Is de AI Act wel echt risicogebaseerd?

De Europese AI Act wordt voorgesteld als een wetgeving met een risicogebaseerde aanpak: hoe hoger het risico van een AI-systeem, hoe strenger de regels. In theorie klinkt dit als een evenwichtige en proportionele methode. In de praktijk schiet deze aanpak echter op cruciale punten tekort. Een analyse van de structuur van de verordening onthult een rigide, alles-of-niets-systeem dat juridische onzekerheid creëert, potentieel disproportionele lasten voor ondernemingen met zich meebrengt en innovatie onbedoeld kan afremmen.

De risicopiramide van de AI Act

De AI Act classificeert AI-systemen in vier risiconiveaus, met als doel de regelgevende last proportioneel te houden:

1. Onaanvaardbaar risico: Systemen die een duidelijke bedreiging vormen voor de veiligheid en de grondrechten van mensen, zoals social scoring door overheden of manipulatieve technieken, worden volledig verboden.
2. Hoog risico: Dit zijn AI-systemen die worden gebruikt in kritieke sectoren en toepassingen, opgesomd in Bijlage III van de verordening. Denk aan AI in medische apparatuur, aanwerving, kredietbeoordeling of rechtshandhaving. Deze systemen moeten voldoen aan strenge eisen rond risicobeheer, datakwaliteit, transparantie, menselijk toezicht en robuustheid.
3. Beperkt risico: Systemen zoals chatbots of deepfakes vallen hieronder. Voor hen gelden voornamelijk transparantieverplichtingen: gebruikers moeten weten dat ze met een AI interageren of naar gemanipuleerde content kijken.
4. Minimaal of geen risico: De overgrote meerderheid van AI-toepassingen (bv. spamfilters, AI in videogames) valt in deze categorie. Hiervoor gelden geen specifieke verplichtingen onder de AI Act.

Een kritische analyse van de ‘risicogebaseerde’ aanpak

Hoewel deze classificatie helder lijkt, vertoont de uitwerking ervan fundamentele zwaktes. De claim “risicogebaseerd” te zijn, wordt ondermijnd door verschillende ontwerpkeuzes in de verordening. De kern van het probleem is dat de AI Act is opgebouwd volgens de logica van traditionele productveiligheidswetgeving, terwijl AI een dynamische en contextafhankelijke technologie is.

1. De ‘alles-of-niets’-valkuil

Voor de meeste bedrijven komt de risico-indeling neer op een binaire keuze. Systemen met een minimaal risico zijn vrijgesteld van verplichtingen, terwijl systemen met een beperkt risico voornamelijk aan transparantieverplichtingen moeten voldoen. De echte kloof zit tussen ‘beperkt risico’ en ‘hoog risico’.

Een AI-systeem dat als ‘hoog risico’ wordt geclassificeerd, wordt onderworpen aan een zwaar en kostelijk regime van verplichtingen. Denk aan conformiteitsbeoordelingen, kwaliteitsbeheersystemen, uitgebreide documentatie en strikt menselijk toezicht. Valt een systeem net buiten die categorie, dan zijn de verplichtingen plots drastisch lichter.

Deze ‘alles-of-niets’-aanpak creëert een sterke, en soms ongewenste, stimulans voor bedrijven om de ‘hoog risico’-categorie te allen prijze te vermijden. Dit kan ertoe leiden dat innovatieve functionaliteiten niet worden aangeboden op de Europese markt, puur om de zware regeldruk te ontlopen.

2. Het ontbreken van een algemene proportionaliteitstoets

Een van de grootste tekortkomingen van de AI Act is het ontbreken van een algemene verplichting om maatregelen te nemen die in verhouding staan tot het specifieke risico. Dit is wel het geval bij de Algemene Verordening Gegevensbescherming (AVG/GDPR), waar de bepalingen van de artikelen 24 en 32 AVG verwerkingsverantwoordelijken verplichten om technische en organisatorische maatregelen te treffen die “passend” zijn voor het risico.

Een dergelijke algemene clausule ontbreekt in de AI Act. Dit heeft twee nadelige gevolgen:

1. Het creëert een harde overgang tussen ‘beperkt’ en ‘hoog risico’. Een systeem dat net geen hoog risico is, maar toch aanzienlijke risico’s inhoudt, ontsnapt aan de de strenge regels.
2. AI-toepassingen die aanzienlijke risico’s met zich meebrengen maar niet expliciet in de lijst met hoog-risicosystemen (Bijlage III) zijn opgenomen, vallen buiten het zware regime, ook al is de potentiële impact groot. Denk bijvoorbeeld aan een geavanceerde AI-therapeut of -psycholoog, een toepassing die diep kan ingrijpen op de mentale gezondheid maar momenteel niet als hoog risico is gecatalogeerd.

3. Starre, vooraf gedefinieerde categorieën

In tegenstelling tot een echt risicogebaseerd model, dat risico’s per concreet geval zou beoordelen, hanteert de AI Act een top-down benadering met een gesloten lijst van hoog-risicotoepassingen in Bijlage III. Deze aanpak leidt onvermijdelijk tot over- en onderregulering. Eenvoudige tools kunnen onnodig onder het zware regime vallen, terwijl innovatieve systemen met nieuwe risico’s door de mazen van het net glippen tot de lijst wordt aangepast.

Fundamentele weeffouten in de risicobenadering

De problemen zijn niet louter praktisch; ze vloeien voort uit meer fundamentele keuzes van de wetgever. Een analyse van professor Martin Ebers in de European Journal of Risk Regulation, legt verschillende dieperliggende zwaktes bloot.

