De digitale agenda van de EU voor 2030 zet de koers uit voor een Europese digitale toekomst, met bijbehorende nieuwe wetgeving. Deze nieuwe wetgeving brengt veel wijzigingen en verplichtingen voor allerlei organisaties met zich mee en is daardoor ook voor de M&A-praktijk relevant, omdat de omvang van het due diligence onderzoek zich als gevolg van de nieuwe wetgeving aanzienlijk uitbreidt.

Legal Data Due Diligence

Inmiddels zijn we gewend aan het uitvoeren van een privacy due diligence onderzoek op basis van onder andere de Algemene Verordening Gegevensbescherming (AVG). Echter, een privacy due diligence onderzoek zal nu een te beperkte scope zijn. Het is voorafgaand aan een due diligence onderzoek belangrijk om te weten welke regelgeving relevant is voor een transactie en welke verplichtingen dit voor organisaties met zich meebrengt en (eventueel) de risico’s voor een koper. Bekijk daarom onze online tool op: www.legaldataduediligence.nl om voorafgaand aan een transactie te bepalen welke EU-datawetgeving mogelijk van toepassing is op de target. Deze blog biedt de M&A praktijk handvatten voor de Artificial Intelligence Act (AI Act). Per wet gaan we in op de kernverplichtingen, het toepassingsbereik, de risico’s en de aandachtspunten voor de M&A praktijk.

AI Act

De Europese Artificial Intelligence Act (AI Act) is wereldwijd, de eerste wet omtrent AI. De AI Act heeft als doel om de ontwikkeling en het gebruik van veilige, betrouwbare, transparante, traceerbare en non-discriminatoire AI systemen in de EU te bevorderen. In mei 2024 is de AI Act goedgekeurd door de Raad van de EU. De inwerkingtreding van de AI Act is op 1 augustus 2024. De AI Act wordt na 2 jaar na de inwerkingtreding van kracht. Echter, bepaalde verplichtingen zijn eerder van kracht, zoals: de verbodsbepaling voor verboden praktijken (februari 2025) en bepalingen omtrent general purpose AI en governance (augustus 2025). Anderzijds zullen bepaalde bepalingen omtrent hoog-risico AI systemen later van toepassing zijn (waarschijnlijk augustus 2027).

Is de wet van toepassing op de target?

De AI Act is van toepassing op verschillende entiteiten die betrokken zijn bij de ontwikkeling, distributie en het gebruik van AI-systemen binnen de Europese Unie. Hieronder vallen aanbieders en gebruiksverantwoordelijken van AI-systemen, evenals importeurs en distributeurs van dergelijke systemen. Ook fabrikanten van producten die AI-systemen integreren en onder hun eigen naam of merk op de markt brengen of in gebruik stellen, vallen onder deze wetgeving. Daarnaast zijn gemachtigden van aanbieders die niet in de Unie gevestigd zijn, maar wel AI-systemen in de EU op de markt willen brengen, onderworpen aan de regels van de AI Act. Tenslotte beschermt de wet ook getroffen personen die zich in de Unie bevinden en te maken krijgen met AI-systemen. Daarnaast bepaalt de risico kwalificatie van het AI-systeem welke verplichtingen uit de AI Act van toepassing zijn op de organisatie. De AI Act kwalificeert AI-systemen als onaanvaardbaar risico (verboden AI-praktijken), hoog risico of beperkt risico.

Wat zijn de kernverplichtingen?

