Artificial Intelligence (hierna: AI): wie kent het ondertussen niet? Dit is de mogelijkheid van een machine om mensachtige vaardigheden te generen, zoals redeneren, leren, plannen en creativiteit.[1] Hoewel we de mogelijkheden van AI niet uit het oog moeten verliezen, mogen we niet voorbijgaan aan de ethische, verantwoordelijkheids- en veiligheidsvraagstukken die de opkomst van AI met zich meebrengt. In 2021 heeft de Europese Commissie binnen deze context stappen ondernomen om een Verordening op te stellen die geharmoniseerde regels voor AI vastlegt, bekend als de AI Act.[2] In december 2023 hebben Europese Wetgevers een akkoord bereikt om AI in goede banen te leiden, waarmee een nieuw hoofdstuk is bereikt in het Europese wetgevingsproces.[3]
Wat is een AI-systeem?
Om AI-wetgeving te creëren moet men eerst antwoord geven op de – in eerste instantie simpele – vraag: wat is een AI-systeem? Na enige discussie en verscherping is worden AI-systemen omschreven als: ‘’A machine-based system that is designed to operate with varying levels of autonomy and that can, for explicit or implicit objectives, generate output such as predictions, recommendations, or decisions influencing physical or virtual environments.’’[4] Dit houdt in dat de AI Act van toepassing is op systemen die output genereren, zoals voorspellingen of beslissingen die hun omgeving beïnvloeden.
Hoewel er nu een definitie is voor AI-systemen, was dit een omstreden onderwerp. Een van de kritiekpunten is dat door de ruim geformuleerde definitie simpele software-systemen ook onder de AI-Act dreigen te vallen.[5] Dat is onwenselijk, omdat de regelgeving niet bedoeld lijkt te zijn voor deze simpele systemen. Echter, de AI Act gaat uit van een gelaagde, risicogebaseerde structuur. Dit betekent dat softwaresystemen die als AI-systemen worden gedefinieerd en maar weinig risico’s met zich meebrengen, vrijwel aan geen voorwaarden hoeven te voldoen.[6]
Risicogebaseerde aanpak
Zoals gezegd is voor de invulling van de AI Act gekozen voor een risicogebaseerde structuur. In andere woorden houdt dit in dat er per AI-systeem wordt bekeken wat het risico is en dat op basis daarvan bepaalde eisen wordt gesteld.[7] De AI Act onderscheidt vier verschillende risicoklassen: onaanvaardbaar risico, hoog risico, beperkt risico en laag risico. Deze categorieën worden hieronder uiteengezet.
Onaanvaardbaar risico
Een AI-systeem valt onder een onaanvaardbaar risico als het gebruik ervan in strijd is met de waarden van de Europese Unie, zoals het schenden van het recht op waardigheid en non-discriminatie. Daarnaast kan onder andere ook worden gedacht aan AI-systemen die individuen beoordelen op basis van hun gedrag op en hun daarvoor een sociale score toekennen.[8] Dit soort systemen dienen in bijna alle gevallen te worden verboden, omdat ze de persoonlijke levenssfeer van een aanzienlijk deel van de bevolking aantasten. Daarnaast brengen ze gevoelens van voortdurende bewaking met zich mee, wat maatschappelijk gezien niet gewenst is.
