Artikelen bij COM(2021)206 - Vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (wet op de artificiële intelligentie) en tot wijziging van bepaalde wetgevingshandelingen van de unie - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2021)206 - Vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (wet op de artificiële intelligentie) en tot ... |
---|---|
document | COM(2021)206 |
datum | 13 juni 2024 |
TITEL I
ALGEMENE BEPALINGEN
Artikel 1
Onderwerp
Bij deze verordening worden vastgesteld:
(a)geharmoniseerde regels voor het in de handel brengen, in gebruik stellen en gebruiken van artificiële-intelligentiesystemen (hierna “AI-systemen” genoemd) in de Unie;
(a)verboden op bepaalde praktijken op het gebied van artificiële intelligentie;
(b)specifieke voorschriften voor AI-systemen met een hoog risico en verplichtingen voor de exploitanten van dergelijke systemen;
(c)geharmoniseerde transparantievoorschriften voor AI-systemen die met natuurlijke personen moeten interageren, systemen voor het herkennen van emoties en systemen voor biometrische categorisering, evenals voor AI-systemen die worden gebruikt om beeld-, audio- of video-inhoud te genereren of te manipuleren;
(d)regels inzake markttoezicht en -monitoring.
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op:
(a)aanbieders die AI-systemen in de Unie in de handel brengen of in gebruik stellen, ongeacht of deze aanbieders in de Unie of in een derde land zijn gevestigd;
(b)gebruikers van AI-systemen die zich in de Unie bevinden;
(c)aanbieders en gebruikers van AI-systemen die zich in een derde land bevinden wanneer de output van het systeem in de Unie wordt gebruikt.
2. Op AI-systemen met een hoog risico die veiligheidscomponenten van producten of systemen vormen of die zelf producten of systemen zijn en die vallen onder de volgende handelingen is uitsluitend artikel 84 van deze verordening van toepassing:
(a)Verordening (EG) nr. 300/2008;
(b)Verordening (EU) nr. 167/2013;
(c)Verordening (EU) nr. 168/2013;
(d)Richtlijn 2014/90/EU;
(e)Richtlijn (EU) 2016/797;
(f)Verordening (EU) 2018/858;
(g)Verordening (EU) 2018/1139;
(h)Verordening (EU) 2019/2144.
3. Deze verordening is niet van toepassing op AI-systemen die louter voor militaire doeleinden worden ontwikkeld of gebruikt.
4. Deze verordening is niet van toepassing op overheidsinstanties in derde landen of internationale organisaties die overeenkomstig lid 1 onder het toepassingsgebied van deze verordening vallen wanneer deze instanties of organisaties AI-systemen gebruiken in het kader van internationale overeenkomsten voor samenwerking met de Unie of een of meer lidstaten op het gebied van rechtshandhaving en justitie.
5. Deze verordening laat de toepassing van de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden, zoals uiteengezet in hoofdstuk II, afdeling IV, van Richtlijn 2000/31/EG van het Europees Parlement en de Raad 60 [te vervangen door de dienovereenkomstige bepalingen van de wet inzake digitale diensten], onverlet.
Artikel 3
Definities
Voor de toepassing van deze verordening gelden de volgende definities:
(1) “artificiële-intelligentiesysteem” (AI-systeem): software die is ontwikkeld aan de hand van een of meer van de technieken en benaderingen die zijn opgenomen in de lijst van bijlage I en die voor een bepaalde reeks door mensen gedefinieerde doelstellingen output kan genereren, zoals inhoud, voorspellingen, aanbevelingen of beslissingen die van invloed zijn op de omgeving waarmee wordt geïnterageerd;
(2) “aanbieder”: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem ontwikkelt of beschikt over een AI-systeem dat is ontwikkeld met het oog op het al dan niet tegen betaling in de handel brengen of in gebruik stellen ervan onder de eigen naam of merknaam;
(3) “kleine aanbieder”: een aanbieder die een micro- of kleine onderneming is in de zin van Aanbeveling 2003/361/EG van de Commissie 61 ;
(4) “gebruiker”: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-beroepsactiviteit;
(5) “gemachtigde”: een in de Unie gevestigde natuurlijke of rechtspersoon die een schriftelijke machtiging heeft gekregen van een aanbieder van een AI-systeem om namens hem de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren;
(6) “importeur”: een in de Unie gevestigde natuurlijke of rechtspersoon die een AI-systeem in de handel brengt of in gebruik stelt dat de naam of merknaam van een buiten de Unie gevestigde natuurlijke of rechtspersoon draagt;
(7) “distributeur”: een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie in de handel brengt zonder de eigenschappen hiervan te beïnvloeden;
(8) “exploitant”: de aanbieder, gebruiker, gemachtigde, importeur en distributeur;
(9) “in de handel brengen”: het voor het eerst in de Unie op de markt aanbieden van een AI-systeem;
(10) “op de markt aanbieden”: het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een AI-systeem met het oog op distributie of gebruik op de markt van de Unie;
(11) “in gebruik stellen”: de directe levering van een AI-systeem aan de gebruiker voor het eerste gebruik of voor eigen gebruik op de markt van de Unie voor het beoogde doel;
(12) “beoogd doel”: het gebruik waarvoor een AI-systeem door de aanbieder is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de aanbieder in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt;
(13) “redelijkerwijs te voorzien misbruik”: het gebruik van een AI-systeem op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of de redelijkerwijs te voorziene interactie met andere systemen;
(14) “veiligheidscomponent van een product of systeem”: een component van een product of systeem die een veiligheidsfunctie voor dat product of systeem vervult of waarvan het falen of gebrekkig functioneren de gezondheid en veiligheid van personen of eigendom in gevaar brengt;
(15) “gebruiksinstructies”: de door de aanbieder verstrekte informatie om de gebruiker te informeren over met name het beoogde doel en juiste gebruik van een AI-systeem, met inbegrip van de specifieke geografische, functionele of gedragsomgeving waarin het AI-systeem met een hoog risico moet worden gebruikt;
(16) “terugroepen van een AI-systeem”: een maatregel gericht op het retourneren aan de aanbieder van een AI-systeem dat reeds aan gebruikers ter beschikking is gesteld;
(17) “uit de handel nemen van een AI-systeem”: een maatregel gericht op het verhinderen van de distributie, de presentatie en het aanbod van een AI-systeem;
(18) “prestaties van een AI-systeem”: het vermogen van een AI-systeem om het beoogde doel te verwezenlijken;
(19) “aanmeldende autoriteit”: de nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan;
(20) “conformiteitsbeoordeling”: het proces van verificatie van de naleving van de voorschriften van titel III, hoofdstuk 2, van deze verordening in verband met een AI-systeem;
(21) “conformiteitsbeoordelingsinstantie”: een instantie die voor derden conformiteitsbeoordelingsactiviteiten verricht, zoals onder meer testen, certificeren en inspecteren;
(22) “aangemelde instantie”: een conformiteitsbeoordelingsinstantie die overeenkomstig deze verordening en andere relevante harmonisatiewetgeving van de Unie is aangewezen;
(23) “ingrijpende wijziging”: een verandering van een AI-systeem nadat dit in de handel is gebracht of in gebruik is gesteld, die gevolgen heeft voor de overeenstemming van het AI-systeem met de voorschriften van titel III, hoofdstuk 2, van deze verordening of die resulteert in een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld;
(24) “CE-conformiteitsmarkering” (CE-markering): een markering waarmee een aanbieder aangeeft dat een AI-systeem in overeenstemming is met de voorschriften van titel III, hoofdstuk 2, van deze verordening en andere toepasselijke wetgeving van de Unie tot harmonisatie van de voorwaarden voor het in de handel brengen van producten (hierna “harmonisatiewetgeving van de Unie” genoemd) die in het aanbrengen ervan voorziet;
(25) “monitoring na het in de handel brengen”: alle door aanbieders van AI-systemen verrichte activiteiten voor het proactief verzamelen en evalueren van ervaringen met door hen in de handel gebrachte of in gebruik genomen AI-systemen, teneinde te kunnen vaststellen of er onmiddellijk corrigerende dan wel preventieve maatregelen nodig zijn;
(26) “markttoezichtautoriteit”: de nationale autoriteit die de activiteiten verricht en maatregelen neemt als bedoeld in Verordening (EU) 2019/1020;
(27) “geharmoniseerde norm”: een Europese norm als gedefinieerd in artikel 2, punt 1, c), van Verordening (EU) nr. 1025/2012;
(28) “gemeenschappelijke specificaties”: een document dat geen norm is en dat technische oplossingen bevat om te voldoen aan bepaalde voorschriften en verplichtingen zoals vastgesteld in deze verordening;
(29) “trainingsdata”: data die worden gebruikt voor het trainen van een AI-systeem door de leerbare parameters hiervan aan te passen, met inbegrip van de wegingen van een neuraal netwerk;
(30) “validatiedata”: data die worden gebruikt voor het verrichten van een evaluatie van het getrainde AI-systeem en voor het afstemmen van onder andere de niet-leerbare parameters en het leerproces ervan, om overfitting te voorkomen; de validatiedatareeks kan zowel een afzonderlijke datareeks als een deel van de datareeks voor de training zijn, als vaste of variabele verdeling;
(31) “testdata”: data die worden gebruikt voor het verrichten van een onafhankelijke evaluatie van het getrainde en gevalideerde AI-systeem om de verwachte prestaties van dat systeem te bevestigen voordat het in de handel wordt gebracht of in gebruik wordt gesteld;
(32) “inputdata”: data die in een AI-systeem worden ingevoerd of direct door een AI-systeem worden verkregen en op basis waarvan het systeem een output genereert;
(33) “biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
(34) “systeem voor het herkennen van emoties”: een AI-systeem dat is bedoeld voor het vaststellen of afleiden van emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens;
(35) “systeem voor biometrische categorisering”: een AI-systeem dat is bedoeld voor het indelen van natuurlijke personen in specifieke categorieën, zoals geslacht, leeftijd, haarkleur, oogkleur, tatoeages, etnische afkomst, seksuele gerichtheid of politieke overtuiging, op basis van hun biometrische gegevens;
(36) “biometrisch systeem voor de identificatie op afstand”: een AI-systeem dat is bedoeld voor het identificeren van natuurlijke personen op afstand door middel van de vergelijking van de biometrische gegevens van een persoon met de biometrische gegevens die zijn opgenomen in een referentiedatabank en zonder dat de gebruiker van het AI-systeem vooraf weet of de persoon hierin is opgenomen en kan worden geïdentificeerd;
(37) “biometrisch systeem voor de identificatie op afstand in real time”: een biometrisch systeem voor de identificatie op afstand waarbij het vastleggen van biometrische gegevens, de vergelijking en de identificatie plaatsvinden zonder aanzienlijke vertraging. Dit omvat niet alleen de onmiddellijke identificatie, maar ook beperkte korte vertragingen om omzeiling te voorkomen;
(38) “biometrisch systeem voor de identificatie op afstand achteraf”: een ander biometrisch systeem voor de identificatie op afstand dan een biometrisch systeem voor de identificatie op afstand in real time;
(39) “openbare ruimte”: een fysieke plek die toegankelijk is voor het publiek, ongeacht of bepaalde voorwaarden voor de toegang van toepassing zijn;
(40) “rechtshandhavingsinstantie”:
(a)iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of
(b)ieder ander orgaan dat of iedere andere entiteit die krachtens het recht van de lidstaten is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
(41) “rechtshandhaving”: activiteiten die worden verricht door rechtshandhavingsinstanties met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de uitvoering van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
(42) “nationale toezichthoudende autoriteit”: de instantie waaraan een lidstaat de verantwoordelijkheid toekent voor de uitvoering en toepassing van deze verordening, voor de coördinatie van de activiteiten die aan die lidstaat zijn toevertrouwd, voor het optreden als enkel contactpunt voor de Commissie en voor het vertegenwoordigen van de lidstaat in het Europees Comité voor artificiële intelligentie;
(43) “nationale bevoegde autoriteit”: de nationale toezichthoudende autoriteit, de aanmeldende autoriteit en de markttoezichtautoriteit;
(44) “ernstig incident”: elk incident dat direct of indirect leidt, kan hebben geleid of kan leiden tot:
(a)het overlijden van een persoon of ernstige schade voor de gezondheid van een persoon, eigendom of het milieu;
(b)een ernstige en onomkeerbare verstoring van het beheer en de exploitatie van kritieke infrastructuur.
Artikel 4
Wijzigingen van bijlage I
De Commissie is bevoegd om overeenkomstig artikel 73 gedelegeerde handelingen vast te stellen tot wijziging van de lijst van technieken en benaderingen van bijlage I, teneinde deze lijst bij te werken om rekening te houden met marktontwikkelingen en technologische ontwikkelingen op basis van kenmerken die vergelijkbaar zijn met de daarin opgenomen technieken en benaderingen.
TITEL II
VERBODEN PRAKTIJKEN OP HET GEBIED VAN ARTIFICIËLE INTELLIGENTIE
Artikel 5
1. De volgende praktijken op het gebied van artificiële intelligentie zijn verboden:
(a)het in de handel brengen, in gebruik stellen of gebruiken van een AI-systeem dat subliminale technieken gebruikt waarvan personen zich niet bewust zijn om het gedrag van personen wezenlijk te verstoren op een wijze die ertoe leidt of er waarschijnlijk toe zal leiden dat deze of andere personen fysieke of psychologische schade oplopen;
(b)het in de handel brengen, in gebruik stellen of gebruiken van een AI-systeem dat gebruikmaakt van de kwetsbaarheden van een specifieke groep personen als gevolg van hun leeftijd of fysieke of geestelijke handicap om het gedrag van personen die tot deze groep behoren, wezenlijk te verstoren op een wijze die ertoe leidt of er waarschijnlijk toe zal leiden dat deze of andere personen fysieke of psychologische schade oplopen;
(c)het in de handel brengen, in gebruik stellen of gebruiken van AI-systemen door of namens overheidsinstanties voor de evaluatie of classificatie van de betrouwbaarheid van natuurlijke personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft:
i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of volledige groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld;
ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of volledige groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is;
(d)het gebruik van biometrische systemen voor de identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving, tenzij en voor zover een dergelijk gebruik strikt noodzakelijk is voor een van de volgende doelstellingen:
i) het gericht zoeken naar specifieke potentiële slachtoffers van misdaad, waaronder vermiste kinderen;
ii) het voorkomen van een specifieke, aanzienlijke en imminente dreiging voor het leven of de fysieke gezondheid van natuurlijke personen of van een terroristische aanslag;
iii) de detectie, opsporing, identificatie of vervolging van een dader of verdachte van een strafbaar feit als bedoeld in artikel 2, lid 2, van Kaderbesluit 2002/584/JBZ van de Raad 62 , dat in de betrokken lidstaat strafbaar is met een vrijheidsstraf of een tot vrijheidsbeneming strekkende maatregel voor een maximumperiode van ten minste drie jaar, zoals bepaald in het recht van die lidstaat.
2. Bij het gebruik van biometrische systemen voor de identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving voor de in lid 1, punt d), genoemde doelstellingen wordt rekening gehouden met het volgende:
(a)de aard van de situatie die aanleiding geeft tot het mogelijke gebruik van het systeem, met inbegrip van de ernst, waarschijnlijkheid en omvang van de schade die zonder het gebruik van het systeem zou worden veroorzaakt;
(b)de gevolgen van het gebruik van het systeem voor de rechten en vrijheden van alle betrokken personen, en met name de ernst, waarschijnlijkheid en omvang van deze gevolgen.
Daarnaast moet het gebruik van biometrische systemen voor de identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving voor de in lid 1, punt d), genoemde doelstellingen in overeenstemming zijn met noodzakelijke en evenredige waarborgen en voorwaarden in verband met het gebruik, en met name ten aanzien van de beperking in de tijd en de geografische en persoonlijke beperkingen.
3. Wat betreft lid 1, punt d), en lid 2, wordt elk afzonderlijk gebruik met het oog op de rechtshandhaving van biometrische systemen voor de identificatie op afstand in real time in openbare ruimten afhankelijk gesteld van een voorafgaande toestemming die wordt verleend door een gerechtelijke autoriteit of een onafhankelijke administratieve autoriteit van de lidstaat waarin het gebruik moet plaatsvinden en die wordt gegeven op verzoek en in overeenstemming met de gedetailleerde regels van het intern recht als bedoeld in lid 4. In een naar behoren gerechtvaardigde situatie van urgentie mag het gebruik van het systeem echter zonder toestemming worden gestart en mag de toestemming tijdens of na het gebruik worden aangevraagd.
De bevoegde gerechtelijke of administratieve autoriteit verleent de toestemming slechts wanneer zij er op basis van objectief bewijs of duidelijke indicaties die aan haar zijn voorgelegd van overtuigd is dat het gebruik van het biometrische systeem voor de identificatie op afstand in real time noodzakelijk is voor en evenredig is aan het bereiken van een van de in lid 1, punt d), gespecificeerde doelstellingen, zoals genoemd in het verzoek. Bij haar beslissing over het verzoek houdt de bevoegde gerechtelijke of administratieve autoriteit rekening met de in lid 2 bedoelde elementen.
4. Een lidstaat kan besluiten om te voorzien in de mogelijkheid om volledig of gedeeltelijk toestemming te verlenen voor het gebruik van biometrische systemen voor de identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving binnen de grenzen en onder de voorwaarden van lid 1, punt d), en de leden 2 en 3. Deze lidstaat stelt in zijn interne recht de noodzakelijke gedetailleerde regels vast voor het verzoek om en de afgifte en het gebruik van, evenals het toezicht in verband met, de in lid 3 bedoelde vergunningen. In deze regels wordt ook gespecificeerd voor welke doelstellingen van lid 1, punt d), en voor welke strafbare feiten als bedoeld in punt iii) daarvan de bevoegde autoriteiten deze systemen mogen gebruiken met het oog op de rechtshandhaving.
