Veelgestelde vragen over artificiële intelligentie, de Artificial Intelligence Act en de toepassing daarvan

Een artificiële‑intelligentiesysteem of AI‑systeem wordt gedefinieerd als “een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen.” (artikel 3, 1) van de AI Act) 

Een AI‑systeem kan bijvoorbeeld ontworpen zijn om een complex probleem in een specifieke context op te lossen, zoals het gebruik van

• virtuele assistenten (Alexa, Siri of Google Assistant)
• algoritmes voor de aanbeveling van inhoud op streamingplatforms
• systemen voor gezichtsherkenning
• diensten voor geautomatiseerde vertaling

Een AI‑systeem omvat alle noodzakelijke elementen voor het doeltreffend inzetten en gebruiken van een of meerdere AI‑modellen voor algemene doeleinden in een reële context, inclusief een IT-infrastructuur (bv. de gebruikersinterface). 

De Europese Commissie heeft begin februari 2025 vrijblijvende richtsnoeren over de definitie van een AI-systeem gepubliceerd. Die richtsnoeren zijn ontworpen om in de loop van de tijd te evolueren en worden waar nodig bijgewerkt, naar aanleiding van praktische ervaringen, nieuwe vragen en use cases. Ze zijn een aanvulling op de richtsnoeren voor verboden praktijken op het gebied van artificiële intelligentie (zie verder).

De AI Act legt verplichtingen vast voor zowel publieke als private actoren, het gaat om

• aanbieders (ontwikkelaars van een AI‑systeem of een AI-model voor algemene doeleinden)
• gebruiksverantwoordelijken (gebruikers van een AI‑systeem, tenzij het systeem wordt gebruikt in het kader van een persoonlijke niet-beroepsactiviteit)
• importeurs en distributeurs van AI-systemen
• productfabrikanten van AI ‑systemen

Die verplichtingen gelden zowel voor aanbieders en gebruiksverantwoordelijken gevestigd in de EU als buiten de EU, voor zover het AI‑systeem op de Europese markt werd gebracht of de resultaten die door het systeem worden gegenereerd in de EU worden gebruikt. 

De verplichtingen van die spelers verschillen naargelang het risiconiveau dat het AI‑systeem inhoudt.

De AI Act is niet van toepassing op AI‑systemen (en ‑modellen) die gebruikt worden

• voor wetenschappelijk onderzoek en wetenschappelijke ontwikkeling
• voor militaire, defensie‑  of nationale veiligheidsdoeleinden
• in het kader van een persoonlijke, niet-professionele activiteiten

De AI Act volgt een risicogebaseerde aanpak: hoe hoger de risico's van een AI‑systeem, hoe strenger de geldende regels. In dat kader introduceert de AI Act vier risiconiveaus voor AI‑systemen. 

Onaanvaardbaar risico

Een beperkt aantal AI‑toepassingen ondermijnt de fundamentele rechten en waarden van de EU. Die AI‑systemen zijn verboden sinds 2 februari 2025. Als uw organisatie of onderneming een AI‑systeem gebruikt van die categorie, moet u stoppen dat systeem te gebruiken (zie artikel 5 van de AI Act). Het gaat om:

• systemen om personen te beoordelen op basis van hun sociale gedrag of persoonlijke kenmerken, wat kan leiden tot nadelige of ongunstige resultaten;
• systemen die leiden tot manipulatie van het gedrag van kwetsbare groepen, met aanzienlijke schade tot gevolg. Bijvoorbeeld: een door AI gegenereerde stem in speelgoed die gevaarlijk gedrag uitlokt bij kinderen; 
• systemen die subliminale, manipulatieve of misleidende technieken gebruiken om gedrag te beïnvloeden en een weloverwogen besluitvorming te verstoren, en die zo aanzienlijke schade veroorzaken;
• voorspellende politiesystemen die zich uitsluitend op basis van profilering richten op bepaalde individuen;
• systemen die databanken voor gezichtsherkenning samenstellen door het niet-gericht verzamelen van gezichtsbeelden van het internet of videobewakingsbeelden (“scraping”);
• systemen voor biometrische categorisering, die kunnen leiden tot conclusies over de politieke opvattingen van een individu, zijn lidmaatschap van een vakbond, zijn religieuze overtuigingen, zijn ras, zijn seksleven of seksuele geaardheid;
• systemen voor het herkennen van emoties (geluk, verdriet, boosheid, verrassing, schaamte … en bijvoorbeeld niet pijn of vermoeidheid) op de werkplek en in het onderwijs;
• systemen voor biometrische identificatie op afstand in realtime in openbare ruimten voor de rechtshandhaving. De lidstaten kunnen – mits aanvullende garanties – enkele uitzonderingen vastleggen voor de bevestiging van de identiteit van een specifieke persoon wanneer het gebruik strikt noodzakelijk is, bijvoorbeeld voor het gericht zoeken naar slachtoffers van ontvoering, mensenhandel of vermiste personen.

