Dit blogartikel is het derde onderdeel van een reeks waarin wij de AI-verordening en het gebruik van AI-systemen bespreken. In deze blog gaan wij in op AI-systemen met een hoog risico en de verplichtingen van aanbieders. Over twee weken zal het vierde onderdeel van de reeks verschijnen. Onderaan dit artikel vindt u de links naar de overige artikelen.
AI blogreeks deel III – AI-systemen met een hoog risico en verplichtingen aanbieders
In de AI-verordening ligt de nadruk op AI-systemen met een hoog risico. Dit zijn systemen die mogelijk negatieve gevolgen kunnen hebben voor bijvoorbeeld de gezondheid en de veiligheid van mensen. Een belangrijk criterium om te bepalen of een AI-systeem in deze categorie valt, is het effect ervan op fundamentele rechten, zoals privacy en non-discriminatie. In deze blog leest u wanneer een AI-systeem als hoog risico kwalificeert en aan welke verplichtingen een aanbieder moet voldoen.
AI-systemen met een hoog risico
In hoofdstuk III van de AI-verordening staan de regels voor AI-systemen met een hoog risico. Er zijn twee hoofdcategorieën te onderscheiden:
- Veiligheidsgerelateerde systemen: AI-systemen die (veiligheidscomponenten van) producten zijn die onder de toepassing van EU-wetgeving op het gebied van productveiligheid vallen en waarvoor een conformiteitsbeoordeling door een derde partij moet worden uitgevoerd. Voorbeelden van deze categorie AI-systemen zijn machines, speelgoed en medische hulpmiddelen.
- Autonome systemen:AI-systemen opgenomen in bijlage III, die een groot risico vormen voor de gezondheid, veiligheid of grondrechten van personen. Voorbeelden zijn AI-systemen op het gebied van biometrische identificatie, beveiliging en onderwijs.
Verantwoordelijkheid aanbieders
De aanbieder is in principe verantwoordelijk voor het in de handel brengen of in gebruik stellen van een AI-systeem, ongeacht of deze persoon degene is die het systeem heeft ontworpen of ontwikkeld. Gebruiksverantwoordelijken, distributeurs, importeurs of andere partijen worden automatisch aanbieders in de zin van de AI-verordening als zij het AI-systeem substantieel wijzigen of het systeem onder hun eigen naam of merk op de markt brengen. Voor de uitleg van de begrippen verwijzen wij terug naar de vorige blog.
Eisen (aanbieders van) AI-systemen met hoog risico
De AI-verordening bevat strenge eisen waaraan AI-systemen met een hoog risico moeten voldoen. Als aanbieder ben je verantwoordelijk voor:
- Risicobeheer: door middel van een risicobeheerssysteem moeten de risico’s van het AI-systeem voor gezondheid, veiligheid of grondrechten in kaart worden gebracht;
- Data en datagovernance: er moet gebruikt gemaakt worden van kwalitatief hoogwaardige datasets voor training, validatie en tests;
- Technische documentatie: de aanbieder moet technische documentatie opstellen;
- Registratie: gebeurtenissen moeten automatisch worden gelogd;
- Transparantie en informatieverstrekking: gebruiksaanwijzingen moeten worden verstrekt zodat de werking van het AI-systeem voldoende transparant is en gebruiksverantwoordelijken weten hoe het AI-systeem werkt;
- Menselijk toezicht: AI-systemen moeten zo worden ontwikkeld dat menselijk toezicht uitgeoefend kan worden;
- Nauwkeurigheid, robuustheid en cyberbeveiliging: AI-systemen moeten een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden.
Daarnaast zijn er ook specifieke verplichtingen voor aanbieders van AI-systemen met een hoog risico die aansluiten bij de algemene eisen voor AI-systemen, zoals: naamsvermelding, kwaliteitsbeheerssysteem, bewaring documentatie en logs, het treffen van corrigerende maatregelen en de mededelingsverplichting en het samenwerken met de bevoegde autoriteiten.
Conformiteitsbeoordeling
Een andere belangrijke verplichting voor AI-systemen met een hoog risico is de conformiteitsbeoordeling. Hierbij wordt nagegaan of het AI-systeem voldoet aan de hiervoor genoemde eisen, zoals risicobeheer, kwaliteitsbeheer en menselijk toezicht, voordat een AI-systeem op de markt wordt gebracht.
De beoordeling van AI-systemen die geen verband houden met producten die onder de EU-wetgeving op het gebied van productveiligheid vallen, mogen onder eigen verantwoordelijkheid door de aanbieder worden uitgevoerd, met uitzondering van systemen voor biometrie. Voor overige AI-systemen met een hoog risico moet de conformiteitsbeoordeling door derden, zogeheten aangemelde instanties, worden uitgevoerd. Bij goedkeuring stelt de aanbieder een conformiteitsverklaring op en brengt de CE-markering aan. Aanbieders van de in bijlage III vermelde AI-systemen moeten deze daarnaast registreren in een EU-databank.
Inwerkingtreding
AI-systemen met een hoog risico moeten in beginsel twee jaar na inwerkingtreding aan de eisen voldoen. Voor AI-systemen met een hoog risico in producten die vallen onder de genoemde EU-wetgeving geldt een ingangsdatum van 2 augustus 2027. AI-systemen gebruikt door overheidsorganisaties die vóór inwerkingtreding op de markt zijn gebracht, moeten uiterlijk 6 jaar na inwerkingtreding van de verordening aan de eisen voldoen. Naast de verplichtingen voor aanbieders, gaan er ook verplichtingen gelden voor gebruiksverantwoordelijken. Deze komen in de volgende blog aan bod.
Bent u benieuwd wat de AI-verordening voor u gaat betekenen of heeft u naar aanleiding van bovenstaand artikel een vraag? Neem dan contact op met Alexandra van Beelen of Hester Ellemers.
Dit blogartikel is onderdeel van een reeks waarin wij de AI-verordening en het gebruik van AI-systemen bespreken. Klik hieronder om de overige delen van deze reeks te lezen.
Verboden AI-systemen (Deel II)