TITEL III
AI-SYSTEMEN MET EEN HOOG RISICO
Hoofdstuk 1
CLASSIFICATIE VAN AI-SYSTEMEN ALS AI-SYSTEMEN MET EEN HOOG RISICO
Artikel 6
Classificatieregels voor AI-systemen met een hoog risico
1. Ongeacht of een AI-systeem los van in de punten a) en b) bedoelde producten in de handel wordt gebracht of in gebruik wordt gesteld, wordt een AI-systeem als AI-systeem met een hoog risico beschouwd wanneer aan beide van de volgende voorwaarden is voldaan:
(a)het AI-systeem is bedoeld om te worden gebruikt als veiligheidscomponent van een product of is zelf een product dat valt onder de in bijlage II opgenomen harmonisatiewetgeving van de Unie;
(b)voor het product waarvan het AI-systeem de veiligheidscomponent vormt of voor het AI-systeem als product zelf moet een conformiteitsbeoordeling van een derde partij worden uitgevoerd met het oog op het in de handel brengen of in gebruik stellen van dat product overeenkomstig de in bijlage II opgenomen harmonisatiewetgeving van de Unie.
2. Naast de in lid 1 bedoelde AI-systemen met een hoog risico worden ook AI-systemen zoals bedoeld in bijlage III als AI-systeem met een hoog risico beschouwd.
Artikel 7
Wijzigingen van bijlage III
1. De Commissie is bevoegd om overeenkomstig artikel 73 gedelegeerde handelingen vast te stellen tot bijwerking van bijlage III door hieraan AI-systemen met een hoog risico toe te voegen wanneer aan beide van de volgende voorwaarden is voldaan:
(a)de AI-systemen zijn bedoeld om te worden gebruikt op een van de gebieden als bedoeld in bijlage III, punten 1 tot en met 8;
(b)de AI-systemen vormen een risico op schade voor de gezondheid en veiligheid, of een risico op nadelige effecten op de grondrechten, dat, gezien de ernst en waarschijnlijkheid hiervan, gelijk is aan of groter is dan het risico op schade of nadelige effecten dat wordt gevormd door de AI-systemen met een hoog risico die reeds zijn opgenomen in bijlage III.
2. Bij de beoordeling met het oog op lid 1 van de vraag of een AI-systeem een risico vormt op schade voor de gezondheid en veiligheid of op nadelige effecten op de grondrechten dat gelijk is aan of groter is dan het risico op schade dat wordt gevormd door de AI-systemen met een hoog risico die reeds zijn opgenomen in bijlage III, houdt de Commissie rekening met de volgende criteria:
(a)het beoogde doel van het AI-systeem;
(b)de mate waarin een AI-systeem is gebruikt of waarschijnlijk zal worden gebruikt;
(c)de mate waarin het gebruik van een AI-systeem reeds schade voor de gezondheid en veiligheid of nadelige effecten op de grondrechten heeft veroorzaakt of aanleiding heeft gegeven tot aanzienlijke zorgen in verband met het ontstaan van dergelijke schade of nadelige effecten, zoals aangetoond door verslagen of gedocumenteerde beschuldigingen die zijn ingediend bij de nationale bevoegde autoriteiten;
(d)de potentiële omvang van dergelijke schade of dergelijke nadelige effecten, met name wat betreft de intensiteit ervan en de mogelijkheid dat meerdere personen worden getroffen;
(e)de mate waarin potentieel geschade of nadelig getroffen personen afhankelijk zijn van de aan de hand van een AI-systeem geproduceerde uitkomst, met name omdat het om praktische of juridische redenen niet redelijkerwijs mogelijk is om van deze uitkomst af te zien;
(f)de mate waarin potentieel geschade of nadelig getroffen personen zich in een kwetsbare positie bevinden ten opzichte van de gebruiker van een AI-systeem, met name als gevolg van onevenwichtige machtsverhoudingen, kennis, economische of sociale omstandigheden of leeftijd;
(g)de mate waarin de aan de hand van een AI-systeem geproduceerde uitkomst gemakkelijk omkeerbaar is, waarbij uitkomsten die effecten hebben op de gezondheid of veiligheid van personen niet als gemakkelijk omkeerbaar worden beschouwd;
(h)de mate waarin in bestaande Uniewetgeving is voorzien in:
i) doeltreffende maatregelen om beroep aan te tekenen in verband met de risico’s van een AI-systeem, met uitzondering van vorderingen tot schadevergoeding;
ii) doeltreffende maatregelen om deze risico’s te voorkomen of aanzienlijk te beperken.
Hoofdstuk 2
Voorschriften voor AI-systemen met een hoog risico
Artikel 8
Naleving van de voorschriften
1. AI-systemen met een hoog risico moeten voldoen aan de voorschriften van dit hoofdstuk.
2. Bij het waarborgen van de naleving van deze voorschriften wordt rekening gehouden met het beoogde doel van het AI-systeem met een hoog risico en het systeem voor risicobeheer als bedoeld in artikel 9.
Artikel 9
Systeem voor risicobeheer
1. In verband met AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.
2. Het systeem voor risicobeheer bestaat in een doorlopend iteratief proces tijdens de gehele levensduur van een AI-systeem met een hoog risico, dat periodieke systematische actualisering vereist. Het omvat de volgende stappen:
(a)het vaststellen en analyseren van de bekende en te voorziene risico’s die gepaard gaan met elk AI-systeem met een hoog risico;
(b)het inschatten en evalueren van de risico’s die zich kunnen voordoen wanneer het AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan en in een situatie van redelijkerwijs te voorzien misbruik;
(c)een evaluatie van andere risico’s die zich kunnen voordoen op basis van de analyse van de data die zijn verzameld door het systeem voor monitoring na het in de handel brengen als bedoeld in artikel 61;
(d)het vaststellen van geschikte risicobeheersingsmaatregelen in overeenstemming met de bepalingen van de volgende leden.
3. Ten aanzien van de in lid 2, punt d), bedoelde risicobeheersingsmaatregelen wordt naar behoren rekening gehouden met de effecten en mogelijke wisselwerkingen die voortvloeien uit de gecombineerde toepassing van de in dit hoofdstuk uiteengezette voorschriften. Er wordt rekening gehouden met de algemeen erkende stand van de techniek, onder meer zoals weerspiegeld in de relevante geharmoniseerde normen of gemeenschappelijke specificaties.
4. De in lid 2, punt d), bedoelde risicobeheersingsmaatregelen zijn zodanig dat eventuele restrisico’s in verband met elk gevaar en het totale restrisico van de AI-systemen met een hoog risico aanvaardbaar worden geacht, mits het AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik. De gebruiker wordt op de hoogte gesteld van deze restrisico’s.
Bij het vaststellen van de passendste risicobeheersingsmaatregelen wordt het volgende gewaarborgd:
(a)de risico’s worden zo veel mogelijk uitgesloten of beperkt door middel van een adequaat ontwerp en adequate ontwikkeling;
(b)waar passend worden adequate maatregelen voor beperking en controle genomen in verband met risico’s die niet kunnen worden uitgesloten;
(c)er wordt toereikende informatie verstrekt overeenkomstig artikel 13, met name met betrekking tot de in lid 2, punt b), van dit artikel bedoelde risico’s en er wordt waar passend voorzien in opleidingen voor gebruikers.
Bij het uitsluiten of beperken van de risico’s die verband houden met het gebruik van het AI-systeem met een hoog risico wordt naar behoren aandacht besteed aan de te verwachten technische kennis, ervaring, scholing en opleiding van de gebruiker en de omgeving waarin het systeem dient te worden gebruikt.
5. AI-systemen met een hoog risico worden getest met het oog op het vaststellen van de passendste risicobeheersingsmaatregelen. De tests zorgen ervoor dat AI-systemen met een hoog risico consistent presteren ten aanzien van het beoogde doel ervan en in overeenstemming zijn met de voorschriften van dit hoofdstuk.
6. De testprocedures zijn geschikt om het beoogde doel van het AI-systeem te verwezenlijken en hoeven niet verder te gaan dan wat noodzakelijk is om dat doel te bereiken.
7. Het testen van AI-systemen met een hoog risico vindt, zoals passend, in de loop van het ontwikkelingsproces plaats en in ieder geval voordat het systeem in de handel wordt gebracht of in gebruik wordt gesteld. De tests worden uitgevoerd aan de hand van vooraf vastgestelde standaarden en probabilistische drempels die passend zijn voor het beoogde doel van het AI-systeem met een hoog risico.
8. Bij de uitvoering van het systeem voor risicobeheer als beschreven in de leden 1 tot en met 7 wordt bijzondere aandacht besteed aan de vraag of het waarschijnlijk is dat kinderen toegang zullen hebben tot het AI-systeem met een hoog risico of dat het systeem gevolgen voor hen zal hebben.
9. Voor kredietinstellingen die vallen onder Richtlijn 2013/36/EU zijn de in de leden 1 tot en met 8 beschreven aspecten onderdeel van de risicobeheersingsprocedures die door deze instellingen overeenkomstig artikel 74 van die richtlijn zijn vastgesteld.
Artikel 10
Data en databeheer
1. AI-systemen met een hoog risico die technieken gebruiken die het trainen van modellen met data omvatten, worden ontwikkeld op basis van datareeksen voor training, validatie en tests die voldoen aan de kwaliteitscriteria als bedoeld in de leden 2 tot en met 5.
2. Datareeksen voor training, validatie en tests worden onderworpen aan passende praktijken op het gebied van databeheer. Deze praktijken hebben in het bijzonder betrekking op:
(a)de relevante ontwerpkeuzes;
(b)dataverzameling;
(c)relevante verwerkingsactiviteiten voor datavoorbereiding, zoals annotatie, etikettering, opschoning, verrijking en aggregatie;
(d)het opstellen van relevante aannames, met name met betrekking tot de informatie die de data moeten meten en vertegenwoordigen;
(e)een voorafgaande beoordeling van de beschikbaarheid, kwantiteit en geschiktheid van de datareeksen die nodig zijn;
(f)een beoordeling met het oog op mogelijke vertekeningen;
(g)het identificeren van eventuele mogelijke leemten of tekortkomingen in de data en de manier waarop deze leemten en tekortkomingen kunnen worden aangepakt.
3. Datareeksen voor training, validatie en tests zijn relevant, representatief, foutenvrij en volledig. De datareeksen hebben bovendien de passende statistische kenmerken, onder meer, waar van toepassing, met betrekking tot de personen of groepen personen waarvoor de AI-systemen met een hoog risico moeten worden gebruikt. Deze kenmerken van de datareeksen kunnen op het niveau van de afzonderlijke datareeksen of combinatie daarvan worden verwezenlijkt.
4. Ten aanzien van datareeksen voor training, validatie en tests wordt, voor zover vereist gezien het beoogde doel hiervan, rekening gehouden met de eigenschappen of elementen die specifiek zijn voor een bepaalde geografische, functionele of gedragsomgeving waarin het AI-systeem moet worden gebruikt.
5. Voor zover dit strikt noodzakelijk is om de monitoring, opsporing en correctie van vertekeningen te waarborgen in verband met de AI-systemen met een hoog risico, mogen de aanbieders van dergelijke systemen bijzondere categorieën persoonsgegevens, zoals bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679, artikel 10 van Richtlijn (EU) 2016/680 en artikel 10, lid 1, van Verordening (EU) 2018/1725, verwerken, mits passende waarborgen worden geboden voor de grondrechten en fundamentele vrijheden van natuurlijke personen, met inbegrip van technische beperkingen voor het hergebruik en het gebruik van ultramoderne beveiligings- en privacybeschermende maatregelen, zoals pseudonimisering of versleuteling wanneer anonimisering aanzienlijke gevolgen kan hebben voor het nagestreefde doel.
6. Voor de ontwikkeling van andere AI-systemen met een hoog risico dan systemen die gebruikmaken van technieken voor de training van modellen zijn passende praktijken voor databeheer van toepassing om ervoor te zorgen dat deze AI-systemen met een hoog risico in overeenstemming zijn met lid 2.
Artikel 11
Technische documentatie
1. De technische documentatie van een AI-systeem met een hoog risico wordt opgesteld voordat dit systeem in de handel wordt gebracht of in gebruikt wordt gesteld, en wordt geactualiseerd.
De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het AI-systeem met een hoog risico in overeenstemming is met de voorschriften van dit hoofdstuk en dat nationale bevoegde autoriteiten en aangemelde instanties over alle noodzakelijke informatie beschikken om de overeenstemming van het AI-systeem met deze voorschriften te kunnen beoordelen. De documentatie omvat ten minste de in bijlage IV uiteengezette elementen.
2. Wanneer een AI-systeem met een hoog risico dat verband houdt met een product dat valt onder de in bijlage II, afdeling A, opgenomen rechtshandelingen in de handel wordt gebracht of in gebruik wordt gesteld, wordt een enkel technisch document opgesteld dat alle informatie bevat zoals uiteengezet in bijlage IV, alsook de informatie die vereist is op grond van die rechtshandelingen.
3. De Commissie is bevoegd om overeenkomstig artikel 73 gedelegeerde handelingen vast te stellen tot wijziging van bijlage IV wanneer dit noodzakelijk is om, in het licht van de technische vooruitgang, te waarborgen dat in de technische documentatie alle noodzakelijke informatie wordt verstrekt om de overeenstemming van het systeem met de voorschriften van dit hoofdstuk te kunnen beoordelen.
Artikel 12
Registratie
1. AI-systemen met een hoog risico worden ontworpen en ontwikkeld met capaciteiten die de automatische registratie van gebeurtenissen (hierna “logs” genoemd) tijdens de werking van het AI-systeem mogelijk maken. Deze loggingcapaciteiten moeten in overeenstemming zijn met erkende normen of gemeenschappelijke specificaties.
2. De loggingcapaciteiten waarborgen een mate van traceerbaarheid van de werking van het AI-systeem tijdens de levensduur ervan die passend is voor het beoogde doel van het systeem.
3. De loggingcapaciteiten maken met name de monitoring van de werking van het AI-systeem met een hoog risico mogelijk met betrekking tot het optreden van situaties die ertoe kunnen leiden dat het AI-systeem een risico vormt in de zin van artikel 65, lid 1, of die leiden tot een ingrijpende wijziging, en vergemakkelijken de monitoring na het in de handel brengen als bedoeld in artikel 61.
4. Voor AI-systemen met een hoog risico als bedoeld in punt 1, a), van bijlage III voorzien de loggingcapaciteiten ten minste in:
(a)de registratie van de duur van elk gebruik van het systeem (begindatum en -tijd en einddatum en -tijd van elk gebruik);
(b)de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem;
(c)de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd;
(d)de identificatie van de natuurlijke personen die betrokken zijn bij de verificatie van de resultaten, zoals bedoeld in artikel 14, lid 5.
Artikel 13
Transparantie en informatieverstrekking aan gebruikers
1. AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat de werking ervan voldoende transparant is om gebruikers in staat te stellen de output van het systeem te interpreteren en op passende wijze te gebruiken. Een passende soort en mate van transparantie wordt gewaarborgd met het oog op de naleving van de relevante verplichtingen van de gebruiker en de aanbieder zoals uiteengezet in hoofdstuk 3 van deze titel.
2. AI-systemen met een hoog risico gaan vergezeld van gebruiksinstructies in een passend digitaal of ander formaat dat beknopte, volledige, juiste en duidelijke informatie bevat die relevant, toegankelijk en begrijpelijk is voor gebruikers.
3. De in lid 2 bedoelde informatie omvat:
(a)de identiteit en de contactgegevens van de aanbieder en, in voorkomend geval, van zijn gemachtigde;
(b)de kenmerken, capaciteiten en beperkingen van de prestaties van het AI-systeem met een hoog risico, waaronder:
i) het beoogde doel;
ii) de mate van nauwkeurigheid, robuustheid en cyberbeveiliging als bedoeld in artikel 15 waarop het AI-systeem met een hoog risico is getest en gevalideerd en die kan worden verwacht, en eventuele bekende en te voorziene omstandigheden die een effect kunnen hebben op die verwachte mate van nauwkeurigheid, robuustheid en cyberbeveiliging;
iii) eventuele bekende of te voorziene omstandigheden in verband met het gebruik van het AI-systeem met een hoog risico in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, die kunnen leiden tot risico’s voor de gezondheid en veiligheid of de grondrechten;
iv) de prestaties ervan met betrekking tot de personen of groepen personen voor wie het systeem moet worden gebruikt;
v) waar passend, specificaties voor de inputdata of eventuele andere relevante informatie met betrekking tot de gebruikte datareeksen voor training, validatie en tests, rekening houdend met het beoogde doel van het AI-systeem;
(c)de wijzigingen van het AI-systeem met een hoog risico en de prestaties ervan die vooraf door de aanbieder zijn bepaald op het moment van de eerste conformiteitsbeoordeling, indien van toepassing;
(d)de maatregelen voor menselijk toezicht als bedoeld in artikel 14, met inbegrip van de technische maatregelen die zijn getroffen om de interpretatie van de output van AI-systemen door gebruikers te vergemakkelijken;
(e)de verwachte levensduur van het AI-systeem met een hoog risico en eventuele noodzakelijke maatregelen voor onderhoud en verzorging om de goede werking van dat AI-systeem te waarborgen, ook in verband met software-updates.
Artikel 14
Menselijk toezicht
1. AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat het AI-systeem wordt gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.
2. Het menselijk toezicht is gericht op het voorkomen of beperken van de risico’s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico’s blijven bestaan ondanks de toepassing van andere voorschriften van dit hoofdstuk.
3. Het menselijk toezicht wordt gewaarborgd door middel van een of alle van de volgende maatregelen:
(a)door de aanbieder bepaald en, waar technisch haalbaar, ingebouwd in het AI-systeem met een hoog risico voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld;
(b)door de aanbieder bepaald voordat het AI-systeem met een hoog risico in de handel wordt gebracht of in gebruik wordt gesteld en die passend zijn om door de gebruiker te worden uitgevoerd.
