Artificiële intelligentie is niet meer weg te denken uit ons dagelijks leven. Dagelijks komt AI wel op de een of andere manier in het nieuws. Recent heeft het Europees Parlement, als eerste ter wereld, een allesomvattend regulerend kader voor AI aangenomen. Deze “AI Act” of AI Verordening in het Nederlands, moet ervoor zorgen dat AI op een verantwoorde en ethische manier wordt ontwikkeld en toegepast in de Europese Unie, met respect voor de fundamentele rechten en vrijheden van burgers.
De AI Verordening wordt vaak vergeleken met de AVG. Net zoals de AVG een allesomvattende regeling voor het gebruik en de verwerking van persoonsgegevens is, is de AI Verordening dat voor het gebruik en ontwikkeling van AI. Toen de AVG in 2018 in werking trad, werd dit beschouwd als baanbrekende regelgeving, met een grote impact op burgers en bedrijven. De AI verordening is vandaag net zo baanbrekend en impactvol als de AVG in 2018, mogelijks zelfs groter. Wat de relatie is tussen de AVG en de AI verordening, en hoe deze twee “baanbrekende” instrumenten op elkaar inwerken, is het onderwerp van deze blogpost.
Wat is de AI Verordening?
De AI verordening, of voluit “Verordening (EU) 2024/1689 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie”, legt regels op over het ontwikkelen en gebruiken van AI. Het bevat regels over hoe op een verantwoorde manier AI te ontwikkelen en in te zetten, om te komen tot veilige en betrouwbare AI. De AI verordening is net zoals de AVG een “Verordening”, wat betekent dat deze in de hele EER van toepassing is, met in principe slechts een beperkte marge voor interpretatie of afwijking voor de lidstaten. Dit heeft als voordeel dat het juridisch speelveld gelijk is doorheen de EER. Bovendien is de AI verordening (net zoals de AVG) horizontaal van toepassing: op de overheidssector, de mediasector, de gezondheidszorg, etc.
De AVG en de AI verordening: enkele gelijkenissen
De AVG en de AI verordening hebben beide hun eigen insteek en eigen verplichtingen. Beide vullen elkaar echter ook aan. Zowel de AI verordening als de AVG vertrekken vanuit de idee om op een transparante en verantwoorde manier om te gaan met AI, enerzijds, en persoonsgegevens, anderzijds. Hiervoor hanteren ze allebei een op risico gebaseerde benadering: vloeit er een hoog risico voort uit de ontwikkeling en toepassing van een AI-systeem of uit de verwerking van persoonsgegevens? Dan gelden er specifieke, strengere regels en vereisten. Bovendien verwijst de AI verordening specifiek naar de AVG indien een AI-systeem persoonsgegevens verwerkt. De AI verordening en AVG zijn dus simultaan van toepassing.
Die gelijkaardige insteek komt naar voren op verschillende niveaus: van transparantie en handhaving, tot de noodzaak om in bepaalde gevallen een impact analyse uit te voeren.
Hierna volgen enkele voorbeelden van gelijkenissen tussen de AVG en de AI verordening.
I. Rollen en verantwoordelijkheden
De AI verordening maakt een onderscheid tussen “aanbieders van AI-systemen” (providers) en “gebruikersverantwoordelijken van AI-systemen” (deployers). Een aanbieder of provider is de partij die het AI-systeem (of model) heeft ontwikkeld of laat ontwikkelen en het op de markt brengt, of het zelf in gebruik neemt. De “gebruikersverantwoordelijke” of deployer is de partij die het AI-systeem onder eigen verantwoordelijkheid gebruikt. De AVG hanteert haar eigen onderscheid tussen de “verantwoordelijke voor de verwerking” (controller) en de “verwerker” (processor). Waarbij de eerste het doel en de middelen van de verwerking van de persoonsgegevens bepaalt, en de tweede handelt op instructie van de verwerkingsverantwoordelijke. Afhankelijk van de kwalificatie moet er worden voldaan aan verschillende sets regels, zowel in de AI verordening als in de AVG.
Van belang is dus te bepalen welke “rol” je bedrijf, organisatie of instelling speelt. In de interactie tussen de AVG en de AI verordening is het mogelijk dat je als “provider” (diegene die dus de AI ontwikkelt) verantwoordelijke voor de verwerking bent bij het ontwikkelen van het AI-systeem en je aan de verplichtingen van de AI verordening als provider en de verplichtingen van de AVG als verwerkingsverantwoordelijke moet voldoen. Wanneer een bedrijf jouw AI-systeem gebruikt, en dus een deployer is, wordt deze laatste de verwerkingsverantwoordelijke onder de AVG. Deze “deployer” onder de AI verordening kan immers worden beschouwd als “verantwoordelijke voor de verwerking” onder de AVG. Want het is de deployer die beslist om een AI-systeem in te zetten en dus bepaalt deze “deployer” het “doel en de middelen van de verwerking”. Hierdoor worden de verplichtingen van de AVG als verwerkingsverantwoordelijke en de verplichtingen van de AI verordening als deployer van toepassing.