De Europese Commissie heeft begin februari 2025 ook vrijblijvende richtsnoeren voor verboden praktijken op het gebied van artificiële intelligentie gepubliceerd. Die richtsnoeren bevatten juridische toelichtingen en praktische voorbeelden om de vereisten in de AI Act te helpen begrijpen en na te leven.

Hoog risico

Een AI‑systeem met een hoog risico is een AI‑systeem dat aanzienlijke schadelijke gevolgen kan hebben voor de gezondheid, de veiligheid en de grondrechten van personen in de EU. Die AI‑systemen met een hoog risico zijn toegelaten in de EU als ze voldoen aan bepaalde dwingende en strenge eisen, met inbegrip van een voorgaande evaluatie van de naleving. AI‑systemen waarvan wordt geacht dat ze een hoog risico inhouden zijn bijvoorbeeld:

• AI‑systemen gebruikt bij de aanwerving van werknemers voor het selecteren en evalueren van cv’s;
• AI‑tools voor het evalueren van de kredietwaardigheid van natuurlijke personen die een lening willen aangaan.

De bepalingen voor de systemen met een hoog risico zijn van toepassing vanaf 2 augustus 2026, met uitzondering van de systemen die geklasseerd zijn als systemen met een hoog risico omdat ze vallen onder de productwetgeving  opgesomd in bijlage I. Op die laatste systemen zijn de verplichtingen van toepassing vanaf 2 augustus 2027 (zie artikel 6 voor de classificatieregels en artikel 8 en volgende voor de vereisten voor AI‑systemen met een hoog risico). 

Beperkt risico of transparantierisico

De AI‑systemen in deze categorie houden geen onaanvaardbare risico’s in en interageren doorgaans met natuurlijke personen. Die AI-systemen kunnen echter tegelijkertijd onder de hoog risico-categorie vallen. De risico’s van die systemen kunnen namelijk verband houden met de manipulatie, imitatie of hyperrealistische nepbeelden, bijvoorbeeld door middel van het gebruik van chatbots, deepfakes of artificieel gegenereerde inhoud. Deze systemen zijn onderworpen aan informatie‑ en transparantieverplichtingen met als doel hun betrouwbaarheid te garanderen. De gebruikers van chatbots moeten bijvoorbeeld worden geïnformeerd over het feit dat ze interageren met een machine en niet met een mens. Ze moeten ook de informatie krijgen dat de inhoud werd gegenereerd door AI, ongeacht of het gaat om tekst, audio‑ of video‑inhoud. Die bepalingen zijn van toepassing vanaf 2 augustus 2026 (zie artikel 50 van de AI Act ). 

Minimaal risico

De overgrote meerderheid van de AI‑systemen die momenteel in gebruik zijn in de EU vallen onder deze categorie, en de AI Act legt hen geen aanvullende wettelijke verplichtingen op. Voor deze AI‑systemen verandert er dus niets. Onder deze categorie vallen bijvoorbeeld AI‑gestuurde videospelletjes of spamfilters. De aanbieders van deze systemen kunnen de eisen van de AI Act wel onderschrijven op vrijwillige basis en zich houden aan  vrijwillige gedragscodes. 

Verplichtingen voor GPAI‑modellen

De AI Act bevat ook regels voor AI‑modellen voor algemene doeleinden of “general purpose AI models” (GPAI‑modellen), met name op het gebied van generatieve AI, die steeds meer worden geïntegreerd in AI‑systemen. Die AI‑modellen kunnen worden gebruikt voor allerhande taken (bv. grote taalmodellen (“LLM”) voor chatbots, maar ook het genereren van beelden of geluiden). De verordening introduceert bepaalde specifieke verplichtingen voor transparantie en minimale documentatie voor de aanbieders van GPAI‑modellen. De bepalingen voor AI‑modellen voor algemene doeleinden zijn  van toepassing vanaf 2 augustus 2025. GPAI is nog in volle ontwikkeling, daarom laat de AI Act ook nog veel marge voor aanpassingen in de toekomst. (zie de uitleg bij de vraag over GPAI en hoofdstuk V van de AI Act). 