4. De in lid 3 bedoelde maatregelen stellen de personen die verantwoordelijk zijn voor het menselijk toezicht in staat om het volgende te doen, zoals passend gezien de omstandigheden:
(a)de capaciteiten en beperkingen van het AI-systeem met een hoog risico volledig begrijpen en de werking ervan naar behoren kunnen monitoren, zodat tekenen van onregelmatigheden, storingen en onverwachte prestaties zo snel mogelijk kunnen worden gedetecteerd en aangepakt;
(b)zich bewust blijven van de mogelijke neiging om automatisch of te veel te vertrouwen op de output van een AI-systeem met een hoog risico (de zogenaamde “automation bias”), met name voor AI-systemen met een hoog risico die worden gebruikt om informatie of aanbevelingen te verstrekken voor beslissingen die door natuurlijke personen moeten worden genomen;
(c)de output van het AI-systeem met een hoog risico juist interpreteren, in het bijzonder rekening houdend met de kenmerken van het systeem en de beschikbare instrumenten en methoden voor interpretatie;
(d)in alle specifieke situaties kunnen besluiten om het AI-systeem met een hoog risico niet te gebruiken of de output van het AI-systeem met een hoog risico op andere wijze te negeren, terzijde te schuiven of terug te draaien;
(e)ingrijpen in de werking van het AI-systeem met een hoog risico of het systeem onderbreken door middel van een stopknop of een vergelijkbare procedure.
5. Voor AI-systemen met een hoog risico als bedoeld in bijlage III, punt 1, a), zijn de maatregelen als bedoeld in lid 3 zodanig dat zij waarborgen dat daarnaast door de gebruiker geen maatregelen worden getroffen of beslissingen worden genomen op basis van de identificatie door het systeem, tenzij deze door ten minste twee natuurlijke personen zijn geverifieerd en bevestigd.
Artikel 15
Nauwkeurigheid, robuustheid en cyberbeveiliging
1. AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze, met het oog op hun beoogde doel, een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.
2. De niveaus van nauwkeurigheid en de relevante maatstaven voor de nauwkeurigheid van AI-systemen met een hoog risico worden vermeld in de bijbehorende gebruiksaanwijzingen.
3. AI-systemen met een hoog risico zijn bestand tegen fouten en onregelmatigheden die zich binnen het systeem of de omgeving waarin het systeem wordt gebruikt, kunnen voordoen, met name als gevolg van de interactie ervan met natuurlijke personen of andere systemen.
De robuustheid van AI-systemen met een hoog risico kan worden gerealiseerd door middel van technische oplossingen voor redundantie, die plannen voor de back-up of de veiligheid bij defecten kunnen omvatten.
AI-systemen met een hoog risico die blijven leren nadat ze in de handel worden gebracht of in gebruik worden gesteld, worden op zodanige wijze ontwikkeld dat wordt gewaarborgd dat mogelijk vertekende outputs als gevolg van het gebruik van outputs als input voor toekomstige operaties (zogenaamde “terugkoppelingen”) naar behoren worden aangepakt aan de hand van passende beperkende maatregelen.
4. AI-systemen met een hoog risico zijn bestand tegen pogingen van ongeautoriseerde derden om het gebruik of de prestaties ervan te wijzigen door gebruik te maken van de kwetsbaarheden van het systeem.
De technische oplossingen die gericht zijn op het waarborgen van de cyberbeveiliging van AI-systemen sluiten aan op de relevante omstandigheden en risico’s.
De technische oplossingen voor het aanpakken van AI-specifieke kwetsbaarheden omvatten, waar passend, maatregelen voor het voorkomen en beheersen van aanvallen waarmee een poging wordt gedaan tot het manipuleren van de datareeks voor de training (de zogenaamde “datavervuiling”), van input die is gecreëerd om fouten van het model te veroorzaken (zogenaamde “vijandige voorbeelden”) of van tekortkomingen van het model.
Hoofdstuk 3
VERPLICHTINGEN VAN AANBIEDERS EN GEBRUIKERS VAN AI-SYSTEMEN MET EEN HOOG RISICO en andere partijen
Artikel 16
Verplichtingen van aanbieders van AI-systemen met een hoog risico
Aanbieders van AI-systemen met een hoog risico:
(a)zorgen ervoor dat hun AI-systemen met een hoog risico in overeenstemming zijn met de voorschriften van hoofdstuk 2 van deze titel;
(b)beschikken over een systeem voor kwaliteitsbeheer dat in overeenstemming is met artikel 17;
(c)stellen de technische documentatie van het AI-systeem met een hoog risico op;
(d)bewaren de logs die automatisch door hun AI-systemen met een hoog risico zijn gegenereerd, wanneer zij hierover de controle hebben;
(e)zorgen ervoor dat voor het AI-systeem met een hoog risico de relevante conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld;
(f)leven de registratieverplichtingen als bedoeld in artikel 51 na;
(g)nemen de noodzakelijke corrigerende maatregelen wanneer het AI-systeem met een hoog risico niet in overeenstemming is met de voorschriften van hoofdstuk 2 van deze titel;
(h)informeren de nationale bevoegde autoriteiten van de lidstaten waarin zij het AI-systeem beschikbaar hebben gemaakt of in gebruik hebben gesteld en, waar van toepassing, de aangemelde instantie over de non-conformiteit en over eventuele getroffen corrigerende maatregelen;
(i)brengen overeenkomstig artikel 49 de CE-markering aan op hun AI-systemen met een hoog risico om aan te geven dat deze in overeenstemming zijn met deze verordening;
(j)tonen op verzoek van een nationale bevoegde autoriteit de overeenstemming aan van het AI-systeem met een hoog risico met de voorschriften van hoofdstuk 2 van deze titel.
Artikel 17
Systeem voor kwaliteitsbeheer
1. Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijk beleidslijnen, procedures en instructies en omvat ten minste de volgende aspecten:
(a)een strategie voor de naleving van de wet- en regelgeving, inclusief de naleving van de conformiteitsbeoordelingsprocedures en de procedures voor het beheer van de wijzigingen van het AI-systeem met een hoog risico;
(b)technieken, procedures en systematische maatregelen die moeten worden toegepast voor het ontwerp, de controle van het ontwerp en de verificatie van het ontwerp van het AI-systeem met een hoog risico;
(c)technieken, procedures en systematische maatregelen die moeten worden toegepast voor de ontwikkeling, de kwaliteitscontrole en de kwaliteitsborging van het AI-systeem met een hoog risico;
(d)procedures voor het inspecteren, testen en valideren die vóór, tijdens en na de ontwikkeling van het AI-systeem met een hoog risico moeten worden uitgevoerd en de regelmaat waarmee zij moeten worden uitgevoerd;
(e)technische specificaties, met inbegrip van normen, die moeten worden toegepast en, wanneer de relevante geharmoniseerde normen niet volledig worden toegepast, de middelen die worden gebruikt om ervoor te zorgen dat het AI-systeem met een hoog risico in overeenstemming is met de voorschriften van hoofdstuk 2 van deze titel;
(f)systemen en procedures voor databeheer, met inbegrip van dataverzameling, -analyse, -etikettering, -opslag, -zuivering, -aggregatie en -behoud en datamining en eventuele andere operaties met betrekking tot de data die worden uitgevoerd voorafgaand aan en met het oog op het in de handel brengen of in gebruik stellen van AI-systemen met een hoog risico;
(g)het systeem voor risicobeheer zoals bedoeld in artikel 9;
(h)het opzetten, toepassen en onderhouden van een systeem voor monitoring na het in de handel brengen, overeenkomstig artikel 61;
(i)procedures in verband met het melden van ernstige incidenten en van gebrekkig functioneren in overeenstemming met artikel 62;
(j)de communicatie met nationale bevoegde autoriteiten, bevoegde autoriteiten, met inbegrip van sectorale autoriteiten, die de toegang tot data verlenen of ondersteunen, aangemelde instanties, andere exploitanten, klanten of andere belangstellenden;
(k)systemen en procedures voor de registratie van alle relevante documentatie en informatie;
(l)het beheer van hulpmiddelen, met inbegrip van maatregelen in verband met de voorzieningszekerheid;
(m)een kader voor de verantwoording, waarin de verantwoordelijkheden van het management en ander personeel uiteen worden gezet met betrekking tot alle aspecten van dit lid.
2. De uitvoering van de in lid 1 bedoelde aspecten is evenredig aan de omvang van de organisatie van de aanbieder.
3. Voor aanbieders die onder Richtlijn 2013/36/EU vallende kredietinstellingen zijn wordt de verplichting om te voorzien in een systeem voor kwaliteitsbeheer geacht te zijn nagekomen wanneer zij de regels inzake regelingen, processen en mechanismen voor interne governance naleven overeenkomstig artikel 74 van die richtlijn. In dit verband wordt rekening gehouden met eventuele geharmoniseerde normen als bedoeld in artikel 40 van deze verordening.
Artikel 18
Verplichting om technische documentatie op te stellen
1. Aanbieders van AI-systemen met een hoog risico stellen de in artikel 11 bedoelde technische documentatie op in overeenstemming met bijlage IV.
2. Aanbieders die onder Richtlijn 2013/36/EU vallende kredietinstellingen zijn, bewaren de technische documentatie als onderdeel van de documentatie met betrekking tot de interne governance, regelingen, processen en mechanismen overeenkomstig artikel 74 van die richtlijn.
Artikel 19
Conformiteitsbeoordeling
1. Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor hun systemen de relevante conformiteitsbeoordelingsprocedure wordt uitgevoerd in overeenstemming met artikel 43 voordat deze systemen in de handel worden gebracht of in gebruik worden gesteld. Wanneer de overeenstemming van de AI-systemen met de voorschriften van hoofdstuk 2 van deze titel is aangetoond aan de hand van die conformiteitsbeoordeling, stellen de aanbieders overeenkomstig artikel 48 een EU-conformiteitsverklaring op en brengen zij overeenkomstig artikel 49 de CE-conformiteitsmarkering aan.
2. Voor AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, b), die in de handel worden gebracht of in gebruik worden gesteld door aanbieders die onder Richtlijn 2013/36/EU vallende kredietinstellingen zijn, wordt de conformiteitsbeoordeling uitgevoerd als onderdeel van de in de artikelen 97 tot en met 101 van die richtlijn bedoelde procedure.
Artikel 20
Automatisch gegenereerde logs
1. Aanbieders van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico, voor zover dergelijke logs op grond van een contractuele regeling met de gebruiker of anders op grond van wettelijke bepalingen onder hun controle vallen. De logs worden bewaard gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico en gezien de toepasselijke wettelijke verplichtingen op grond van het Unie- of intern recht.
2. Aanbieders die onder Richtlijn 2013/36/EU vallende kredietinstellingen zijn, bewaren de logs die automatisch door hun AI-systemen met een hoog risico worden gegenereerd als onderdeel van de documentatie in het kader van artikel 74 van die richtlijn.
Artikel 21
Corrigerende maatregelen
Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI-systeem met een hoog risico niet in overeenstemming is met deze verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gemachtigden en importeurs dienovereenkomstig in kennis.
Artikel 22
Mededelingsverplichting
Wanneer het AI-systeem met een hoog risico een risico vormt in de zin van artikel 65, lid 1, en dat risico bekend is bij de aanbieder van dat systeem, informeert deze aanbieder de nationale bevoegde autoriteiten van de lidstaten waarin hij het systeem beschikbaar heeft gemaakt en, waar van toepassing, de aangemelde instantie die een certificaat voor het AI-systeem met een hoog risico heeft afgegeven, met name over de non-conformiteit en over eventuele getroffen corrigerende maatregelen.
Artikel 23
Samenwerking met bevoegde autoriteiten
Aanbieders van AI-systemen met een hoog risico voorzien nationale bevoegde autoriteiten die hierom verzoeken van alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systemen met een hoog risico met de voorschriften van hoofdstuk 2 van deze titel aan te tonen, in een officiële taal van de Unie die door de betrokken lidstaat wordt bepaald. Op met redenen omkleed verzoek van een nationale bevoegde autoriteit verlenen aanbieders die autoriteit ook toegang tot de logs die automatisch zijn gegenereerd door hun AI-systeem met een hoog risico voor zover dergelijke logs op grond van een contractuele regeling met de gebruiker of anders op grond van wettelijke bepalingen onder hun controle vallen.
Artikel 24
Verplichtingen van fabrikanten van producten
Wanneer een AI-systeem met een hoog risico dat verband houdt met producten waarop de in bijlage II, afdeling A, opgenomen rechtshandelingen van toepassing zijn, samen met het overeenkomstig deze rechtshandelingen vervaardigde product en onder de naam van de fabrikant van het product in de handel wordt gebracht of in gebruik wordt gesteld, neemt de fabrikant van het product de verantwoordelijkheid voor de overeenstemming van het AI-systeem met deze verordening en heeft hij, wat het AI-systeem betreft, dezelfde verplichtingen als deze welke bij de onderhavige verordening aan de aanbieder zijn opgelegd.
Artikel 25
Gemachtigden
1. Indien geen importeur kan worden geïdentificeerd, wijzen aanbieders die buiten de Unie zijn gevestigd, voordat zij hun systemen beschikbaar maken in de Unie, per schriftelijke machtiging een gemachtigde aan die is gevestigd in de Unie.
2. De gemachtigde voert de taken uit die gespecificeerd zijn in het mandaat dat hij van de aanbieder heeft ontvangen. Het mandaat geeft de gemachtigde de bevoegdheid om de volgende taken te verrichten:
(a)een kopie van de EU-conformiteitsverklaring en de technische documentatie ter beschikking houden van de nationale bevoegde autoriteiten en nationale autoriteiten als bedoeld in artikel 63, lid 7;
(b)een nationale bevoegde autoriteit op met redenen omkleed verzoek alle informatie en documentatie verstrekken die noodzakelijk is om de overeenstemming van een AI-systeem met een hoog risico met de voorschriften van hoofdstuk 2 van deze titel aan te tonen, met inbegrip van de logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico voor zover dergelijke logs op grond van een contractuele regeling met de gebruiker of anders op grond van wettelijke bepalingen onder de controle van de aanbieder vallen;
(c)op met redenen omkleed verzoek samenwerken met bevoegde nationale autoriteiten met betrekking tot een maatregel die door deze autoriteiten wordt getroffen in verband met het AI-systeem met een hoog risico.
Artikel 26
Verplichtingen van importeurs
1. Voordat een AI-systeem met een hoog risico in de handel wordt gebracht, zorgen de importeurs van een dergelijk systeem dat:
(a)de passende conformiteitsbeoordelingsprocedure is uitgevoerd door de aanbieder van dat AI-systeem;
(b)de aanbieder de technische documentatie heeft opgesteld in overeenstemming met bijlage IV;
(c)de vereiste conformiteitsmarkering op het systeem is aangebracht en het systeem vergezeld gaat van de vereiste documentatie en gebruiksaanwijzingen.
2. Wanneer een importeur van mening is of redenen heeft om aan te nemen dat een AI-systeem met een hoog risico niet in overeenstemming is met deze verordening, brengt hij dat systeem niet in de handel voordat het in overeenstemming is gebracht. Wanneer het AI-systeem met een hoog risico een risico vormt in de zin van artikel 65, lid 1, stelt de importeur de aanbieder van het AI-systeem en de markttoezichtautoriteiten hiervan in kennis.
3. Importeurs vermelden hun naam, geregistreerde handelsnaam of geregistreerde merknaam en hun contactadres op het AI-systeem met een hoog risico, of wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, zoals van toepassing.
4. Importeurs zorgen gedurende de periode dat zij voor een AI-systeem met een hoog risico verantwoordelijk zijn, indien van toepassing, voor opslag- en vervoersomstandigheden die de overeenstemming van het systeem met de voorschriften van hoofdstuk 2 van deze titel niet in het gedrang brengen.
5. Importeurs voorzien nationale bevoegde autoriteiten op met redenen omkleed verzoek van alle informatie en documentatie die noodzakelijk is om de overeenstemming van een AI-systeem met een hoog risico met de voorschriften van hoofdstuk 2 van deze titel aan te tonen, in een taal die deze nationale bevoegde autoriteit eenvoudig kan begrijpen, met inbegrip van de logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico voor zover dergelijke logs op grond van een contractuele regeling met de gebruiker of anders op grond van wettelijke bepalingen onder de controle van de aanbieder vallen. Zij werken bovendien samen met deze autoriteiten met betrekking tot eventuele maatregelen die de nationale bevoegde autoriteit treft in verband met dat systeem.
Artikel 27
Verplichtingen van distributeurs
1. Voordat zij een AI-systeem met een hoog risico in de handel brengen, controleren distributeurs of op het AI-systeem met een hoog risico de vereiste CE-conformiteitsmarkering is aangebracht, of het systeem vergezeld gaat van de vereiste documentatie en gebruiksinstructies en of de aanbieder en importeur van het systeem, als van toepassing, de verplichtingen van deze verordening hebben nageleefd.
2. Wanneer een distributeur van mening is of redenen heeft om aan te nemen dat een AI-systeem met een hoog risico niet in overeenstemming is met de voorschriften van hoofdstuk 2 van deze titel, brengt hij het AI-systeem met een hoog risico niet in de handel voordat het in overeenstemming is gebracht met deze voorschriften. Daarnaast stelt de distributeur, wanneer het systeem een risico vormt in de zin van artikel 65, lid 1, de aanbieder of de importeur van het AI-systeem, als van toepassing, hiervan in kennis.
3. Distributeurs zorgen gedurende de periode waarin zij voor een AI-systeem met een hoog risico verantwoordelijk zijn, indien van toepassing, voor opslag- en vervoersomstandigheden die de overeenstemming van het systeem met de voorschriften van hoofdstuk 2 van deze titel niet in het gedrang brengen.
