Nederlands English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_nl/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Weekdagen 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > De EU AI-regelgeving en de noodzakelijke maatregelen voor Japanse bedrijven

De EU AI-regelgeving en de noodzakelijke maatregelen voor Japanse bedrijven

IT

De EU AI-regelgeving en de noodzakelijke maatregelen voor Japanse bedrijven

Op 12 juli 2024 (Reiwa 6) werd binnen de EU de ‘AI Regulation Act (EU AI Act)’ gepubliceerd, die vanaf 1 augustus van datzelfde jaar van kracht is geworden.
Deze wet reguleert het gebruik en de aanbieding van AI-systemen binnen de EU en zal vanaf 2025 ook bepaalde eisen stellen aan Japanse bedrijven.

Concreet betekent dit dat, net zoals exploitanten van e-commerce websites in Japan moeten voldoen aan de ‘Algemene Verordening Gegevensbescherming (GDPR)’ van de EU, Japanse bedrijven die AI-gerelateerde producten of diensten aanbieden aan klanten binnen de EU, onderworpen kunnen zijn aan de EU AI Regulation Act.

Hier zullen we uitleggen welke eisen deze wet stelt aan de betreffende ondernemers, waaronder de risicoclassificatie van AI-systemen en de beoordeling van conformiteit, als reactie op de regelgeving.

Uitgangspunt: Het verschil tussen ‘verordeningen’ en ‘richtlijnen’ in de EU

Voordat we de AI-regelgeving zelf uitleggen, is het noodzakelijk om als uitgangspunt het verschil tussen ‘verordeningen’ en ‘richtlijnen’ in het EU-recht te begrijpen.

Een ‘verordening’ is een wetgevend instrument dat direct van toepassing is op lidstaten, bedrijven en andere entiteiten binnen de EU. Hierdoor heeft het voorrang op de nationale wetgeving van de EU-lidstaten en wordt er een uniforme set regels toegepast in de hele EU. Zodra een verordening van kracht wordt, betekent dit dat dezelfde regelgeving van toepassing is in alle EU-lidstaten.

Aan de andere kant is een ‘richtlijn’ een wetgevend instrument dat bedoeld is om de regelgeving tussen EU-lidstaten te coördineren en te harmoniseren. Echter, richtlijnen zijn in principe niet direct van toepassing op de lidstaten; elke staat moet de inhoud van de richtlijn omzetten in nationale wetgeving. Normaal gesproken moeten lidstaten binnen drie jaar na publicatie in het Publicatieblad van de EU de nationale wetgeving invoeren of wijzigen.

Een kenmerk van ‘richtlijnen’ is dat de lidstaten een bepaalde mate van beleidsvrijheid hebben bij het omzetten naar nationale wetgeving, wat betekent dat er verschillen kunnen ontstaan in de wetgeving van de verschillende landen. Met andere woorden, wetgeving gebaseerd op ‘richtlijnen’ is niet volledig uniform binnen de EU en kan enige variatie vertonen per land.

Met dit onderscheid in gedachten, is de AI-regelgeving opgesteld als een ‘verordening’. Dit betekent dat de AI-regelgeving direct van toepassing is op ondernemingen die gevestigd zijn binnen de EU.

Gerelateerd artikel: Essentiële informatie over EU-wetgeving en rechtssystemen voor bedrijven die zich op Europa richten[ja]

AI-regelgeving en extraterritoriale toepassing in Japan

Wat is extraterritoriale toepassing?

Extraterritoriale toepassing verwijst naar situaties waarin de wetten van een land ook van toepassing zijn op handelingen die buiten de grenzen van dat land plaatsvinden. De achtergrond van deze toepassing is de globalisering van de economie en de internationalisering van bedrijfsactiviteiten, met als doel wereldwijde economische activiteiten eerlijk en correct te laten verlopen.

Een voorbeeld dat de erkenning van dit concept heeft verbreed, is de GDPR (Algemene Verordening Gegevensbescherming van de EU). Onder de GDPR kunnen bedrijven die geen basis hebben in de EU toch onderworpen zijn aan de regelgeving (extraterritoriale toepassing) als ze aan de volgende voorwaarden voldoen:

  • Diensten of goederen aanbieden aan personen binnen de EU
  • Persoonsgegevens verwerken met het doel het gedrag van personen binnen de EU te monitoren

Bijvoorbeeld, in het geval dat een bedrijf buiten de EU werknemers op zakenreis naar de EU stuurt en tijdens die periode persoonsgegevens verwerkt, werd in de richtlijnen van 2020 gespecificeerd dat dit ‘niet van toepassing’ is, hoewel er aanvankelijk discussie was over de extraterritoriale toepassing.