Hoog risico
Het overgrote deel van de vereisten voor AI-systemen ziet op AI-systemen met een zogenoemd hoog risico.[9] Volgens de voorgestelde verordening wordt een AI-systeem als een hoog risico beschouwd in twee gevallen. Ten eerste als het deel uitmaakt van een product dat valt onder Europese harmonisatiewetgeving in bijlage II van de conceptverordening en verplicht is tot een conformiteitsbeoordeling door een derde partij voor het op de markt brengen. Ten tweede wordt het als een hoog risico beschouwd als de toepassing van het AI-systeem voldoet aan een van de hoogrisicotoepassingen in bijlage III van de conceptverordening. Hierin zijn acht domeinen aangewezen als hoogrisicogebieden voor AI-gebruik.[10]
Hoewel AI-systemen met een hoog risico niet verboden zijn, gelden er voor deze categorie wel strengere regels. Aanbieders dienen bekende en voorzienbare risico’s duidelijk te identificeren en te documenteren. Daarnaast zijn er technische documentatievereisten die verbonden zijn aan het eerdergenoemde systeem. Middels deze documentatie kunnen bedrijven aantonen dat ze aan de eisen van de AI Act voldoen. Aanbieders dienen volgens artikel 12 registratie uit te voeren en hoogrisico-AI-systemen zo te ontwerpen dat natuurlijke personen effectief toezicht kunnen houden op deze systemen/op de AI-systemen om risico’s te voorkomen of te beperken, zowel in overeenstemming met het beoogde doel als in situaties van redelijkerwijs verwacht misbruik.[11]
Beperkt risico
Voor AI-systemen met een beperkt risico introduceert de AI Act specifieke transparantieverplichtingen om natuurlijke personen op de hoogte te stellen van de betrokkenheid van het AI-systeem.[12] De transparantieverplichtingen gelden voor AI-systemen die bedoeld zijn voor interactie met mensen, zoals bijvoorbeeld ChatGPT. Daarnaast gelden deze verplichtingen voor AI-systemen die emoties herkennen of mensen indelen op basis van uiterlijke kenmerken. Tot slot gelden de verplichtingen ook voor AI-systemen die beeld-, audio- of videomateriaal maken of bewerken, zoals deepfakes. In het eerste voorbeeld moet de maker van het AI-systeem ervoor zorgen dat het duidelijk is, terwijl in het tweede en derde voorbeeld de gebruiker verantwoordelijk is voor de transparantie.[13]
Laag risico
Deze AI-systemen zijn toegestaan, maar het doel van de AI Act is om aanbieders van dergelijke systemen te stimuleren om vrijwillig de verplichte voorschriften voor hoogrisico-AI-systemen toe te passen door bijvoorbeeld het opstellen van gedragscodes.[14]
De AI Act: dichtbij, maar nog niet hier
Hoewel het akkoord tussen de Europese Raad, Europese Commissie en het Europese Parlement een belangrijke mijlpaal is, markeert dit niet het einde, maar eerder het begin van een nieuw hoofdstuk in het Europese wetgevingsproces. Momenteel zijn de Europese Raad, de Europese Commissie en het Europees Parlement bezig met het finaliseren van de wettekst. Als dit zo ver is, moet het Europese Parlement respectievelijk de Europese Raad hier nog binnen hun eigen vergaderingen over stemmen. Als dit proces is afgerond, kan het implementatieproces beginnen. Naar verwachting zal de AI Act in 2026 in werking treden en daarmee hebben bedrijven die onder de AI Act vallen voldoende tijd om zich voor te bereiden op deze evolutie in regelgeving en innovatie.[15] Een spannende reis naar de toekomst van AI-regulering staat voor de deur.
[1] ‘Wat is artificiële intelligentie en hoe wordt het gebruikt?’, europarl.europa.eu.
[2] R. Santifort e.a., ‘De EU AI Act: de toekomst is (bijna) hier’, NJB 2023/2631.
[3] ‘EU levert eerste AI-specifieke wetgeving ter wereld af’, ser.nl.
[4] Artificial Intelligence Act, P9_ TA(2023)0236, amendment 168, article 3 – paragraph 1 – point 1 c (new), p. 112.
[5] B. Kleinhout & J.L. Naves, ‘Het voorstel voor een Europese AI-verordening en de betekenis daarvan voor Nederlandse overheden’, NTB 2022/38.
[6] B. Kleinhout & J.L. Naves, ‘Het voorstel voor een Europese AI-verordening en de betekenis daarvan voor Nederlandse overheden’, NTB 2022/38.
[7] R. Santifort e.a., ‘De EU AI Act: de toekomst is (bijna) hier’, NJB 2023/2631.
[8] R. Santifort e.a., ‘De EU AI Act: de toekomst is (bijna) hier’, NJB 2023/2631.
[9] R. Santifort e.a., ‘De EU AI Act: de toekomst is (bijna) hier’, NJB 2023/2631.
[10] B. Kleinhout & J.L. Naves, ‘Het voorstel voor een Europese AI-verordening en de betekenis daarvan voor Nederlandse overheden’, NTB 2022/38.
[11] R. Santifort e.a., ‘De EU AI Act: de toekomst is (bijna) hier’, NJB 2023/2631.
[12] Artikel 52 AI Act.
[13] B. Kleinhout & J.L. Naves, ‘Het voorstel voor een Europese AI-verordening en de betekenis daarvan voor Nederlandse overheden’, NTB 2022/38.
[14] R. Santifort e.a., ‘De EU AI Act: de toekomst is (bijna) hier’, NJB 2023/2631.
[15] ‘EU levert eerste AI-specifieke wetgeving ter wereld af’, ser.nl.
The post Reguleren van de toekomst: de Europese AI Act appeared first on Bulletineke Justitia.