U kunt nu al een aantal dingen doen:
 

• Breng als aanbieder of gebruiker van algoritmes en AI in kaart om welke systemen het in uw organisatie gaat. En maak alvast een inschatting in welke risicogroep uw AI-systeem valt.  Zodat u weet welke eisen er voor uw systeem gaan gelden. 
• Wilt u een AI-systeem aanschaffen? Check dan of er in de inkoopvoorwaarden voldoende rekening is gehouden met bestaande en aankomende wetten. Zoals de AI-verordening en de AVG. Ontwikkelaars moeten namelijk zorgen dat systemen aan eisen voldoen voordat ze op de markt worden gebracht. U wilt voorkomen dat u een AI-systeem ontwikkelt of implementeert waarvan (straks) blijkt dat het niet voldoet aan de wet. 
• Kijk nu alvast of u de transparantie over uw systeem kunt verbeteren. Bijvoorbeeld door de informatie hierover op uw website en bij het aanbieden van de dienst te verduidelijken. Voor veel sectoren, terreinen en toepassingen zijn hiervoor al richtlijnen te vinden in bestaande wet- en regelgeving.
• Is het nu al overduidelijk dat uw AI-systeem onder de lijst met verboden AI gaat vallen? Dan is het voor aanbieders raadzaam om het systeem nu al uit de handel te nemen. Is uw organisatie gebruiker van het systeem? Probeer dan zo snel mogelijk te stoppen met het systeem. De kans is namelijk groot dat u ook nu al wetten overtreedt. 
• Bent u een professional binnen de overheid? Verken dan de mogelijkheid om een Impact Assessment voor Mensenrechten (IAMA) te doen en/of gebruik te maken van andere praktische hulpmiddelen uit de Toolbox ethisch verantwoord innoveren van de Rijksoverheid. 
• Als overheid kunt u uw algoritmisch systeem nu al vrijwillig registreren in het algoritmeregister. 
• Sommige organisaties maken inmiddels werk van het aanstellen van een interne toezichthouder op algoritmes of een ‘functionaris algoritmes’. De AP juicht toe dat organisaties op die manier hun verantwoordelijkheid nemen. 

In Nederland werkt het kabinet aan een voorstel voor het toezicht op de AI-verordening. De verwachting is dat er meerdere toezichthouders zullen zijn voor verschillende delen van de AI-verordening. Welke toezichthouder aan zet is, ligt aan de context waarin het AI-systeem wordt gebruikt of ontwikkeld. De taakverdeling komt in de Nederlandse wetgeving te staan.

In welke mate de Autoriteit Persoonsgegevens (AP) toezicht gaat houden op de AI-verordening, ligt dus nog niet vast. We verwachten dat hier in de loop van 2024 meer duidelijkheid over komt. Wel dragen we als coördinerend algoritmetoezichthouder samen met andere partijen nu al bij aan de voorbereidingen. Dit doen we vanuit de directie Coördinatie Algoritmes (DCA). 

De AP is wel al toezichthouder op de verwerking van persoonsgegevens door algoritmes.  

De AI-verordening treedt stapsgewijs in werking. De eerste regels gaan waarschijnlijk eind 2024 gelden in Nederland. In de loop van 2027 zal de gehele wet van toepassing zijn. De belangrijkste stappen in dit proces leest u hierna.  

Eind 2024

Verbod op aanbieden en gebruiken van bepaalde AI-toepassingen van kracht. 

Medio 2025

• Toezichthouders op naleving van de AI-verordening in Nederland zijn bekend. 
• Aangewezen toezichthouders hebben de bevoegdheid om boetes op te leggen.
• De regels voor aanbieders van zogenoemde AI-modellen voor algemene doeleinden gaan in. Deze modellen staan ook wel bekend als 'general purpose AI'. 

Medio 2026

• Verplichtingen voor AI met een hoog risico (omschreven in Bijlage III van de verordening) zijn van toepassing.
• Transparantieverplichtingen voor bepaalde AI-systemen zijn van toepassing. Mensen moeten weten dat zij te maken hebben met een AI-systeem of door AI gegenereerde content. 
• De Nederlandse 'regulatory sandbox' is gestart om advies te geven aan aanbieders van AI-systemen bij complexe vragen over de regels uit de AI-verordening.

Medio 2027

• Als het AI-systeem een product is of een veiligheidscomponent vormt van producten die al vallen onder andere productwetgeving (omschreven in Bijlage I van de verordening, bijvoorbeeld medische hulpmiddelen of radioapparatuur), dan zal de AI-verordening ook van toepassing zijn op deze producten. 
• De AI-verordening is volledig van kracht. 

Wanneer u gezichtsherkenning inzet om mensen te identificeren of om iemands identiteit te bevestigen, zijn enkele begrippen belangrijk. 

• Eenduidige (unieke) identificatie. Hierbij gaat het om de vraag: wie is deze persoon? ‘Eenduidig’ betekent dat biometrische gegevens voor identificatie maar aan één iemand kunnen worden toegeschreven. Het biometrisch gegeven is dus uniek voor die persoon. Een manier voor eenduidige identificatie is het vergelijken van (een template van) iemands gezicht met (templates van) gezichten van een groep personen in een database (een ‘one-to-many’-vergelijking). Het doel is om vast te stellen of templates overeenkomen en zo de persoon te identificeren. 
• Bevestigen van identiteit. Bij het bevestigen van iemands identiteit gaat het om de vergelijking tussen twee gezichten: is gezicht A gelijk aan gezicht B? Dit is een ‘one-to-one’-vergelijking: het biometrisch gegeven van 1 persoon wordt alleen vergeleken met 1 ander biometrisch gegeven. Het doel is om te controleren of iemand dezelfde persoon is van wie de biometrische gegevens eerder zijn vastgelegd. En of iemand dus is wie deze zegt te zijn. 

Let op: in artikel 9 van de AVG en artikel 29 van de UAVG gaat het over uitzonderingen op het verbod op het verwerken van biometrische gegevens voor unieke identificatie. Het verwerken van biometrische gegevens om iemands identiteit te bevestigen (authenticatie) valt hier ook onder. Dat betekent dat voor authenticatie via gezichtsherkenning dezelfde regels gelden als voor unieke identificatie via gezichtsherkenning.