Extraterritoriale toepassing van de AI-regelgeving in Japan

Ook in de EU AI-regelgeving wordt extraterritoriale toepassing erkend voor bedrijven die zich buiten de EU bevinden. De volgende bedrijven en activiteiten vallen hieronder:

  • Leveranciers (Providers): degenen die AI-systemen of GPAI-modellen ontwikkelen, degenen die anderen opdracht geven om AI-systemen of GPAI-modellen te ontwikkelen en op de markt te brengen, of degenen die AI-systemen onder hun eigen naam of handelsmerk in gebruik nemen
  • Gebruikers (Users): degenen die AI-systemen gebruiken onder hun eigen autoriteit (uitgezonderd zijn degenen die AI-systemen gebruiken voor persoonlijke en niet-professionele activiteiten)
  • Importeurs (Importers): importeurs gevestigd of opgericht binnen de EU die AI-systemen met de naam of het handelsmerk van een natuurlijke persoon of rechtspersoon buiten de EU op de EU-markt brengen
  • Distributeurs (distributers): natuurlijke personen of rechtspersonen die deel uitmaken van de toeleveringsketen en AI-systemen op de EU-markt aanbieden, anders dan de leveranciers of importeurs

Zoals hierboven beschreven, zelfs als een bedrijf zich buiten de EU bevindt, zal de EU AI-regelgeving direct van toepassing zijn wanneer het AI-systemen of GPAI-modellen aanbiedt, exploiteert, importeert of gebruikt binnen de EU.

Kenmerken van de EU AI-regelgeving: Een risicogebaseerde benadering

Kenmerken van de EU AI-regelgeving: Een risicogebaseerde benadering

Wat is een risicogebaseerde benadering?

Een van de belangrijkste kenmerken van de EU AI-regelgeving is de ‘regulering op basis van de inhoud en het niveau van risico’ (risicogebaseerde benadering).

Een ‘risicogebaseerde benadering’ verwijst naar een methode waarbij de intensiteit van de regulering wordt aangepast op basis van de inhoud en het niveau van het risico. Bij deze benadering wordt de strengheid van de regelgeving voor een AI-systeem bepaald op basis van de ernst van de risico’s die het systeem mogelijk met zich meebrengt.

Concreet betekent dit dat voor AI-systemen met een hoog risico strengere regelgeving van toepassing is, terwijl voor systemen met een laag risico relatief soepele regelgeving geldt. Hierdoor kan overregulering van systemen met een laag risico worden vermeden en tegelijkertijd kan voor systemen met een hoog risico passend toezicht en beheer worden gewaarborgd.

AI-systemen met onaanvaardbare risico’s onder Japans recht

AI-systemen die als onaanvaardbare risico’s worden beschouwd, worden gezien als een bedreiging voor mensen en zijn in principe verboden.

Bijvoorbeeld, AI-systemen die het gedrag van bepaalde kwetsbare groepen gebruikers manipuleren, zoals spraakgestuurde speelgoed dat gevaarlijk gedrag bij kinderen aanmoedigt, vallen hieronder. Ook sociale scoresystemen die mensen classificeren op basis van hun gedrag, sociaaleconomische status of persoonlijke kenmerken zijn verboden. Daarnaast zijn ‘real-time en remote biometrische identificatiesystemen’, die biometrische gegevens van mensen gebruiken en vergelijken met een referentiedatabase om individuen op afstand te identificeren, in principe ook verboden.

Er zijn echter uitzonderingen waarbij het gebruik van deze systemen is toegestaan. Specifiek is het gebruik van real-time remote biometrische identificatiesystemen alleen toegestaan in het geval van beperkte ernstige incidenten. Aan de andere kant is het gebruik van remote biometrische identificatiesystemen na het feit alleen toegestaan met goedkeuring van de rechtbank voor het vervolgen van ernstige misdrijven.

Verder zijn er uitzonderlijke gevallen waarin het gebruik is toegestaan, zoals het zoeken naar vermiste kinderen of mogelijke slachtoffers van misdrijven, het voorkomen van concrete en onmiddellijke bedreigingen voor de veiligheid van mensenlevens of lichamen, en het voorkomen van terroristische aanvallen, evenals het opsporen van daders of verdachten van ernstige misdrijven. Voor deze uitzonderingen gelden strikte beperkingen, waaronder in principe de voorafgaande toestemming van de rechtbank, en er wordt voorzichtigheid vereist bij het gebruik van AI-systemen.