Het is dus essentieel om na te gaan welke verplichtingen van toepassing zijn, afhankelijk van de vraag of je controller, processor, provider of deployer bent.
II. Focus op fundamentele rechten en impactanalyse
Zoals al aangehaald in deze blogpost, hebben zowel de AI verordening als de AVG tot doel de fundamentele rechten en vrijheden van burgers te beschermen en transparantie te bevorderen. Waar de AVG zich specifiek focust op de fundamentele rechten op privacy en gegevensbescherming, focust de AI verordening op het hele scala aan fundamentele rechten vrijheden, en ook op bijvoorbeeld de bescherming van de rechtstaat en democratie, het milieu en de openbare veiligheid.
Deze focus op grondrechten vertaalt zich ook in de verplichting om in sommige gevallen een “FRIA” of “Fundamental Rights Impact Assessment” uit te voeren. Dit is gelijkaardig aan de AVG-verplichting om een “DPIA” of “Data Protection Impact Assessment” uit te voeren. Indien blijkt dat een verwerking van persoonsgegevens een hoog risico voor de betrokkenen met zich meebrengt, is de controller verplicht om een DPIA uit te voeren. Om te bepalen of een DPIA nodig is (en of er dus sprake is van een hoog risico) bevat de AVG (art. 35) een aantal richtlijnen, maar hebben vooral de EDPB en de nationale toezichthoudende autoriteiten concrete richtlijnen uitgewerkt.
De AI verordening bevat in artikel 27 de verplichting voor de deployer om een FRIA uit te voeren in het geval van hoog risico AI-systemen. Deze verplichting is echter aan voorwaarden verbonden. De deployer is verplicht een FRIA uit te voeren voor hoog risico AI-systemen, indien de deployer een overheidsorganisatie is of indien de deployer als private organisatie publieke dienstverlening aanbiedt. In dat geval moet je een FRIA uitvoeren, behalve indien het gaat om AI-systemen gebruikt in kritieke infrastructuur (Annex III, punt 2 AI verordening). Indien je geen overheid bent of een publieke taak uitvoert als private instelling, dan ben je alsnog verplicht een FRIA uit te voeren indien het gaat om een hoog risico AI-systeem, in het kader van het inschatten van iemands kredietwaardigheid of in het kader van de beoordeling en prijszetting van levensverzekeringen en ziektekostenverzekeringen. Dit zal dus vooral relevant zijn voor bank- en verzekeringsinstellingen.
Wel is het zo dat als de DPIA onder de AVG al bepaalde aspecten van de FRIA dekt, de FRIA de DPIA verder kan aanvullen.
III. Focus op transparantie
Een andere gelijkenis is het belang dat zowel de AVG als de AI verordening hechten aan transparantie. De AI verordening bevat zowel transparantieverplichtingen naar deployers toe als naar de natuurlijke personen die worden geconfronteerd met AI.
AI-systemen die erop gericht zijn om direct te interageren met natuurlijke persoon, denk aan een chatbot van een bank, moeten zo worden ontwikkeld dat de natuurlijke persoon weet dat deze te maken heeft met AI, behalve in geval dit duidelijk blijkt uit de omstandigheden. Bovendien moeten deployers van AI-systemen die synthetische audio, afbeeldingen, video of tekst genereren (denk aan deepfakes), ervoor zorgen dat het duidelijk is dat de output AI-gegenereerd of gemanipuleerd is. Dit moet technisch mogelijk worden gemaakt door de provider.
Het zwaartepunt van de transparantie ligt echter bij de transparantieplicht naar deployers van AI-systemen toe. Ook hier bestaat een belangrijke wisselwerking tussen de AI verordening en de AVG. Een deployer van een hoog risico AI-systeem zal onder de AVG vaak kwalificeren als “verwerkingsverantwoordelijke”. In dat opzicht is het van belang dat de verwerkingsverantwoordelijke voldoende transparant is met betrekking tot de persoonsgegevens die onder zijn verantwoordelijkheid worden verwerkt, in dit geval via een AI-systeem. Net daarom heeft een verwerkingsverantwoordelijke informatie nodig van de AI-provider. Een deployer zal immers, zoals hoger uitgelegd, (wellicht) een DPIA moeten uitvoeren conform de AVG wanneer deze een hoog risico AI-systeem wilt gebruiken. Om een DPIA te kunnen uitvoeren heeft de deployer voldoende informatie nodig. Op basis van artikel 13 van de AI verordening heeft de deployer het recht om informatie op te vragen aan de provider. Meer nog, conform artikel 26, 9° van de AI verordening is een deployer verplicht om de informatie die wordt verkregen op basis van artikel 13 te gebruiken bij het uitvoeren van de DPIA. Het is dus niet alleen een recht op informatie voor de deployer, maar ook de verplichting om, minstens in het kader van het uitvoeren van een DPIA, de nodige informatie op te vragen.