De specifieke verplichtingen van de AI Act zijn van toepassing naargelang het type AI‑systeem of GPAI‑model in kwestie. Het is dus mogelijk dat een aanbieder verschillende soorten vereisten moet naleven naargelang het voorwerp en het beoogde doeleinde van het AI‑systeem. 

Een  AI‑model voor algemene doeleinden of GPAI‑model wordt gedefinieerd als een “AI‑model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden geïntegreerd in een verscheidenheid aan systemen verder in de AI‑waardeketen of toepassingen verder in de AI‑waardeketen, met uitzondering van AI‑modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten voor ze in de handel worden gebracht.” (artikel 3, 63) van de AI Act). 

Kortom, AI‑modellen worden geklasseerd als GPAI‑modellen wanneer ze op competente wijze een breed scala aan verschillende taken kunnen uitvoeren. Het meest voorkomende voorbeeld van GPAI‑modellen zijn grote taalmodellen (LLM), die de basis vormen van de populairste chattools van de afgelopen jaren, zoals ChatGPT, Copilot of Gemini.

De AI Act onderscheidt twee categorieën van GPAI‑modellen.

1. De eerste categorie omvat de modellen die eenvoudigweg beschouwd worden als GPAI;
2. De tweede categorie omvat een deel van die modellen waarvan werd bepaald dat ze een systeemrisico inhouden (zie hoofdstuk V AI Act). De bepalingen voor AI‑modellen voor algemene doeleinden zijn van toepassing vanaf 2 augustus 2025.- 

Verplichtingen voor GPAI‑modellen

De verordening legt eisen op aan de aanbieder van het GPAI‑model, d.w.z. de partij die het AI‑systeem ontwikkelt en beschikbaar maakt op de EU-markt of het levert aan een externe gebruiksverantwoordelijke van het model in de Europese Unie. De AI Act legt de aanbieder van een GPAI‑model vier belangrijke eisen op (zie artikel 53 van de AI Act): 

1. De technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings‑ en testproces en de resultaten van de evaluatie ervan; 
2. Informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI‑systemen die het AI‑model voor algemene doeleinden in hun AI‑systemen willen integreren; 
3. Het EU-recht inzake auteursrechten en naburige rechten naleven; 
4. Een gedetailleerde samenvatting opstellen en beschikbaar maken over de content die werd gebruikt voor het trainen van het GPAI‑model. 

In bepaalde omstandigheden zijn de aanbieders die hun modellen vrijgeven “onder een vrije en opensource licentie” niet onderworpen aan de eerste twee vereisten, behalve als die een systeemrisico inhouden.

Verplichtingen voor GPAI‑modellen met een “systeemrisico”

Bepaalde GPAI‑modellen kunnen een grote impact hebben en worden daarom  geklasseerd als “GPAI-model met een systeemrisico”. Dat houdt bijvoorbeeld in dat ze ernstige ongelukken kunnen veroorzaken of misbruikt kunnen worden wanneer die modellen krachtig of wijdverspreid zijn (bv. cyberaanvallen lanceren, informatie verspreiden die tot discriminatie leidt enz.). Momenteel wordt elk GPAI‑model dat is getraind met een totale rekenkracht van meer dan 10²⁵ zwevendekommabewerkingen (“floating point operations” of “FLOP”), beschouwd als een GPAI‑model dat systeemrisico's kan inhouden.

Die GPAI‑modellen met systeemrisico’s volgen een “tweetrapsbenadering”. Bovenop de bovengenoemde vereisten voor GPAI‑modellen gelden voor aanbieders ook aanvullende verplichtingen, zoals

• een modelevaluatie uitvoeren
• mogelijke systeemrisico's op EU-niveau beoordelen en beperken
• ernstige incidenten melden en cyberbeveiligingsmaatregelennemen

(zie artikel 55 van de AI Act en bijlage XIII). 

In de praktijk bestaan er vandaag wereldwijd nog maar weinig systemen die binnen die categorie vallen. Het AI‑bureau (“AI Office”) stimuleert en faciliteert de opstelling van gedragscodes (“praktijkcodes”). Het doel: bepalen of een GPAI‑model moet beschouwd worden als een GPAI-model dat een systeemrisico inhoudt, en aanbieders helpen aan de eisen en verplichtingen van de verordening te voldoen.

