AI Act Fase 2: Nieuwe regels voor General Purpose AI (GPAI)

Sinds 1 augustus 2024 is de Europese AI-verordening (AI Act) van kracht. Deze verordening is een belangrijk juridisch instrument dat beoogt het gebruik van kunstmatige intelligentie binnen de Europese Unie te reguleren op basis van een risicogebaseerde benadering. Gezien de complexiteit van de wet en de impact ervan op zowel ontwikkelaars als gebruikers van AI-systemen, is gekozen voor een gefaseerde implementatie. Waar fase 1 zich richtte op het verbod op AI-systemen met een onaanvaardbaar risico, staat in fase 2 General Purpose AI (GPAI) centraal. Deze blog belicht de tweede implementatiefase van de AI Act. We bespreken wat GPAI inhoudt, welke verplichtingen daaruit voortvloeien voor aanbieders, en wat de aanstaande deadline van 1 mei 2025 voor gedragscodes betekent voor de praktijk.

Fase 1: Verbod op AI-systemen met onaanvaardbaar risico

De eerste implementatiefase van de AI Act is op 2 februari 2025 van kracht geworden. Vanaf deze datum zijn AI-systemen die als "onaanvaardbaar risico" worden beschouwd, verboden binnen de Europese Unie. Dit omvat onder andere systemen die:​

• Subliminale of manipulatieve technieken gebruiken die het gedrag van mensen aanzienlijk kunnen beïnvloeden.

• Kwetsbaarheden van specifieke groepen, zoals kinderen of mensen met een handicap, exploiteren.

• Social scoring toepassen, waarbij individuen worden beoordeeld op basis van hun sociale gedrag of persoonlijke kenmerken.

• Emotieherkenning gebruiken in werkomgevingen of onderwijsinstellingen zonder uitdrukkelijke toestemming.

• Biometrische categorisatie uitvoeren om gevoelige kenmerken zoals ras of seksuele geaardheid af te leiden.

• Realtime biometrische identificatie toepassen in openbare ruimtes voor wetshandhavingsdoeleinden, met beperkte uitzonderingen.​

Naast het verbod op deze systemen, vereist de AI Act vanaf dezelfde datum dat organisaties zorgen voor voldoende AI-geletterdheid onder hun personeel. Dit houdt in dat medewerkers die betrokken zijn bij het gebruik of de inzet van AI-systemen voldoende kennis en begrip moeten hebben van AI, inclusief de risico's en beperkingen ervan.

Fase 2: Gedragscodes voor General Purpose AI (GPAI)

De tweede fase van de AI Act richt zich op General Purpose AI (GPAI), oftewel AI-systemen die voor meerdere doeleinden kunnen worden ingezet. Voorbeelden hiervan zijn grote taalmodellen zoals GPT-4 en beeldgeneratoren zoals DALL·E. Deze systemen vormen de basis voor diverse toepassingen en kunnen brede maatschappelijke impact hebben.​

Een belangrijk onderdeel van deze fase is het opstellen van vrijwillige gedragscodes voor GPAI. De deadline voor het ontwikkelen van deze codes is vastgesteld op 2 mei 2025. Deze gedragscodes zijn bedoeld om aanbieders van GPAI-modellen praktische richtlijnen te bieden voor het naleven van de verplichtingen uit de AI Act. Hoewel de codes vrijwillig zijn, wordt verwacht dat ze een belangrijke standaard zullen worden binnen de sector.

Wat is General Purpose AI?

General Purpose AI (GPAI), ofwel AI voor algemene doeleinden, verwijst naar systemen die niet ontworpen zijn voor een specifieke taak, maar breed inzetbaar zijn over verschillende domeinen en toepassingen. Denk aan taalmodellen zoals GPT-4, beeldgeneratoren zoals DALL·E en multimodale systemen zoals Google Gemini. GPAI vormt vaak de technologische kern waarop gespecialiseerde AI-toepassingen worden gebouwd.

De meeste GPAI-systemen zijn gebaseerd op zogenoemde foundation models—grootschalig voorgetrainde AI-modellen die patronen herkennen in enorme hoeveelheden tekst, beeld, code en andere data. Het foundation model is als het ware de ‘motor’ van het systeem, terwijl GPAI de ‘voertuigtoepassing’ is waarin die motor functioneert.

Voorbeelden van GPAI en bijbehorende risico’s

GPAI-toepassingen worden reeds breed ingezet in publieke en private sectoren:

• Taalmodellen (zoals GPT-4): worden gebruikt voor tekstgeneratie, klantenservice en documentanalyse. Risico’s zijn onder meer onnauwkeurigheden, bias, en het geven van ongepaste antwoorden.