IV. Toezicht, boetes & extraterritoriale werking
Beide regelgevingen hebben ook een zogenaamde “extraterritoriale werking”. Dit betekent dat zowel de AVG als de AI verordening van toepassing kunnen zijn, onder bepaalde voorwaarden, op bedrijven die zich buiten de EER bevinden. Net zoals een Amerikaans technologiebedrijf moet voldoen aan de AVG, zal het ook moeten voldoen aan de AI verordening.
In navolging van de AVG, is de AI verordening eveneens niet mild voor overtreders. Organisaties die inbreuk plegen op de AI verordening, riskeren administratieve boetes tot 35 miljoen euro per overtreding of 7% van de totale wereldwijde jaarlijkse omzet. Voor kleinere administratieve overtredingen is dit maximum 7,5 miljoen euro of 1%. De lidstaten kunnen tevens voorzien in bijkomende handhavingsmaatregelen, waaronder waarschuwingen en andere niet-monetaire maatregelen. Onder bepaalde omstandigheden, kan zelfs besloten worden om het product of AI-systeem uit de handel te nemen.
Niet veel anders dan de Europese Data Protection Board onder de AVG, zullen de Europese AI Board en AI Office toezicht houden op de implementatie van de AI verordening en daartoe de Commissie en de lidstaten adviseren en assisteren, met het oog op het verzekeren van een consistente en doeltreffende toepassing van de Verordening. Een verschil met de EDPB is dat de EAIB geen bindende beslissingen kan nemen.
Elke lidstaat zal daarnaast minstens twee nationale bevoegde autoriteiten aanwijzen, één aanmeldende autoriteit en één markttoezichtautoriteit. Deze autoriteiten zullen op hun beurt toezicht houden op de AI-toepassingen binnen hun territorium, in samenwerking met het Europese netwerk. De aanmeldende autoriteit is hierbij meer specifiek verantwoordelijk voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan, terwijl de markttoezichtautoriteit de overige markttoezicht-, onderzoeks- en handhavingsbevoegdheden wordt toebedeeld, naar analogie met de bevoegdheden van de nationale toezichthoudende autoriteiten onder de AVG.[1] Zo heeft elke natuurlijke of rechtspersoon die meent dat er inbreuk is gepleegd op de bepalingen van de AI verordening, het recht om klacht in te dienen bij de relevante markttoezichtautoriteit.
3. Wat betekent deze overlap tussen AVG en AI verordening voor de privacy professional?
Door de overeenstemming tussen de AVG en de AI verordening en omwille van diens expertise met risicomanagement, compliance en geautomatiseerde besluitvorming in het kader van artikel 22 van de AVG, zal de privacy professional, de privacy jurist of de DPO vaak het eerste aanspreekpunt zijn wanneer een organisatie AI-systemen wil beginnen toepassen, ontwikkelen of gebruiken. Belangrijk voor privacy professionals is dat het ontwikkelen van een AI-systeem vaak (maar niet altijd) gepaard zal gaan met de verwerking van persoonsgegevens. Beide regelgevingen zullen dan ook vaak samen van toepassing zijn en op elkaar inwerken.
De toepassing en implementatie van de AI verordening zal bovendien een interdisciplinaire aanpak vergen. Samenwerken met AI- en IT-experten zal essentieel zijn voor een correcte en gedragen toepassing van de AI verordening. De DPO of privacy expert heeft vaak al de nodige ervaring met een dergelijke interdisciplinaire aanpak. Dit geldt ook voor de transparantieverplichtingen die de AI verordening oplegt, en dan vooral de transparantie naar natuurlijke personen toe. De DPO of privacy professional is goed geplaatst om mee vorm te geven aan bijvoorbeeld de nieuwe transparantievereisten.
Gezien de eerste bepalingen – over de definities, de verboden AI-systemen en AI-geletterdheid – reeds in werking treden op 2 februari 2025, bereiden organisaties en privacy professionals zich best nu al zo goed mogelijk voor.
De AI verordening biedt dus kansen en uitdagingen voor de privacy professional van vandaag.
CRANIUM gaat deze uitdagingen graag samen met u aan. Onze ervaren consultants staan uw organisatie graag bij met advies over de AI verordening en de implementatie hiervan.
Ontdek daarnaast onze AI Governance & Compliance Course | CRANIUM Campus, een intensieve cursus waarbij deelnemers worden klaargestoomd om de rol van ‘AI Officer’ op zich te kunnen nemen.
[1] NB: In Nederland worden de markttoezichtautoriteiten alvast het College voor de Rechten van de Mens en de Autoriteit Persoonsgegevens.