4. Een distributeur die van mening is of redenen heeft om aan te nemen dat een AI-systeem met een hoog risico dat hij in de handel heeft gebracht, niet in overeenstemming is met de voorschriften van hoofdstuk 2 van deze titel, neemt de noodzakelijke corrigerende maatregelen om dat systeem in overeenstemming te brengen met deze voorschriften, uit de handel te nemen of terug te roepen of zorgt ervoor dat de aanbieder, de importeur of een eventuele betrokken exploitant, waar passend, dergelijke corrigerende maatregelen treft. Indien het AI-systeem met een hoog risico een risico vormt in de zin van artikel 65, lid 1, stelt de distributeur de nationale bevoegde autoriteiten van de lidstaten waarin hij het product beschikbaar heeft gemaakt hiervan onmiddellijk in kennis, waarbij hij in het bijzonder de non-conformiteit en de eventueel getroffen corrigerende maatregelen uitvoerig beschrijft.
5. Distributeurs van AI-systemen met een hoog risico voorzien nationale bevoegde autoriteiten op met redenen omkleed verzoek van alle informatie en documentatie die noodzakelijk is om de overeenstemming van een systeem met een hoog risico met de voorschriften van hoofdstuk 2 van deze titel aan te tonen. Distributeurs werken bovendien samen met deze nationale bevoegde autoriteit met betrekking tot eventuele maatregelen die deze autoriteit heeft getroffen.
Artikel 28
Verplichtingen van distributeurs, importeurs, gebruikers en eventuele derden
1. In de volgende omstandigheden wordt een distributeur, importeur, gebruiker of derde voor de toepassing van deze verordening beschouwd als een aanbieder en is hij onderworpen aan de verplichtingen van de aanbieder uit hoofde van artikel 16:
(a)hij brengt een AI-systeem met een hoog risico onder zijn naam of merknaam in de handel of stelt dit onder zijn naam of merknaam in gebruik;
(b)hij wijzigt het beoogde doel van een reeds in de handel gebracht of in gebruik gesteld AI-systeem met een hoog risico; of
(c)hij brengt een ingrijpende wijziging aan in het AI-systeem met een hoog risico.
2. Wanneer sprake is van de in lid 1, punt b) of c), bedoelde omstandigheden, wordt de aanbieder die het AI-systeem met een hoog risico voor het eerst in de handel heeft gebracht of in gebruik heeft gesteld, niet langer beschouwd als aanbieder voor de toepassing van deze verordening.
Artikel 29
Verplichtingen van gebruikers van AI-systemen met een hoog risico
1. Gebruikers van AI-systemen met een hoog risico gebruiken dergelijke systemen in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 2 en 5.
2. De verplichtingen van lid 1 doen geen afbreuk aan de andere verplichtingen van gebruikers op grond van het Unie- of intern recht en aan de beoordelingsvrijheid van gebruikers bij het organiseren van hun eigen middelen en activiteiten voor de uitvoering van de maatregelen inzake menselijk toezicht zoals aangegeven door de aanbieder.
3. Onverminderd lid 1 zorgt de gebruiker er, voor zover hij controle heeft over de inputdata, voor dat de inputdata relevant zijn voor het beoogde doel van het AI-systeem met een hoog risico.
4. Gebruikers monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen. Wanneer zij redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat het AI-systeem een risico vormt in de zin van artikel 65, lid 1, stellen zij de aanbieder of distributeur hiervan in kennis en onderbreken zij het gebruik van het systeem. Zij stellen de aanbieder of distributeur er ook van in kennis en onderbreken het gebruik van het AI-systeem wanneer zij een ernstig incident of eventuele gebrekkige werking hebben vastgesteld in de zin van artikel 62. Wanneer de gebruiker de aanbieder niet kan bereiken, is artikel 62 mutatis mutandis van toepassing.
Voor gebruikers die onder Richtlijn 2013/36/EU vallende kredietinstellingen zijn wordt de monitoringsverplichting van lid 1 geacht te zijn nagekomen wanneer zij de regels inzake regelingen, processen en mechanismen voor interne governance naleven overeenkomstig artikel 74 van die richtlijn.
5. Gebruikers van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door die AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. De logs worden bewaard gedurende een periode die passend is gezien het beoogde doel van het AI-systeem met een hoog risico en de toepasselijke wettelijke verplichtingen op grond van het Unie- of intern recht.
Gebruikers die onder Richtlijn 2013/36/EU vallende kredietinstellingen zijn, bewaren de logs als onderdeel van de documentatie met betrekking tot de interne governance, regelingen, processen en mechanismen overeenkomstig artikel 74 van die richtlijn.
6. Gebruikers van AI-systemen met een hoog risico gebruiken de informatie die op grond van artikel 13 wordt verstrekt om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren op grond van artikel 35 van Verordening (EU) 2016/679 of artikel 27 van Richtlijn (EU) 2016/680, indien van toepassing.
Hoofdstuk 4
AANMELDENDE AUTORITEITEN EN AANGEMELDE INSTANTIES
Artikel 30
Aanmeldende autoriteiten
1. Elke lidstaat wijst een aanmeldende autoriteit aan of richt een aanmeldende autoriteit op die verantwoordelijk is voor het opzetten en uitvoeren van de nodige procedures voor de beoordeling, aanwijzing en aanmelding van conformiteitsbeoordelingsinstanties en voor het toezicht erop.
2. De lidstaten kunnen een nationale accreditatie-instantie als bedoeld in Verordening (EG) nr. 765/2008 als aanmeldende autoriteit aanwijzen.
3. Aanmeldende autoriteiten worden zodanig opgericht en georganiseerd en functioneren zodanig dat zich geen belangenconflicten met conformiteitsbeoordelingsinstanties voordoen en de objectiviteit en onpartijdigheid van hun activiteiten gewaarborgd zijn.
4. Aanmeldende autoriteiten worden zodanig georganiseerd dat besluiten in verband met de aanmelding van conformiteitsbeoordelingsinstanties worden genomen door bekwame personen die niet de beoordeling van die instanties hebben verricht.
5. Aanmeldende autoriteiten bieden of verrichten geen activiteiten die worden uitgevoerd door conformiteitsbeoordelingsinstanties en verlenen geen adviezen op commerciële of concurrentiële basis.
6. Aanmeldende autoriteiten waarborgen dat de verkregen informatie vertrouwelijk wordt behandeld.
7. Aanmeldende autoriteiten beschikken over een voldoende aantal bekwame personeelsleden om hun taken naar behoren uit te voeren.
8. Aanmeldende autoriteiten zorgen ervoor dat conformiteitsbeoordelingen op evenredige wijze worden uitgevoerd, waarbij onnodige lasten voor aanbieders worden vermeden, en dat aangemelde instanties bij het verrichten van hun activiteiten naar behoren rekening houden met de omvang van de onderneming, de sector waarin deze actief is, de structuur ervan en de mate van complexiteit van het AI-systeem in kwestie.
Artikel 31
Verzoek om aanmelding van een conformiteitsbeoordelingsinstantie
1. Conformiteitsbeoordelingsinstanties dienen een verzoek om aanmelding in bij de aanmeldende autoriteit van de lidstaat waar zij zijn gevestigd.
2. Het verzoek om aanmelding gaat vergezeld van een beschrijving van de conformiteitsbeoordelingsactiviteiten, de conformiteitsbeoordelingsmodule(s) en de artificiële-intelligentietechnologieën waarvoor de conformiteitsbeoordelingsinstantie verklaart bekwaam te zijn en, indien dit bestaat, van een accreditatiecertificaat dat is afgegeven door een nationale accreditatie-instantie, waarin wordt verklaard dat de conformiteitsbeoordelingsinstantie voldoet aan de eisen in artikel 33. Geldige documenten met betrekking tot bestaande aanwijzingen van de verzoekende aangemelde instantie uit hoofde van andere harmonisatiewetgeving van de Unie worden bijgevoegd.
3. Wanneer de betrokken conformiteitsbeoordelingsinstantie geen accreditatiecertificaat kan overleggen, verschaft zij de aanmeldende autoriteit de bewijsstukken die nodig zijn om haar overeenstemming met de eisen in artikel 33 te verifiëren en te erkennen en om daar geregeld toezicht op te houden. Voor aangemelde instanties die uit hoofde van andere harmonisatiewetgeving van de Unie zijn aangewezen, kunnen waar passend alle documenten en certificaten met betrekking tot die aanwijzingen worden gebruikt om hun aanwijzingsprocedure krachtens deze verordening te ondersteunen.
Artikel 32
Aanmeldingsprocedure
1. Aanmeldende autoriteiten mogen uitsluitend conformiteitsbeoordelingsinstanties aanmelden die aan de eisen in artikel 33 voldoen.
2. Aanmeldende autoriteiten verrichten de aanmelding bij de Commissie en de andere lidstaten door middel van het door de Commissie ontwikkelde en beheerde elektronische aanmeldingssysteem.
3. Bij de aanmelding worden de conformiteitsbeoordelingsactiviteiten, de conformiteitsbeoordelingsmodule(s) en de betrokken artificiële-intelligentietechnologieën uitvoerig beschreven.
4. De betrokken conformiteitsbeoordelingsinstantie mag de activiteiten van een aangemelde instantie alleen verrichten als de Commissie en de andere lidstaten binnen één maand na een aanmelding geen bezwaren hebben ingediend.
5. Aanmeldende autoriteiten stellen de Commissie en de andere lidstaten in kennis van alle latere wijzigingen die van belang zijn voor de aanmelding.
Artikel 33
Aangemelde instanties
1. Aangemelde instanties controleren de conformiteit van AI-systemen met een hoog risico overeenkomstig de conformiteitsbeoordelingsprocedures als bedoeld in artikel 43.
2. Aangemelde instanties voldoen aan de eisen inzake organisatie, kwaliteitsbeheer, personeel en processen die nodig zijn voor het vervullen van hun taken.
3. De organisatiestructuur, de toewijzing van verantwoordelijkheden, de rapportagelijnen en het functioneren van aangemelde instanties moeten van dien aard zijn dat ze ervoor zorgen dat er vertrouwen is in de uitvoering en de resultaten van de conformiteitsbeoordelingsactiviteiten die de aangemelde instanties verrichten.
4. Aangemelde instanties zijn onafhankelijk van de aanbieder van een AI-systeem met een hoog risico met betrekking waartoe de aanbieder conformiteitsbeoordelingsactiviteiten verricht. Aangemelde instanties zijn ook onafhankelijk van andere exploitanten die een economisch belang hebben in het beoordeelde AI-systeem met een hoog risico, alsook van concurrenten van de aanbieder.
5. Aangemelde instanties worden zodanig georganiseerd en functioneren zodanig dat de onafhankelijkheid, objectiviteit en onpartijdigheid van hun activiteiten gewaarborgd zijn. Aangemelde instanties documenteren en implementeren een structuur en procedures voor het waarborgen van de onpartijdigheid en voor het bevorderen en toepassen van de onpartijdigheidsbeginselen in hun gehele organisatie, onder het personeel en in de beoordelingsactiviteiten.
6. Aangemelde instanties beschikken over gedocumenteerde procedures die waarborgen dat hun personeel, comités, dochterondernemingen, onderaannemers, geassocieerde instanties of personeel van externe instanties de vertrouwelijkheid in acht nemen van de informatie die zij tijdens conformiteitsbeoordelingsactiviteiten in hun bezit krijgen, behalve wanneer openbaarmaking wettelijk vereist is. Het personeel van aangemelde instanties is gebonden aan het beroepsgeheim ten aanzien van alle informatie waarvan het kennis neemt bij de uitoefening van de taken uit hoofde van deze verordening, behalve ten opzichte van de aanmeldende autoriteiten van de lidstaat waar de activiteiten plaatsvinden.
7. Aangemelde instanties beschikken over de nodige procedures voor de uitoefening van hun activiteiten, waarin voldoende rekening wordt gehouden met de omvang van een onderneming, de sector waarin zij actief is, haar structuur en de relatieve complexiteit van het AI-systeem in kwestie.
8. Aangemelde instanties sluiten voor hun conformiteitsbeoordelingsactiviteiten een passende aansprakelijkheidsverzekering af, tenzij de wettelijke aansprakelijkheid krachtens het interne recht door de lidstaat in kwestie wordt gedekt of die lidstaat rechtstreeks verantwoordelijk is voor de conformiteitsbeoordeling.
9. Aangemelde instanties zijn in staat alle hun bij deze verordening toegewezen taken te verrichten met de grootste mate van beroepsintegriteit en met de vereiste bekwaamheid op het specifieke gebied, ongeacht of deze taken door de aangemelde instanties zelf dan wel namens hen en onder hun verantwoordelijkheid worden verricht.
10. Aangemelde instanties beschikken over voldoende interne deskundigheid om de door namens hen externe partijen verrichte taken doeltreffend te kunnen evalueren. Hiertoe beschikken aangemelde instanties te allen tijde en voor elke conformiteitsbeoordelingsprocedure en elk type AI-systeem met een hoog risico met betrekking waartoe zij zijn aangewezen, over voldoende administratief, technisch en wetenschappelijk personeel met ervaring en kennis ten aanzien van de relevante artificiële-intelligentietechnologieën, data en dataverwerking en de voorschriften van hoofdstuk 2 van deze titel.
11. Aangemelde instanties nemen deel aan coördinatieactiviteiten als bedoeld in artikel 38. Zij nemen ook rechtstreeks deel aan of worden vertegenwoordigd in Europese normalisatie-instellingen of zorgen ervoor op de hoogte te zijn van actuele relevante normen.
12. Aangemelde instanties stellen alle relevante documentatie, waaronder de documentatie van de aanbieder, ter beschikking van de aanmeldende autoriteit als bedoeld in artikel 30, en verstrekken die aan haar op verzoek, teneinde haar in staat te stellen haar beoordelings-, aanwijzings-, kennisgevings-, monitoring- en toezichtactiviteiten te verrichten, en de in dit hoofdstuk beschreven beoordeling te vergemakkelijken.
Artikel 34
Dochterondernemingen van en uitbesteding door aangemelde instanties
1. Wanneer de aangemelde instantie specifieke taken in verband met de conformiteitsbeoordeling uitbesteedt of door een dochteronderneming laat uitvoeren, waarborgt zij dat de onderaannemer of dochteronderneming aan de eisen van artikel 33 voldoet, en brengt zij de aanmeldende autoriteit hiervan op de hoogte.
2. Aangemelde instanties nemen de volledige verantwoordelijkheid op zich voor de taken die worden verricht door onderaannemers of dochterondernemingen, ongeacht waar deze gevestigd zijn.
3. Activiteiten mogen uitsluitend met instemming van de aanbieder worden uitbesteed of door een dochteronderneming worden uitgevoerd.
4. Aangemelde instanties houden de relevante documenten over de beoordeling van de kwalificaties van de onderaannemer of de dochteronderneming en over de door de onderaannemer of dochteronderneming krachtens deze verordening uitgevoerde werkzaamheden ter beschikking van de aanmeldende autoriteit.
Artikel 35
Identificatienummers en lijsten van krachtens deze verordening aangewezen aangemelde instanties
1. De Commissie kent aangemelde instanties een identificatienummer toe. Zij kent per instantie slechts één nummer toe, ook als een instantie uit hoofde van diverse handelingen van de Unie is aangemeld.
2. De Commissie maakt de lijst van krachtens deze verordening aangemelde instanties openbaar, onder vermelding van de aan hen toegekende identificatienummers en de activiteiten waarvoor zij zijn aangemeld. De Commissie zorgt ervoor dat de lijst actueel blijft.
Artikel 36
Wijzigingen in de aanmelding
1. Wanneer een aanmeldende autoriteit het vermoeden heeft of heeft vernomen dat een aangemelde instantie niet meer aan de eisen van artikel 33 voldoet of haar verplichtingen niet nakomt, moet de autoriteit de kwestie onverwijld zo zorgvuldig mogelijk onderzoeken. In die context stelt zij de betrokken aangemelde instantie in kennis van de geopperde bezwaren en biedt zij haar de mogelijkheid haar standpunten kenbaar te maken. Als de aanmeldende autoriteit tot de conclusie komt dat de onderzochte aangemelde instantie niet meer aan de eisen van artikel 33 voldoet of haar verplichtingen niet nakomt, wordt de aanmelding door haar beperkt, geschorst of ingetrokken, als passend, afhankelijk van de ernst van de tekortkoming. Zij brengt daar ook de Commissie en de andere lidstaten onmiddellijk van op de hoogte.
2. Wanneer de aanmelding wordt beperkt, geschorst of ingetrokken, of de aangemelde instantie haar activiteiten heeft gestaakt, doet de aanmeldende autoriteit het nodige om ervoor te zorgen dat de dossiers van die aangemelde instantie hetzij door een andere aangemelde instantie worden overgenomen, hetzij aan de verantwoordelijke aanmeldende autoriteiten op hun verzoek ter beschikking kunnen worden gesteld.
Artikel 37
Betwisting van de bekwaamheid van aangemelde instanties
1. De Commissie onderzoekt indien nodig alle gevallen waarin er redenen zijn om te twijfelen of een aangemelde instantie aan de eisen van artikel 33 voldoet.
2. De aanmeldende autoriteit verstrekt de Commissie op verzoek alle relevante informatie over de aanmelding van de betrokken aangemelde instantie.
3. De Commissie ziet erop toe dat alle vertrouwelijke informatie die zij in de loop van haar onderzoeken overeenkomstig dit artikel ontvangt, vertrouwelijk wordt behandeld.
4. Wanneer de Commissie vaststelt dat een aangemelde instantie niet of niet meer aan de eisen van artikel 33 voldoet, neemt zij een met redenen omkleed besluit om de aanmeldende lidstaat te verzoeken de nodige corrigerende maatregelen te nemen en zo nodig de aanmelding in te trekken. De uitvoeringshandeling wordt vastgesteld volgens de in artikel 74, lid 2, bedoelde onderzoeksprocedure.
