Over de AI Act
Ondanks dat Artificial Intelligence (AI) inmiddels een bekende term is, zijn er veel verschillende definities in omloop. De meest gangbare variant is waarschijnlijk de volgende:
Artificial Intelligence is het vermogen van computersystemen om mensachtige taken uit te voeren, zoals het herkennen van spraak, het begrijpen van natuurlijke taal, het herkennen van beelden, het nemen van beslissingen en het leren van ervaringen.
Aldus ChatGPT
AI is al jaren vervlochten met onze samenleving, maar de bewuste toepassing ervan lijkt de laatste jaren een vlucht te hebben genomen. Met name de opkomst van Large Language Models (met ChatGPT als concreet voorbeeld van een tool die daar gebruikt van maakt) heeft bijgedragen aan de bredere bekendheid van AI omdat het eenvoudig in gebruik is, maar ook gemak en snelheid oplevert (zowel in het bedrijfs- als dagelijks leven). Toch moeten we niet vergeten dat AI veel meer toepassingen kent en ook al meer dan een decennia op allerlei manieren wordt ingezet. Denk aan zelflerende algoritmes van socialmediaplatformen, systemen achter online advertising (zoals real time bidding) of CRM-systemen die met jouw organisatie meedenken.
Ondanks dat AI veel voordelen kan bieden, schuilt er ook een gevaar in de inzet ervan. Zo kan een verkeerde interpretatie ván of een onterecht vertrouwen ín de technologie impactvolle gevolgen hebben voor gebruikers of burgers. Daarbij kun je denken aan oplichtingspraktijken met deep fakes, de informatiefuik op social media platformen, maar ook de toeslagenaffaire.
Om ervoor te zorgen dat AI op een veilige, verantwoorde en betrouwbare manier wordt ontwikkeld én ingezet, heeft de Europese Commissie in april 2021 een voorstel gedaan voor een nieuwe set regels voor heel Europa: de AI Act. Hiermee moet worden gewaarborgd dat eventuele ‘nieuwe risico’s of negatieve gevolgen voor het individu of de samenleving’ zo veel mogelijk worden beperkt. Daarbij moet je naast gebruik door burgers ook denken aan kritieke infrastructuren (zoals ziekenhuizen en energiecentrales) waarbij AI wordt ingezet.
De Europese Commissie streeft naar een evenwicht, omdat het ook innovatie en ontwikkeling wil stimuleren. Zoals de Europese Commissie het zelf verwoordt:
Het is in het belang van de EU om haar technologische leiderspositie te behouden en ervoor te zorgen dat Europeanen kunnen genieten van nieuwe technologieën, ontwikkeld en functionerend volgens de waarden, grondrechten en beginselen van de Unie.
Europese Commissie
Hieronder lees je onder meer hoever we zijn in het wetgevingsproces, wat we tot dusver weten over de nieuwe regels én wat dit mogelijk betekent voor jou in de praktijk.
Waar zitten we in het wetgevingsproces?
De Europese wetgevingsprocedure is een langdurig en complex besluitvormingsproces. Het begint met het indienen van een wetsvoorstel door de Europese Commissie (EC), waarna het Europees Parlement (EP) en de Europese Raad (Raad) daarover een mening gaan vormen. Na veel vergaderingen, lobby’s en stemprocedures over conceptvoorstellen, komen het EP en vervolgens de Raad met een eigen variant van het voorstel.
Nadat de voorstellen definitief zijn opgesteld door beide organen, begint de triloog. Dit is een onderhandelingsproces tussen de drie organen.
Wat in dit proces gebeurt, blijft voor het grootste gedeelte binnenskamers (ook wel een black box genoemd). Daardoor is het altijd nog afwachten wat de definitieve uitkomst gaat zijn qua wetgeving. Daarnaast kent bijna iedere Europese verordening een transitieperiode nadat deze definitief wordt aangenomen, zodat de markt de tijd krijgt om zich aan de regels te houden. Hierdoor kan het, nadat de wet van kracht wordt, soms nog wel twee jaar duren voordat de regels van toepassing zijn. In het bovenstaande stroomschema kun je zien hoe complex het systeem is én zie je in welke fase de AI Act op dit moment zit.
Wat weten we nu?
Doordat het wetgevingsproces op dit moment nog in de beginfase zit, is het verre van duidelijk hoe het definitieve wetsvoorstel eruit zal zien. Met name in de triloogfase kan er namelijk nog veel veranderen, zoals wat precies de definitie is van AI én welke systemen überhaupt onder deze nieuwe regels vallen. Daarnaast vindt dit onderhandelingsproces tussen de Raad en het Parlement ook nog eens achter gesloten deuren plaats en moeten we het alleen doen met gelekte informatie.