High-Risk AI Systemen onder Japans Recht

High-risk AI systemen in Japan zijn AI systemen die mogelijk een negatieve impact kunnen hebben op veiligheid of fundamentele mensenrechten. Deze systemen mogen worden gebruikt mits ze voldoen aan bepaalde vereisten en verplichtingen (conformiteitsbeoordeling).

High-risk AI systemen worden in Japan grofweg in twee categorieën ingedeeld. Ten eerste, AI systemen die worden gebruikt in producten die onder de EU-productveiligheidswetgeving vallen, zoals speelgoed, luchtvaart, auto’s, medische apparaten en liften. Ten tweede, AI systemen die vallen onder specifieke sectoren waarvoor registratie in de EU-database verplicht is. Deze sectoren omvatten het beheer en de operatie van kritieke infrastructuur, onderwijs en beroepsopleiding, werkgelegenheid en werknemersbeheer, toegang tot essentiële openbare diensten en voorzieningen, rechtshandhaving, immigratie en asiel, grensbeheer, en ondersteuning bij de interpretatie en toepassing van de wet.

In Japan wordt van high-risk AI systemen verwacht dat ze worden beoordeeld voor ze op de markt komen en gedurende hun levenscyclus. Daarnaast is er het recht om klachten in te dienen bij de aangewezen nationale autoriteiten met betrekking tot AI systemen.

In grote lijnen kan worden gesteld dat machines en voertuigen die de veiligheid van menselijk leven en lichamelijke integriteit waarborgen, onder de categorie high-risk AI vallen. Zo kan bijvoorbeeld AI voor autonoom rijden hieronder vallen, wat betekent dat Japanse bedrijven die autonome rij-AI ontwikkelen en internationaal willen uitrollen, zorgvuldig moeten overwegen of ze voldoen aan de vereisten voor high-risk AI en dienovereenkomstig moeten handelen.

AI-systemen met beperkte risico’s onder Japans recht

AI-systemen met beperkte risico’s in Japan worden geassocieerd met risico’s zoals transparantie, identiteitsfraude, manipulatie en fraude. Specifiek gaat het om chatbots, deepfakes en generatieve AI, die volgens het standpunt van het Europees Parlement onder de huidige AI-systemen vallen die veelal in deze categorie worden ingedeeld. Voorbeelden hiervan zijn automatische vertaalsystemen, spelconsoles, robots die repetitieve productieprocessen uitvoeren en zelfs AI-systemen zoals de ‘Eureka Machine’.

Hoewel generatieve AI niet als hoog risico wordt geclassificeerd, zijn er eisen voor transparantie en naleving van de EU-auteursrechtwetgeving. Dit vereist specifiek de volgende maatregelen:

  • Het duidelijk openbaren dat de inhoud door AI is gegenereerd
  • Het ontwerpen van modellen om illegale inhoudsgeneratie te voorkomen
  • Het publiceren van een overzicht van auteursrechtelijk beschermde gegevens die gebruikt zijn voor het trainen van de AI

Verder moeten geavanceerde en invloedrijke algemene AI-modellen (GPAI-modellen), zoals ‘GPT-4’, vanwege hun potentieel systemische risico’s, een grondige beoordeling ondergaan. Bovendien is er een meldingsplicht aan de Europese Commissie in het geval van ernstige incidenten. Daarnaast moet inhoud die door AI is gegenereerd of gewijzigd (zoals afbeeldingen, audio, videobestanden, deepfakes, etc.) duidelijk als zodanig worden gemarkeerd, zodat gebruikers zich bewust zijn van de herkomst van de inhoud.

AI-systemen met een Minimaal Risico onder Japanse Wetgeving

Ten slotte zijn er voor AI-systemen met een minimaal risico geen specifieke regelgevingen vastgesteld in Japan. Voorbeelden van dergelijke systemen zijn spamfilters en aanbevelingssystemen. In deze categorie wordt niet zozeer regulering, maar eerder de ontwikkeling en naleving van gedragscodes aangemoedigd.

Vereisten en Verplichtingen voor High-Risk AI-Systemen onder Japans Recht

Vereisten en Verplichtingen voor High-Risk AI-Systemen onder Japans Recht

Verplichtingen van Aanbieders, Gebruikers, Importeurs en Verkopers

In de context van de bovengenoemde onderscheidingen worden met name aan high-risk AI-systemen vanwege hun significante risico’s strenge regelgevingen opgelegd, en worden er specifieke verplichtingen gesteld aan aanbieders en gebruikers.