Artikel 38
Coördinatie van aangemelde instanties
1. Ten aanzien van de onder deze verordening vallende gebieden zorgt de Commissie voor het instellen en naar behoren uitvoeren van passende coördinatie en samenwerking tussen aangemelde instanties die zich bezighouden met de conformiteitsbeoordelingsprocedures van AI-systemen krachtens deze verordening in de vorm van een sectorale groep van aangemelde instanties.
2. De lidstaten zorgen ervoor dat de door hen aangemelde instanties rechtstreeks of via aangestelde vertegenwoordigers aan de werkzaamheden van die groep deelnemen.
Artikel 39
Conformiteitsbeoordelingsinstanties van derde landen
Conformiteitsbeoordelingsinstanties die zijn opgericht naar het recht van een derde land waarmee de Unie een overeenkomst heeft gesloten, kunnen worden gemachtigd de activiteiten van aangemelde instanties krachtens deze verordening te verrichten.
Hoofdstuk 5
NORMEN, CONFORMITEITSBEOORDELING, CERTIFICATEN, REGISTRATIE
Artikel 40
Geharmoniseerde normen
AI-systemen met een hoog risico die in overeenstemming zijn met geharmoniseerde normen of delen daarvan, waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de in hoofdstuk 2 van deze titel beschreven voorschriften, voor zover die voorschriften door die normen worden bestreken.
Artikel 41
Gemeenschappelijke specificaties
1. Wanneer geharmoniseerde normen als bedoeld in artikel 40 niet bestaan of wanneer de Commissie meent dat de relevante geharmoniseerde normen ontoereikend zijn of specifieke punten op het gebied van veiligheid of grondrechten moeten worden aangepakt, kan de Commissie door middel van uitvoeringshandelingen gemeenschappelijke specificaties ten aanzien van de in hoofdstuk 2 van deze titel beschreven voorschriften vaststellen. Die uitvoeringshandelingen worden volgens de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.
2. De Commissie vergaart bij het opstellen van de in lid 1 bedoelde gemeenschappelijke specificaties de standpunten van relevante instanties of deskundigengroepen die krachtens relevant sectoraal Unierecht zijn opgericht.
3. AI-systemen met een hoog risico die in overeenstemming zijn met de in lid 1 bedoelde gemeenschappelijke specificaties, worden geacht in overeenstemming te zijn met de in hoofdstuk 2 van deze titel beschreven voorschriften, voor zover die voorschriften door die gemeenschappelijke specificaties worden bestreken.
4. Wanneer aanbieders niet voldoen aan de in lid 1 bedoelde gemeenschappelijke specificaties, moeten zij naar behoren rechtvaardigen dat zij technische oplossingen hebben gekozen die minstens gelijkwaardig daarmee zijn.
Artikel 42
Vermoeden van conformiteit met bepaalde eisen
1. Rekening houdend met het beoogde doel worden AI-systemen met een hoog risico die zijn getraind en getest op data betreffende de specifieke geografische, functionele en gedragsomgeving waarin zij zullen worden gebruikt, geacht in overeenstemming te zijn met de in artikel 10, lid 4, beschreven eis.
2. AI-systemen met een hoog risico die zijn gecertificeerd of waarvoor een conformiteitsverklaring is verstrekt volgens een cyberbeveiligingsregeling krachtens Verordening (EU) 2019/881 van het Europees Parlement en de Raad 63 en waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de in artikel 15 van deze verordening beschreven cyberbeveiligingseisen, voor zover die eisen door het cyberbeveiligingscertificaat of de conformiteitsverklaring of delen daarvan worden bestreken.
Artikel 43
Conformiteitsbeoordeling
1. Voor in punt 1 van bijlage III opgesomde AI-systemen met een hoog risico volgt de aanbieder, wanneer bij het aantonen van de overeenstemming met de in hoofdstuk 2 van deze titel beschreven voorschriften van een AI-systeem met een hoog risico de aanbieder geharmoniseerde normen als bedoeld in artikel 40 of in voorkomend geval gemeenschappelijke specificaties als bedoeld in artikel 41 heeft toegepast, een van de volgende procedures:
(a)de conformiteitsbeoordelingsprocedure op basis van interne controle als bedoeld in bijlage VI;
(b)de conformiteitsbeoordelingsprocedure op basis van beoordeling van het kwaliteitsbeheersysteem en beoordeling van de technische documentatie, met betrokkenheid van een aangemelde instantie, als bedoeld in bijlage VII.
Wanneer bij het aantonen van de overeenstemming met de in hoofdstuk 2 van deze titel beschreven voorschriften van een AI-systeem met een hoog risico de aanbieder geharmoniseerde normen als bedoeld in artikel 40 niet of slechts ten dele heeft toegepast of wanneer zulke geharmoniseerde normen niet bestaan en gemeenschappelijke specificaties als bedoeld in artikel 41 niet voorhanden zijn, volgt de aanbieder de in bijlage VII beschreven conformiteitsbeoordelingsprocedure.
Voor de conformiteitsbeoordelingsprocedure als bedoeld in bijlage VII kan de aanbieder eender welke aangemelde instantie kiezen. Wanneer het systeem echter is bedoeld om door rechtshandhavings-, immigratie- of asielautoriteiten alsook EU-instellingen, -organen of -instanties in bedrijf te worden gesteld, treedt de markttoezichtautoriteit als bedoeld in artikel 63, lid 5 of 6, naar gelang van toepassing, als aangemelde instantie op.
2. Voor AI-systemen met een hoog risico als bedoeld in de punten 2 tot en met 8 van bijlage III volgen aanbieders de conformiteitsbeoordelingsprocedure op basis van interne controle als bedoeld in bijlage VI, waarvoor de betrokkenheid van een aangemelde instantie niet nodig is. Voor AI-systemen met een hoog risico als bedoeld in punt 5, b), van bijlage III, die in de handel worden gebracht of in bedrijf worden gesteld door onder Richtlijn 2013/36/EU vallende kredietinstellingen, wordt de conformiteitsbeoordeling uitgevoerd als onderdeel van de procedure als bedoeld in de artikelen 97 tot en met 101 van die richtlijn.
3. Voor AI-systemen met een hoog risico waarop in bijlage II, deel A, vermelde rechtshandelingen van toepassing zijn, volgt de aanbieder de relevante conformiteitsbeoordelingsprocedure zoals vereist volgens die rechtshandelingen. De in hoofdstuk 2 van deze titel beschreven voorschriften zijn van toepassing op die AI-systemen met een hoog risico en maken deel uit van die beoordeling. De punten 4.3, 4.4, 4.5 en de vijfde alinea van punt 4.6 van bijlage VII zijn eveneens van toepassing.
Voor die beoordeling hebben aangemelde instanties die volgens die rechtshandelingen zijn aangemeld het recht de conformiteit van de AI-systemen met een hoog risico met de in hoofdstuk 2 van deze titel beschreven voorschriften te controleren, mits de overeenstemming van die aangemelde instanties met voorschriften in artikel 33, leden 4, 9 en 10, in de context van de aanmeldingsprocedure volgens die rechtshandelingen is beoordeeld.
Wanneer de in bijlage II, deel A, vermelde rechtshandelingen de fabrikant van het producent in staat stellen zich te onttrekken aan een conformiteitsbeoordeling door een derde, mits die fabrikant alle geharmoniseerde normen voor alle relevante voorschriften heeft toegepast, kan de fabrikant alleen van die mogelijkheid gebruikmaken als hij ook geharmoniseerde normen of in voorkomend geval gemeenschappelijke specificaties als bedoeld in artikel 41 heeft toegepast, voor de in hoofdstuk 2 van deze titel beschreven voorschriften.
4. AI-systemen met een hoog risico ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij wezenlijk zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiker gebruikt blijft worden.
Voor AI-systemen met een hoog risico die doorgaan met leren na in de handel te zijn gebracht of in bedrijf te zijn gesteld, vormen veranderingen van het AI-systeem met een hoog risico en de prestaties ervan die op het moment van de eerste conformiteitsbeoordeling vooraf door de aanbieder zijn bepaald en deel uitmaken van de informatie in de technische documentatie als bedoeld in punt 2, f), van bijlage IV, geen wezenlijke wijziging.
5. De Commissie is bevoegd om gedelegeerde handelingen vast te stellen overeenkomstig artikel 73 ten behoeve van het bijwerken van de bijlagen VI en VII, teneinde elementen van de conformiteitsbeoordelingsprocedures in te voeren die noodzakelijk worden in het licht van de technische vooruitgang.
6. De Commissie is bevoegd om gedelegeerde handelingen vast te stellen om de leden 1 en 2 te wijzigen, teneinde AI-systemen met een hoog risico als bedoeld in de punten 2 tot en met 8 van bijlage III te onderwerpen aan de conformiteitsbeoordelingsprocedure als bedoeld in bijlage VII of delen daarvan. De Commissie stelt zulke gedelegeerde handelingen vast rekening houdend met de doeltreffendheid van de conformiteitsbeoordelingsprocedure op basis van interne controle als bedoeld in bijlage VI bij het voorkomen of minimaliseren van de risico’s voor de gezondheid en veiligheid en de bescherming van grondrechten die zulke systemen inhouden alsook met de beschikbaarheid van voldoende capaciteit en personeel onder aangemelde instanties.
Artikel 44
Certificaten
1. Door aangemelde instanties overeenkomstig bijlage VII afgegeven certificaten worden opgesteld in een officiële taal van de Unie, vastgesteld door de lidstaat waar de aangemelde instantie is gevestigd, of in een officiële taal van de Unie die voor de aangemelde instantie anderszins aanvaardbaar is.
2. Certificaten zijn geldig gedurende de daarin aangegeven periode, die niet meer dan vijf jaar mag bedragen. Op verzoek van de aanbieder kan de geldigheidsduur van een certificaat op grond van een herbeoordeling volgens de toepasselijke conformiteitsbeoordelingsprocedures worden verlengd met bijkomende perioden, die elk niet meer dan vijf jaar mogen bedragen.
3. Indien een aangemelde instantie vaststelt dat een AI-systeem niet meer aan de in hoofdstuk 2 van deze titel beschreven voorschriften voldoet, gaat zij, rekening houdend met het evenredigheidsbeginsel, over tot schorsing of intrekking van het afgegeven certificaat of legt zij beperkingen op, tenzij de aanbieder van het systeem, met het oog op de naleving van deze voorschriften, binnen een door de aangemelde instantie vastgestelde passende termijn adequate corrigerende actie onderneemt. De aangemelde instantie geeft de redenen voor haar besluit op.
Artikel 45
Beroep tegen besluiten van aangemelde instanties
De lidstaten voorzien in een beroepsprocedure tegen besluiten van aangemelde instanties voor partijen die een rechtmatig belang bij dat besluit hebben.
Artikel 46
Informatieverplichtingen voor aangemelde instanties
1. Aangemelde instanties brengen de aanmeldende instantie op de hoogte van:
(a)EU-beoordelingscertificaten van technische documentatie, aanvullingen op die certificaten en goedkeuringen voor kwaliteitsbeheersystemen afgegeven overeenkomstig de eisen van bijlage VII;
(b)weigering, beperking, schorsing of intrekking van een EU-beoordelingscertificaat van technische documentatie of een goedkeuring voor kwaliteitsbeheersystemen afgegeven overeenkomstig de eisen van bijlage VII;
(c)omstandigheden die van invloed zijn op het toepassingsgebied van of de voorwaarden voor de aanmelding;
(d)verzoeken om informatie over conformiteitsbeoordelingsactiviteiten die zij van markttoezichtautoriteiten ontvangen;
(e)op verzoek, de binnen het toepassingsgebied van hun aanmelding verrichte conformiteitsbeoordelingsactiviteiten en andere activiteiten, waaronder grensoverschrijdende activiteiten en uitbestede activiteiten.
2. Elke aangemelde instantie brengt de andere aangemelde instanties op de hoogte van:
(a)door haar geweigerde, opgeschorte of ingetrokken goedkeuringen voor kwaliteitsbeheersystemen alsmede, op verzoek, van de door haar verleende goedkeuringen voor kwaliteitsbeheersystemen;
(b)EU-beoordelingscertificaten van technische documentatie of aanvullingen daarop die zij heeft geweigerd, ingetrokken, opgeschort of anderszins beperkt alsmede, op verzoek, de certificaten en/of aanvullingen daarop die zij heeft uitgegeven.
3. Elke aangemelde instantie verstrekt de andere aangemelde instanties die soortgelijke conformiteitsbeoordelingsactiviteiten voor dezelfde artificiële-intelligentietechnologieën verrichten, relevante informatie over negatieve conformiteitsbeoordelingsresultaten, en op verzoek ook over positieve conformiteitsbeoordelingsresultaten.
Artikel 47
Afwijking van de conformiteitsbeoordelingsprocedure
1. In afwijking van artikel 43 kan een markttoezichtautoriteit het in de handel brengen of in bedrijf stellen van specifieke AI-systemen met een hoog risico binnen het grondgebied van de betrokken lidstaat toelaten, om uitzonderlijke redenen van openbare veiligheid of de bescherming van het leven en de gezondheid van personen, milieubescherming en de bescherming van essentiële industriële en infrastructurele activa. De toelating geldt gedurende een beperkte periode, terwijl de nodige conformiteitsbeoordelingsprocedures worden uitgevoerd, en wordt beëindigd zodra die procedures zijn afgerond. Die procedures worden zo snel mogelijk afgerond.
2. De in lid 1 bedoelde toelating wordt alleen verstrekt als de markttoezichtautoriteit concludeert dat het AI-systeem met een hoog risico aan de voorschriften van hoofdstuk 2 van deze titel voldoet. De markttoezichtautoriteit stelt de Commissie en de ander lidstaten in kennis van overeenkomstig lid 1 verstrekte toelatingen.
3. Indien binnen 15 kalenderdagen na de ontvangst van de in lid 2 bedoelde informatie geen bezwaar is geopperd door een lidstaat of de Commissie tegen een door een markttoezichtautoriteit van een lidstaat overeenkomstig lid 1 verstrekte toelating, wordt die toelating geacht gerechtvaardigd te zijn.
4. Indien binnen 15 kalenderdagen na de ontvangst van in lid 2 bedoelde kennisgeving door een lidstaat bezwaren worden geopperd tegen een door een markttoezichtautoriteit van een andere lidstaat verstrekte toelating, of wanneer de Commissie de toelating in strijd met het Unierecht acht of de conclusie van de lidstaten ten aanzien van de conformiteit van het systeem als bedoeld in lid 2 ongegrond acht, treedt de Commissie onverwijld in overleg met de relevante lidstaat; de betrokken exploitanten worden geraadpleegd en hebben de mogelijkheid hun standpunten uiteen te zetten. Met het oog daarop besluit de Commissie of de toelating al dan niet gerechtvaardigd is. De Commissie richt haar besluit aan de betrokken lidstaat en de relevante exploitant(en).
5. Als de toelating ongerechtvaardigd wordt geacht, wordt deze ingetrokken door de markttoezichtautoriteit van de betrokken lidstaat.
6. In afwijking van de leden 1 tot en met 5 zijn voor AI-systemen met een hoog risico bedoeld voor gebruik als veiligheidscomponenten van apparaten zijn, of die zelf apparaten zijn, als bedoeld in Verordening (EU) 2017/745 en Verordening (EU) 2017/746, artikel 59 van Verordening (EU) 2017/745 en artikel 54 van Verordening (EU) 2017/746 ook van toepassing met betrekking tot de afwijking van de conformiteitsbeoordeling van de naleving van de in hoofdstuk 2 van deze titel beschreven voorschriften.
Artikel 48
EU-conformiteitsverklaring
1. De aanbieder stelt voor elk AI-systeem een EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in bedrijf stellen van het AI-systeem ter beschikking van de nationale bevoegde autoriteiten. In de EU-conformiteitsverklaring wordt vermeld voor welk AI-systeem ze is opgesteld. Op verzoek wordt een kopie van de EU-conformiteitsverklaring aan de relevante nationale bevoegde autoriteiten verstrekt.
2. In de EU-conformiteitsverklaring wordt vermeld dat het betreffende AI-systeem met een hoog risico aan de hoofdstuk 2 van deze titel beschreven voorschriften voldoet. De EU-conformiteitsverklaring bevat de informatie die is vervat in bijlage V en wordt vertaald in een of meer officiële talen van de Unie, zoals vereist door de lidstaat (lidstaten) waarin het AI-systeem met een hoog risico wordt aangeboden.
3. Wanneer AI-systemen met een hoog risico onder andere harmonisatiewetgeving van de Unie vallen, waarvoor ook een EU-conformiteitsverklaring is vereist, wordt één EU-conformiteitsverklaring ten aanzien van alle op het AI-systeem met een hoog risico toepasselijke Uniewetgeving opgesteld. De verklaring bevat alle informatie die vereist is voor de identificatie van de harmonisatiewetgeving van de Unie waarop de verklaring betrekking heeft.
4. Met het opstellen van de EU-conformiteitsverklaring neemt de aanbieder de verantwoordelijkheid op zich om de in hoofdstuk 2 van deze titel beschreven voorschriften na te leven. De aanbieder houdt de EU-conformiteitsverklaring voor zover dienstig up-to-date.
5. De Commissie is bevoegd om gedelegeerde handelingen vast te stellen overeenkomstig artikel 73 ten behoeve van het bijwerken van de in bijlage V beschreven inhoud van de EU-conformiteitsverklaring, teneinde elementen in te voeren die noodzakelijk worden in het licht van de technische vooruitgang.
Artikel 49
CE-conformiteitsmarkering
1. De CE-markering wordt zichtbaar, leesbaar en onuitwisbaar op AI-systemen met een hoog risico aangebracht. Wanneer dit gezien de aard van het AI-systeem met een hoog risico niet mogelijk of niet gerechtvaardigd is, wordt de markering naargelang het geval op de verpakking of in de begeleidende documenten aangebracht.
2. De in lid 1 van dit artikel bedoelde CE-markering is onderworpen aan de algemene beginselen die staan vermeld in artikel 30 van Verordening (EG) nr. 765/2008.