Toch kunnen we op basis van de nu beschikbare informatie wel al een goede inschatting maken over het raamwerk van de AI Act en welke verplichtingen er hoogstwaarschijnlijk zullen komen. Sterker nog: er is vanuit Europa al veel informatie beschikbaar en een groot aantal organisaties is hier ook al op aan het voorsorteren.
Definitie AI
Op dit moment bestaat er nog discussie over de definitie van Artificial Intelligence in de AI Act. Deze is namelijk van belang om te begrijpen welke technologische toepassingen binnen de reikwijdte van de AI Act vallen. Bij het eerste voorstel van de Europese Commissie is ervoor gekozen om een zo breed en neutraal mogelijke definitie aan te houden:
“Artificiële-intelligentiesysteem” (AI-systeem): software die is ontwikkeld aan de hand van een of meer van de technieken en benaderingen die zijn opgenomen in de lijst van bijlage I en die voor een bepaalde reeks door mensen gedefinieerde doelstellingen output kan genereren, zoals inhoud, voorspellingen, aanbevelingen of beslissingen die van invloed zijn op de omgeving waarmee wordt geïnterageerd;
Daarmee zouden ook toekomstige technologieën gedekt kunnen worden door de AI Act. De huidige Annex 1 noemt bijvoorbeeld machine learning-methoden, maar ook kennisgebaseerde systemen (regels) of statistische methoden. Toch zijn er ook critici die zich afvragen of de definitie zo breed genomen moet worden omdat het mogelijk onnodige barricades oplevert voor ontwikkelaars. Zo zou in theorie ook een zelflerende de tandenborstel onder de definitie vallen. Het laatste woord is hier dus nog niet over gesproken. Je kunt een lijst met mogelijke definities vinden in artikel 3 van het voorstel.
Risicogebaseerde aanpak
Voor de invulling van de AI Act is gekozen voor een risicogebaseerde aanpak. Dat betekent dat per AI-systeem wordt bekeken wat het risico is en op basis daarvan bepaalde vereisten worden gesteld. De volgende risico’s worden onderscheiden:
AI-systemen die zijn verboden omdat ze een té grote impact hebben. Hierbij moet je denken aan systemen die manipuleren, sociale scoring mogelijk maken of biometrische kunnen identificeren. In sommige gevallen bestaan er uitzonderingen op dit verbod (bijvoorbeeld bij terroristische aanslagen)
AI-systemen die een mogelijk risico vormen voor iemands gezondheid, veiligheid of fundamentele rechten. Deze zijn enkel toegestaan onder strikte voorwaarden. Hierbij moet je denken aan toepassing bij kritieke infrastructuren in een maatschappij of scoring van examens in het onderwijs. Deze systemen moeten worden opgenomen in een Europees register.
AI-systemen die ontwikkeld zijn om te interacteren met natuurlijke personen of content genereren. Omdat hier een kans bestaat op verpersoonlijking van technologie zijn hier ook voorwaarden aan verbonden. Denk hierbij aan generatieve AI zoals chatbots of componisten. Hiervoor gelden met name transparantieregels richting de interacteerders. Het moet duidelijk zijn voor hen dat ze interacteren met een AI-systeem.
AI-systemen die (niet direct) een verhoogd risico vormen voor de samenleving. Denk aan AI-gedreven karakters in videogames of spamfilters. Deze categorie is niet opgenomen in de AI Act en daarom zonder aanvullende regels toegestaan.
Zoals je kunt zien is de vraag welke regels op een systeem van toepassing zijn erg afhankelijk van de vraag in welke risicocategorie het valt. Het zal je dan ook niet verbazen dat er in Europa nog veel discussie bestaat over welke vormen van AI in welke categorie zouden moeten vallen. Er wordt bij de AI Act een bijlage opgenomen met systemen die aangemerkt kunnen worden als een hoog risico. Deze lijst kan nog worden uitgebreid of worden gewijzigd.
Daarnaast laat deze verdeling ook zien dat de AI Act lang niet alle vormen van AI omvat. Er zijn namelijk veel toepassingen die aangemerkt kunnen worden als laag of minimaal risico en daarmee zonder aanvullende voorwaarden (vanuit de AI Act) kunnen worden ingezet. Gebruik jij een systeem waarvan je denkt dat het mogelijk als risicovol kan worden beschouwd? Lees hieronder dan meer over de regels en rollen.
