Calibrate
Contact

EU AI act

Gezien we meer en meer in contact komen met AI is dit de EU AI act ook voor ons relevant. Vorige week gaven Roos Dijkxhoorn, Floor Terra en Geoffrey Ceunen een sessie over de EU AI Act.

Hier enkele bevindingen: 

Actoren

in de AI act is er sprake van verschillende actoren. 
Geoffrey Ceunen legde deze uit.  Hier een beknopte samenvatting: 

  • Aanbieders (bouwers van AI-modellen)
  • Gebruikers (zij die AI voor zichzelf of anderen gebruiken)
  • Gemachtigden
  • Importeurs (brengen AI-systemen naar de EU)
  • Distributeurs (maken AI beschikbaar op de EU-markt)
RIsk EU AI ACT

Risico

Hij sprak ook over de risiconiveaus (zie afbeelding).

Je ziet er 

  • Onacceptabel risico (bv manipulatieve system, social scoring system)
  • Hoog risico (bv biometrische categorisatie, critical infra ai)
  • Beperkt risico (chat bots)
  • Minimaal risico (spam filters, game AI)

Naarmate je van laag naar meer risico gaat stapelen de verplichtingen zich op.
De belangrijkste verplichtingen zijn een conformiteits assessment, en een FRIA (Fundamental Rights Impact Assessment). 
Waarom dienen deze? om ervoor te zorgen dat de AI voldoet aan de wettelijke normen rond veiligheid, transparantie, en de bescherming van de fundamentele rechten.

  • Onacceptabel risico: niet toegelaten, assesment niet nodig.
  • Hoog risico : Conformiteits assessment nodig, FRIA nodig
  • Beperkt risico : Conformiteits assessment nodig
  • Minimaal risico: Gewoonlijk geen conformiteits assessment nodig.

 

Risk analysis EU AI Act

Security

Met AI wordt het oppervlak (attack surface) groter. Roos sprak voornamelijk over hoe gebruikers te beschermen tegen de AI of de AI tegen vijandige externe gebruikers.

Zoals bij elk IT-systeem is het kritisch om de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens in uw systemen te beschermen. Er bestaan reeds belangrijke kaders die best practices voor cyberbeveiliging zijn. Enkele voorbeelden:

  • ISO 27001/2
  • NIST
  • BIO (nl)
  • NEN 7510 (nl)

De essentie is het volgende:

  1. Wat is er te beschermen
  2. Risicoanalyse (bereik en frequentie moeten toenemen met AI)
  3. Bewaken van de maatregelen die van kracht zijn (voortdurende verbetering)

In deze frameworks gaat het ook altijd over

  • Data classificatie
  • Awareness (begrijpen van risico's van invoeren van gegevens in een AI systeem)
  • Informatie beveiliging in de keten (en iedereen die er bij is betrokken).

Dit zijn nuttige zaken voor elk bedrijf dat serieus met data veiligheid bezig is, en dus zeker te overwegen!

Wil je meer weten over de mogelijkheden met AI?