3. Indien van toepassing, wordt de CE-markering gevolgd door het identificatienummer van de aangemelde instantie die verantwoordelijk is voor de in artikel 43 beschreven conformiteitsbeoordelingsprocedures. Het identificatienummer wordt ook vermeld in reclamemateriaal waarin staat dat een AI-systeem met een hoog risico aan de vereisten voor de CE-markering voldoet.
Artikel 50
Bewaren van documenten
De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem in de handel is gebracht of in bedrijf is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten:
(a)de technische documentatie als bedoeld in artikel 11;
(b)de documentatie betreffende het kwaliteitsbeheersysteem als bedoeld in artikel 17;
(c)in voorkomend geval de documentatie betreffende de door aangemelde instanties goedgekeurde wijzigingen;
(d)in voorkomend geval de besluiten en andere documenten die door de aangemelde instanties zijn afgegeven;
(e)de EU-conformiteitsverklaring als bedoeld in artikel 48.
Artikel 51
Registratie
Alvorens een AI-systeem met een hoog risico in de handel te brengen of in bedrijf te stellen als bedoeld in artikel 6, lid 2, registreert de aanbieder of in voorkomend geval de gemachtigde dat systeem in de in artikel 60 bedoelde EU-databank.
TITEL IV
TRANSPARANTIEVERPLICHTINGEN VOOR BEPAALDE AI-SYSTEMEN
Artikel 52
Transparantieverplichtingen voor bepaalde AI-systemen
1. Aanbieders zorgen ervoor dat AI-systemen die voor interactie met natuurlijke personen zijn bedoeld, zodanig worden ontworpen en ontwikkeld dat natuurlijke personen worden geïnformeerd dat zij interageren met een AI-systeem, tenzij de omstandigheden en de gebruikscontext dit duidelijk maken. Deze verplichting is niet van toepassing op bij wet toegestane AI-systemen voor het opsporen, voorkomen, onderzoeken en vervolgen van strafbare feiten, tenzij die systemen voor het publiek beschikbaar zijn om een strafbaar feit te melden.
2. Gebruikers van een emotieherkenningssysteem of een biometrisch indelingssysteem informeren de daaraan blootgestelde natuurlijke personen over de werking van het systeem. Deze verplichting is niet van toepassing op voor biometrische indeling gebruikte AI-systemen, die bij wet zijn toegestaan om strafbare feiten op te sporen, te voorkomen en te onderzoeken.
3. Gebruikers van een AI-systeem dat beeld-, audio- of videomateriaal genereert of bewerkt dat aanzienlijk op bestaande personen, objecten, plaatsen of andere entiteiten of gebeurtenissen lijkt en voor een persoon onterecht als authentiek of waarheidsgetrouw (“deep fake”) zou overkomen, maken bekend dat het materiaal kunstmatig is gegenereerd of bewerkt.
De eerste alinea is echter niet van toepassing wanneer het gebruik bij wet is toegestaan om strafbare feiten op te sporen, te voorkomen, te onderzoeken en te vervolgen of nodig is voor het doen gelden van het recht op vrijheid van meningsuiting en het recht op vrijheid van kunsten en wetenschappen die in het EU-Handvest van de grondrechten worden gewaarborgd, en behoudens passende waarborgen voor de rechten en vrijheden van derden.
4. De leden 1, 2 en 3 doen geen afbreuk aan de in titel III van deze verordening beschreven eisen en verplichtingen.
TITEL V
MAATREGELEN TER ONDERSTEUNING VAN INNOVATIE
Artikel 53
AI-testomgevingen voor regelgeving
1. Door bevoegde autoriteiten van een of meer lidstaten of de Europese Toezichthouder voor gegevensbescherming ontwikkelde AI-testomgevingen voor regelgeving voorzien in een gecontroleerde omgeving ter vergemakkelijking van het volgens een specifiek plan ontwikkelen, testen en valideren van innovatieve AI-systemen voor een beperkte duur voordat zij in de handel worden gebracht of in bedrijf worden gesteld. Dit vindt plaats onder direct toezicht en met directe begeleiding van de bevoegde autoriteiten teneinde naleving van de eisen van deze verordening te waarborgen en in voorkomend geval andere wetgeving van de Unie en de lidstaten onder toezicht binnen de testomgeving.
2. De lidstaten zorgen ervoor dat voor zover de innovatieve AI-systemen betrekking hebben op de verwerking van persoonsgegevens of anderszins onder het toezicht van andere nationale autoriteiten of bevoegde autoriteiten vallen die toegang tot data verstrekken of ondersteunen, de nationale gegevensbeschermingsautoriteiten of die andere nationale autoriteiten bij de werking van de AI-testomgeving voor regelgeving zijn betrokken.
3. De AI-testomgevingen voor regelgeving laten de toezichthoudende en corrigerende bevoegdheden van de bevoegde autoriteiten onverlet. Significante risico’s voor de gezondheid en veiligheid en de grondrechten die tijdens het ontwikkelen en testen van dergelijke systemen worden vastgesteld, worden onmiddellijk beperkt en leiden bij gebreke daarvan tot de opschorting van het ontwikkelings- en testproces totdat beperkende maatregelen worden getroffen.
4. Deelnemers aan de AI-testomgeving voor regelgeving blijven aansprakelijk overeenkomstig toepasselijke aansprakelijkheidswetgeving van de Unie en de lidstaten voor aan derden toegebrachte schade als gevolg van de experimenten in de testomgeving.
5. De bevoegde autoriteiten van de lidstaten die AI-testomgevingen voor regelgeving hebben ontwikkeld, coördineren hun activiteiten en werken samen binnen het kader van het Europees Comité voor artificiële intelligentie. Zij dienen jaarverslagen bij het Comité en de Commissie in over de resultaten van de uitvoering van die regelingen, met inbegrip van goede praktijken, geleerde lessen en aanbevelingen over de opzet ervan en, waar relevant, over de toepassing van deze verordening en andere Uniewetgeving onder toezicht binnen de testomgeving.
6. De modaliteiten en de voorwaarden van de werking van de AI-testomgevingen voor regelgeving, waaronder de toelatingscriteria en de procedures voor de toepassing en selectie van, deelname aan en terugtrekking uit de testomgeving, en de rechten en plichten van de deelnemers worden in uitvoeringshandelingen uiteengezet. Die uitvoeringshandelingen worden volgens de in artikel 74, lid 2, bedoelde onderzoeksprocedure vastgesteld.
Artikel 54
Verdere verwerking van persoonsgegevens voor het ontwikkelen van bepaalde AI-systemen in het algemene belang in de AI-testomgeving voor regelgeving
1. In de AI-testomgeving voor regelgeving worden rechtmatig voor andere doeleinden verzamelde persoonsgegevens onder de volgende voorwaarden verwerkt ten behoeve van het ontwikkelen en testen van bepaalde innovatieve AI-systemen in de testomgeving:
(a)de innovatieve AI-systemen worden ontwikkeld voor het beschermen van zwaarwegend algemeen belang op een of meer van de volgende gebieden:
i) de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, onder de controle en verantwoordelijkheid van de bevoegde autoriteiten. De verwerking is gebaseerd op het recht van de lidstaten of de Unie;
ii) de openbare veiligheid en volksgezondheid, waaronder ziektepreventie, -beheersing en -behandeling;
iii) een hoog niveau van bescherming en verbetering van de kwaliteit van het milieu;
(b)de verwerkte data zijn nodig om te voldoen aan een of meer van de in titel III, hoofdstuk 2, beschreven voorschriften wanneer die voorschriften niet doeltreffend kunnen worden vervuld door het verwerken van geanonimiseerde, synthetische of andere niet persoonsgebonden data;
(c)er zijn doeltreffende monitoringmechanismen om vast te stellen of zich tijdens de experimenten in de testomgeving hoge risico’s voor de grondrechten van de betrokkenen kunnen voordoen evenals responsmechanismen om die risico’s onmiddellijk te beperken en indien nodig de verwerking stop te zetten;
(d)in het kader van de testomgeving te verwerken persoonsgegevens bevinden zich in een functioneel gescheiden, geïsoleerde en beschermde omgeving voor dataverwerking onder de controle van de deelnemers, waarbij alleen bevoegde personen toegang hebben tot die data;
(e)verwerkte persoonsgegevens mogen niet door andere partijen worden verzonden, doorgegeven of anderszins worden geraadpleegd;
(f)de verwerking van persoonsgegevens in het kader van de testomgeving mag niet leiden tot maatregelen of besluiten die gevolgen hebben voor de betrokkenen;
(g)in het kader van de testomgeving verwerkte persoonsgegevens worden gewist nadat de deelname aan de testomgeving is beëindigd of de periode van bewaring van de persoonsgegevens ten einde is gekomen;
(h)de logbestanden van de verwerking van persoonsgegevens in het kader van de testomgeving worden tijdens de duur van de deelname aan de testomgeving en één jaar na beëindiging ervan bewaard, uitsluitend ten behoeve van en alleen zo lang als nodig is voor het nakomen van aansprakelijkheids- en documenteringsverplichtingen overeenkomstig dit artikel of andere toepasselijke wetgeving van de Unie of de lidstaten;
(i)een volledige en gedetailleerde beschrijving van het proces en de onderbouwing van het trainen, testen en valideren van het AI-systeem wordt samen de testresultaten bewaard als onderdeel van de technische documentatie in bijlage IV;
(j)een korte samenvatting van het in de testomgeving ontwikkelde AI-project en de doelstellingen en verwachte resultaten ervan worden op de website van de bevoegde autoriteiten gepubliceerd.
2. Lid 1 laat wetgeving van de Unie of de lidstaten onverlet, uitgezonderd verwerking voor andere doeleinden dan die uitdrukkelijk vermeld in die wetgeving.
Artikel 55
Maatregelen voor kleine aanbieders en gebruikers
1. De lidstaten ondernemen de volgende acties:
(a)kleine aanbieders en start-ups prioritaire toegang verlenen tot de AI-testomgevingen voor regelgeving voor zover zij aan de toelatingscriteria voldoen;
(b)specifieke bewustmakingsactiviteiten organiseren rond de toepassing van deze verordening, afgestemd op de behoeften van kleine aanbieders en gebruikers;
(c)indien passend een specifiek kanaal voor communicatie met kleine aanbieders en gebruikers en andere innovatoren opzetten om begeleiding te bieden en vragen over de uitvoering van deze verordening te beantwoorden.
2. De specifieke belangen en behoeften van kleine aanbieders worden in aanmerking genomen bij het bepalen van de vergoedingen voor conformiteitsbeoordelingen overeenkomstig artikel 43, waarbij die vergoedingen naar evenredigheid van hun omvang en marktgrootte worden verlaagd.
TITEL VI
GOVERNANCE
Hoofdstuk 1
Europees Comité voor artificiële intelligentie
Artikel 56
Oprichting van het Europees Comité voor artificiële intelligentie
1. Er wordt een Europees Comité voor artificiële intelligentie (het “Comité”) opgericht.
2. Het Comité verstrekt advies en bijstand aan de Commissie teneinde:
(a)bij te dragen aan de doeltreffende samenwerking van de nationale toezichthoudende autoriteiten en de Commissie ten aanzien van de onder deze verordening vallende aangelegenheden;
(b)te zorgen voor coördinatie van en bijdrage aan de begeleiding en analyse door de Commissie en de nationale toezichthoudende autoriteiten en andere bevoegde autoriteiten wat betreft opkomende kwesties in de gehele interne markt ten aanzien van de onder deze verordening vallende aangelegenheden;
(c)de nationale toezichthoudende autoriteiten en de Commissie bij te staan bij het waarborgen van de consistente toepassing van deze verordening.
Artikel 57
Structuur van het Comité
1. Het Comité is samengesteld uit de nationale toezichthoudende autoriteiten, die worden vertegenwoordigd door het hoofd of een gelijkwaardige hoge ambtenaar van die autoriteit, en de Europese Toezichthouder voor gegevensbescherming. Andere nationale autoriteiten kunnen voor de vergaderingen worden uitgenodigd, wanneer de besproken kwesties relevant zijn voor hen.
2. Het Comité stelt zijn reglement bij eenvoudige meerderheid van zijn leden vast, na goedkeuring door de Commissie. Het reglement bevat ook de operationele aspecten ten aanzien van de uitvoering van de taken van het Comité als vermeld in artikel 58. Het Comité kan in voorkomend geval subgroepen oprichten om specifieke kwesties te onderzoeken.
3. Het Comité wordt voorgezeten door de Commissie. De Commissie roept de vergaderingen bijeen en stelt de agenda op overeenkomstig de taken van het Comité krachtens deze verordening en overeenkomstig zijn reglement. De Commissie biedt administratieve en analytische steun voor de activiteiten van het Comité krachtens deze verordening.
4. Het Comité kan externe deskundigen en waarnemers uitnodigen om zijn vergaderingen bij te wonen en kan besprekingen houden met belanghebbende derden om in passende mate informatie te verstrekken over zijn activiteiten. Hiertoe kan de Commissie uitwisseling van informatie tussen het Comité en andere instanties, bureaus, agentschappen en adviesgroepen van de Unie bevorderen.
Artikel 58
Taken van het Comité
Bij het verstrekken van advies en bijstand aan de Commissie in het kader van artikel 56, lid 2, heeft het Comité met name de volgende taken:
(a)expertise en beste praktijken onder de lidstaten verzamelen en delen;
(b)bijdragen aan uniforme administratieve praktijken in de lidstaten, ook voor de werking van testomgevingen voor regelgeving als bedoeld in artikel 53;
(c)adviezen, aanbevelingen of schriftelijke bijdragen afgeven over aangelegenheden met betrekking tot de uitvoering van deze verordening, met name
i) over technische specificaties of bestaande normen ten aanzien van de in titel III, hoofdstuk 2, beschreven voorschriften,
ii) over het gebruik van geharmoniseerde normen of gemeenschappelijke specificaties als bedoeld in de artikelen 40 en 41,
iii) over de opstelling van begeleidende documenten, waaronder de richtsnoeren betreffende de bepaling van administratieve boeten als bedoeld in artikel 71.
HOOFDSTUK 2
NATIONELE BEVOEGDE AUTORITEITEN
Artikel 59
Aanwijzing van nationale bevoegde autoriteiten
1. Nationale bevoegde autoriteiten worden door elke lidstaat opgericht of aangewezen met het oog op het waarborgen van de toepassing en uitvoering van deze verordening. Nationale bevoegde autoriteiten worden zodanig georganiseerd dat de objectiviteit en onpartijdigheid van hun activiteiten en taken gewaarborgd zijn.
2. Elke lidstaat wijst een nationale toezichthoudende autoriteit onder de nationale bevoegde autoriteiten aan. De nationale toezichthoudende autoriteit treedt op als aanmeldende instantie en markttoezichtautoriteit tenzij een lidstaat organisatorische en administratieve redenen heeft om meer dan één autoriteit aan te wijzen.
3. De lidstaten stellen de Commissie in kennis van hun aanwijzing(en) en, in voorkomend geval, van de redenen om meer dan één autoriteit aan te wijzen.
4. De lidstaten zorgen ervoor dat nationale bevoegde autoriteiten over voldoende financiële en personele middelen beschikken om hun taken krachtens deze verordening uit te voeren. Nationale bevoegde autoriteiten beschikken met name over voldoende permanent beschikbaar personeel waarvan de bekwaamheid en expertise bestaat uit een grondig inzicht in artificiële-intelligentietechnologieën, gegevens en gegevensverwerking, grondrechten, gezondheids- en veiligheidsrisico’s en kennis van bestaande normen en wettelijke eisen.
5. De lidstaten brengen jaarlijks verslag uit aan de Commissie over de status van de financiële en personele middelen van de nationale bevoegde autoriteiten met een beoordeling van de toereikendheid ervan. De Commissie bezorgt die informatie ter bespreking en voor mogelijke aanbevelingen aan het Comité.
6. De Commissie bevordert de uitwisseling van ervaringen tussen de nationale bevoegde autoriteiten.
7. Nationale bevoegde autoriteiten kunnen begeleiding bij en advies over de uitvoering van deze verordening verstrekken, ook aan kleine aanbieders. Wanneer nationale bevoegde autoriteiten van plan zijn te voorzien in begeleiding en advies ten aanzien van een AI-systeem op gebieden die onder andere Uniewetgeving vallen, worden in voorkomend geval de nationale bevoegde autoriteiten onder die Uniewetgeving geraadpleegd. De lidstaten kunnen ook één centraal contactpunt voor communicatie met exploitanten opzetten.
8. Wanneer instellingen, agentschappen en instanties van de Unie binnen het toepassingsgebied van deze verordening vallen, treedt de Europese Toezichthouder voor gegevensbescherming op als de bevoegde autoriteit voor het toezicht daarop.
TITEL VII
EU-DATABANK VOOR AUTONOME AI-SYSTEMEN MET EEN HOOG RISICO
Artikel 60
EU-databank voor autonome AI-systemen met een hoog risico
1. De Commissie zorgt in samenwerking met de lidstaten voor het opzetten en onderhouden van een EU-databank met informatie als bedoeld in lid 2 betreffende AI-systemen met een hoog risico als bedoeld in artikel 6, lid 2, die overeenkomstig artikel 51 zijn geregistreerd.
2. De in bijlage VIII vermelde data worden door de aanbieders in de EU-databank ingevoerd. De Commissie geeft hun technische en administratieve ondersteuning.
3. De informatie in de EU-databank is toegankelijk voor het publiek.
4. De EU-databank bevat alleen persoonsgegevens voor zover die nodig zijn voor het verzamelen en verwerken van informatie overeenkomstig deze verordening. Deze informatie bevat de namen en contactgegevens van natuurlijke personen die verantwoordelijk zijn voor de registratie van het systeem en wettelijk gemachtigd zijn de aanbieder te vertegenwoordigen.
5. De Commissie is voor de EU-databank de verantwoordelijke voor de verwerking. Zij biedt aanbieders ook adequate technische en administratieve ondersteuning.