In overeenstemming met de EU-regels voor productveiligheid, is de risicoclassificatie gebaseerd op het beoogde gebruik van het AI‑systeem. De classificatie is dus afhankelijk van de functie die het systeem vervult, het specifieke doel ervan en de omstandigheden waarin het wordt gebruikt. 

Er zijn twee situaties die kunnen leiden tot de classificatie van een AI‑systeem als AI-systeem met een hoog risico (artikel 6, lid 1 AI Act): 

• Wanneer het AI‑systeem is geïntegreerd als veiligheidscomponent in producten die onder de bestaande productwetgeving (bijlage I) vallen, of wanneer het zelf een dergelijk product is, bijvoorbeeld op AI gebaseerde medische software; 
• Wanneer het AI‑systeem is ontworpen voor gebruik met een hoog risico, zoals bepaald in bijlage III van de AI Act.

In bijlage III worden acht domeinen gedefinieerd voor het gebruik van AI‑systemen met een hoog risico (Artikel 6, lid 2), waarbinnen bepaalde specifieke gebruiksituaties worden geïdentificeerd: 

1. Biometrie* 
2. Kritieke infrastructuur 
3. Onderwijs en beroepsopleiding  
4. Werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid  
5. Toegang tot en gebruik van essentiële particuliere en publieke diensten en uitkeringen 
6. Rechtshandhaving*  
7. Migratie-, asiel‑ en grenstoezichtsbeheer*  
8. Rechtsbedeling en democratische processen  

(*) voor zover het gebruik ervan is toegestaan op grond van het EU-recht of nationale recht.

Er worden op dit moment richtlijnen opgesteld door de Europese Commissie om de classificatie van AI‑systemen met een hoog risico te vergemakkelijken. Die richtlijnen zullen beschikbaar zijn tegen begin februari 2026. 

De meeste verplichtingen van de AI Act gelden voor aanbieders van AI‑systemen met een hoog risico, zoals uiteengezet in artikel 16 van de AI Act. De belangrijkste verplichting is ervoor te zorgen dat hun AI‑systeem met een hoog risico de relevante conformiteitsbeoordelingsprocedure ondergaat voordat het systeem in de handel wordt gebracht of in gebruik wordt gesteld (artikel 43 van de AI Act). Dat vereist met name

• het opstellen van EU-conformiteitsverklaringen;
• het aanbrengen van de CE-markering;
• de registratie van het AI‑systeem in de EU-databank voor AI‑systemen met een hoog risico.

De andere spelers in de waardeketen, waaronder de gebruiksverantwoordelijken, zijn hoofdzakelijk verantwoordelijk voor de conformiteit van het gebruik van het systeem dat ze verspreiden of integreren in hun diensten. 

AI‑systemen met een hoog risico die reeds aan een conformiteitsbeoordelingsprocedure werden onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer ze substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden verspreid of nog steeds door de huidige gebruiksverantwoordelijke wordt gebruikt. 

Kortom, de aanbieders van AI‑systemen met een hoog risico moeten voldoen aan verschillende verplichtingen die zijn opgesomd in artikel 16 van de AI Act: 