• Beeldgeneratoren (zoals Midjourney): worden ingezet voor communicatie en educatie. Risico: genereren van misleidende of cultureel ongepaste beelden.

• AI in cloudomgevingen: bijvoorbeeld Microsoft Azure AI, voor het automatiseren van administratieve processen. Risico: datalekken bij onvoldoende beveiliging.

• Coderingstools (zoals GitHub Copilot): ondersteunen softwareontwikkeling. Risico: beveiligingslekken of fouten in de gegenereerde code.

• Vertaalmodellen: bijvoorbeeld Google Translate, voor meertalige toegang tot overheidsinformatie. Risico: verlies van juridische precisie en context.

De veelzijdigheid van GPAI maakt het moeilijk om alle implicaties te voorzien, waardoor een gedegen risicobeheersing cruciaal is.

Verplichtingen voor GPAI-aanbieders onder de AI Act

De AI Act legt in fase 2 specifieke verplichtingen op aan aanbieders van foundation models die als basis dienen voor GPAI:

1. Risicobeoordeling
   Aanbieders moeten technische, maatschappelijke en ethische risico’s systematisch identificeren en documenteren.

2. Data governance
   Er moeten maatregelen zijn voor verantwoord datagebruik, inclusief biascontrole en bescherming van persoonsgegevens.

3. Prestaties en beveiliging
   De systemen moeten betrouwbaar functioneren en bestand zijn tegen storingen en aanvallen van buitenaf.

4. Duurzaamheid
   De ecologische impact, met name energieverbruik, moet worden geanalyseerd en zoveel mogelijk beperkt.

5. Technische documentatie
   Transparante en gedetailleerde documentatie over het systeem en het ontwikkelproces is verplicht voor toezicht.

6. Kwaliteitsbeheer
   Er moet een systeem zijn voor voortdurende monitoring, validatie en verbetering van de modellen.

Voor generatieve AI, zoals systemen die tekst, code of beeld genereren, gelden aanvullende vereisten:

• Transparantie over trainingsdata
  Een samenvatting van de gebruikte data moet openbaar worden gemaakt, met aandacht voor auteursrechtelijk beschermde content.

• Labeling van gegenereerde content
  Output die op mensen of objecten lijkt (zoals deepfakes) moet als AI-gegenereerd worden gemarkeerd, tenzij dit technisch niet haalbaar is of er sprake is van legitieme uitzonderingen (zoals satire of kunst).

Gedragscodes voor GPAI: deadline 1 mei 2025

Een sleutelpunt in fase 2 is het opstellen van vrijwillige gedragscodes voor GPAI. Deze codes dienen als praktische handvatten om de verplichtingen uit de AI Act om te zetten naar concrete normen en werkwijzen. De deadline voor het ontwikkelen van deze gedragscodes is vastgesteld op 1 mei 2025.

Wie zijn erbij betrokken?

• Aanbieders van GPAI
  Zij nemen het initiatief en ontwikkelen samen richtlijnen die aansluiten bij technische en ethische standaarden.

• Europese Commissie (AI Office)
  Faciliteert dit proces en beoordeelt of de opgestelde gedragscodes in lijn zijn met de doelstellingen van de AI Act.

• Belanghebbenden
  Gebruikersorganisaties, overheden en andere experts kunnen input leveren tijdens consultaties.

Hoewel de gedragscodes juridisch niet bindend zijn, verwacht men dat zij als de facto standaard zullen gaan functioneren in sectoren waar GPAI wordt toegepast.

Vooruitblik: volgende fasen

Na de gedragscodes in fase 2 volgen in augustus 2025 de verplichtingen voor AI-systemen met beperkt risico (fase 3), waaronder verdere GPAI-verplichtingen en de oprichting van nationale toezichthouders. In latere fasen komen ook hoogrisico-AI en grootschalige IT-systemen aan bod.

Conclusie

De tweede fase van de AI Act markeert een belangrijke stap in de regulering van geavanceerde AI-technologie. Voor juristen en complianceprofessionals is het essentieel om niet alleen de letter van de wet te begrijpen, maar ook de onderliggende technische en ethische kaders te doorgronden. De gedragscodes vormen een belangrijke brug tussen regelgeving en praktijk. De aanstaande deadline van 1 mei 2025 is daarmee niet alleen relevant voor techbedrijven, maar ook voor overheden, toezichthouders en juridische adviseurs die zich voorbereiden op het AI-tijdperk.