EU stelt nieuwe regelgeving AI voor – samenvattig door The DPO Center

De geruchten blijken waar te zijn – de EU is bezig met het ontwikkelen van een manier om het gebruik van kunstmatige intelligentie (AI) te reguleren. Eind vorige maand kwam de Europese Commissie met een voorstel voor een juridisch kader dat bepaalt wanneer en hoe AI in de EU kan worden gebruikt, om zo “betrouwbare AI” te ontwikkelen, zoals Ursula von der Leyen het formuleerde. In deze blogpost geven wij u een korte samenvatting van de belangrijkste onderdelen van het voorstel die ons zijn opgevallen.

“Onaanvaardbaar risico”

De EU-Commissie heeft duidelijk aangegeven dat zij de voordelen van AI voor het bedrijfsleven en de samenleving in het algemeen erkent. De Commissie heeft er ook nadrukkelijk op gewezen dat de voorgestelde regelgeving inzake AI niet bedoeld is om de groei van het bedrijfsleven of de technologische ontwikkeling te belemmeren. De voorgestelde verordening gaat dan ook uit van een risicogebaseerde benadering van het beheer van het gebruik van AI. De Commissie heeft echter wel vastgesteld dat sommige op AI gebaseerde praktijken gewoonweg een onaanvaardbaar risico opleveren voor de rechten en vrijheden van het individu in de EU, en daarom volledig verboden moeten worden:

1. AI-systemen die het gedrag van een persoon verstoren en fysieke of psychische schade veroorzaken of dreigen te veroorzaken door subliminale technieken toe te passen of door misbruik te maken van de kwetsbaarheid van een persoon vanwege zijn leeftijd of lichamelijke of geestelijke handicap
2. AI-systemen die door of namens overheidsinstanties worden gebruikt om de betrouwbaarheid van personen te beoordelen, waarbij deze sociale score kan leiden tot een nadelige of ongunstige behandeling die geen verband houdt met de context waarin de gegevens oorspronkelijk zijn gegenereerd, dan wel ongerechtvaardigd en onevenredig is
3. Het gebruik van “real-time” biometrische identificatiesystemen (gezichtsherkenning) op afstand in openbare ruimten voor rechtshandhavingsdoeleinden (hoewel voor dit verbod tal van uitzonderingen gelden, die vervolgens aan verdere voorwaarden zijn onderworpen)

Regelgeving voor AI met een “hoog risico”

Buiten de beperkte scenario’s hierboven is het grootste deel van de regelgeving gericht op de invoering van controles op het gebruik van AI-systemen met een “hoog risico”. Er wordt niet specifiek gedefinieerd wat onder “hoog risico” wordt verstaan, maar bijlage III bevat een aantal voorbeelden:

• Biometrische identificatie en categorisatie
• Beheer en exploitatie van kritieke infrastructuur
• Onderwijs en beroepsopleiding
• Rechtshandhaving
• Migratie, asiel en grenscontrole

Het belangrijkste van de voorgestelde regelgeving is dat zij uitgaat van een levenscyclusbenadering van het AI-toezicht. Net als de AVG-vereisten op het gebied van gegevensbescherming, schrijft de voorgestelde AI-verordening voor dat risicovolle AI-systemen van het begin tot het einde van hun planning, ontwikkeling, werking en verwijdering aan toezicht moeten worden onderworpen.

Als het gaat om wat de leveranciers, importeurs, distributeurs en gebruikers (ja, allemaal hebben ze verplichtingen) van AI-systemen met een hoog risico moeten doen, denk ik meteen aan risicobeheer. Het uitvoeren van risicobeoordelingen zal van cruciaal belang zijn gedurende de hele levenscyclus van deze AI-systemen, evenals goed gegevensbeheer, documentatie en registratie en toezicht en incidentenrapportage. Al met al zijn de voorgestelde regels behoorlijk belastend.

Forse boetes

Een laatste en wellicht onverwachte aankondiging betrof de enorme boetes die niet-naleving van de verordening met zich mee zal brengen wanneer deze in werking treedt. De regelgeving voor AI kent, net als de GDPR, een trapsgewijze aanpak van de boetes, maar in dit geval zijn het er drie in plaats van twee:

• Tot 2% van de wereldwijde jaaromzet of, indien dit meer is, 10 miljoen euro – voor het verstrekken van onjuiste, onvolledige of valse informatie aan aangemelde instanties
• Tot 4% van de wereldwijde jaaromzet of, indien dit meer is, 20 miljoen euro – voor het niet meewerken met de nationale bevoegde autoriteiten en het niet voldoen aan de verplichtingen die voortvloeien uit de regelgeving
• Tot 6% van de wereldwijde jaaromzet of 30 miljoen euro (de hoogste van de twee is van toepassing) voor het ontwikkelen, te koop aanbieden of gebruiken van een verboden AI-systeem

Dit laatste boetetraject zal grote ondernemingen die een AI-systeem gebruiken of overwegen te gebruiken dat waarschijnlijk verboden zal worden, waarschijnlijk doen terugdeinzen. Voor de toporganisaties kan een overtreding van dit verbod leiden tot een miljardenboete.

Wat betekent dit voor het VK?

Alle ogen zullen nu gericht zijn op het VK, aangezien deze nieuwe AI-verordening waarschijnlijk het eerste wetgevingsstuk van de EU zal zijn dat na de Brexit van kracht wordt. Dit betekent dat dit voor het VK de eerste gelegenheid zal zijn om zich ofwel aan te sluiten bij de EU, ofwel ervan af te wijken. Beide hebben hun voordelen, maar als het VK ervoor kiest om niet in de voetsporen van de EU te treden, kan het zijn eigen agenda bepalen, mogelijk voortbouwend op zijn reeds bestaande kader voor AI-audits. Zo kan het VK worden gezien als een alternatief voor de standaardaanpak van de EU op het gebied van AI-regelgeving. De realiteit is echter dat veel organisaties zich niet uitsluitend op het VK richten en daarom ook aan de voorgestelde EU-verordening inzake AI zouden kunnen moeten voldoen, wat betekent dat een nauwere afstemming op de EU-benadering voordelig zou kunnen zijn. De tijd zal het leren.

Conclusie

AI zorgt continu voor innovatie en nieuwe ontwikkelingen in tal van sectoren, van onderwijs en gezondheidszorg tot financiën en energie. De voorgestelde AI-verordening zal dan ook een enorme impact hebben in vele sectoren. Hoewel de verordening zich momenteel nog in de voorstelfase bevindt en de inhoud dus nog kan worden gewijzigd, is het duidelijk dat de EU het meent, zoals blijkt uit de enorme boetes die zijn voorgesteld voor niet-naleving.

Maar aangezien de enorme mogelijkheden van AI veel bedrijven enorme kansen bieden, zal dit niveau van financiële sancties waarschijnlijk een dwangmiddel zijn om organisaties te straffen die de grenzen willen verleggen van aanvaardbare toepassingen van AI.

Voor nu volstaat het te zeggen dat deze aankondiging van de EU-Commissie de voorbije weken heel wat aandacht heeft getrokken. De komende maanden zal dat waarschijnlijk nog veel meer het geval zijn naarmate de verordening zich verder ontwikkelt en vorm begint te geven aan het AI-landschap van de toekomst.

Het DPO Center kan u de nodige ondersteuning en begeleiding bieden om u te helpen bij de naleving van het AI-auditkader van het Verenigd Koninkrijk en de bredere vereisten van Artikel 25 van gegevensbescherming door ontwerp(privacy by design). Neem contact met ons op voor meer informatie en ondersteuning.