Om te bepalen welke verplichtingen van toepassing zijn op de organisatie, is het belangrijk om eerst de rol van de organisatie en de risico kwalificatie vast te stellen. Hoog over zijn de volgende kenverplichtingen relevant om te benoemen:

• Monitoring en Risicobeheer
  Voor hoog-risico AI-systemen moet een systeem voor monitoring na het in de handel brengen worden vastgesteld, uitgevoerd, gedocumenteerd en in stand worden gehouden. Dit systeem verzamelt en analyseert data over de prestaties van AI-systemen gedurende hun gehele levensduur om blijvende conformiteit te waarborgen. Naar aanleiding van deze analyse moeten er eventueel gepaste en gerichte risicobeheersmaatregelen worden vastgesteld. Bij ernstige incidenten moeten aanbieders deze melden bij de markttoezichtautoriteiten van de betreffende lidstaten.
• Kwaliteitsbeheer
  Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren dat de naleving van de AI Act waarborgt. Dit systeem omvat onder andere gedocumenteerde beleidslijnen, procedures en instructies. Naast bovengenoemde verplichtingen gelden er ook andere verplichtingen voor importeurs, distributeurs en gebruikersverantwoordelijken.
• Transparantie
  De AI Act legt ook bepaalde transparantieverplichtingen op. Zo moeten aanbieders en gebruikersverantwoordelijken van bepaalde AI-systemen, zoals AI-systemen die direct interacteren met natuurlijke personen, de betrokkenen informeren dat zij te maken hebben met een AI-systeem. Andere transparantieverplichtingen, zoals uit de AVG, blijven uiteraard ook gelden.
• EU-conformiteitsverklaring
  Aanbieders van hoog-risico AI-systemen moeten een EU-conformiteitsverklaringen opstellen en deze ter beschikking stellen van de nationale bevoegde autoriteiten. De verklaring vermeldt dat het AI-systeem aan de toepasselijke voorschriften voldoet en moet bepaalde informatie bevatten, zoals een verklaring dat het AI- systeem voldoet de Algemene Verordening Gegevensbescherming (AVG) indien het AI-systeem persoonsgegevens verwerkt.

Wat zijn de risico’s (boetes etc.)?

Niet-naleving van de AI Act kan aanzienlijke risico’s met zich meebrengen voor entiteiten. Bij het niet naleven van verboden praktijken of eisen voor databeheersystemen voor hoog-risico AI-systemen kunnen boetes oplopen tot €35.000.000 of 7% van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. Voor non- conformiteit met andere verplichtingen kunnen boetes maximaal €15.000.000 of 3% van de jaarlijkse wereldwijde omzet bedragen, eveneens afhankelijk van welk bedrag hoger is. De handhaving van de AI Act zal gebeuren door een nationale autoriteit, die nog moet worden aangewezen. Daarnaast wordt er een Europees Comité voor AI opgericht om toezicht te houden en richtlijnen te bieden voor de naleving van de wetgeving.

Waar moet je op letten bij een transactie?

• Is de AI Act van toepassing? Check de rol van de entiteit en de risicokwalificatie het AI systeem.
• Is alle technische documentatie volledig en accuraat?
• Zijn ernstige incidenten bij de markttoezichtautoriteiten gemeld?
• Is de risicokwalificatie van de AI-systemen juist?
• Is er een systeem geïmplementeerd voor monitoring nadat de AI in de handel is gebracht?
• Zijn er ethische richtlijnen voor het gebruik van AI?
• Worden AI-systemen regelmatig geauditeerd?
• Is er een duidelijk beleid voor datatraining van AI?
• Zijn er mechanismen voor gebruikers om AI-beslissingen aan te vechten?
• Zijn er maatregelen voor transparantie en uitleg van AI-beslissingen?
  

Conclusie

De nieuwe EU-datawetgeving heeft grote impact op de M&A-praktijk, vooral op het due diligence proces. De scope moet uitgebreid worden met een “Legal Data Due Diligence” om toepasselijke wetgeving, naleving en risico’s in kaart te brengen.

Niet-naleving kan leiden tot hoge kosten, boetes, reputatieschade en waardevermindering. Zowel kopers als verkopers doen er goed aan vooraf te controleren of de wetgeving van toepassing is en of de organisatie compliant is.

Meer weten?

Neem contact op met een van onze specialisten.