Achtergrond van de Code
De AI Act maakt onderscheid tussen “AI systemen” en “AI modellen”:
- AI-systemen: Concrete toepassingen, zoals chatbots, aanbevelingssystemen of fraudedetectie.
- AI-modellen: De technische basis, zoals machine learning technieken en LLM’s (grote taalmodellen die bijvoorbeeld tekst kunnen genereren).
Veel klassieke op machine learning gebaseerde AI-modellen zijn ontworpen met een specifiek doeleinde. Denk hierbij aan een model achter het aanbevelingssysteem om productaanbevelingen te doen aan bestaande klanten.
Er zijn ook zogenaamde ‘General Purpose AI Modellen’, zoals GPT-4o en Claude 3.5, die meer generiek en flexibel voor meer meerdere AI -toepassingen. Claude 3.5 wordt bijvoorbeeld voor Anthrophic’s eigen chatbot gebruikt, maar ook door Cursor (een AI code editor). Dit zijn dus twee “AI-systemen” gebaseerd op hetzelfde LLM. De nieuwe Code richt zich uitsluitend op General Purpose AI Modellen en geeft duidelijkheid over de verplichtingen bij het op de markt brengen van deze modellen.
De Code beoogt (in ieder geval) twee dingen:
- Meer rechtszekerheid voor aanbieders: Aanbieders, als OpenAI en Anthropic, weten bovendien waar ze aan toe zijn. De Code moet namelijk vage normen (bijv. ‘technische documentatie’) uit de AI Act verder concretiseren.
- Bevorderen van compliance door gebruikers: Het helpt gebruikers van modellen, zoals marketeers, compliant te zijn met de regelgeving (waaronder de AI Act). De modellen zijn namelijk zonder enige toelichting door de aanbieder vaak een ‘black box’, waarvan de werking onduidelijk is.
Belangrijkste punten uit de Code
De AI Act maakt een onderscheid tussen General Purpose AI Modellen met en zonder systeemrisico. Het voorstel voor de Code concretiseert de volgende eisen uit de AI Act voor beide categorieën:
A. Voor alle General Purpose AI Modellen:
- Technische documentatie opstellen
Transparantie is een cruciaal onderdeel van de AI Act en essentieel voor gebruikers van LLM’s. Het doel is om downstream gebruikers — organisaties die AI-modellen integreren in hun toepassingen — te voorzien van voldoende informatie om weloverwogen keuzes te maken. Dit betreft zowel de functionele geschiktheid van het model voor specifieke use-cases en de naleving van regelgeving als de AVG, auteurswet en AI Act.
De Code verplicht aanbieders van LLM’s om uitgebreide technische documentatie beschikbaar te stellen. De documentatie moet inzicht te geven in verschillende aspecten, waaronder:
Onderwerp | Wat? |
Beoogde en verboden taken en integratiemogelijkheden | Beoogde taken, zoals: – Het genereren van content, zoals blogs, e-mails of advertenties.Analyseren van klantfeedback om trends of sentiment te ontdekken. – Automatiseren van gesprekken met klanten via chatbots. Verboden of beperkte taken: – Het verspreiden van misleidende of manipulatieve inhoud. – Toepassingen die grondrechten kunnen schenden, zoals discriminatie of privacyschending. Integratiemogelijkheden: – Lage-risico toepassingen: Bijvoorbeeld marketingtools zoals aanbevelingssystemen. – Hoge-risico toepassingen waarvoor een CE-keurmerk verplicht is: Zoals kredietbeoordeling of gezichtsherkenning. |
Modelarchitectuur en parameters | – Modelarchitectuur: Hoe het model is ontworpen, zoals een structuur die teksten begrijpt en genereert (bijv. encoder-decoder). – Modeltype: Het soort model, zoals een taalmodel dat tekst voorspelt (bijv. autoregressief transformer-model). – Contextgrootte: Hoeveel tekst (tokens) het model tegelijk kan verwerken, bijvoorbeeld om lange gesprekken of documenten te begrijpen. – Totale modelparameters: Het aantal ‘instellingen’ in het model die bepalen hoe slim het is (bijv. Llama 3 met 8 miljard of 70 miljard parameters). – Actieve parameters tijdens gebruik: Welke en hoeveel van die instellingen daadwerkelijk actief zijn als het model antwoord geeft. |
Informatie over ontwerp-, training en testproces | De ontwerp specificaties moeten detail geven over: 1. Training: Fasen (bijv. pre-training, fine-tuning), doelen (bijv. foutminimalisatie), en gebruikte methoden. 2. Data: Herkomst: Bijv. webcrawling, synthetische data of licenties. Verwerking: Filteren van schadelijke of privédata. Samenstelling: Grootte en bronnen van de dataset, inclusief detectie van bias. 3. Testproces en resultaten: Uitgevoerde tests, zoals prestatieanalyses en betrouwbaarheid. Resultaten, inclusief sterke en zwakke punten van het model. |
- Acceptable Use Policies (AUP)
Om misbruik te voorkomen en de impact van modellen te beheersen, verplicht de Code aanbieders om een AUP op te stellen. Een AUP bevat regels die het gebruik van het model specificeren, waaronder:- Toegestane toepassingen: Welke activiteiten en taken toegestaan zijn, zoals het gebruik van LLM’s voor contentcreatie of klantinteracties.