1. Geen evenwichtige risico-batenanalyse

Een werkelijk risicogebaseerde aanpak weegt niet alleen de mogelijke nadelen (risico’s), maar ook de potentiële voordelen van een technologie. De AI Act focust bijna uitsluitend op het beperken van schade aan gezondheid, veiligheid en grondrechten. De grote maatschappelijke en economische voordelen, de opportuniteitskosten van het niet gebruiken van AI en de afwegingen in dilemmasituaties (bv. de nauwkeurigheid van een ‘black box’ medische AI versus de transparantie) worden nauwelijks in rekening gebracht.

2. Risicocategorieën gebaseerd op politiek, niet op bewijs

De lijsten van verboden en hoog-risico AI-systemen zijn niet het resultaat van een grondige, empirische en objectieve risicoanalyse. De totstandkoming was een politiek proces, een compromis dat op een bepaald moment werd gesloten. Er is geen transparante methodologie of extern verifieerbaar bewijs dat rechtvaardigt waarom bepaalde toepassingen wel, en andere niet, op de lijst in Bijlage III staan. Dit leidt tot een zekere willekeur.

3. Een te brede definitie van AI

De definitie van een ‘AI-systeem’ in de verordening is zo breed dat ze potentieel bijna elk modern softwaresysteem omvat, inclusief systemen die voorspelbaar en deterministisch zijn. Toch worden deze eenvoudigere systemen, wanneer ze in een hoog-risicosector worden gebruikt, onderworpen aan dezelfde strenge en complexe verplichtingen die eigenlijk bedoeld zijn voor onvoorspelbare, zelflerende machine learning-modellen. Dit is in strijd met het proportionaliteitsbeginsel en het principe van technologieneutraliteit.

4. Juridische dubbelsporen en onzekerheid

De AI Act vervangt geen bestaande wetgeving, maar komt erbovenop. Dit creëert een complex web van overlappende verplichtingen met onder meer de AVG, de Verordening Medische Hulpmiddelen (MDR) en de nieuwe Machineverordening. Deze overlappingen leiden onvermijdelijk tot juridische onzekerheid, interpretatieconflicten en dubbele compliance-lasten voor bedrijven, wat haaks staat op een efficiënte, risicogebaseerde regulering.

Deze fundamentele gebreken zijn een belangrijke reden waarom het te betwijfelen valt dat de AI Act een “Brussels Effect” zal veroorzaken, waarbij de rest van de wereld de Europese wetgeving overneemt. De verordening is te complex, te verweven met andere specifieke EU-regelgeving en in haar kern niet flexibel genoeg om als universeel model te dienen.

Wat dit concreet betekent

• Voor AI-ontwikkelaars en -aanbieders: De rigide classificatie creëert rechtsonzekerheid. Uw systeem is vandaag misschien geen hoog risico, maar kan door een aanpassing van Bijlage III morgen wél onder de strenge regels vallen. Enkel focussen op het vermijden van de ‘hoog-risico’-stempel is een gevaarlijke strategie. Een proactieve aanpak, waarbij u vrijwillig een robuust risicobeheersingskader implementeert (zoals het NIST AI RMF of ISO 42001), is de enige manier om uw bedrijf toekomstbestendig te maken en aan te tonen dat u zorgvuldig handelt.
• Voor bedrijven die AI-systemen inzetten: U kunt niet blindelings vertrouwen op de ‘beperkt risico’-classificatie van een leverancier. De afwezigheid van een algemene proportionaliteitstoets in de AI Act betekent niet dat u als gebruiker geen aansprakelijkheid draagt voor schade die door het systeem wordt veroorzaakt. Een eigen, kritische risico-inschatting van de AI-tools die u implementeert, blijft essentieel.

FAQ (Veelgestelde vragen)

Is mijn AI-systeem ‘hoog risico’ als het niet letterlijk in Bijlage III van de AI Act staat?
In principe niet. De kwalificatie als hoog-risico hangt af van de lijst in Bijlage III. De Europese Commissie heeft echter de bevoegdheid om deze lijst via gedelegeerde handelingen aan te vullen. Bovendien blijft u onder het algemeen aansprakelijkheidsrecht verantwoordelijk voor eventuele schade veroorzaakt door uw AI-systeem.

Waarom bevat de AI Act geen algemene regel zoals de AVG om ‘passende maatregelen’ te nemen?
De AI Act is gestructureerd als productveiligheidswetgeving, die werkt met duidelijke, vooraf gedefinieerde categorieën en eisen. Dit staat in contrast met de meer op principes gebaseerde aanpak van de AVG, die een algemene verantwoordingsplicht oplegt die in verhouding staat tot het risico.

Moet ik nu wachten op verdere richtlijnen van de Europese Commissie om te weten wat ik moet doen?
Wachten is een riskante strategie. De AI Act voorziet inderdaad in de mogelijkheid voor de Commissie om richtlijnen en gedelegeerde handelingen uit te vaardigen. Gezien de snelle technologische ontwikkelingen, met name op het vlak van Generatieve AI, wordt verwacht dat deze lijst regelmatig zal worden bijgewerkt. De onduidelijkheid en de hiaten in de verordening maken het echter verstandiger om nu al proactief een intern AI-governancemodel en een solide risicobeheersingskader op te zetten.

Conclusie

De AI Act is een ambitieuze en noodzakelijke eerste stap in de regulering van artificiële intelligentie. De claim van een zuiver risicogebaseerde aanpak wordt in de praktijk echter niet volledig waargemaakt. De rigide categorieën, het gebrek aan een algemene proportionaliteitsplicht en de politiek gestuurde basis creëren een complex en soms onvoorspelbaar juridisch kader. Voor ondernemingen is het cruciaal om niet alleen de letter van de wet te volgen, maar ook de geest ervan te begrijpen en een proactieve, doordachte risicostrategie te ontwikkelen.