• Systeem voor risicobeheer: invoeren van een systeem voor risicobeheer door gepaste en gerichte risicobeheersmaatregelen te implementeren (artikel 9 van de AI Act);
• Data en datagovernance: waarborgen van de kwaliteit en non-discriminatie van alle gegevens die in het systeem worden ingevoerd (artikel 10 van de AI Act);
• Technische documentatie: opstellen van de technische documentatie waarin minstens de elementen opgesomd in bijlage IV vermeld zijn (artikel 11 van de AI Act);
• Traceerbaarheid en transparantie: garanderen van de beschikbaarheid van de archieven (‘logs’) tijdens de volledige levenscyclus van het systeem (artikels 12-13 van de AI Act);
• Menselijk toezicht: implementeren van geschikte maatregelen voor menselijk toezicht die de risico’s voor de gezondheid, veiligheid of grondrechten tot een minimum moeten beperken, zodat een mens kan ingrijpen als dat nodig is (artikel 14 van de AI Act);
• Nauwkeurigheid, robuustheid en beveiliging: garanderen van een gepast niveau van nauwkeurigheid, robuustheid en cyberbeveiliging tijdens de volledige levenscyclus van het AI‑systeem (artikel 15 van de AI Act);
• Systeem voor kwaliteitsbeheer: invoeren van een systeem voor kwaliteitsbeheer dat minstens de elementen vermeld in artikel 17, lid 1 van de AI Act omvat;
• Conformiteitsbeoordeling: erover waken dat het AI‑systeem wordt onderworpen aan een conformiteitsbeoordelingsprocedure zoals vermeld in artikel 43 van de AI Act alvorens het in de handel wordt gebracht of in gebruik wordt gesteld; 
• Conformiteitsverklaring van de EU: opstellen en ondertekenen van een conformiteitsverklaring voor elk AI‑systeem met hoog risico, die de informatie in bijlage V bevat, waarin de naleving van de vereisten uit Afdeling 2 wordt bevestigd. Die verklaring wordt bijgewerkt als de AI‑oplossingen in de volgende tien jaar evolueren (artikel 47 van de AI Act);
• CE-markering: garanderen dat de CE-markering zichtbaar, leesbaar en onuitwisbaar wordt aangebracht of digitaal beschikbaar is voor digitale systemen (artikel 48 van de AI Act);
• Registratie: inschrijven van de aanbieder van het systeem en registreren van het systeem in de EU-databank (artikel 49 van de AI Act).

Er worden ook verplichtingen opgelegd aan de gebruiksverantwoordelijken van AI‑systemen met een hoog risico. Zij controleren immers de manier waarop het AI‑systeem in de praktijk wordt gebruikt. Ze hebben dus een belangrijke invloed op de risico's die zich kunnen voordoen. Hun verplichtingen worden vermeld in artikel 26 AI Act en omvatten met name: 

• technische en organisatorische maatregelen nemen om te waarborgen dat het AI‑systeem met hoog risico wordt gebruikt in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd;
• garanderen dat het menselijk toezicht wordt uitgevoerd door personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen;
• informeren van de werknemersvertegenwoordigers en de betrokken werknemers vooraleer een AI‑systeem met hoog risico wordt gebruikt op de werkplek;
• monitoren van de werking van het AI‑systeem met een hoog risico op basis van de gebruiksaanwijzingen;
• wanneer de gebruiksverantwoordelijke meent dat het gebruik van het AI‑systeem met hoog risico kan leiden tot een risico voor de gezondheid, de veiligheid of de grondrechten van personen, moet hij of zij:
  • de aanbieder of distributeur en de betreffende markttoezichtautoriteit daarvan op de hoogte brengen;
  • het gebruik van dat systeem onderbreken.

Bij een inbreuk op de verboden praktijken of de niet-naleving van de gegevensvereisten, kan de sanctie oplopen tot 7 % van de wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar [SH1] [KP2] of 35 miljoen euro. 

Voor inbreuken op de niet-naleving van de verplichtingen die de verordening oplegt, bijvoorbeeld voor AI met hoog risico, kan de sanctie oplopen tot 3 % van de wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar of 15 miljoen euro. 

Wanneer er verkeerde, onvolledige of misleidende informatie wordt doorgegeven, kan de sanctie oplopen tot 1 % van de wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar of 7,5 miljoen euro. 

Voor kmo’s en start-ups wordt telkens de laagste van de twee mogelijke sancties toegepast.

Het governancekader van de AI Act situeert zich op nationaal en Europees niveau, met overleg en samenwerking tussen de twee niveaus. De governancestructuur voor die twee niveaus omvat vijf onderdelen:

1. de nationale bevoegde autoriteiten
2. het AI‑bureau (AI Office)
3. de AI‑board,
4. een adviesforum en
5. een wetenschappelijk panel van onafhankelijke deskundigen

De eerste twee staan in voor de correcte implementatie en toepassing van de AI Act en het toezicht op de naleving ervan. De laatste drie zijn voornamelijk overlegfora.

De lidstaten spelen een belangrijke eerste rol bij de uitvoering van de AI Act. Tegen 2 augustus 2025 moet iedere lidstaat ten minste één aanmeldende autoriteit en één markttoezichtautoriteit aanstellen als nationale bevoegde autoriteiten, die hun taken onafhankelijk, onpartijdig en onbevooroordeeld moeten uitoefenen.