- Verboden toepassingen: Activiteiten die niet zijn toegestaan, zoals het genereren van schadelijke inhoud of manipulatieve praktijken.
- Beveiligingsrichtlijnen: Protocols die gebruikers moeten volgen om de veiligheid van het model te waarborgen.
De AUP’s moeten worden gedeeld met downstream providers om te zorgen dat modellen op verantwoorde wijze worden ingezet.
- Auteursrecht
De Code verplicht aanbieders om maatregelen te nemen die voldoen aan de EU-regels voor auteursrecht. Dit omvat:- Beleid implementeren: Aanbieders moeten een intern beleid opstellen dat de volledige levenscyclus van het model omvat, inclusief de manier waarop auteursrechtelijk beschermd materiaal wordt verwerkt.
- Compliance met de TDM-exceptie: Bij het gebruik van tekst- en datamining (TDM) moeten aanbieders ervoor zorgen dat zij alleen data gebruiken waar zij rechtmatig toegang toe hebben. Zij moeten ook rekening houden met beperkingen die door rechthebbenden zijn ingesteld, zoals via robots.txt.
- Transparantie over datagebruik: Aanbieders moeten duidelijk maken welke data is gebruikt voor de ontwikkeling van hun modellen en hoe zij auteursrechtelijke risico’s hebben gemitigeerd.
B. General Purpose AI Modellen met een systeemrisico
Systeemrisico verwijst naar de risico’s die voortvloeien uit de krachtige capaciteiten van modellen, met aanzienlijke gevolgen voor de markt, gezondheid, veiligheid, grondrechten of de samenleving. Deze risico’s kunnen zich op grote schaal door de waardeketen verspreiden. De Code behandelt twee hoofdonderwerpen, die we hieronder beknopt toelichten:
- Taxonomie van systeemrisico
Een model wordt vermoed een systeemrisico te vormen als het trainen ervan uitzonderlijk veel rekenkracht vereist: minimaal 1025 floating points. Zelfs als krachtige modellen zoals o1, GPT-4o en Claude 3.5 deze grens niet halen, worden zij vanwege hun geavanceerde capaciteiten alsnog geacht te voldoen aan de eisen voor systeemrisico. Naast rekenkracht kijkt de AI Act naar aanvullende criteria, zoals de mate van manipulatie of impact op kritieke infrastructuren, om risico’s te identificeren.
- Aanvullende verplichtingen voor modellen met systeemrisico
Modellen die onder de classificatie van systeemrisico vallen, moeten voldoen aan strikte eisen uit de Code. Dit omvat:- Uitgebreide risicoanalyses op basis van type, aard en bron van risico’s.
- Transparantie in technische documentatie over modelcapaciteiten en beperkingen.
- Permanente monitoring en maatregelen om risico’s tijdens de levenscyclus van het model te mitigeren.
Betekenis voor de marketingsector
Het voorstel voor de Code is momenteel nog een concept, met een geplande definitieve versie uiterlijk in augustus 2025. Dit concept biedt echter nu al een waardevol inzicht in de toekomstige regelgeving en de eisen die gaan gelden voor aanbieders en gebruikers van General Purpose AI-modellen zoals GPT-4o.
Voor marketeers betekent dit dat zij in de toekomst beter in staat zullen zijn om LLM’s zorgvuldig te selecteren op basis van transparante documentatie, duidelijke richtlijnen voor gebruik en naleving van auteursrechtregels. De Code biedt aanbieders rechtszekerheid over de vereisten en geeft gebruikers de tools om modellen veilig en compliant te integreren in hun toepassingen. Hoewel de Code nog niet definitief is, is het verstandig om nu al kritisch te kijken naar de modellen die je selecteert. Door nu al aandacht te besteden aan deze aspecten, kun je als marketeer voorbereid zijn op toekomstige regelgeving en tegelijkertijd profiteren van de krachtige mogelijkheden van LLM’s.
Wil je op de hoogte blijven van de AI Act en het voorstel voor de Code of Practice? Lees dan ook onze themapagina AI Act en houdt onze website voor verdere updates in de gaten. Voor vragen zijn we te bereikbaar op legal@ddma.nl.
- Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
- Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
- Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.