AI AI AI wie ben ik?!

6 juni 2024 / in Nieuws / door Jantien Hovingh

In de allereerste post kondigden we het al aan: de AI trein is vertrokken!

We nemen je mee in de AI Act en alle vragen die je daar wellicht al over hebt. Eerder zijn we ingegaan op de vraag “hoe geef je vorm aan de AI-compliance eisen uit de AI act?”. Er is gesproken over wat onder de definitie van AI valt en hoe de risicoclassificatie op de AI gedaan kan worden.

Stel dat je inmiddels hebt vastgesteld dat er een AI toepassing in je organisatie wordt gebruikt. Is het dan zo dat je er niets mee hoeft, omdat je het “alleen maar” toepast of gebruikt?

In de AI act wordt een groot aantal partijen die bij een AI toepassing betrokken kunnen zijn gedefinieerd. Wie komt er allemaal aan bod, en welke verplichtingen horen er bij de verschillende partijen?

Allereerst is er de provider, de aanbieder die een AI systeem ontwikkeld en het op de markt brengt onder zijn eigen naam.  De aanbieder of provider kan ook een derde partij inschakelen voor de ontwikkeling van het AI systeem.

Dan de deployer, de uitvoerder of beter, de gebruikersverantwoordelijke, de partij die het systeem daadwerkelijk gebruikt.

De distributeur is de partij die de link tussen provider en deployer vormt. Dit kan zijn:

  • de importeur, deze partij brengt de AI toepassing naar de Europese markt, of
  • een gemachtigde, deze vertegenwoordigt een AI door een derde ontwikkeld maar is geen importeur.

Daarnaast is de groep getroffen personen benoemd. Zij zijn een aparte groep, niet noodzakelijk hetzelfde als gebruikers van het AI systeem. Je kan ook zonder AI actief te gebruiken getroffen worden, zelfs zonder je bewust te zijn dat een AI is ingezet.

Aanbieder, gebruikersverantwoordelijke, distributeur (importeur en gemachtigde) samen zijn te kwalificeren als de operators van een AI.

De definities lijken duidelijk genoeg, maar wees je bewust dat de grenzen tussen de verschillende benoemde rollen niet scherp zijn, dat verschillende rollen tegelijk van toepassing kunnen zijn én dat een rol kan verschuiven. De overlap of verschuiving van rollen zorgt bovendien voor verschillende verplichtingen in verantwoording op grond van de AI act.

Een distributeur die een AI aanpast voor de Europese markt kan daarmee ook een provider worden. Een gebruikersverantwoordelijke kan ook de rol van provider hebben of van een ontwikkelaar op het moment dat de gebruikersverantwoordelijke aanpassingen doet of laat doen aan een bestaande of open source AI voor eigen toepassing. Wellicht wordt deze gebruikersverantwoordelijke zelfs als het gebruik strikt intern is een distribiteur door het toepassen van de ontwikkelde AI.

In al deze rollen bestaat in ieder geval de plicht om, bij constatering dat jouw AI valt onder de lijst van AI toepassingen die een onaanvaardbaar risico kennen, deze direct te stoppen!

Duizelt het je inmiddels na het lezen over alle mogelijke partijen en hun verplichtingen? Geen nood en neem vooral contact met ons op! Wij helpen je graag met het ontdekken welke AI-petten jouw organisatie op heeft en welke verplichtingen daarbij horen!