Allereerst wordt van aanbieders, gebruikers, importeurs en verkopers verwacht dat zij een risicobeheersysteem opzetten (Artikel 9). Dit houdt in dat zij een systeem moeten ontwikkelen en implementeren om de inherente risico’s van high-risk AI-systemen te identificeren en adequaat te beheren, en dit systeem vervolgens te documenteren en te onderhouden. Wat betreft data governance (Artikel 10), wordt het gebruik van datasets voor training, validatie en testen die aan kwaliteitsnormen voldoen vereist. Dit is omdat de kwaliteit en betrouwbaarheid van data strikt beheerd moeten worden, zelfs tijdens de ontwikkelingsfase van AI-systemen.

Daarnaast is het opstellen van technische documentatie verplicht (Artikel 11). Deze technische documentatie moet informatie bevatten die bewijst dat het high-risk AI-systeem voldoet aan de regelgevende vereisten, en moet klaar zijn om te worden verstrekt aan de bevoegde autoriteiten van de lidstaten of aan derde certificeringsinstanties. Ook is het noodzakelijk om een logfunctie te ontwerpen en te ontwikkelen die gebeurtenissen automatisch registreert terwijl het AI-systeem actief is (Artikel 12). Bovendien moeten high-risk AI-systemen vóór de marktintroductie geregistreerd worden in een database die onder beheer staat van de EU, en aanbieders zijn verantwoordelijk voor het opzetten, documenteren en onderhouden van een kwaliteitsbeheersysteem.

Verplichtingen van Aanbieders

Aanbieders zijn verplicht om technische documentatie, documenten met betrekking tot het kwaliteitsbeheersysteem, goedkeuringen of besluiten van derde certificeringsinstanties en andere gerelateerde documenten gedurende 10 jaar na marktintroductie of operationele start te bewaren en op verzoek van de nationale autoriteiten te overleggen. Op deze manier hebben aanbieders de verantwoordelijkheid om de kwaliteit en veiligheid van het AI-systeem op lange termijn te handhaven en transparantie te waarborgen.

Verplichtingen van Gebruikers

Aan de andere kant worden er ook specifieke verplichtingen opgelegd aan gebruikers die high-risk AI-systemen hanteren. Gebruikers moeten de logs die automatisch worden gegenereerd door het high-risk AI-systeem bewaren voor een passende periode, in overeenstemming met het beoogde doel van het AI-systeem, tenzij er speciale bepalingen zijn in EU-wetgeving of nationale wetgeving van de lidstaten. Specifiek wordt een minimale bewaarperiode van ten minste zes maanden vereist.

Verder, wanneer een high-risk AI-systeem in gebruik wordt genomen of gebruikt op de werkplek, is de werkgever die de gebruiker is verplicht om vooraf de vertegenwoordigers van de werknemers en de betrokken werknemers te informeren over het gebruik van dat systeem. Dit is vastgesteld vanuit het oogpunt van bescherming van werknemersrechten en het waarborgen van transparantie.

Zo worden er strenge vereisten en verplichtingen opgelegd aan zowel aanbieders als gebruikers van high-risk AI-systemen. Vooral in gevallen waarbij geavanceerde AI-technologieën zoals medische apparatuur of autonome rijsystemen worden gehanteerd, kan het nodig zijn om conformiteitsbeoordelingen uit te voeren en beoordelingen door derde certificeringsinstanties te ondergaan, rekening houdend met de consistentie met bestaande regelgevingskaders. Daarom moeten ondernemers voorzichtig en planmatig handelen.

Fasering van de implementatie van de Japanse AI-regelgeving

Fasering van de implementatie van de Japanse AI-regelgeving

De Japanse AI-regelgeving wordt volgens een gefaseerd schema ingevoerd, van bekendmaking tot toepassing. Dit vereist dat ondernemers zich voorbereiden en reageren op elke fase.

Op 12 juli 2024 (2024) is de AI-regelgeving gepubliceerd in het Staatsblad en op 1 augustus 2024 (2024) in werking getreden. In deze fase wordt van ondernemers verwacht dat zij de inhoud van de regelgeving controleren en overwegen.

Op 2 februari 2025 (2025) worden de bepalingen met betrekking tot ‘Algemene bepalingen’ en ‘AI-systemen met onaanvaardbare risico’s’ van toepassing. Als ondernemers AI-systemen met onaanvaardbare risico’s hanteren, moeten zij onmiddellijk stoppen met deze te gebruiken.

Vervolgens worden op 2 mei 2025 (2025) de gedragscodes (Codes of Practice) voor aanbieders van algemene AI-modellen (GPAI) gepubliceerd. Ondernemers moeten handelen in overeenstemming met deze gedragscodes.

