Ga naar de inhoud

AI-Verordening: ‘aanbieder’ of ‘gebruiksverantwoordelijke’ van een AI-systeem

De AI-Verordening zal vanaf 1 augustus 2024 in werking treden en brengt een groot aantal verplichtingen en verantwoordelijkheden met zich mee voor natuurlijke en rechtspersonen die betrokken zijn bij AI-systemen. Dit zijn onder andere de ‘aanbieders’ en ‘gebruiksverantwoordelijken’ (gebruikers).In eerdere blogs gingen onze advocaten productregelgeving & CE-markering in Amsterdam reeds in op de risicoprofielen van de AI-systemen en algemene verplichtingen onder de AI-Verordening. In deze blog gaan we in op het cruciale onderscheid tussen aanbieders en gebruiksverantwoordelijken van AI-systemen. Dit onderscheid is niet alleen academisch; het heeft belangrijke juridische implicaties en in de praktijk kan de grens vaag zijn.

Definities aanbieder en gebruiksverantwoordelijke onder de AI-Verordening

Het onderscheid tussen de definities van aanbieder en gebruiksverantwoordelijke van AI-systemen is cruciaal, omdat het grootste deel van de verplichtingen en verantwoordelijkheden onder de AI-Verordening rust op de eerste categorie. Dit gegeven is onder meer gelegen in het feit dat de aanbieder verantwoordelijk is voor het in de handel brengen of in gebruik stellen van het AI-systeem, terwijl de gebruiksverantwoordelijke het AI-systeem slechts intern gebruikt zonder deze verder op de markt aan te bieden. Voor de classificatie van aanbieder of gebruiksverantwoordelijke spelen eventuele contractuele definities of afspraken tussen partijen in de toeleverings- en distributieketen geen doorslaggevende rol, maar zullen de feitelijke omstandigheden van het geval bepalend zijn. Hierbij is relevant dat een eventuele bijzondere integratie of aanpassing van een AI-systeem ertoe kan leiden dat een gebruiksverantwoordelijke in de categorie aanbieder terechtkomt. Dit geldt bijvoorbeeld als het oorspronkelijke AI-systeem al als een hoog risico wordt beschouwd en de aanpassingen een wezenlijke wijziging betreffen of als het een AI-systeem betreft dat oorspronkelijk niet als hoog risico was geclassificeerd, zodanig wijzigt dat het alsnog onder de categorie hoog risico valt.

De AI-Verordening definieert aanbieder als volgt:

“een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merk, al dan niet tegen betaling.”

Gebruiksverantwoordelijke wordt in de AI-Verordening als volgt gedefinieerd:

“een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-beroepsactiviteit.”

De aanbieder is dus direct betrokken bij of het geven van opdrachten voor het creëren, ontwerpen en ontwikkelen van AI-systemen. De gebruiksverantwoordelijke integreert en beheert AI-systemen die door andere partijen zijn gemaakt.

Verplichtingen van aanbieders onder de AI-Verordening

Het grootste deel van de verplichtingen en verantwoordelijkheden onder de AI-Verordening zijn gericht op de aanbieders van AI-systemen.

De AI-Verordening verplicht aanbieders van AI-systemen met een hoog risico onder meer een voorafgaande conformiteitsbeoordeling uit te voeren, de EU-conformiteitsverklaring op te stellen en de CE-markering op het AI-systeem aan te brengen, voordat ze deze systemen in de handel brengen of in gebruik stellen. Aanbieders moeten ervoor zorgen dat hun AI-systemen voldoen aan de toepasselijke essentiële eisen van de AI-Verordening en vermelden op het AI-systeem hun naam geregistreerd handelsnaam of geregistreerd merk en hun contactadres.

Andere verplichtingen zien op data en datagovernance; technische documentatie; het registreren van gegevens; transparantie en het verstrekken van informatie aan gebruiksverantwoordelijken; menselijk toezicht; en robuustheid, nauwkeurigheid en beveiliging.

Daarnaast moeten aanbieders een risicobeheersysteem opzetten dat de risico’s gedurende de gehele levenscyclus van het AI-systeem documenteert en beheert, wanneer het wordt gebruikt zoals voorzien of onder omstandigheden van ‘redelijkerwijs te voorzien misbruik’. Risico’s moeten ook worden opgenomen als gevolg van toezicht na het in de handel brengen of in gebruik stellen. Het doel is om de ‘grote risico’s’ van het AI-systeem terug te brengen tot een aanvaardbaar niveau. Wanneer risico’s niet kunnen worden geëlimineerd, moeten voldoende risicobeperkende en controlemaatregelen worden genomen. Risico’s die niet kunnen worden geëlimineerd moeten ook worden meegedeeld aan de gebruiksverantwoordelijken.