• De markttoezichtautoriteiten zijn bevoegd voor het toezicht op de toepassing en uitvoering van de AI Act, in het bijzonder de correcte toepassing en uitvoering van de bindende vereisten voor de AI‑systemen met een hoog risico. Daarnaast staan ze in voor het markttoezicht, behalve voor

• EU-entiteiten waarop de Europese Toezichthouder voor gegevensbescherming markttoezicht houdt;
• GPAI‑modellen, die worden gecontroleerd door het AI‑bureau (AI Office).

• De aanmeldende autoriteiten zorgen daarentegen voor de kennisgeving van de conformiteitsbeoordelingsinstanties (hierna de “aangemelde instanties” genoemd), die op hun beurt de nodige voorafgaande conformiteitsbeoordelingen zullen uitvoeren van AI‑systemen met een hoog risico wanneer de AI Act daarin voorziet. Soms voorziet de AI Act echter ook in interne controle door de aanbieder in plaats van door een aangemelde instantie.

De implementatie van het governancekader in België is momenteel lopende.

Op EU-niveau is het AI‑bureau (AI Office) een agentschap dat in februari 2024 werd opgericht binnen de Europese Commissie en dat erover waakt dat de AI Act in alle lidstaten op coherente wijze wordt toegepast. Het bureau biedt daarnaast ook algemene ondersteuning voor de implementatie van de AI Act, bijvoorbeeld als secretariaat van de AI-board. De taken van het AI‑bureau omvatten onder andere

• het aanmoedigen en faciliteren van de opstelling van praktijkcodes en gedragscodes op niveau van de EU;
• het bijstaan van de Europese Commissie bij de voorbereiding van uitvoeringshandelingen en gedelegeerde handelingen, bijvoorbeeld om de lijst van systemen met hoog risico in bijlage III bij te werken, alsook bij het opstellen van richtsnoeren, bijvoorbeeld over de toepassing van de verboden AI-praktijken;
• het verlenen van technische ondersteuning, advies en instrumenten voor de oprichting en werking van testomgevingen voor AI-regelgeving en, indien nodig, coördinatie met de nationale bevoegde autoriteiten die dergelijke testomgevingen opzetten.

Daarnaast heeft het AI‑bureau exclusieve bevoegdheden ten aanzien van de bepalingen over GPAI‑modellen.

De Europese raad voor artificiële intelligentie (“AI Board ”), bestaat uit vertegenwoordigers van de lidstaten, met het AI‑bureau als secretariaat en de Europese Toezichthouder voor gegevensbescherming als waarnemer. De AI‑board dient onder andere als overlegforum voor de bevoegde nationale autoriteiten. Een van haar belangrijkste taken is het verstrekken van advies en ondersteuning bij de implementatie van de AI Act, met name door het bespreken van richtsnoeren, gedelegeerde handelingen en uitvoeringshandelingen. De AI‑board zal twee permanente subgroepen oprichten als platform voor samenwerking en uitwisseling tussen markttoezichtautoriteiten en aanmeldende autoriteiten. Er kunnen ook aanvullende tijdelijke of permanente subgroepen worden opgericht om specifieke kwesties te onderzoeken.

Tot slot worden met de AI Act ook twee adviesinstanties opgericht om deskundig advies te verstrekken: het adviesforum en het wetenschappelijk panel. Zij onderscheiden zich door hun samenstelling: het adviesforum bestaat uit belanghebbenden zoals vertegenwoordigers van het bedrijfsleven, start-ups, kmo’s, het maatschappelijk middenveld en de academische wereld, terwijl onafhankelijke technische deskundigen deel uitmaken van het wetenschappelijk panel, dat het AI‑bureau ook zal adviseren over GPAI‑modellen. Ook de lidstaten kunnen een beroep doen op de expertise van deze ‘pool’ van deskundigen. 

De AI Act is in werking getreden op 1 augustus 2024 en wordt in fases van kracht, volgens de verschillende prioriteiten. De belangrijkste deadlines zijn: 

