Nadat onlangs de Data Act in werking trad (zie Ref[1]) heeft het Europees parlement op 13 maart 2024 de AI act omarmd (zie Ref[2]). Hoewel het nog even duurt voordat de effecten zichtbaar worden moet deze wet de wereld van kunstmatige intelligentie (“AI” of “Artifical Intelligence”) in Europa gaan reguleren.
Deze blog legt kort uit wat deze wet inhoud en wat het voor organisaties kan betekenen.
AI staat sinds de introductie van ChatGPT in 2023 volop in de belangstelling en daardoor bovenaan de lijstjes van CIO’s en andere beleidsmakers. De technologie belooft een digitaliseringsrevolutie te ontketenen met gigantische kansen. Maar volgens diverse experts uit het vakgebied kleven er ook grote risico’s aan deze technologie. Zo kan er op grote schaal nepnieuws mee worden gecreëerd, en ook namaak-mediamateriaal zoals filmpjes en foto’s die niet van echt te onderscheiden zijn (“deep fakes”). Ook kan AI gebruikt worden om mensen onrechtmatig te beoordelen (zoals bij de toeslagenaffaire) of onwettige massasurveillance uit te voeren.
Risicoprofielen
Om deze risico’s zoveel mogelijk te beheersen introduceert Europa nu de AI Act. Het doel is om bij inzet van AI de veiligheid, transparantie en ethisch verantwoord gebruik af te dwingen.
De AI Act hanteert daarbij een risico-gebaseerde benadering voor het reguleren van AI-systemen, welke onderscheidt:
- Onaanvaardbaar risico
- Hoog risico
- Beperkt risico
- Minimaal risico
Onaanvaardbaar risico
Onder de categorie van Onaanvaardbaar risico vallen AI-systemen die:
- Gedrag negatief manipuleren of misbruik maken van kwetsbare personen (bijvoorbeeld om iemand naar een politieke keuze te bewegen)
- Profileren, beoordelen (“social scoring”) of voorspellen van toekomstig negatief gedrag van personen wat kan leiden tot discriminatie (bijvoorbeeld risico te voorspellen dat iemand crimineel gedrag gaat vertonen)
- Onrechtmatige massasurveillance en het evalueren van individuen, zoals nu op grote schaal in China gebeurt.
- ‘remote’ biometrische persoons identificatie in openbare ruimtes (en bijv. op zo’n manier via AI te onrechtmatig te volgen in diens bewegingen)
Bovenstaande systemen zijn verboden. Uitzonderingen hierop zijn alleen mogelijk als er een hele goede reden is om het wel te gebruiken, en als het niet gebruiken van de tool maatschappelijk serieuze schade zou veroorzaken. Wel altijd onder voorwaarde dat er rekening gehouden wordt met rechten en vrijheden van personen. Deze gevallen moeten dan wel worden vastgelegd in een EU register en getoetst door een onafhankelijke beoordelaar.
De AI act voor deze categorie systemen treedt binnen 6 maanden in werking.
Hoog risico
Onder de categorie van Hoog risico vallen systemen AI-systemen die een significante impact kunnen hebben op de veiligheid of op fundamentele rechten. Dit geldt bijvoorbeeld voor systemen die gericht zijn op veiligheid in het kader van specifieke EU-harmonisatie-wetten (bijvoorbeeld de regulatie voor medische hulpmiddelen).
Ook AI-systemen voor automatische verwerking van persoonsgegevens om die persoon te beoordelen op bijvoorbeeld werkprestaties, gezondheid of betrouwbaarheid vallen hier onder.
Daarnaast noemt de AI wet specifiek:
- Systemen voor biometrische identificatie en emotieherkenning
- Systemen voor beheer van kritieke infrastructuur en basisvoorzieningen.
- AI voor toegang en evaluatie in onderwijsinstellingen, inclusief gedragsmonitoring.
- AI voor werving, selectie, en prestatiebeoordeling.
- AI voor beoordeling van geschiktheid voor overheidsdiensten
- Risicobeoordeling en bewijsevaluatie door AI in strafrecht.
