In december 2023 bereikte de Europese Unie een politiek akkoord over de AI Act, een wet die grote veranderingen in de wereld van kunstmatige intelligentie (AI) zal brengen. Dit is slechts een onderdeel van een breder pakket aan wetgeving rondom AI, data en cyberbeveiliging in de EU.
Hier zijn enkele belangrijke wetten waar bedrijven de komende jaren mee te maken krijgen:
- De AI Act: deze wet streeft ernaar veilige AI-systemen te garanderen en richt zich op het indelen van AI-toepassingen op basis van het risico dat ze vormen. AI-systemen met een hoog risico worden gereguleerd, terwijl AI-systemen met een laag risico transparantieverplichtingen hebben. Dit kan impact hebben op producenten van AI-systemen.
- AI Liability Directive: deze richtlijn regelt de aansprakelijkheid voor schade veroorzaakt door AI-systemen. Het maakt het voor slachtoffers eenvoudiger om schadevergoeding te vorderen en kan fabrikanten verantwoordelijk stellen voor fouten in AI-systemen.
- Data Act: deze verordening legt transparantie- en overstaprechten op voor data die door producten zoals slimme apparaten wordt verzameld. Dit kan vendor lock-ins voorkomen en geeft consumenten meer controle over hun data.
- Data Governance Act: deze verordening regelt de toegang tot overheidsdata en databemiddelingsdiensten. Het vereist dat overheden data vrij beschikbaar stellen en transparant zijn over hun hergebruikbeleid. De Data Governance Act is op 24 september 2023 in werking getreden en kan dus al benut worden.
- European Health Data Space (EHDS): dit initiatief vergemakkelijkt het gebruik van gezondheidsgegevens in de zorgsector. Het geeft patiënten recht op toegang tot hun elektronische gezondheidsgegevens en vereist dat zorginstellingen gegevens delen voor onderzoek.
- Cyber Resilience Act (CRA): deze verordening stelt minimumeisen aan de cyberbeveiliging van producten met digitale elementen. Het richt zich voornamelijk op producenten van hardware en software en kan impact hebben op hun productontwikkeling en rapportageverplichtingen.
- Network and Information Systems Directive (NIS2): Deze richtlijn stelt eisen aan de cybersecurity van organisaties in sectoren zoals zorg, energie en digitale diensten. Organisaties moeten risicoanalyses uitvoeren, cyberincidenten melden en rapporten schrijven over hoe ze incidenten hebben aangepakt. Daarnaast moeten ze afspraken maken met hun toeleveranciers om veiligheid in de keten te waarborgen.
- Digital Operational Resilience Act (DORA): Deze verordening is gericht op financiële entiteiten en stelt eisen aan hun cyberveerkracht. Het vereist risicobeheer, rapportage en informatie-uitwisseling over cyberdreigingen. Bedrijven moeten op 17 januari 2025 voldoen aan de DORA
Mogelijke veranderingen in activiteiten en verplichtingen
Het is belangrijk voor bedrijven om bovenstaande wetten in de gaten te houden en zich voor te bereiden op mogelijke veranderingen in hun activiteiten en verplichtingen. De exacte implementatiedata en details kunnen variëren, dus het is verstandig om juridisch advies in te winnen en op de hoogte te blijven van de laatste ontwikkelingen in EU-regelgeving.
Bron: dirkzwager: legal & tax
