Drie concrete stappen om uw onderneming in regel te stellen ten aanzien van uw klanten en leveranciers
De Europese AI Act (Verordening (EU) 2024/1689) is op 1 augustus 2024 in werking getreden en wordt gefaseerd van toepassing. Vanaf 2 augustus 2026 zal het merendeel van de bepalingen volledig afdwingbaar zijn.
Ook vandaag gelden al enkele belangrijke verplichtingen, zoals de verplichting tot AI-geletterdheid en het verbod op AI-systemen met een onaanvaardbaar hoog risico. Hoog tijd dus om actie te ondernemen.
Hieronder zetten wij drie praktische stappen uiteen die elke onderneming vandaag al kan zetten.
Stap 1 – Breng uw AI-landschap in kaart
De eerste stap is een inventarisatie van alle AI-systemen die uw onderneming gebruikt en/of ontwikkelt. De AI Act definieert "AI-systeem" ruim als elk op een machine gebaseerd systeem dat, voor impliciete of expliciete doeleinden, op basis van input output genereert zoals voorspellingen, aanbevelingen, beslissingen of inhoud.
Denk hierbij onder meer aan:
- Generatieve AI-tools (ChatGPT, Copilot, Gemini, …) voor tekst-, code- of beeldgeneratie;
- Geautomatiseerde beslissingsondersteunende systemen (bv. voor kredietbeoordeling, personeelsselectie of prijszetting);
- Voorspellende analyse en planning tools;
- Chatbots en virtuele assistenten voor klantencontact;
- Computer vision of beeldherkenningssoftware;
- AI-functionaliteit ingebouwd in ERP-, HR- of CRM-pakketten.
Het is aan te bevelen om het resultaat van deze oefening vast te leggen in een centraal register, dat periodiek wordt geactualiseerd. Dit register vormt de basis voor de volgende stappen.
Stap 2 – Bepaal uw rol en de risicocategorie
De verplichtingen onder de AI Act hangen sterk af van (i) de rol die uw onderneming vervult en (ii) de risicocategorie van het AI-systeem.
Op basis van het interne centraal register (zie stap 1), kan er per AI-systeem worden bepaald wat de rol van uw onderneming is en in welke risicocategorie het systeem valt.
⮕ Uw rol:
- Aanbieder (provider): u ontwikkelt of laat een AI-systeem ontwikkelen en brengt het op de markt.
- Gebruiksverantwoordelijke (deployer): u gebruikt een AI-systeem van een derde voor eigen professionele doeleinden.
- Importeur / distributeur: u brengt een AI-systeem van buiten de EU op de markt of maakt het beschikbaar.
⮕ Risicocategorie:
- Verboden AI-systemen: AI-systemen die gebruikt worden voor cognitieve gedragsmanipulatie, sociale scoring, scrapen van het internet voor het samenstellen van gezichtsherkenning-databases, individuele profilering om strafbaar gedrag te voorspellen, emotieherkenning op het werk en in scholen, biometrische categorisering of – behalve in uitzonderlijke gevallen - biometrische identificatie op afstand in real time in openbare ruimten voor rechtshandhaving.
- Hoog risico AI: AI-systemen die o.a. gebruikt worden voor het beheer van kritieke infrastructuur, evaluaties in het onderwijs, personeelsbeheer (aanwerving, evaluatie en ontslag), toegang tot en gebruik van essentiële diensten en uitkeringen (vb. gezondheidszorg, kredietwaardigheid), enz.
- Beperkt risico AI: AI-systemen die bedoeld zijn om met mensen in contact te komen en/of om zelf inhoud te maken zoals teksten en beelden (vb. chatbots, AI-assistenten).
- Laag risico AI: AI-systemen die geen tot weinig invloed hebben op mensen, zoals spamfilters en vertaalmachines.
De meeste ondernemingen gebruiken slechts AI voor dagelijkse taken (tekstverwerking, planning, klantenservice, …) en zullen kwalificeren als gebruiksverantwoordelijke van AI-systemen met een laag tot beperkt risico. In dat geval kan u gebruik maken van onze checklist in stap 3.
Als uw onderneming echter aanbieder of gebruiksverantwoordelijke is van AI-systemen met een hoog risico, raden wij aan om contact op te nemen voor een advies op maat.