- AI voor Migratie en grensbeheer
- AI voor feitenonderzoek en wetstoepassing (exclusief directe interactie met mensen)
Bouwers van deze hoog risico systemen hebben de volgende verplichtingen:
- Data governance moet worden opgezet rond datasets voor training, validatie en testen. (Zie ref[3])
- Risico’s moeten structureel worden gemanaged. Logging, kwaliteitssystemen en technische documentatie dienen te garanderen dat het systeem nauwkeurig, robuust en veilig is.
- Het ontwerp moet menselijk toezicht mogelijk maken, en gebruikersinstructies moeten geleverd worden om AI naleving te vergemakkelijken
De AI act voor deze systemen treedt binnen 24 – 36 maanden in werking, afhankelijk van het type applicatie.
Beperkt en minimaal risico
Voor AI-toepassingen met beperkt risico zoals chatbots gelden lichtere transparantieverplichtingen, waarbij gebruikers geïnformeerd moeten worden dat zij met AI systemen te maken hebben.
Overige AI applicatie worden als minimaal risico geclassificeerd. Denk aan AI in games, of in spam-filters. Hiervoor gelden geen specifieke regels. Op die wijze wordt innovatie niet teveel beperkt.
General Purpose AI (GPAI)
Een speciaal hoofdstuk van de AI wet is gewijd aan GPAI (General Purpose AI) modellen. Dit zijn modellen die breed inzetbaar zijn en geïntegreerd kunnen worden in diverse systemen. Een bekend voorbeeld is OpenAI, dat onder andere gebruikt wordt in ChatGPT. Via bijvoorbeeld API’s zijn deze GPAI-systemen te gebruiken door willekeurige andere AI systemen. Ze worden daarom als high-risk AI geclassificeerd.
Voor aanbieders van GPAI modellen gelden de volgende verplichtingen:
- Ze moeten documentatie aanleveren over trainingsdata inhoud en testproces, en voor providers over integratie en AI Act naleving.
- Ze dienen een beleid te hanteren dat het auteursrecht van trainingsdata respecteert.
- Voor zeer complexe modellen (> 1025 FLOPS, een eenheid die wordt gebruikt om de rekenkracht van CPU-s aan te duiden) gelden een aanvullende verplichte evaluatie door een commissie, de meldplicht van incidenten en aanvullende cybersecurity eisen.
De AI act voor deze systemen treedt binnen 12 maanden in werking.
Gevolgen van de AI Act
De AI Act stimuleert bedrijven om innovatieve AI-oplossingen te ontwikkelen binnen een duidelijk ethisch en juridisch kader. Voor Nederlandse bedrijven betekent dit zowel nieuwe verplichtingen als kansen.
Aan de ene kant zullen bedrijven die high-risk AI-systemen ontwikkelen of implementeren, moeten voldoen aan uitgebreide eisen op het gebied van data governance, technische documentatie en transparantie. Ontwikkelaars en gebruikers van AI-systemen zullen nauwer moeten samenwerken om te zorgen voor compliance. Daarbij zullen bedrijven duidelijk moeten communiceren over het gebruik van AI in de toepassingen. De implementatie van de vereiste maatregelen kan vooral voor kleinere bedrijven een zware last zijn en daarmee mogelijk innovatie in de weg staan.
Daar tegenover stat dat de AI Act ook kansen biedt voor Nederlandse bedrijven. Door de nadruk te leggen op transparantie en verantwoordelijkheid, kunnen bedrijven het vertrouwen van consumenten winnen. Verder biedt het Europese bedrijven de kans om een voorsprong op te bouwen in de ontwikkeling van ethische en veilige AI ten opzichte van de rest van de wereld.
Zeker is dat de AI Act een zeer belangrijke rol zal spelen in de ontwikkeling van AI in Nederland, Europa en op termijn wellicht in de gehele wereld. De investering die Europa daarmee doet zal tot een veiligere AI toekomst leiden en wellicht ook voor nieuwe kansen voor Europese bedrijven.
Ref[1]: https://www.syntouch.nl/de-nieuwe-data-act-opent-deuren-naar-informatie-in-digitale-devices/
Ref[2]: https://artificialintelligenceact.eu/the-act/
Ref[3]: https://www.syntouch.nl/data-management-onmisbare-schakel-voor-effectieve-ai/