Vandaag, 1 augustus 2024, treedt de AI Act officieel in werking. De eerste wettelijke eisen gelden vanaf februari 2025. Dan worden bepaalde vormen van AI verboden en moeten organisaties die AI gebruiken, hierover voldoende kennis bezitten. Het kabinet moet de komende maanden besluiten hoe het toezicht wordt geregeld.
De AI Act moet ervoor zorgen dat AI betrouwbaar en veilig is en de grondrechten van de EU respecteert. Tegelijkertijd moet de wet innovatie ondersteunen en zorgen dat Europa blijft meetellen.
Voor ontwikkelaars én gebruikers van AI is het zaak om snel te inventariseren welke AI-systemen zij aanbieden of gebruiken, schrijft de Autoriteit Persoonsgegevens die verantwoordelijke voor het toezicht op AI. Er worden hierbij drie risicogroepen onderscheiden: verboden AI-systemen, systemen met een hoog risico en systemen met een beperkt risico.
Verboden AI
Van februari 2025 zijn systemen en toepassingen die de vrije keuze van mensen te veel beperken, die manipuleren of die discrimineren, verboden. Genoemd worden onder andere systemen waarbij op basis van bepaald sociaal gedrag of persoonlijke kenmerken scores worden toegekend (social scoring) of strafbare feiten voorspeld worden (predictive policing). Ook het ontwikkelen van databanken voor gezichtsherkenning wordt verboden.
Systemen met een hoog risico
Voor AI-systemen die vallen in de risicogroep ‘hoog risico’ gelden vanaf augustus 2026 strikte verplichtingen op het gebied van risicobeheer, de kwaliteit van de gebruikte data, technische documentatie en registratie, transparantie en menselijk toezicht. Denk aan systemen die ingezet worden om de toegang tot onderwijs of de arbeidsmarkt te bepalen. Maar ook software die bepaalt of iemand wel of geen uitkering krijgt, het geautomatiseerd behandelen van asielaanvragen of het beoordelen van bewijsmateriaal in rechtszaken. Overheden of uitvoerders van publieke taken moeten bij hoogrisicosystemen een ‘grondrechteneffectbeoordeling’ doen.
Systemen met een beperkt risico
Voor AI-toepassingen met een beperkt risico, zoals systemen zoals chatbots of het maken van teksten en beeldmateriaal, gelden een aantal ’transparantieverplichtingen’. Als een organisatie dit soort systemen inzet moeten mensen daarover worden geïnformeerd.
Schema: Autoriteit Persoonsgegevens
Toezicht op AI
Het is nog onduidelijk hoe het toezicht op de inzet van AI-systemen wordt georganiseerd. Gezien het complexe karakter van AI, neigt Nederland, evenals de meeste Europese landen, ertoe om het toezicht op de naleving van de AI-wetgeving per sector in te richten. Er bestaat al toezicht op AI en algoritmen. Bijvoorbeeld, de Autoriteit Persoonsgegevens (AP) fungeert sinds 2023 als coördinerend toezichthouder op algoritmen met een speciaal daarvoor opgerichte afdeling: de Directie Coördinatie Algoritmes (DCA). Verder bestaat sinds oktober 2021 het Samenwerkingsplatform Digitale Toezichthouders (SDT), waarin de Autoriteit Consument & Markt (ACM), de Autoriteit Financiële Markten (AFM), de Autoriteit Persoonsgegevens (AP) en het Commissariaat voor de Media (CvdM) samenwerken aan het toezicht op digitale diensten. AI is ook een onderwerp binnen de Inspectieraad, het overlegorgaan van alle Rijksinspecties.
Toezichthouders willen snel duidelijkheid van het kabinet. In juni verscheen het advies over het toezicht op naleving van de AI Act. Het werd opgesteld door de coördinerende toezichthouders AP en de RDI, in opdracht van de ministeries van EZK en BZK. Bij de totstandkoming ervan werkten twintig rijksinspecties, colleges en markttoezichthouders samen in de werkgroep AI. Die werkgroep valt onder de vlag van de Inspectieraad en wordt sinds 2020 voorgezeten door de RDI, die ook het voorzitterschap van de Europese werkgroep over dit onderwerp voor haar rekening neemt.
De AP en de RDI adviseren het toezicht op AI in de verschillende sectoren zoveel mogelijk te laten aansluiten bij het reguliere toezicht dat al bestaat.
Lees ook:
De AI Act is inderdaad een ambitieuze poging om AI-systemen te reguleren, maar de handhaving ervan stuit op aanzienlijke obstakels, vooral als het gaat om open source technologie. Hier zijn enkele kernproblemen:
Grenzeloze technologie: Open source AI-code kent geen grenzen. Ontwikkelaars wereldwijd kunnen bijdragen aan en gebruik maken van code die potentieel in strijd is met de AI Act. Het is praktisch onmogelijk om al deze bronnen te monitoren en te controleren.
Snelle ontwikkeling: AI-technologie evolueert razendsnel. Tegen de tijd dat wetgeving is geïmplementeerd, kunnen er al nieuwe technieken zijn ontwikkeld die buiten het bereik van de huidige regelgeving vallen.
Anonimiteit: Open source bijdragen kunnen vaak anoniem of pseudoniem worden gedaan, wat het moeilijk maakt om verantwoordelijken te identificeren bij overtredingen.
Jurisdictie: De EU heeft beperkte jurisdictie over ontwikkelaars en platforms buiten haar grenzen. Hoe kan men effectief optreden tegen niet-EU entiteiten die verboden AI-systemen ontwikkelen of verspreiden?
Technische complexiteit: Het beoordelen of een AI-systeem daadwerkelijk in overtreding is, vereist diepgaande technische kennis. Het is twijfelachtig of toezichthouders over voldoende expertise beschikken om dit adequaat te beoordelen.
Duale toepassingen: Veel AI-technologieën hebben zowel legitieme als potentieel verboden toepassingen. Het reguleren van de technologie zelf, in plaats van specifieke toepassingen, kan innovatie belemmeren.
Handhavingscapaciteit: Gezien de omvang van de AI-sector en de hoeveelheid open source projecten, lijkt het onwaarschijnlijk dat er voldoende middelen zijn om effectief toezicht te houden.
Definitiekwesties: De grenzen tussen ‘hoog risico’, ‘beperkt risico’ en ‘verboden’ AI-systemen kunnen in de praktijk vaag zijn, wat leidt tot interpretatieverschillen en mogelijke mazen in de wet.
Kortom, hoewel de intenties achter de AI Act lovenswaardig zijn, lijkt de praktische uitvoerbaarheid ervan, vooral met betrekking tot open source AI, een enorme uitdaging. Een meer flexibele, technologie-neutrale benadering die zich richt op specifieke toepassingen en gebruiksscenario’s, in plaats van brede categorieën technologie, zou effectiever kunnen zijn. Daarnaast zou een grotere focus op internationale samenwerking en het stimuleren van ethische AI-ontwikkeling binnen de open source gemeenschap mogelijk meer vruchten afwerpen dan een puur regulerende aanpak. Maar goed dat is mijn persoonlijke visie.