TITEL VIII
MONITORING NA HET IN DE HANDEL BRENGEN, INFORMATIE-UITWISSELING, MARKTTOEZICHT
Hoofdstuk 1
Monitoring na het in de handel brengen
Artikel 61
Monitoring door aanbieders na het in de handel brengen en plan voor monitoring na het in de handel brengen voor AI-systemen met een hoog risico
1. Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de artificiële-intelligentietechnologieën en de risico’s van het AI-systeem met een hoog risico.
2. Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch door gebruikers verstrekte of via andere bronnen verzamelde relevante data over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur, en stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in titel III, hoofdstuk 2, beschreven voorschriften.
3. Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie. De Commissie stelt een uitvoeringshandeling vast met daarin gedetailleerde bepalingen voor de opstelling van een model voor het plan voor monitoring na het in de handel brengen en de lijst van elementen die in het plan moeten worden opgenomen.
4. Voor AI-systemen met een hoog risico die onder de in bijlage II bedoelde rechtshandelingen vallen en wanneer een systeem en plan voor monitoring na het in de handel brengen al krachtens die wetgeving zijn vastgesteld, worden de in de leden 1, 2 en 3 beschreven elementen op passende wijze in dat systeem en plan opgenomen.
De eerste alinea is ook van toepassing op in punt 5, b), van bijlage III vermelde AI-systemen met een hoog risico die in de handel zijn gebracht of in bedrijf zijn gesteld door onder Richtlijn 2013/36/EU vallende kredietinstellingen.
Hoofdstuk 2
Uitwisseling van informatie over incidenten en storingen
Artikel 62
Melding van ernstige incidenten en van storingen
1. Aanbieders van in de Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten met of storingen van die systemen die een niet-nakoming van verplichtingen krachtens Unierecht ter bescherming van grondrechten inhouden, aan de markttoezichtautoriteiten van de lidstaten waar dat incident of die niet-nakoming plaatsvond.
Een dergelijke melding vindt plaats onmiddellijk nadat de aanbieder een oorzakelijk verband tussen het AI-systeem en het incident of de storing of de redelijke waarschijnlijkheid van een dergelijk verband heeft vastgesteld en in ieder geval uiterlijk 15 dagen nadat de aanbieder zich bewust wordt van het ernstige incident of de storing.
2. Na ontvangst van een melding met betrekking tot een niet-nakoming van verplichtingen krachtens Unierecht ter bescherming van grondrechten stelt de markttoezichtautoriteit de in artikel 64, lid 3, bedoelde nationale overheidsinstanties of -organen in kennis. De Commissie ontwikkelt specifieke richtsnoeren om nakoming van de in lid 1 vermelde verplichtingen te vergemakkelijken. Die richtsnoeren worden uiterlijk twaalf maanden na de inwerkingtreding van deze verordening uitgevaardigd.
3. Voor in punt 5, b), van bijlage III vermelde AI-systemen met een hoog risico die in de handel zijn gebracht of in bedrijf zijn gesteld door onder Richtlijn 2013/36/EU vallende kredietinstellingen en voor AI-systemen met een hoog risico die veiligheidscomponenten van apparaten zijn, of die zelf apparaten zijn, als bedoeld in Verordening (EU) 2017/745 en Verordening (EU) 2017/746, is de melding van ernstige incidenten of van storingen beperkt tot incidenten en storingen die een niet-nakoming van verplichtingen krachtens Unierecht ter bescherming van grondrechten inhouden.
Hoofdstuk 3
Handhaving
Artikel 63
Markttoezicht op en controle van AI-systemen op de markt van de Unie
1. Verordening (EU) 2019/1020 is van toepassing op AI-systemen die onder deze verordening vallen. Voor de doeltreffende handhaving van deze verordening geldt echter het volgende:
(a)verwijzingen naar een marktdeelnemer krachtens Verordening (EU) 2019/1020 worden begrepen als verwijzingen naar alle exploitanten als bedoeld in titel III, hoofdstuk 3, van deze verordening;
(b)verwijzingen naar een product krachtens Verordening (EU) 2019/1020 worden begrepen als verwijzingen naar alle AI-systemen die binnen het toepassingsgebied van deze verordening vallen.
2. De nationale toezichthoudende autoriteit brengt aan de Commissie regelmatig verslag uit over de resultaten van relevante markttoezichtactiviteiten. De nationale toezichthoudende autoriteit stelt de Commissie en relevante nationale mededingingsautoriteiten onverwijld in kennis van eventuele tijdens markttoezichtactiviteiten verkregen informatie die van potentieel belang kan zijn voor de toepassing van het Unierecht op mededingingsregels.
3. Voor AI-systemen met een hoog risico, met betrekking tot producten waarop in bijlage II, deel A, vermelde rechtshandelingen van toepassing zijn, is de markttoezichtautoriteit voor de toepassing van deze verordening de autoriteit die verantwoordelijk is voor markttoezichtactiviteiten volgens die rechtshandelingen.
4. Voor AI-systemen met een hoog risico die in de handel zijn gebracht, in bedrijf zijn gesteld of worden gebruikt door kredietinstellingen geregeld bij Uniewetgeving inzake financiële diensten, is de markttoezichtautoriteit voor de toepassing van deze verordening de relevante autoriteit die verantwoordelijk is voor het financiële toezicht op die instellingen krachtens die wetgeving.
5. Voor in lid 1, punt a), genoemde AI-systemen, voor zover de systemen voor rechtshandhavingsdoeleinden worden gebruikt volgens de punten 6 en 7 van bijlage III, wijzen de lidstaten als markttoezichtautoriteiten voor de toepassing van deze verordening hetzij de bevoegde toezichthoudende autoriteiten inzake gegevensbescherming krachtens Richtlijn (EU) 2016/680 of Verordening 2016/679 aan, hetzij de nationale bevoegde autoriteiten die toezicht houden op de activiteiten van de rechtshandhavings-, immigratie- of asielautoriteiten die deze systemen in bedrijf stellen of gebruiken.
6. Wanneer instellingen, agentschappen en instanties van de Unie binnen het toepassingsgebied van deze verordening vallen, treedt de Europese Toezichthouder voor gegevensbescherming op als hun markttoezichtautoriteit.
7. De lidstaten vergemakkelijken de coördinatie tussen krachtens deze verordening aangewezen markttoezichtautoriteiten en andere relevante nationale autoriteiten of instanties die toezicht houden op de toepassing van in bijlage II vermelde harmonisatiewetgeving van de Unie of andere Uniewetgeving die relevant kan zijn voor de AI-systemen met een hoog risico als bedoeld in bijlage III.
Artikel 64
Toegang tot data en documentatie
1. In de context van hun activiteiten wordt de markttoezichtautoriteiten volledige toegang verleend tot de door de aanbieder gebruikte datareeksen voor trainings-, validatie- en testdoeleinden, onder meer via applicatieprogramma-interfaces (API’s) of andere passende technische middelen en instrumenten die toegang op afstand mogelijk maken.
2. Indien dit nodig is om de overeenstemming van het AI-systeem met een hoog risico met de in titel III, hoofdstuk 2, beschreven voorschriften te beoordelen, wordt de markttoezichtautoriteiten na een met redenen omkleed verzoek toegang verleend tot de broncode van het AI-systeem.
3. Nationale overheidsinstanties of -organen die de nakoming van verplichtingen krachtens Unierecht ter bescherming van grondrechten met betrekking tot het gebruik van AI-systemen met een hoog risico als bedoeld in bijlage III controleren of handhaven, zijn bevoegd om krachtens deze verordening opgestelde of bijgehouden documentatie aan te vragen en in te zien wanneer toegang tot die documentatie nodig is voor de uitoefening van de bevoegdheden onder hun mandaat binnen de grenzen van hun rechtsgebied. De relevante overheidsinstantie of het relevante overheidsorgaan stelt de markttoezichtautoriteit van de betrokken lidstaat van een dergelijke aanvraag in kennis.
4. Uiterlijk drie maanden na de inwerkingtreding van deze verordening moet elke lidstaat de in lid 3 bedoelde overheidsinstanties of -organen identificeren en een lijst openbaar maken op de website van de nationale toezichthoudende autoriteit. De lidstaten stellen de Commissie en alle andere lidstaten in kennis van de lijst en houden deze up-to-date.
5. Indien de in lid 3 bedoelde documentatie ontoereikend is om vast te stellen of sprake is geweest van een niet-nakoming van verplichtingen krachtens Unierecht ter bescherming van grondrechten, kunnen de in lid 3 bedoelde overheidsinstanties of -organen een met redenen omkleed verzoek bij de markttoezichtautoriteit indienen om over te gaan tot het testen van het AI-systeem met een hoog risico met technische middelen. De markttoezichtautoriteit organiseert de testprocedure binnen een redelijke termijn na het verzoek en met nauwe betrokkenheid van de verzoekende overheidsinstantie of het verzoekende overheidsorgaan.
6. Door de in lid 3 bedoelde overheidsinstanties of -organen volgens de bepalingen van dit artikel verkregen informatie en documentatie worden verwerkt overeenkomstig de in artikel 70 beschreven geheimhoudingsverplichtingen.
Artikel 65
Procedure voor de omgang met AI-systemen die een risico op nationaal niveau inhouden
1. Onder AI-systemen die een risico inhouden wordt verstaan een product dat een in artikel 3, punt 19, van Verordening (EU) 2019/1020 gedefinieerd risico inhoudt voor zover dit betrekking heeft op risico’s voor de gezondheid of veiligheid of voor de bescherming van grondrechten van personen.
2. Indien de markttoezichtautoriteit van een lidstaat voldoende redenen heeft om ervan uit te gaan dat een AI-systeem een risico inhoudt zoals bedoeld in lid 1, verricht zij een evaluatie van het betrokken AI-systeem ten aanzien van de overeenstemming ervan met alle eisen en verplichtingen van deze verordening. Wanneer sprake is van risico’s voor de bescherming van grondrechten, stelt de markttoezichtautoriteit ook de in artikel 64, lid 3, bedoelde relevante nationale overheidsinstanties of -organen in kennis. De relevante exploitanten werken indien nodig samen met de markttoezichtautoriteiten en de andere in artikel 64, lid 3, bedoelde nationale overheidsinstanties of -organen.
Indien de markttoezichtautoriteit bij deze beoordeling vaststelt dat het AI-systeem niet aan de eisen en verplichtingen van deze verordening voldoet, gelast zij de betrokken exploitant onverwijld passende corrigerende maatregelen te nemen om het AI-systeem binnen een door haar vast te stellen redelijke termijn, die evenredig is met de aard van het risico, conform te maken, uit de handel te nemen of terug te roepen.
De markttoezichtautoriteit stelt de relevante aangemelde instantie daarvan in kennis. Artikel 18 van Verordening (EU) 2019/1020 is van toepassing op de in de tweede alinea genoemde maatregelen.
3. Indien de markttoezichtautoriteit van mening is dat de non-conformiteit niet beperkt blijft tot haar nationale grondgebied, brengt zij de Commissie en de andere lidstaten op de hoogte van de resultaten van de evaluatie en van de maatregelen die zij de exploitant heeft opgelegd.
4. De exploitant zorgt ervoor dat alle betrokken AI-systemen die hij in de Unie op de markt heeft aangeboden aan alle passende corrigerende maatregelen worden onderworpen.
5. Indien de exploitant van een AI-systeem niet binnen de in lid 2 bedoelde termijn doeltreffende corrigerende actie onderneemt, neemt de markttoezichtautoriteit alle passende voorlopige maatregelen om het op haar nationale markt aanbieden van het AI-systeem te verbieden of te beperken, het product in de betrokken lidstaat uit de handel te nemen of terug te roepen. Die autoriteit brengt de Commissie en de andere lidstaten onverwijld van deze maatregelen op de hoogte.
6. De in lid 5 bedoelde informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om het non-conforme AI-systeem te identificeren en om de oorsprong van het AI-systeem, de aard van de beweerde non-conformiteit en van het risico, en de aard en de duur van de nationale maatregelen vast te stellen, evenals de argumenten die worden aangevoerd door de desbetreffende exploitant. De markttoezichtautoriteiten vermelden met name of de non-conformiteit een of meer van de volgende redenen heeft:
(a)het AI-systeem voldoet niet aan in titel III, hoofdstuk 2, beschreven voorschriften;
(b)tekortkomingen in de in de artikelen 40 en 41 bedoelde geharmoniseerde normen of gemeenschappelijke specificaties die een vermoeden van conformiteit rechtvaardigen.
7. De markttoezichtautoriteiten van de andere lidstaten dan die welke de procedure in gang heeft gezet, brengen de Commissie en de andere lidstaten onverwijld op de hoogte van door hen genomen maatregelen en van aanvullende informatie over de non-conformiteit van het AI-systeem waarover zij beschikken, en van hun bezwaren indien zij het niet eens zijn met de aangemelde nationale maatregel.
8. Indien binnen drie maanden na ontvangst van de in lid 5 bedoelde informatie door een lidstaat of de Commissie geen bezwaar tegen een voorlopige maatregel van een lidstaat is ingediend, wordt die maatregel geacht gerechtvaardigd te zijn. Dit is onverminderd de procedurele rechten van de betrokken exploitant overeenkomstig artikel 18 van Verordening (EU) 2019/1020.
9. De markttoezichtautoriteiten van alle lidstaten zorgen ervoor dat ten aanzien van het betrokken product onmiddellijk de passende beperkende maatregelen worden genomen, zoals het uit de handel nemen van het product op hun markt.
Artikel 66
Vrijwaringsprocedure van de Unie
1. Indien een lidstaat binnen drie maanden na ontvangst van de in artikel 65, lid 5, bedoelde kennisgeving bezwaar maakt tegen een door een andere lidstaat genomen maatregel of wanneer de Commissie de maatregel in strijd acht met het Unierecht, treedt de Commissie onverwijld in overleg met de relevante lidstaten en exploitant of exploitanten en evalueert zij de nationale maatregel. Op grond van de resultaten van die evaluatie besluit de Commissie binnen negen maanden na ontvangst van de in artikel 65, lid 5, bedoelde kennisgeving of de nationale maatregel al dan niet gerechtvaardigd is en stelt zij de betrokken lidstaat in kennis van dat besluit.
2. Indien de nationale maatregel gerechtvaardigd wordt geacht, nemen alle lidstaten de nodige maatregelen om het non-conforme AI-systeem uit de handel te nemen en stellen zij de Commissie daarvan in kennis. Indien de nationale maatregel niet gerechtvaardigd wordt geacht, trekt de betrokken lidstaat de maatregel in.
3. Indien de nationale maatregel gerechtvaardigd wordt geacht en de non-conformiteit van het AI-systeem wordt toegeschreven aan tekortkomingen in de geharmoniseerde normen of gemeenschappelijke specificaties bedoeld in de artikelen 40 en 41 van deze verordening, past de Commissie de procedure van artikel 11 van Verordening (EU) nr. 1025/2012 toe.
Artikel 67
Conforme AI-systemen die een risico inhouden
1. Indien de markttoezichtautoriteit van een lidstaat na uitvoering van een evaluatie overeenkomstig artikel 65 vaststelt dat een AI-systeem dat voldoet aan deze verordening, toch een risico inhoudt voor de gezondheid of veiligheid van personen, voor de nakoming van verplichtingen krachtens het Unie- of interne recht ter bescherming van grondrechten of voor andere aspecten van de bescherming van algemene belangen, verlangt zij van de relevante exploitant dat hij alle passende maatregelen neemt om ervoor te zorgen dat het betrokken AI-systeem dat risico niet meer inhoudt wanneer het in de handel wordt gebracht of in bedrijf wordt gesteld, of om het AI-systeem binnen een door haar vast te stellen redelijke termijn, die evenredig is met de aard van het risico, uit de handel te nemen of terug te roepen.
2. De aanbieder of andere relevante exploitanten zorgen ervoor dat binnen de door de markttoezichtautoriteit van de lidstaat vastgestelde termijn als bedoeld in lid 1 corrigerende maatregelen worden genomen ten aanzien van alle betrokken AI-systemen die zij in de Unie op de markt hebben aangeboden.
3. De lidstaat brengt daar de Commissie en de andere lidstaten onmiddellijk van op de hoogte. Die informatie omvat alle bekende bijzonderheden, met name de gegevens die nodig zijn om het betrokken AI-systeem te identificeren en om de oorsprong en de toeleveringsketen van het AI-systeem, de aard van het betrokken risico en de aard en de duur van de nationale maatregelen vast te stellen.
4. De Commissie treedt onverwijld in overleg met de lidstaten en de relevante exploitant en evalueert de genomen nationale maatregelen. Aan de hand van die beoordeling besluit de Commissie of de maatregel al dan niet gerechtvaardigd is, en stelt zij zo nodig passende maatregelen voor.
5. De Commissie deel haar besluit aan de lidstaten mee.
Artikel 68
Formele non-conformiteit
1. Indien de markttoezichtautoriteit van een lidstaat een van de volgende feiten vaststelt, verlangt zij van de betrokken aanbieder dat deze een einde maakt aan de non-conformiteit:
(a)de conformiteitsmarkering is in strijd met artikel 49 aangebracht;
(b)de conformiteitsmarkering is niet aangebracht;
(c)de EU-conformiteitsverklaring is niet opgesteld;
(d)de EU-conformiteitsverklaring is niet correct opgesteld;
(e)het identificatienummer van de aangemelde instantie, die betrokken is bij de conformiteitsbeoordelingsprocedure, in voorkomend geval, is niet aangebracht.
2. Indien de in lid 1 bedoelde non-conformiteit voortduurt, neemt de betrokken lidstaat alle passende maatregelen om het op de markt aanbieden van het AI-systeem met een hoog risico te beperken of te verbieden, of het AI-systeem terug te roepen of uit de handel te nemen.