Rollen en regels
Naast het verdelen van AI-systemen in risicocategorieën, wordt er voor het toepassen van de regels ook een onderscheid gemaakt in de rol die een persoon of organisatie heeft ten aanzien van een AI-systeem. Afhankelijk van de rol die je hebt (zie definities), zijn er vervolgens (formele) verplichtingen die op jou van toepassing zullen zijn als het gaat om hoog risico AI-systemen:
“Aanbieder”: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem ontwikkelt of beschikt over een AI-systeem dat is ontwikkeld met het oog op het al dan niet tegen betaling in de handel brengen of in gebruik stellen ervan onder de eigen naam of merknaam;
“Importeur”: een in de Unie gevestigde natuurlijke of rechtspersoon die een AI-systeem in de handel brengt of in gebruik stelt dat de naam of merknaam van een buiten de Unie gevestigde natuurlijke of rechtspersoon draagt;
“distributeur”: een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie in de handel brengt zonder de eigenschappen hiervan te beïnvloeden;
“Gebruiker”: een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet-beroepsactiviteit;
“Gemachtigde”: een in de Unie gevestigde natuurlijke of rechtspersoon die een schriftelijke machtiging heeft gekregen van een aanbieder van een AI-systeem om namens hem de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren;
“exploitant”: de aanbieder, gebruiker, gemachtigde, importeur en distributeur;
- Safe AI:
- Risico management systemen opstellen (artikel 9)
- Gebruiksaanwijzing opstellen (artikel 13)
- Transparantieplicht (artikel 13)
- Menselijk overzicht (artikel 14)
- Cybersecurity verplichtingen (artikel 15)
- Kwaliteits management systemen opstellen (artikel 17)
- Data Governance (artikel 10)
- Technische documentatie (artikel 11)
- Readiness Market Placement
- Registratieplicht (artikel 51)
- Conformiteits assessment (artikel 19)
- Samenwerken met autoriteiten (artikel 23)
- Market Placement:
- Conformiteits assessment is gedaan door leverancier (artikel 26)
- Technische is opgesteld door leverancier (artikel 26)
- Conformity marking and gebruiksaanwijzing is opgesteld (artikel 26)
- Samenwerking met autoriteiten (artikel 26)
- Conformity marking and gebruiksaanwijzing is opgesteld (artikel 27)
- Samenwerken met autoriteiten (artikel 27)
- Blijvende compliance met gebruiksaanwijzing (artikel 27)
- Datakwaliteit waarborgen en logs bijhouden (artikel 29)
- Gebruik in lijn met gebruiksaanwijzing (artikel 29)
- Gebruik in lijn met voorschriften voor menselijk overzicht (artikel 29)
- Data Protection Impact Assesment indien nodig (zie AVG)
Let op: het kan zijn dat jouw organisatie meerdere rollen vertegenwoordigd in de keten. Dat betekent ook dat je aan de verplichtingen van beide rollen dient te voldoen. Zo vertelt artikel 28 van het voorstel dat je wordt aangemerkt als leverancier wanneer je:
- Het originele doel waarvoor het AI-systeem op de markt is gebracht, aanpast
- Het AI-systeem substantieel aanpast
- AI-systemen op de markt brengt onder jouw merk- of handelsnaam
In de bijlage die wordt opgesteld bij de AI Act, kun je zien wat er wordt verstaan onder het opstellen van technische documentatie of het doen van een conformiteits assesment.
Toezicht
Leuk natuurlijk al die regels vanuit Europa, maar hoe zit het met het toezicht daarop? Zoals we gewend zijn bij andere Europese verordeningen, kent ook de AI Act een nationale toezichthouder die wordt aangewezen. In Nederland zal hoogstwaarschijnlijk de Autoriteit Persoonsgegevens (AP) worden aangewezen. Op dit moment is de AP enkel de toezichthouder voor de Algemene Verordening Gegevensbescherming (AVG), maar ook vanuit die rol komt het op dit moment in aanraking met AI-systemen op het moment dat deze persoonsgegevens verwerken. Daarmee zien we ook gelijk de overlap tussen de AI Act en de AVG.
Wat regelt de AI Act niet
Het is ook goed om te benoemen waar de AI Act (op dit moment) geen regels voor kent. De wet gaat niet over de toepassing van AI-systemen door gebruikers in de praktijk. Het is namelijk mogelijk om ondanks ingebouwde waarborgen een AI-systeem om de tuin te leiden. Wanneer een gebruiker bijvoorbeeld generatieve AI inzet om een aanstootgevende tekst of afbeelding te produceren, dan staat daarover niks geregeld in de AI Act. Hiervoor zal moeten worden gekeken naar andere wet- en regelgeving (bijvoorbeeld in het strafrecht). Overigens zorgt de huidige maatschappelijke discussie ervoor dat er alsnog wordt gekeken naar bepaalde toepassingen van AI-systemen. Daardoor kan het zijn dat er in de definitieve versie van de AI Act alsnog regels worden opgenomen hierover. Zo heeft het Europees Parlement in haar voorstel een bepaling opgenomen over het vrijgeven van auteursrechtelijk beschermd werk dat wordt gebruikt om AI-systemen te trainen.
Relevante publicaties
onze legal specialisten
Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.