Stap 3 – Checklist voor gebruikers van AI met een laag tot beperkt risico (klanten en leveranciers)
⮕ Verplichtingen en aanbevelingen t.a.v. klanten en leveranciers
Als gebruiksverantwoordelijke van AI-systemen met een laag of beperkt risico zijn uw verplichtingen beperkt, maar zeker niet onbelangrijk. Om te voldoen aan de AI Act (en GDPR) bevelen wij minimaal de volgende acties aan t.a.v. uw klanten en leveranciers:
☐ Informeer uw klanten en leveranciers transparant wanneer zij interageren met een AI-systeem (vb. een chatbot of geautomatiseerde offerte-tool) en wanneer zij AI-gegenereerde inhoud te zien krijgen (vb. met watermerken). Dat wordt binnenkort verplicht o.b.v. artikel 50 AI Act.
☐ Werk uw algemene voorwaarden en privacyverklaring bij om het gebruik van AI-systemen en de verwerking van persoonsgegevens via die systemen te vermelden. Zo kan u uw potentiële aansprakelijkheid beperken en blijft u in lijn met de reeds geldende informatieverplichtingen uit de GDPR.
☐ Zorg ervoor dat beslissingen met significante impact op klanten en leveranciers (vb. selectie van opdrachten, gepersonaliseerde prijzen) niet volledig geautomatiseerd worden genomen zonder menselijk toezicht, en communiceer dit beleid.
T.a.v. natuurlijke personen is dat verplicht o.b.v. artikel 13, §2 en 22 GDPR. Volledig geautomatiseerde besluitvorming met rechtsgevolgen voor natuurlijke personen is enkel toegestaan wanneer het noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst, wanneer de betrokkene er uitdrukkelijk mee heeft ingestemd of wanneer het wettelijk is geregeld.
T.a.v. rechtspersonen gelden geen wettelijke restricties, maar is het aanbevolen om een human in the loop te houden om het risico op fouten te beperken.
☐ Stel eventueel een intern aanspreekpunt aan voor vragen of klachten over het gebruik van AI binnen uw organisatie. Dat is niet verplicht, maar kan nuttig zijn wanneer uw onderneming veel gebruik maakt van AI-systemen. Denk bijvoorbeeld aan de DPO (indien aanwezig) en/of iemand van uw IT-afdeling.
Niet naleving van verplichtingen uit de GDPR en AI Act kan leiden tot sancties. De mogelijke sancties zijn waarschuwingen, remediërende maatregelen en eventueel administratieve geldboetes. In ernstige gevallen kunnen de maximumboetes voor de hierboven omschreven verplichtingen oplopen tot 20.000.000 EUR of 4% van de totale wereldwijde jaaromzet, als dat hoger is.
Hoewel een sanctie doeltreffend en afschrikkend moet zijn, moet ze natuurlijk ook verhouding staan tot de inbreuk. U riskeert dus niet meteen de maximumboetes. De gegevensbeschermingsautoriteiten binnen Europa hebben echter al bewezen dat ze streng durven optreden. De kans is groot dat ook de AI-autoriteiten, wanneer ze eenmaal actief zijn, een kordaat beleid zullen voeren.
⮕ Aandachtspunten bij contractonderhandelingen met leveranciers van AI-systemen
Hoe groter het belang van het AI-systeem voor de werking van uw onderneming, hoe belangrijker het is dat u controle en zeggenschap behoudt over het AI-systeem, de input én de output. Daarvoor controleert u best de volgende zaken in de gebruiksvoorwaarden van de leveranciers van AI-systemen met een laag tot beperkt risico:
☐ Wat doet de leverancier met uw data (vb. vertrouwelijkheid, gebruik voor training van het systeem)? ☐ Wie is de eigenaar van de output die wordt gegenereerd (intellectuele eigendom)? ☐ In welke gevallen kan u de leverancier aanspreken als er iets misgaat bij het gebruik van het systeem? ☐ Hoe wordt er omgegaan met persoonsgegevens die worden gebruikt door het systeem (vb. gegevens van werknemers en klanten)?
Het is belangrijk om hierover duidelijke afspraken te maken. Probeer ongunstige clausules te heronderhandelen. Als dat niet mogelijk is, moet u de afweging maken of het AI-systeem wel veilig ingezet kan worden met voldoende respect voor uw data en intellectuele eigendomsrechten.
Ook voor uw interne organisatie en t.a.v. uw personeel kan u verschillende stappen ondernemen. Hierover leest u meer in een volgende nieuwsbrief.