TITEL IX
GEDRAGSCODES
Artikel 69
Gedragscodes
1. De Commissie en de lidstaten stimuleren en vergemakkelijken de opstelling van gedragscodes die bedoeld zijn om de vrijwillige toepassing van de in titel III, hoofdstuk 2, beschreven voorschriften op andere AI-systemen dan AI-systemen met een hoog risico te bevorderen op basis van technische specificaties en oplossingen die passende middelen zijn om naleving van zulke voorschriften in het licht van het beoogde doel van de systemen te waarborgen.
2. De Commissie en het Comité stimuleren en vergemakkelijken de opstelling van gedragscodes die bedoeld zijn om de vrijwillige toepassing op AI-systemen te bevorderen van eisen die bijvoorbeeld betrekking hebben op milieuduurzaamheid, toegankelijkheid voor personen met een handicap, deelname van belanghebbenden aan het ontwerp en de ontwikkeling van AI-systemen en diversiteit van ontwikkelingsteams op basis van duidelijke doelstellingen en kernprestatie-indicatoren om de verwezenlijking van die doelstellingen te meten.
3. Gedragscodes kunnen door individuele aanbieders van AI-systemen of door organisaties die hen vertegenwoordigen, of allebei, worden opgesteld, ook met betrokkenheid van gebruikers en geïnteresseerde belanghebbenden en hun representatieve organisaties. Gedragscodes kunnen betrekking hebben op een of meer AI-systemen, rekening houdend met de overeenkomst van het beoogde doel van de relevante systemen.
4. De Commissie en het Comité houden rekening met de specifieke belangen en behoeften van de kleine aanbieders en start-ups bij het stimuleren en vergemakkelijken van de opstelling van gedragscodes.
TITEL X
VERTROUWELIJKHEID EN SANCTIES
Artikel 70
Vertrouwelijkheid
1. Nationale bevoegde autoriteiten en aangemelde instanties die betrokken zijn bij de toepassing van deze verordening, eerbiedigen de vertrouwelijke aard van informatie en gegevens die zij hebben verkregen tijdens het uitvoeren van hun taken en activiteiten met het oog op de bescherming van:
(a)intellectuele-eigendomsrechten, en vertrouwelijke bedrijfsinformatie of bedrijfsgeheimen van een natuurlijke of rechtspersoon, waaronder de broncode, uitgezonderd de in artikel 5 van Richtlijn (EU) 2016/943 betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan vermelde gevallen;
(b)de doeltreffende uitvoering van deze verordening, met name de uitvoering van inspecties, onderzoeken of audits; c) openbare en nationale veiligheidsbelangen;
(c)de integriteit van strafrechtelijke of administratieve procedures.
2. Onverminderd lid 1 mag op vertrouwelijke basis tussen de nationale bevoegde autoriteiten en tussen nationale bevoegde autoriteiten en de Commissie uitgewisselde informatie niet openbaar worden gemaakt zonder de voorafgaande raadpleging van de nationale bevoegde autoriteit waarvan de informatie afkomstig is en de gebruiker wanneer in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met een hoog risico worden gebruikt door rechtshandhavings-, immigratie- of asielautoriteiten, wanneer dergelijke openbaarmaking openbare en nationale veiligheidsbelangen in gevaar zou brengen.
Wanneer de rechtshandhavings-, immigratie- of asielautoriteiten aanbieder van in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met een hoog risico zijn, blijft de in bijlage IV vermelde technische documentatie in de gebouwen van die autoriteiten. Die autoriteiten waarborgen dat de markttoezichtautoriteiten bedoeld in artikel 63, leden 5 en 6, indien nodig op verzoek onmiddellijk toegang tot de documentatie kunnen krijgen of een kopie ervan kunnen ontvangen. Alleen personeel van de markttoezichtautoriteit met een passende veiligheidsmachtiging mag die documentatie of kopieën ervan inzien.
3. De leden 1 en 2 laten de rechten en verplichtingen van de Commissie, de lidstaten en de aangemelde instanties met betrekking tot de uitwisseling van informatie en de verspreiding van waarschuwingen, alsook de verplichtingen van de betrokken partijen om in het kader van het strafrecht van de lidstaten informatie te verstrekken, onverlet.
4. De Commissie en de lidstaten kunnen indien nodig vertrouwelijke informatie uitwisselen met regelgevingsinstanties van derde landen waarmee zij bilaterale of multilaterale geheimhoudingsovereenkomsten hebben gesloten die een passend niveau van geheimhouding waarborgen.
Artikel 71
Sancties
1. Overeenkomstig de voorwaarden van deze verordening stellen de lidstaten de voorschriften voor sancties vast, waaronder administratieve geldboeten, die van toepassing zijn op inbreuken op deze verordening en nemen zij alle nodige maatregelen om ervoor te zorgen dat deze naar behoren en doeltreffend worden uitgevoerd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn. Hierbij wordt met name rekening gehouden met de belangen van kleine aanbieders en start-ups en hun economische levensvatbaarheid.
2. De lidstaten stellen de Commissie van die voorschriften en maatregelen in kennis en delen haar onverwijld alle latere wijzigingen daarvan mee.
3. Voor de volgende inbreuken gelden administratieve geldboeten tot 30 000 000 EUR of, als de overtreder een onderneming is, tot 6 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is:
(a)niet-naleving van het verbod van de in artikel 5 vermelde praktijken op het gebied van artificiële intelligentie;
(b)non-conformiteit van het AI-systeem met de in artikel 10 neergelegde voorschriften.
4. Voor de non-conformiteit van het AI-systeem met voorschriften of verplichtingen krachtens deze verordening, uitgezonderd die bepaald in de artikelen 5 en 10, gelden administratieve geldboeten tot 20 000 000 EUR of, als de overtreder een onderneming is, tot 4 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.
5. Voor de verstrekking van onjuiste, onvolledige of misleidende informatie aan aangemelde instanties en nationale bevoegde autoriteiten naar aanleiding van een verzoek, gelden administratieve geldboeten tot 10 000 000 EUR of, als de overtreder een onderneming is, tot 2 % van haar totale wereldwijde jaarlijkse omzet voor het voorafgaande boekjaar, als dat hoger is.
6. Bij het bepalen van het bedrag van de administratieve geldboete in elk individueel geval worden alle relevante omstandigheden van de specifieke situatie in aanmerking genomen en wordt terdege rekening gehouden met het volgende:
(a)de aard, ernst en duur van de inbreuk en de gevolgen ervan;
(b)of administratieve geldboeten reeds door andere markttoezichtautoriteiten voor dezelfde inbreuk op dezelfde exploitant zijn toegepast;
(c)de omvang en het marktaandeel van de exploitant die de inbreuk pleegt.
7. Elke lidstaat stelt regels vast betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties of -organen.
8. Afhankelijk van het rechtssysteem van de lidstaten kunnen de regels voor administratieve geldboeten zodanig worden toegepast dat de boeten door bevoegde nationale rechters of andere instanties in voorkomend geval in die lidstaten worden opgelegd. De toepassing van zulke regels in die lidstaten heeft een gelijkwaardig effect.
Artikel 72
Administratieve geldboeten voor instellingen, agentschappen en instanties van de Unie
1. De Europese Toezichthouder voor gegevensbescherming kan administratieve geldboeten opleggen aan instellingen, agentschappen en instanties van de Unie die binnen het toepassingsgebied van deze verordening vallen. Bij het besluiten om al dan niet een administratieve geldboete op te leggen en het bepalen van het bedrag van de administratieve geldboete in elk individueel geval worden alle relevante omstandigheden van de specifieke situatie in aanmerking genomen en wordt terdege rekening gehouden met het volgende:
(a)de aard, ernst en duur van de inbreuk en de gevolgen ervan;
(b)de samenwerking met de Europese Toezichthouder voor gegevensbescherming om de inbreuk te verhelpen en de mogelijke nadelige gevolgen van de inbreuk te beperken, waaronder naleving van eventuele maatregelen die eerder door de Europese Toezichthouder voor gegevensbescherming ten aanzien van dezelfde kwestie aan de betrokken instelling of instantie of het betrokken agentschap van de Unie zijn opgelegd;
(c)soortgelijke eerdere inbreuken door de instelling of instantie of het agentschap van de Unie.
2. Voor de volgende inbreuken gelden administratieve geldboeten tot 500 000 EUR:
(a)niet-naleving van het verbod van de in artikel 5 vermelde praktijken op het gebied van artificiële intelligentie;
(b)non-conformiteit van het AI-systeem met de in artikel 10 neergelegde voorschriften.
3. Voor de non-conformiteit van het AI-systeem met voorschriften of verplichtingen krachtens deze verordening, uitgezonderd die bepaald in de artikelen 5 en 10, gelden administratieve geldboeten tot 250 000 EUR.
4. Alvorens een besluit op grond van dit artikel te nemen, stelt de Europese Toezichthouder voor gegevensbescherming de instelling of instantie of het orgaan van de Unie ten aanzien waarvan hij een procedure volgt, in de gelegenheid om te worden gehoord over de mogelijke inbreuk. De Europese Toezichthouder voor gegevensbescherming baseert zijn besluiten uitsluitend op elementen en omstandigheden waarover de betrokken partijen opmerkingen hebben kunnen maken. Eventuele indieners van klachten worden nauw betrokken bij de procedure.
5. Het recht van verdediging van de partijen wordt in de loop van de procedure ten volle geëerbiedigd. Zij hebben recht op toegang tot het dossier van de Europese Toezichthouder voor gegevensbescherming, onder voorbehoud van het gerechtvaardigde belang van andere personen of ondernemingen bij de bescherming van hun persoonsgegevens of bedrijfsgeheimen.
6. De bedragen die worden geïnd door het opleggen van de geldboeten van dit artikel, worden beschouwd als ontvangsten voor de algemene begroting van de Unie.
TITEL XI
BEVOEGDHEIDSDELEGATIE EN COMITÉPROCEDURE
Artikel 73
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De in artikel 4, artikel 7, lid 1, artikel 11, lid 3, artikel 43, leden 5 en 6, en artikel 48, lid 5, bedoelde bevoegdheidsdelegatie wordt met ingang van [datum waarop de verordening in werking treedt] voor onbepaalde tijd aan de Commissie verleend.
3. Het Europees Parlement of de Raad kan de in artikel 4, artikel 7, lid 1, artikel 11, lid 3, artikel 43, leden 5 en 6, en artikel 48, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
5. Een overeenkomstig artikel 4, artikel 7, lid 1, artikel 11, lid 3, artikel 43, leden 5 en 6, en artikel 48, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met drie maanden verlengd.
Artikel 74
Comitéprocedure
1. De Commissie wordt bijgestaan door een comité. Dit comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
TITEL XII
SLOTBEPALINGEN
Artikel 75
Wijziging van Verordening (EG) nr. 300/2008
Aan artikel 4, lid 3, van Verordening (EG) nr. 300/2008 wordt de volgende alinea toegevoegd:
“Bij het vaststellen van gedetailleerde maatregelen met betrekking tot technische specificaties en procedures voor de goedkeuring en het gebruik van veiligheidsuitrusting betreffende artificiële-intelligentiesystemen in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 76
Wijziging van Verordening (EU) nr. 167/2013
Aan artikel 17, lid 5, van Verordening (EU) nr. 167/2013 wordt de volgende alinea toegevoegd:
“Bij het vaststellen van gedelegeerde handelingen krachtens de eerste alinea betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 77
Wijziging van Verordening (EU) nr. 168/2013
Aan artikel 22, lid 5, van Verordening (EU) nr. 168/2013 wordt de volgende alinea toegevoegd:
“Bij het vaststellen van gedelegeerde handelingen krachtens de eerste alinea betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 78
Wijziging van Richtlijn 2014/90/EU
Aan artikel 8 van Richtlijn 2014/90/EU wordt het volgende lid toegevoegd:
“4. Voor artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, neemt de Commissie bij het uitvoeren van haar activiteiten krachtens lid 1 en bij het vaststellen van technische specificaties en testnormen overeenkomstig de leden 2 en 3 de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 79
Wijziging van Richtlijn (EU) 2016/797
Aan artikel 5 van Richtlijn (EU) 2016/797 wordt het volgende lid toegevoegd:
“12. Bij het vaststellen van gedelegeerde handelingen krachtens lid 1 en uitvoeringshandelingen krachtens lid 11 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 80
Wijziging van Verordening (EU) 2018/858
Aan artikel 5 van Verordening (EU) 2018/858 wordt het volgende lid toegevoegd:
“4. Bij het vaststellen van gedelegeerde handelingen krachtens lid 3 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 81
Wijziging van Verordening (EU) 2018/1139
Verordening (EU) 2018/1139 wordt als volgt gewijzigd:
1) Aan artikel 17 wordt het volgende lid toegevoegd:
“3. Onverminderd lid 2 worden bij het vaststellen van uitvoeringshandelingen krachtens lid 1 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
2) Aan artikel 19 wordt het volgende lid toegevoegd:
“4. Bij het vaststellen van gedelegeerde handelingen krachtens de leden 1 en 2 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie], worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.”
3) Aan artikel 43 wordt het volgende lid toegevoegd:
“4. Bij het vaststellen van uitvoeringshandelingen krachtens lid 1 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie], worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.”
4) Aan artikel 47 wordt het volgende lid toegevoegd:
“3. Bij het vaststellen van gedelegeerde handelingen krachtens de leden 1 en 2 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie], worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.”
5) Aan artikel 57 wordt het volgende lid toegevoegd:
“Bij het vaststellen van die uitvoeringshandelingen betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie], worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.”
6) Aan artikel 58 wordt het volgende lid toegevoegd:
“3. Bij het vaststellen van gedelegeerde handelingen krachtens de leden 1 en 2 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie], worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.”.
Artikel 82
Wijziging van Verordening (EU) 2019/2144
Aan artikel 11 van Verordening (EU) 2019/2144 wordt het volgende lid toegevoegd:
“3. Bij het vaststellen van de uitvoeringshandelingen krachtens lid 2 betreffende artificiële-intelligentiesystemen die veiligheidscomponenten zijn in de zin van Verordening (EU) YYY/XX [betreffende artificiële intelligentie] van het Europees Parlement en de Raad*, worden de voorschriften in titel III, hoofdstuk 2, van die verordening in aanmerking genomen.
__________
* Verordening (EU) YYY/XX [betreffende artificiële intelligentie] (PB …).”.
Artikel 83
Reeds in de handel gebrachte of in bedrijf gestelde AI-systemen
1. Deze verordening is niet van toepassing op AI-systemen die componenten zijn van de volgens de in bijlage IX vermelde rechtshandelingen opgezette grootschalige IT-systemen die in de handel zijn gebracht of in bedrijf zijn gesteld vóór [twaalf maanden na de in artikel 85, lid 2, vermelde datum van inwerkingtreding van deze verordening], tenzij de vervanging of wijziging van die rechtshandelingen aanleiding geeft tot een significante wijziging in het ontwerp of het beoogde doel van het betrokken AI-systeem of de betrokken AI-systemen.
De in deze verordening vastgelegde voorschriften worden in voorkomend geval in aanmerking genomen bij de evaluatie van elk volgens de in bijlage IX vermelde rechtshandelingen opgezet grootschalig IT-systeem die moet worden uitgevoerd zoals bepaald in die respectieve handelingen.
2. Deze verordening is alleen van toepassing op AI-systemen met een hoog risico, uitgezonderd die bedoeld in lid 1, die in de handel zijn gebracht of in bedrijf zijn gesteld vóór [de in artikel 85, lid 2, vermelde datum van inwerkingtreding van deze verordening], als die systemen vanaf die datum significante wijzigingen in hun ontwerp of het beoogde doel ondergaan.
Artikel 84
Evaluatie en toetsing
1. De Commissie beoordeelt na de inwerkingtreding van deze verordening eenmaal per jaar of de lijst in bijlage III moet worden gewijzigd.
2. Uiterlijk [drie jaar na de in artikel 85, lid 2, vermelde datum van inwerkingtreding van deze verordening] en vervolgens om de vier jaar dient de Commissie een verslag in bij het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening. De verslagen worden openbaar gemaakt.
3. In de in lid 2 bedoelde verslagen wordt specifieke aandacht besteed aan het volgende:
(a)de status van de financiële en personele middelen van de nationale bevoegde autoriteiten teneinde de hun krachtens deze verordening toegewezen taken doeltreffend uit te voeren;
(b)de stand van zaken wat betreft sancties, en met name administratieve geldboeten als bedoeld in artikel 71, lid 1, die door lidstaten op inbreuken van de bepalingen van deze verordening zijn toegepast.
4. Binnen [drie jaar na de in artikel 85, lid 2, vermelde datum van inwerkingtreding van deze verordening] en vervolgens om de vier jaar evalueert de Commissie de impact en doeltreffendheid van gedragscodes om de toepassing van de in titel III, hoofdstuk 2, beschreven voorschriften en eventuele andere aanvullende voorschriften voor andere AI-systemen dan AI-systemen met een hoog risico te bevorderen.
5. Voor de toepassing van de leden 1 tot en met 4 verstrekken het Comité, de lidstaten en nationale bevoegde autoriteiten informatie aan de Commissie op haar verzoek.
6. Bij de uitvoering van de in de leden 1 tot en met 4 vermelde evaluaties en toetsingen neemt de Commissie de standpunten en bevindingen van het Comité, het Europees Parlement, de Raad en van andere relevante instanties of bronnen in aanmerking.
7. Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen, met name in het licht van ontwikkelingen in de technologie en de stand van zaken in de informatiemaatschappij.
Artikel 85
Inwerkingtreding en toepassing
1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Deze verordening is van toepassing vanaf [24 maanden na de inwerkingtreding van de verordening].
3. In afwijking van lid 2 geldt het volgende:
(a)titel III, hoofdstuk 4, en titel VI zijn van toepassing vanaf [drie maanden na de inwerkingtreding van deze verordening];
(b)artikel 71 is van toepassing vanaf [twaalf maanden na de inwerkingtreding van deze verordening].
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.