De eerste wetgeving voor artificiële intelligentie (AI): de regie terug in handen

Het Europees Parlement heeft op 14 juni 2023 met een overgrote meerderheid de wetgeving over kunstmatige intelligentie (AI) aangenomen. De beoogde Europese verordening die de Europese Commissie in 2021 presenteerde reguleert o.a.: Ontwerpen van AI, het gebruik ervan en de verkoop van AI-systemen. Tevens verbiedt de nieuwe AI wet gezichtsherkenning met slimme camera’s in de publieke ruimte. Ook komen er bindende regels voor grote chatbotmodellen zoals het befaamde ChatGPT.

Wat is artificiële intelligentie (AI)

De afgelopen jaren heeft AI verschillende definities gekregen. De Europese wetgever heeft in de aangenomen wet de volgende definitie toegepast:

“Software die is ontwikkeld aan de hand van een of meer van de technieken en benaderingen die zijn opgenomen in de lijst van bijlage I en die voor een bepaalde reeks door mensen gedefinieerde doelstellingen output kan genereren, zoals inhoud, voorspellingen, aanbevelingen of beslissingen die van invloed zijn op de omgeving waarmee wordt geïnterageerd.”

Wat is het doel van de wet?

De doelstellingen van deze nieuwe AI-wet zijn gericht op het waarborgen van veilige en compliant AI-systemen in de Europese Unie (EU). Daarnaast is het doel het bieden van rechtszekerheid om investeringen en innovatie in AI te bevorderen. Terwijl tegelijkertijd het beheer en de handhaving van bestaande wetgeving op het gebied van grondrechten en veiligheidsvoorschriften voor AI-systemen worden verbeterd. Het bevorderen van een uniforme markt voor legale, veilige en betrouwbare AI-toepassingen is tevens een belangrijk speerpunt. Hierbij wordt beoogd om marktversnippering te voorkomen en grensoverschrijdend handelen en gebruik van AI-systemen te vergemakkelijken. Door deze doelstellingen na te streven, wordt beoogd het vertrouwen in AI-technologie te vergroten, individuele rechten van EU-burgers te beschermen en een stimulerende omgeving te creëren voor investeringen, innovatie en concurrentie op het gebied van AI binnen de EU.

Voor wie is de wet bedoeld?

De EU richt zich op verschillende actoren in de AI-sector, waaronder de ontwikkelaars (providers), distributeurs en gebruikers van AI-systemen. Deze factoren zijn verantwoordelijk voor het treffen van de nodige maatregelen om ervoor te zorgen dat de AI-systemen die ze ontwikkelen, distribueren of gebruiken voldoen aan de vereisten neergelegd in de AI-wet.

Drie categorieën AI

Vanwege de overkoepelende definitie van artificiële intelligentie, streeft de EU naar een categorisatie van AI-toepassingen in drie verschillende risicogroepen. Voor elke groep zullen specifieke regels en voorschriften van toepassing zijn. Deze differentiatie is bedoeld om een passende regelgevende aanpak te waarborgen. Hierbij wordt rekening gehouden met de specifieke risico’s en impact van verschillende soorten AI-toepassingen.

• Onaanvaardbaar risico
• Hoog risico
• Laag of minimaal risico

Onaanvaardbaar risico

De AI-systemen die worden ingedeeld als onaanvaardbaar risico worden geacht in strijd te zijn met de waarden van de Europese Unie, bijvoorbeeld vanwege een schending van grondrechten. Het verbod geldt voor manipulatieve praktijken en misbruik van kwetsbare groepen. Het voorstel verbiedt ook AI-systemen die gebaseerd zijn op ‘sociale scoring’ voor algemene doeleinden door overheidsinstanties. Het gebruik van ‘realtime’ biometrische systemen voor het identificeren van personen op afstand in openbare ruimten met het oog op rechtshandhaving is grotendeels verboden.