Daarna worden op 2 augustus 2025 (2025) de bepalingen met betrekking tot ‘GPAI-modellen’ en ‘sancties’ van toepassing, en worden de bevoegde autoriteiten door de lidstaten benoemd. In deze fase moeten aanbieders van GPAI-modellen de relevante regelgeving naleven.

Op 2 februari 2026 (2026) worden richtlijnen gepubliceerd over de implementatiemethoden van AI-systemen op basis van de AI-regelgeving. Tegelijkertijd wordt post-marketing monitoring van AI-systemen met een hoog risico verplicht gesteld, en wordt een passend systeem voor deze monitoring vereist.

Verder worden op 2 augustus 2026 (2026) de bepalingen met betrekking tot ‘AI-systemen met een hoog risico’ zoals vermeld in Bijlage III van toepassing. Op dit punt moeten de lidstaten een AI-regulering sandbox inrichten, en wordt naleving van de regels voor de betreffende AI-systemen met een hoog risico verplicht.

Ten slotte worden op 2 augustus 2027 (2027) de bepalingen met betrekking tot ‘AI-systemen met een hoog risico’ zoals vermeld in Bijlage I van toepassing. Hierdoor wordt het ook verplicht om de regels voor de in Bijlage I genoemde AI-systemen na te leven.

Zo wordt de AI-regelgeving in Japan over een aantal jaren gefaseerd ingevoerd, waarbij regelgeving op basis van de ernst van de risico’s geleidelijk wordt toegepast. Ondernemers moeten elke toepassingsdatum nauwkeurig begrijpen en de nodige maatregelen treffen voor de AI-systemen die zij gebruiken.

Gerelateerd artikel: Wat is de huidige stand van zaken en de toekomst van AI-regelgeving in de EU? Ook de impact op Japanse bedrijven uitgelegd[ja]

Maatregelen van ons kantoor

Monolith Advocatenkantoor is een juridische firma met uitgebreide ervaring in zowel IT, met name het internet, als in de rechtspraktijk.

De AI-business brengt vele juridische risico’s met zich mee, en de ondersteuning van een advocaat die gespecialiseerd is in juridische kwesties rondom AI is onontbeerlijk. Ons kantoor biedt geavanceerde juridische ondersteuning voor AI-business, inclusief ChatGPT, met een team van advocaten die bekend zijn met AI en ingenieurs. We verzorgen contractopstelling, beoordeling van de wettelijkheid van bedrijfsmodellen, bescherming van intellectuele eigendomsrechten en privacykwesties. Meer details vindt u in het onderstaande artikel.

Expertisegebieden van Monolith Advocatenkantoor: AI (ChatGPT etc.) juridische diensten[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Is het uitbesteden van Google-reviews illegaal? Uitleg over de relatie met de Wet op de Kansspelen en de sancties.

Is het uitbesteden van Google-reviews illegaal? Uitleg over de relatie met de Wet op de Kansspel.

IT

Wat is de wetgeving met betrekking tot het vertrek van leden van een systeemontwikkelingsproject?

Wat is de wetgeving met betrekking tot het vertrek van leden van een systeemontwikkelingsproject.

IT

Wat zijn de drie juridische uitdagingen van DeFi? Uitleg over de regelgeving met betrekking tot token-uitgifte op DEX

Wat zijn de drie juridische uitdagingen van DeFi? Uitleg over de regelgeving met betrekking tot .

IT

Wat is Generatieve AI? Soorten, Voordelen en Toepassingsmethoden Duidelijk Uitgelegd

Wat is Generatieve AI? Soorten, Voordelen en Toepassingsmethoden Duidelijk Uitgelegd

IT

Wat zijn de projectmanagementverplichtingen bij systeemontwikkeling?

Wat zijn de projectmanagementverplichtingen bij systeemontwikkeling?

IT

De relatie tussen vertraging in de oplevering van systeemontwikkeling en wettelijke vertraging in de uitvoering

De relatie tussen vertraging in de oplevering van systeemontwikkeling en wettelijke vertraging i.

IT

Kan het genereren van 'stemmen' met AI leiden tot auteursrechtschending? (#2 Generatie- & Gebruiksfase)

Kan het genereren van 'stemmen' met AI leiden tot auteursrechtschending? (#2 Generatie- & Ge.

IT

Wat zijn de auteursrechtinbreukproblemen met betrekking tot programma's?

Wat zijn de auteursrechtinbreukproblemen met betrekking tot programma's?

IT

Wat is 'Custody Service'? Uitleg over regelgeving voor cryptogeld uitwisselaars

Wat is 'Custody Service'? Uitleg over regelgeving voor cryptogeld uitwisselaars

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Terug naar boven