Verplichtingen van gebruiksverantwoordelijken onder de AI-Verordening

Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten onder meer:

  1. passende technische en organisatorische maatregelen nemen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd;
  2. het menselijk toezicht opdragen aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen;
  3. voor zover de gebruiksverantwoordelijke controle heeft over de inputdata, ervoor zorgen dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem;
  4. de werking van het AI-systeem monitoren op basis van de gebruikersaanwijzingen en wanneer de gebruiksverantwoordelijke redenen heeft om aan te nemen dat een AI-systeem een risico vormt of de gebruiksverantwoordelijke een ernstig incident vaststelt de aanbieder en markttoezichtautoriteit daarvan op de hoogte stellen;    
  5. de logs voor een bepaalde periode bewaren die automatisch worden gegenereerd, voor zover dergelijke logs onder de controle van de gebruiksverantwoordelijke controle valt;
  6. werknemersvertegenwoordigers en betrokken werknemers informeren dat zij zullen worden onderworpen aan het gebruik van een AI-systeem, voordat dit op de werkplek wordt gebruikt;
  7. samenwerken met de relevante bevoegde autoriteiten.

Inwerkingtreding en termijnen AI-Verordening

Vanaf de inwerkingtreding van de AI-Verordening op 1 augustus 2024 gaan de wettelijke termijnen lopen. Enkele relevante termijnen zijn:

  • na 6 maanden (1 februari 2025) mogen de verboden AI-praktijken niet meer op de EU-markt beschikbaar zijn;
  • na 9 maanden (1 mei 2025) moeten de praktijkcodes van het AI-bureau voor de toepassing van de AI-Verordening gereed zijn;
  • na 12 maanden (1 augustus 2025) moeten de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden en de bepalingen over sancties van toepassing zijn;
  • na 18 maanden (1 februari 2026) moet de Europese Commissie richtsnoeren hebben verstrekt voor de praktische uitvoering van de classificatieregels voor AI-systemen met een hoog risico samen met een uitgebreide lijst van praktische voorbeelden van gebruiksgevallen met en zonder een hoog risico;
  • na 24 maanden (1 augustus 2026) moeten alle AI-systemen die worden beschouwd als systemen met een hoog risico en zijn opgenomen in bijlage III aan de eisen voldoen en moeten aanbieders en gebruiksverantwoordelijken van deze AI-systemen aan hun verplichtingen voldoen;
  • na 36 maanden (1 februari 2027) moeten alle AI-systemen die worden die worden ingebouwd in gereguleerde producten zoals medische hulpmiddelen aan de eisen voldoen en moeten aanbieders en gebruiksverantwoordelijken van deze AI-systemen aan hun verplichtingen voldoen.

Nationale regels ter uitvoering van de AI-Verordening, zoals het instellen of aanwijzen door de EU-lidstaten van de bevoegde markttoezichtautoriteit worden begin 2025 verwacht. In Nederland zal dit waarschijnlijk de Autoriteit Persoonsgegevens zijn.

Advocatenkantoor gespecialiseerd in AI-systemen en de AI-Verordening

MAAK Advocaten is een gespecialiseerd advocatenkantoor in Amsterdam met een focus op bedrijven binnen de sector maakindustrie. Onze advocaten zijn specialisten op het gebied van (EU) productregelgeving en CE-markering en adviseren zowel Nederlandse als internationaal opererende maakbedrijven zoals toeleveranciers, fabrikanten, gemachtigden importeurs, distributeurs en groothandelaren.

Wilt u juridisch advies inwinnen over de mogelijke gevolgen voor uw onderneming van de AI-Verordening of andere geldende en toepasselijke EU productwet- en regelgeving, geharmoniseerde normen of nationale regels? Of heeft uw bedrijf behoefte aan ondersteuning bij een geschil met een handelsrelatie, een toezichthouder of gerelateerde vraagstukken? Neem dan contact op met een van onze advocaten, productregelgeving en CE-markering in Amsterdam.  

Max Schwillens

Max Schwillens

Als advocaat Product Compliance en Commerciële Contracten heeft Max Schwillens een sterke reputatie opgebouwd op het terrein van Geschillen en Procedures, Contractenrecht en Product Compliance. Max is een gespecialiseerde advocaat voor juridisch advies over productregelgeving. Hij heeft een ruime ervaring in opstellen en beoordelen van contracten voor de maakindustrie en het voeren van procedures tussen marktdeelnemers. Hij voert geschillen bij de civiele rechter, in arbitrage en mediation. Max is vaker spreker op landelijke congressen op het snijvlak van productregelgeving en contracten.