Het is ‘slechts’ een politiek akkoord
Het nieuws over het politieke akkoord brengen sommige media onterecht alsof de AI Act er al is. Dat is niet het geval. Het politieke akkoord moet nu eerst op papier worden gezet. Daarna stemmen de parlementsleden en alle lidstaten van de EU over de definitieve tekst. Het streven is om dit ergens in januari 2024 voor elkaar te krijgen. De AI Act is hierdoor op zijn vroegst pas in 2026 van toepassing. Bepaalde onderdelen van de AI Act gaan wel al eerder gelden.
Belangrijkste takeaways uit het akkoord voor onze sector
Het politieke akkoord brengt een aantal wijzigingen met zich mee ten opzichte van het originele voorstel uit 2021 van de Europese Commissie, maar de risico-gebaseerde aanpak van AI blijft hetzelfde. De AI Act is van toepassing op ontwikkelaars en gebruikers van AI, en alle andere partijen die betrokken zijn bij het op de markt brengen van AI.
Hieronder zetten we de belangrijkste takeaways op een rij uit het akkoord, waaruit blijkt wat de AI Act naar alle waarschijnlijkheid voor onze sector zal gaan betekenen:
- De definitie van AI systeem is zeer breed
Er is gekozen voor de brede definitie van AI van de OESO (Organisatie voor Economische Samenwerking en Ontwikkeling). In simpele termen gaat het om elk machine-gebaseerd systeem dat output kan generen aan de hand van trainingsdata, een prompt of andere input. Bij het genereren van output gaat het om voorspellingen, content en besluiten. In onze sector kan het gaan om aanbevelingsalgoritmes als next best action, het real-time bidding systeem, het genereren van look-a-like audiences of het werken met ChatGPT.
- Impact op conversational AI en deepfakes
De AI Act neemt een risico-gebaseerde aanpak als uitgangspunt. Dus hoe hoger het risico, hoe meer regels. De minst zware transparantie-eisen gelden voor specifieke AI toepassingen, zoals AI chatbots en deepfakes. Bij chatbots en andere interactie met AI systemen moet het duidelijk zijn dat je in gesprek bent met zo’n systeem. Ook bij het genereren van deepfakes moet er goed worden opgelet, want er moet dan bijvoorbeeld worden vermeld dat de persoon of de setting niet echt is. - Verboden en/of hoog risico marketing AI-praktijken liggen niet direct voor de hand
De meest heftige categorieën zijn de verboden AI en de hoog risico AI. Het gaat bij verboden AI om het gebruik van AI voor praktijken die maatschappelijk onacceptabel zijn, zoals predictive policing en social scoring. De verboden zullen naar alle waarschijnlijk al in 2024 van toepassing zijn. Bij hoog-risico AI gaat het om het toepassen van AI in kritieke processen als de rechtspraak of het HR-proces, maar ook om AI in medische apparatuur. Het gebruik van hoog-risico AI is straks alleen mogelijk wanneer is voldaan aan allerlei regels, waaronder documentatie- en transparantieverplichtingen en een conformiteitsassessment.
Wij hebben de lijsten met hoog-risico en verboden AI doorgenomen, en zijn van mening dat het toepassen van AI in onze sector niet snel onder één van beide regimes zal vallen.
- De regels over general purpose AI en foundation modellen zijn interessant
Een belangrijk discussiepunt bleek de generatieve AI-trend van 2023, want de EU was voor de komst van ChatGPT vorig jaar al een eind op weg met de AI Act. Er komt nu een apart regime voor zogenaamde AI modellen, zoals (multimodal) large language models, foundation en general purpose modellen. Het bijzondere aan zo’n model is dat hetzelfde GPT-4 model in meerdere AI systemen kan worden gebruikt. Zo wordt GPT-4 gebruikt door OpenAI voor ChatGPT, maar kunnen andere organisaties hetzelfde model inzetten voor de ontwikkeling van een eigen AI chatbot of een ander AI systeem. Een andere organisatie dan de initiële ontwikkelaar weet alleen niet op welke dataset het model is getraind, maar moet vanwege de AI Act straks wel over voldoende informatie kunnen beschikken voor de ontwikkeling van een eigen AI systeem. Daarom vereist de AI Act van ontwikkelaars van AI modellen dat ze technische documentatie (ook wel ‘model cards’ genoemd) publiceren, maar ook transparant zijn over compliance met auteursrechten en de gebruikte trainingsdata.
Er is ook bij de regels over modellen gekozen voor een risico-gebaseerde aanpak. Er gelden aanvullende verplichtingen voor modellen met een ‘grote impact’. De ontwikkelaars van hoog-risico modellen moeten ook aantoonbare modelevaluaties uitvoeren, systeemrisico’s beoordelen en mitigeren, ernstige incidenten rapporteren aan de Europese Commissie, cyberbeveiliging goed regelen en rapporteren over energie-efficiëntie. De hoeveelheid trainingsdata lijkt bepalend te worden voor of een model als hoog-risico moeten worden gekwalificeerd. De grens tussen het wel of niet kwalificeren als hoog-risico model lijkt nu deels ingegeven door het uitgangspunt om Europese innovatie te stimuleren. De gedachte is dat modellen van het Franse Mistral AI nu niet onder het hoog-risico regime vallen, maar het Amerikaanse OpenAI wel.
De impact van de regels voor AI-modellen is op dit moment lastig te overzien. Het is voor marketeers van belang dat de ontwikkelaars van een model aan de vereiste transparantie voldoen, want anders mogen ze het model straks mogelijk niet gebruiken. OpenAI is nu nog onvoldoende ‘open’ over de trainingsdata die is gebruikt voor GPT-4, maar gelukkig duurt het nog even voordat de AI Act er is.
Impact van AI-regels op de data en marketingsector
We hebben na het politieke akkoord een redelijk beeld van wat de verwachte impact van de AI Act gaat zijn op onze sector, maar we kunnen dit pas met zekerheid beoordelen wanneer de definitieve tekst er is. Er zijn nog een aantal zaken onduidelijk, zoals de exacte bewoording van de verboden en hoog-risico praktijken. Maar wij zijn vooral benieuwd naar de balans tussen de mogelijkheden van generatieve AI-modellen en de transparantie-eisen die ontwikkelaars moeten naleven. Het is ook goed om te realiseren dat er naast de AI Act meer regels bestaan voor het gebruik van verantwoorde AI. De regels over profilering, reclame, aanbevelingsalgoritmes in de AVG en DSA zijn bijvoorbeeld minstens net zoveel van belang.
Naast de regels is ethiek een minstens net even belangrijk onderwerp om rekening mee te houden. Mocht je concreet met ethiek en AI aan de slag willen, dan is onze maatwerk ethiek-workshop zeker de moeite waard. We helpen je organisatie graag op weg met het uitwerken van een verantwoord en ethisch AI kader. Ben je benieuwd naar het vervolg van de AI Act? Blijf ons dan volgen, we houden je op de hoogte!
- Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
- Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
- Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.