• 2 november 2024: de nationale autoriteiten bevoegd voor de bescherming van de grondrechten bij het gebruik van AI‑systemen met een hoog risico uit bijlage III moeten vastgesteld en bekendgemaakt zijn.
• 2 februari 2025: de algemene bepalingen en de bepalingen over verboden AI‑praktijken zijn van toepassing. 
• 2 augustus 2025: na één jaar zullen de verplichtingen voor GPAI‑modellen en de sancties van kracht zijn. Ook de governanceregels zullen van toepassing zijn, met inbegrip van de aanstelling van de nationale bevoegde autoriteiten.
• 2 augustus 2026: na twee jaar zal het grootste deel van de AI Act van kracht zijn, met name de bepalingen met betrekking tot AI‑systemen met een hoog risico in bijlage III, evenals de implementatie van ten minste één testomgeving voor regelgeving (“AI regulatory sandbox”) door (een van) de nationale autoriteit(en). 
• 2 augustus 2027: na drie jaar is de volledige AI Act van toepassing, inclusief de bepalingen over de AI‑systemen met een hoog risico die onder het toepassingsgebied van de EU-harmonisatiewetgeving voor producten vallen (bijlage I, afdeling A). 
• 31 december 2030: tot slot moeten AI‑systemen die componenten zijn van grootschalige IT-systemen die zijn opgezet volgens de rechtshandelingen vermeld in bijlage X (die betrekking hebben op wetgevingshandelingen van de Unie over grootschalige IT-systemen in de ruimte van vrijheid, veiligheid en recht) en die vóór 2 augustus 2027 in de handel worden gebracht of in gebruik worden genomen, voldoen aan de AI Act (onverminderd de toepassing van artikel 5 zoals bedoeld in artikel 113, lid 3, punt a).

Omdat AI een technologie is die razendsnel evolueert, moeten AI‑toepassingen betrouwbaar blijven, ook nadat ze op de markt zijn gebracht. Dat vereist een continu kwaliteits‑ en risicobeheer door de aanbieders. De AI Act voorziet in een evolutieve aanpak, zodat de regels kunnen worden aangepast aan technologische veranderingen. 

Hoewel de AI Act de vereisten en verplichtingen vastlegt, wordt de voorbereiding van technische oplossingen en de concrete uitvoering ervan overgelaten aan de sector. Die voorbereiding bestaat uit het opstellen van geharmoniseerde normen en praktijkcodes door de sector. Dankzij die flexibele aanpak kunnen de praktijken worden aangepast aan verschillende gebruikssituaties en wordt de opkomst van nieuwe technologieën gestimuleerd. 

Daarnaast kan de verordening worden gewijzigd door middel van gedelegeerde handelingen of uitvoeringshandelingen, bijvoorbeeld om de lijst van gebruikssituaties (“use cases”) met een hoog risico in bijlage III opnieuw te evalueren. Tot slot zullen er regelmatig evaluaties van bepaalde delen van de verordening, en vervolgens van de verordening als geheel, worden uitgevoerd om vast te stellen of er nood is aan herziening of aanpassing. 

Het pact voor artificiële intelligentie is een vrijwillige verbintenis die bedoeld is om ondernemingen, ontwikkelaars en andere belanghebbenden aan te moedigen om te anticiperen op de regels van de AI Act en ze na te leven vóór de wettelijke deadlines. Het pact is door de Europese Commissie ingesteld als een overgangsmaatregel voordat de AI Act volledig van kracht wordt. Het is bedoeld om de verantwoording, transparantie en veiligheid rond AI te versterken en tegelijkertijd innovatie in dat domein aan te moedigen. 

Een vrijwillig engagement om het pact en de beginselen ervan na te leven, houdt in dat

• de deelnemers anticiperen op de reglementering en zich erop voorbereiden;
• het vertrouwen van gebruikers wordt vergroot;
• verantwoorde innovatie wordt bevorderd;
• juridische risico's worden beperkt zodra de AI Act volledig van toepassing is.

De Europese Commissie werkt samen met en ondersteunt de deelnemers, met name bij

• het ontwikkelen van een gemeenschappelijk begrip van de doelstellingen van de AI Act;
• het nemen van maatregelen om de implementatie van de AI Act te verfijnen en voor te bereiden;
• het delen van kennis, bijvoorbeeld door interne richtlijnen te delen. 

De deelname aan het AI Pact staat open voor alle belanghebbenden, met inbegrip van Europese kmo's uit verschillende sectoren. Het pact biedt een kans om de naleving te verbeteren, vertrouwen op te bouwen, verantwoorde innovatie te bevorderen en competitief te blijven in een steeds veeleisender mondiaal regelgevingskader.

Meer informatie over het AI Pact is beschikbaar op de website van de Europese Commissie.

