AI Act fase 3: stappenplan voor beperkt risico AI

De mogelijkheden van kunstmatige intelligentie (AI) zijn enorm, maar roepen ook belangrijke vragen op over veiligheid, ethiek en privacy. Daarom is de AI Act in het leven geroepen. Sinds 1 augustus 2024 is deze wet van kracht. Omdat het voor bedrijven en ontwikkelaars vrijwel onmogelijk is om in één keer aan alle regels te voldoen, zijn er fasen opgesteld.

Nu de tweede deadline is gepasseerd, verschuift de focus naar de volgende mijlpaal: Fase 3 op 1 augustus 2025. In deze fase draait het om transparantie bij AI-systemen met beperkt risico.

In dit artikel duiken we dieper in de betekenis van 'beperkt risico AI'. We leggen uit welke specifieke verplichtingen rondom transparantie de AI Act oplegt. En we vertellen wat de naderende deadline betekent voor organisaties die deze systemen gebruiken.

Maar eerst even samengevat, wat is de AI Act en welke fasen zijn er?

De AI Act: tijdlijn en fasen

De AI Act is een Europese wetgeving met een risicogebaseerde benadering, waarbij AI-systemen worden ingedeeld op basis van het risico dat ze vormen voor burgers. De risico's variëren van laag tot onacceptabel.

Piramide met de verschillende risicocategorieën. Bovenste laag (!!!!): Onacceptabel (social scoring, gezichtsherkenning). Tweede laag (!!!): Hoog (zelfrijdende auto's, screening van sollicitanten). Derde laag (!!): Beperkt (chatbots, gezichtsfilters op Instagram en Snapchat). Onderste laag (!): Laag (spamfilters, vertaaltools)
Risicocategorieën van de AI Act

De AI Act wordt stap voor stap ingevoerd. Hieronder zie je wanneer welke fase in gaat:

Fase 1: Onacceptabel risico AI verboden - 1 feb 2025. Fase 2: Gedragsregels GPAI definitief - 1 mei 2025. (gehighlight blok) Fase 3: Beperkt risico AI bepalingen gelden - 1 aug 2025. Fase 4: Hoog risico AI bepalingen gelden. Large Scale IT Systems uitgezonderd - 1 aug 2026. Fase 5: Hoog risico AI bepalingen gelden voor Large Scale IT Systems - 1 aug 2027.
Tijdlijn AI Act, Fase 3 gaat 1 augustus 2025 van kracht

De eerste fase van de AI Act draait om het uitfaseren van onacceptabele AI. Zoals social scoring of gezichtsherkenning.

De tweede fase draait om het opstellen van juiste gedragsregels rondom het gebruik van General Purpose AI (GPAI). Denk aan taalmodellen en beeldgeneratie, zoals ChatGPT of Google Gemini.

In de derde fase moet je voldoen aan de regels voor AI-systemen met een beperkt risico. Hierover vertellen we meer in deze blog.

Voldoe vóór 1 augustus 2025 aan de regels voor beperkt risico AI, anders riskeer je een boete van maximaal 35 miljoen euro of 7% van de jaaromzet.

Wat zijn AI-systemen met beperkt risico?

AI-systemen met beperkt risico zijn AI-toepassingen die gebruikers kunnen misleiden of manipuleren. Bijvoorbeeld wanneer gebruikers niet weten dat ze met een chatbot praten in plaats van met een echt persoon. Hier moeten organisaties transparant over zijn.

De AI Act onderscheidt verschillende categorieën binnen beperkt risico AI: interactie-AI, content-genererende AI, biometrische categorisering en deepfakes en manipulatie.

1. Interactie-AI (chatbots en virtuele assistenten)

AI-systemen die direct communiceren met mensen, zoals chatbots op websites of virtuele assistenten in apps.

Risico: Gebruikers denken dat ze met een echt persoon praten, terwijl ze met AI communiceren.

Voorbeelden:

  • Klantenservice chatbots op overheidswebsites
  • Virtuele assistenten voor het aanvragen van vergunningen
  • AI-gestuurde telefonische helpdesks

2. Content-genererende AI

AI-systemen die tekst, afbeeldingen, audio of video produceren die lijken op door mensen gemaakte content.

Risico: Gebruikers kunnen niet onderscheiden of content echt of AI-gegenereerd is, wat kan leiden tot misinformatie.

Voorbeelden:

  • AI-gegenereerde nieuwsbrieven of rapporten
  • Automatisch gegenereerde afbeeldingen voor communicatie-uitingen
  • AI-geschreven beleidsteksten of persberichten

3. Biometrische categorisering

AI-systemen die mensen categoriseren op basis van hun biometrische kenmerken.

Risico: Onbewuste discriminatie en inbreuk op privacy en fundamentele rechten.

