Terwijl de onderhandelingen rondom de wetgeving voor kunstmatige intelligentie (‘AI Act’) volop gaande zijn, wordt er op de achtergrond hard gewerkt aan standaarden die praktische invulling zullen gaan geven aan de implementatie van de wetgeving.
Wat zijn standaarden?
Standaarden spelen een steeds belangrijkere rol in de invulling van wetgeving. Zo kan het in bijzondere situaties voorkomen dat standaarden in wetgeving verplicht worden gesteld (bijvoorbeeld NEN 7510). Het komt echter vaker voor dat standaarden worden geharmoniseerd op Europees niveau en gebruikt kunnen worden om aan te tonen dat een organisatie voldoet aan geldende wet- en regelgeving. Dit kan bijvoorbeeld door een toetsing door een onafhankelijke partij uit te laten voeren.
Voor medische hulpmiddelen is bijvoorbeeld het behalen van een ISO 13485 certificaat het bewijs dat zij een kwaliteitssysteem hebben geïmplementeerd dat ten dele voldoet aan de geldende wet- en regelgeving (bijvoorbeeld de Medisch Hulpmiddelen wetgeving, ofwel ‘MDR’ 2017/745 of de In-Vitro Diagnostiek wetgeving ofwel ‘IVDR’ 2017/746).
Wie schrijft standaarden?
In principe kan iedereen standaarden schrijven en publiceren. Momenteel komt het grootste deel van de standaarden voort uit ofwel ISO (International Standards Organisation), ofwel IEC (International Electrical Committee). ISO en IEC opereren op globaal niveau, en worden gespiegeld in Europa door CEN/CENELEC. Bijna elk land heeft op zijn beurt weer een eigen standaardisatie-organisatie die aangesloten is bij zowel ISO/IEC als in Europa bij CEN/CENELEC. In Nederland is dat het Nederlands Normalisatie Instituut en stichting NEC, beter bekend als ‘NEN’. Andere organisaties die ook standaardiseren zijn bijvoorbeeld IEEE, CTA, ETSI, elk met hun eigen focus.
Rol van standaarden onder de AI Act
Op 22 mei 2023 heeft de Europese Commissie (‘EC’) een officieel verzoek gestuurd aan CEN / CENELEC om standaarden te ontwikkelen voor toepassing onder de AI Act (C(2023)3215 – Request M/593). In dit verzoek vraagt de EC om standaarden te ontwikkelen op 10 verschillende gebieden voor hoog-risico AI Systemen:
- Risicomanagement
- Beheer van datasets
- Logging
- Transparantie van AI systemen
- Menselijk overzicht
- Specificaties voor accuracy
- Specificaties voor robuustheid
- Specificaties voor cybersecurity
- Kwaliteitssystemen
- Conformiteitsbeoordeling.
CEN/CENELEC heeft de mogelijkheid om standaarden van ISO/IEC over te nemen en voor te dragen aan de EC, of om in eigen beheer op Europees niveau standaarden te ontwikkelen.
In 2018 is SC 42 (‘Standards Committee’) op ISO/IEC niveau gestart met de ontwikkeling van standaarden. Destijds bestond de tekst van de AI Act nog niet, en deze standaarden zijn dus per definitie niet afgestemd op de wettekst en eisen zoals vastgelegd door de Europese Commissie in het voorstel voor de AI Act. In 2021 is JTC 21 (‘Joint Technical Committee’) gestart met ofwel de adoptie van internationale (ISO/IEC) standaarden, ofwel de ontwikkeling van standaarden voor de Europese markt.
Ontwikkeling van standaarden
De Europese Commissie heeft CEN/CENELEC gevraagd om de standaarden op te leveren voor 30 april 2025. Met een gemiddelde voorbereidingstijd van twee jaar en vervolgens een ontwikkelperiode van drie jaar voor een standaard zijn deze tijdslijnen krap, en is het twijfelachtig of er een resultaat beschikbaar zal zijn per de gestelde datum.
De samenhang tussen medische standaarden en standaarden rondom AI
Hoewel de AI Act specifieke AI aspecten afdekt en de MDR of IVDR aspecten gerelateerd aan medische producten, is er een grote mate van overlap tussen de twee wetgevingen. De MDR en IVDR vereisen bijvoorbeeld de implementatie van een kwaliteitssysteem, bijvoorbeeld volgens ISO 13485. De AI Act vereist ook de implementatie van een kwaliteitssysteem, waar nu onlangs door CEN/CENELEC de ISO 42001 voor is voorgesteld voor publicatie in de EU.
ISO 13485 en ISO 42001 lijken veel op elkaar in wat ze vereisen, maar zijn in bepaalde opzichten ook tegenstrijdig. De AI Act vereist dat deze kwaliteitssystemen compatibel moeten zijn met sectorale eisen, maar in de praktijk lijkt dit nu niet het geval. Het blijft voorlopig nog even de vraag hoe deze systemen naast elkaar of in combinatie geïmplementeerd kunnen worden, en of en hoe bijvoorbeeld ISO 42001 zijn weg zal vinden in de toepassing in de medische industrie.
Wil je meer achtergrondinformatie over de standaardisatie-processen, of ben je wellicht geïnteresseerd geraakt in hoe je zelf kunt bijdragen aan de ontwikkeling van standaarden, neem dan contact op met: leon.doorn@qair.io.
Gebruikte afkortingen
AI | Artificiële Intelligentie |
CEN | European Committee for Standardisation |
CENELEC | European Committee for Electrotechnical Standardisation |
CTA | Consumer Technology Association |
EC | Europese Commissie |
ETSI | European Telecommunications Standards Institute |
EU | Europese Unie |
IEC | International Electrical Committee |
IEEE | Institute of Electrical and Electronics Engineers |
ISO | International Standardisation Organisation |
IVDR | In-Vitro Diagnostics Regulation |
JTC | Joint Technical Committee |
MDR | Medical Device Regulation |
NEN | Nederlands standaardisatie instituut |
SC | Standards Committee |