De geruchten blijken waar te zijn – de EU is bezig met het ontwikkelen van een manier om het gebruik van kunstmatige intelligentie (AI) te reguleren. Eind vorige maand kwam de Europese Commissie met een voorstel voor een juridisch kader dat bepaalt wanneer en hoe AI in de EU kan worden gebruikt, om zo “betrouwbare AI” te ontwikkelen, zoals Ursula von der Leyen het formuleerde. In deze blogpost geven wij u een korte samenvatting van de belangrijkste onderdelen van het voorstel die ons zijn opgevallen.
“Onaanvaardbaar risico”
De EU-Commissie heeft duidelijk aangegeven dat zij de voordelen van AI voor het bedrijfsleven en de samenleving in het algemeen erkent. De Commissie heeft er ook nadrukkelijk op gewezen dat de voorgestelde regelgeving inzake AI niet bedoeld is om de groei van het bedrijfsleven of de technologische ontwikkeling te belemmeren. De voorgestelde verordening gaat dan ook uit van een risicogebaseerde benadering van het beheer van het gebruik van AI. De Commissie heeft echter wel vastgesteld dat sommige op AI gebaseerde praktijken gewoonweg een onaanvaardbaar risico opleveren voor de rechten en vrijheden van het individu in de EU, en daarom volledig verboden moeten worden:
Regelgeving voor AI met een “hoog risico”
Buiten de beperkte scenario’s hierboven is het grootste deel van de regelgeving gericht op de invoering van controles op het gebruik van AI-systemen met een “hoog risico”. Er wordt niet specifiek gedefinieerd wat onder “hoog risico” wordt verstaan, maar bijlage III bevat een aantal voorbeelden:
Het belangrijkste van de voorgestelde regelgeving is dat zij uitgaat van een levenscyclusbenadering van het AI-toezicht. Net als de AVG-vereisten op het gebied van gegevensbescherming, schrijft de voorgestelde AI-verordening voor dat risicovolle AI-systemen van het begin tot het einde van hun planning, ontwikkeling, werking en verwijdering aan toezicht moeten worden onderworpen.
Als het gaat om wat de leveranciers, importeurs, distributeurs en gebruikers (ja, allemaal hebben ze verplichtingen) van AI-systemen met een hoog risico moeten doen, denk ik meteen aan risicobeheer. Het uitvoeren van risicobeoordelingen zal van cruciaal belang zijn gedurende de hele levenscyclus van deze AI-systemen, evenals goed gegevensbeheer, documentatie en registratie en toezicht en incidentenrapportage. Al met al zijn de voorgestelde regels behoorlijk belastend.
Forse boetes
Een laatste en wellicht onverwachte aankondiging betrof de enorme boetes die niet-naleving van de verordening met zich mee zal brengen wanneer deze in werking treedt. De regelgeving voor AI kent, net als de GDPR, een trapsgewijze aanpak van de boetes, maar in dit geval zijn het er drie in plaats van twee:
Dit laatste boetetraject zal grote ondernemingen die een AI-systeem gebruiken of overwegen te gebruiken dat waarschijnlijk verboden zal worden, waarschijnlijk doen terugdeinzen. Voor de toporganisaties kan een overtreding van dit verbod leiden tot een miljardenboete.
Wat betekent dit voor het VK?
Alle ogen zullen nu gericht zijn op het VK, aangezien deze nieuwe AI-verordening waarschijnlijk het eerste wetgevingsstuk van de EU zal zijn dat na de Brexit van kracht wordt. Dit betekent dat dit voor het VK de eerste gelegenheid zal zijn om zich ofwel aan te sluiten bij de EU, ofwel ervan af te wijken. Beide hebben hun voordelen, maar als het VK ervoor kiest om niet in de voetsporen van de EU te treden, kan het zijn eigen agenda bepalen, mogelijk voortbouwend op zijn reeds bestaande kader voor AI-audits. Zo kan het VK worden gezien als een alternatief voor de standaardaanpak van de EU op het gebied van AI-regelgeving. De realiteit is echter dat veel organisaties zich niet uitsluitend op het VK richten en daarom ook aan de voorgestelde EU-verordening inzake AI zouden kunnen moeten voldoen, wat betekent dat een nauwere afstemming op de EU-benadering voordelig zou kunnen zijn. De tijd zal het leren.
Conclusie
AI zorgt continu voor innovatie en nieuwe ontwikkelingen in tal van sectoren, van onderwijs en gezondheidszorg tot financiën en energie. De voorgestelde AI-verordening zal dan ook een enorme impact hebben in vele sectoren. Hoewel de verordening zich momenteel nog in de voorstelfase bevindt en de inhoud dus nog kan worden gewijzigd, is het duidelijk dat de EU het meent, zoals blijkt uit de enorme boetes die zijn voorgesteld voor niet-naleving.
Maar aangezien de enorme mogelijkheden van AI veel bedrijven enorme kansen bieden, zal dit niveau van financiële sancties waarschijnlijk een dwangmiddel zijn om organisaties te straffen die de grenzen willen verleggen van aanvaardbare toepassingen van AI.
Voor nu volstaat het te zeggen dat deze aankondiging van de EU-Commissie de voorbije weken heel wat aandacht heeft getrokken. De komende maanden zal dat waarschijnlijk nog veel meer het geval zijn naarmate de verordening zich verder ontwikkelt en vorm begint te geven aan het AI-landschap van de toekomst.
Het DPO Center kan u de nodige ondersteuning en begeleiding bieden om u te helpen bij de naleving van het AI-auditkader van het Verenigd Koninkrijk en de bredere vereisten van Artikel 25 van gegevensbescherming door ontwerp(privacy by design). Neem contact met ons op voor meer informatie en ondersteuning.
Vul hieronder uw gegevens in en wij nemen zo spoedig mogelijk contact met u op