Voorbeelden:

  • Gezichtsherkenning voor toegangscontrole
  • Emotieherkenning in publieke ruimtes
  • Leeftijdsschatting via camera's

4. Deepfakes en manipulatie

AI-systemen die bestaande afbeeldingen, audio of video's manipuleren waardoor de mensen op die video's dingen doen of zeggen die ze nooit hebben gedaan.

Risico: Verspreiding van nepnieuws, reputatieschade en ondermijning van vertrouwen in echte media.

Voorbeelden:

  • Gefabriceerde video's van politici of ambtenaren
  • Nep-audio van belangrijke personen
  • Gemanipuleerde foto's voor misleidende campagnes

Hoe voldoe je aan Fase 3 van de AI Act?

Je wilt als organisatie innoveren met AI-toepassingen. Tegelijkertijd wil je voldoen aan de AI Act en risico's minimaliseren. Voldoe vóór 1 augustus 2025 aan de regels voor beperkt risico AI, anders riskeer je een boete van maximaal 35 miljoen euro of 7% van de jaaromzet, afhankelijk van de ernst van de overtreding en de grootte van de organisatie.

Het volgende stappenplan helpt je te voldoen aan fase 3 van de AI Act en transparant te zijn over het gebruik van AI.

Stappenplan voor transparantie bij beperkt risico AI-systemen
  1. Kijk welk type AI je gebruikt Bepaal of jouw AI-systeem valt onder 'beperkt risico' volgens de AI Act. Dit zijn bijvoorbeeld systemen die beelden of teksten maken of veranderen, zoals deepfakes.
  2. Maak een duidelijke verklaring Schrijf een begrijpelijke tekst waarin je uitlegt dat mensen met een AI-systeem te maken hebben. Leg uit wat het AI-systeem doet en waarvoor het bedoeld is.
  3. Deel de informatie met je gebruikers Zorg dat gebruikers van jouw site of app de informatie goed kunnen zien, voordat ze het AI-systeem gaan gebruiken. Gebruik duidelijke taal, die past bij je doelgroep.
  4. Zorg voor technische oplossingen Bouw functies in je AI-systeem die gebruikers waarschuwen wanneer ze inhoud zien die met AI is gemaakt. Gebruik watermerken of andere tekens om dit duidelijk te maken.
  5. Leid je medewerkers op Zorg dat iedereen die met het systeem werkt weet wat de regels zijn voor transparantie en hoe ze die moeten toepassen.
  6. Blijf controleren en verbeteren Houd bij of je transparantiemaatregelen goed werkenen vraag gebruikers wat zij ervan vinden. Pas je aanpak aan op basis van deze feedback en nieuwe regels.
  7. Bewaar alle informatie Houd bij welke stappen je hebt genomen om aan de regels voor transparantie te voldoen. Deze informatie kan nodig zijn als er controles gedaan worden of als toezichthouders vragen stellen.

Tijdlijn en deadlines van de AI Act

De EU heeft een tijdlijn opgesteld om de AI-verordening volledig door te voeren. Hieronder nogmaals een toelichting en schematische weergave (hieronder) van deze tijdlijn:

  • Fase 1 - 1 februari 2025 Verbod op het gebruik van AI-systemen met een onacceptabel risico. Verplichting tot AI-geletterdheid: medewerkers moeten voldoende vaardigheden, kennis en competenties hebben voor het gebruik van AI.
  • Fase 2 - 1 mei 2025 Deadline opstellen gedragscodes aanbieders General Purpose AI (GPAI)*.
  • Fase 3 - 1 aug 2025

    Voldoen aan bepalingen uit categorie beperkt risico: 

    • GPAI-verplichtingen
    • oprichten nationale toezichthouders
    • publicatie richtlijnen voor toezicht en boetes
  • Fase 4 - 1 aug 2026 Voldoen aan bepalingen uit categorie hoog risico, met uitzondering van Large Scale IT-systems.
  • Fase 5 - 1 aug 2027

    Large Scale IT-systems, zoals die voor grenscontroles, moeten ook voldoen aan de eisen van de categorie hoog risico.

     

    * GPAI staat voor General Purpose AI. Dit zijn AI-systemen die je voor meerdere taken kunt inzetten, zonder dat ze vooraf specifiek voor één enkele toepassing zijn ontworpen. Een voorbeeld hiervan is GPT-3, het AI-model dat de basis vormt voor ChatGPT.

Fase 1: Onacceptabel risico AI verboden - 1 feb 2025. Fase 2: Gedragsregels GPAI definitief - 1 mei 2025. Fase 3: Beperkt risico AI bepalingen gelden - 1 aug 2025. Fase 4: Hoog risico AI bepalingen gelden. Large Scale IT Systems uitgezonderd - 1 aug 2026. Fase 5: Hoog risico AI bepalingen gelden voor Large Scale IT Systems - 1 aug 2027.
Tijdlijn AI Act

Meer informatie

Meer weten over de impact van AI op jouw organisatie?

Onze experts vertellen je hoe je met behulp van AI jouw werkprocessen kan versnellen.

pijl vorm