Hoog risico

Een AI-systeem die wordt bestempeld als ‘hoog risico’ bevat een hoog risico voor de gezondheid en veiligheid of de fundamentele rechten van natuurlijke personen.  Deze AI-systemen met een hoog risico worden toegelaten op de Europese markt. Mits zij voldoen aan bepaalde dwingende voorschriften en zij moeten vooraf een conformiteitsbeoordeling ondergaan. AI-systemen met een hoog risico worden dusdanig ingedeeld op basis van het beoogde doel van het AI-systeem, in overeenstemming met de bestaande regels van productveiligheid. De indeling als AI-systeem met een hoog risico hangt hierdoor niet alleen af van de functie die het systeem vervult. Maar ook van het specifieke doel en de modaliteiten waarvoor dat systeem wordt gebruikt. Voorbeelden hiervan zijn beheer van kritieke infrastructuur, toegang tot onderwijsinstellingen, recruitment, rechtshandhaving, grenscontrole, biometrie en AI-gebaseerde aanbevelingen op grote platforms. Op deze AI-systemen is het grootste deel van de wet gericht.

Laag of minimaal risico

AI-systemen die niet binnen de eerdergenoemde categorieën vallen, kunnen relatief probleemloos toegang krijgen tot de Europese markt. Het is echter essentieel dat dergelijke AI-systemen transparant zijn, zodat het duidelijk is dat er geen menselijke interactie plaatsvindt. Bovendien mogen deze systemen geen autonome beslissingen nemen.

Wat betekent dat voor u als gebruiker?

Om voorbereid te zijn op de nieuwe AI-regels, zijn er enkele stappen die u als gebruiker kunt nemen. Allereerst zal u de gebruikte AI in kaart moeten brengen. Vergeet dan ook niet de ‘Shadow IT’, dit zijn alle IT-middelen die binnen een bedrijf door de werknemers gebruikt worden, maar buiten het beheer van de IT-afdeling vallen. Met andere woorden: Alle applicaties, cloudservices en hardware dat die niet goedgekeurd werd door uw IT-departement. Zoals persoonlijke laptops en smartphones, evenals platforms zoals Slack of Dropbox.

Daarna is het essentieel om de contracten, algemene voorwaarden en/of de privacy verklaringen van leveranciers te raadplegen met betrekking tot de werking van AI en de datasets die zij gebruiken. Indien de AI-diensten van buiten Europa worden geleverd, moeten deze voldoen aan de Europese regelgeving. Indien mogelijk, kan overweging worden gegeven aan het overstappen naar een dienstverlener binnen Europa om meer zekerheid te verkrijgen.

Tot slot is het van belang om de menselijke betrokkenheid bij de algoritmes binnen uw organisatie te onderzoeken, inclusief het opzetten van protocollen voor evaluatie en periodieke controles. Op die manier kunt u bepalen of deze algoritmes als hoog risico worden beschouwd, met inachtneming van de eerdergenoemde kaders en voorbeelden. Het opzetten van interne protocollen en processen, volgens ‘best practice guidelines’, kan u helpen bij het waarborgen van een verantwoord gebruik van AI binnen uw organisatie.

Wanneer is de Wetgeving AI van kracht?

Nu het Europees Parlement de wetgeving over AI heeft aangenomen volgen onderhandelingen met de lidstaten over de wet. Die zouden op dezelfde dag in juni nog van start gaan, veel sneller dan gewoonlijk is binnen de EU. Het toont de urgentie die binnen Europa leeft over AI. Critici vinden dat de wetgeving namelijk nu al achterloopt. De Europese Commissie wil nog dit jaar een volledig akkoord op de wet. Een invoeringsdatum van 1 januari 2024 wordt veel genoemd. Daarna volgt een implementatietermijn van 2 jaar om de nieuwe regels om te zetten naar nationale wetgeving.

AI blijft een lastig onderwerp, iedereen gebruikt het, maar hoe zit het nu precies met de regels hiervan? Onze specialisten op het gebied van Privacy/ICT helpen u graag verder. Neem gerust contact op.