiseerde besluitvorming. 
3. Beide verordeningen hechten veel belang aan de beveiliging van persoonsgegevens gedurende de verwerking ervan en voorzien in dat verband diverse maatregelen. 

Sancties

Wie de regels van de AI-verordening overtreedt, riskeert aanzienlijke boetes. Zo kan een overtreding van de voorschriften rond verboden AI-systemen leiden tot een administratieve boete van 35 miljoen euro of 7% van de jaarlijkse omzet van het bedrijf. De boetes zijn van toepassing vanaf 2 augustus 2025. 

Concrete verplichtingen als werkgever?

Als werkgever doe je er goed aan om nu al op te lijsten welke AI-systemen gebruikt worden binnen je onderneming, door wie en voor welk doel. Deze systemen moeten dan ingeschaald worden naargelang het risico (onaanvaardbaar risico, hoog risico, beperkt risico of minimaal risico). Omdat het verbod op AI-systemen met onaanvaardbaar risico ingaat vanaf 2 februari 2025 maak je deze analyse best zo snel mogelijk.  

Op basis van dit overzicht kan de onderneming dan haar verplichtingen in kaart brengen en een actieplan opstellen. Zo moeten werkgevers vanaf 2 februari 2025 ook al acties ondernemen om de AI-geletterdheid of -bewustwording binnen de onderneming te bevorderen.