Artikel 4 van de AI Act verplicht bedrijven en overheidsdiensten, die AI-systemen op de markt brengen of professioneel gebruiken, om ervoor te zorgen dat hun personeel en andere professionele gebruikers van hun AI-systemen over een voldoende niveau van AI-geletterdheid (AI literacy) beschikken. Zij zijn dus met andere woorden verantwoordelijk voor het opleiden van de professionals die met AI-systemen werken. Deze verplichting is niet eenduidig toe te passen. Er moet geval per geval bekeken worden welke AI-kennis elke medewerker nodig heeft, in functie van in welke mate de medewerker in aanraking komt met AI.

Deze verplichting is van toepassing sinds 2 februari 2025, maar er zijn momenteel geen duidelijke richtlijnen beschikbaar om dit artikel toe te passen, noch om die in de praktijk te handhaven. Bedrijven en overheidsdiensten doen er wel goed aan om stappen te zetten richting naleving. Ter ondersteuning hiervan heeft de Europese Commissie, in het kader van het bovengenoemde AI Pact, in de tussentijd een ‘living repository’ opgezet om AI-geletterdheid te ondersteunen. Het gaat om een verzameling van beste praktijken van organisaties die betrokken zijn bij het AI Pact. Het volgen van deze praktijken garandeert echter niet dat aan artikel 4 van de AI Act wordt voldaan. In plaats daarvan dient de “living repository” als een bron van kennis en uitwisseling tussen aanbieders en gebruiksverantwoordelijken te worden aanzien.

Een AI‑testomgeving voor regelgeving (“AI regulatory sandbox”) wordt gedefinieerd als “een door een bevoegde autoriteit opgezet gecontroleerd kader dat aanbieders of toekomstige aanbieders van AI‑systemen de mogelijkheid biedt een innovatief AI‑systeem te ontwikkelen, trainen, valideren en testen, zo nodig onder reële omstandigheden, volgens een testomgevingsplan, voor een beperkte periode en onder begeleiding van een toezichthouder.” (artikel 3, lid 55) 

Om innovatie te bevorderen creëert de AI Act de mogelijkheid om AI‑testomgevingen voor regelgeving op te zetten en praktijktests uit te voeren, inclusief onder reële omstandigheden. Elke lidstaat heeft tot 2 augustus 2026 de tijd om ten minste één AI‑testomgeving voor regelgeving op te zetten die op nationaal niveau operationeel is bij een of meer van hun bevoegde autoriteiten. Het is ook mogelijk om samen met andere lidstaten een grensoverschrijdende AI-testomgeving voor regelgeving op te zetten. 

Er worden momenteel geharmoniseerde Europese normen voorbereid door de Europese normalisatieorganisaties CEN en CENELEC op verzoek van de Europese Commissie. Het doel: de specifieke vereisten voor AI‑systemen met een hoog risico of AI-modellen voor algemene doeleinden implementeren. Die worden eind augustus 2025 gepubliceerd en worden dan beoordeeld door de Europese Commissie voordat ze worden goedgekeurd en gepubliceerd in het Publicatieblad van de EU.

Daarna kan een vermoeden van conformiteit worden geboden aan de aanbieder van die AI‑systemen of AI-modellen die in overeenstemming zijn met die geharmoniseerde normen of delen ervan. 

Artikel 56 van de AI Act beschrijft de praktijkcode voor aanbieders van AI‑modellen voor algemene doeleinden (“GPAI-modellen”) als een voorlopige nalevingsmethode. Het doel is de kloof te overbruggen tussen de inwerkingtreding van de verplichtingen voor aanbieders van GPAI‑modellen (vanaf 2 augustus 2025) en de goedkeuring van de geharmoniseerde normen door de Europese normalisatieorganisaties CEN-CENELEC. De code moet doelstellingen, maatregelen en, indien van toepassing, kernprestatie-indicatoren (key performance indicators (KPI)) omvatten. Hoewel niet wettelijk bindend, is de naleving van de maatregelen uit de praktijkcode door aanbieders van GPAI‑modellen wel degelijk zinvol. Die dient als een vermoeden van naleving van de verplichtingen in artikel 53 en 55, totdat de geharmoniseerde normen van kracht worden.

De praktijkcode voor AI voor algemene doeleinden wordt momenteel opgesteld via een raadplegingsproces met verschillende belanghebbenden. De definitieve versie van de code is gepland voor april 2025. De code wordt dan onderworpen aan een geschiktheidsbeoordeling door het AI‑bureau (AI Office) en de AI‑board voordat de Europese Commissie besluit om de code algemeen geldig te verklaren in de EU door middel van een uitvoeringshandeling.