De AI Act door het parlement: welke regels gaan er gelden voor AI en algoritmes?

Een historische dag: op 14 juni 2023 stemde het Europees Parlement in met nieuwe regels die de inzet van AI en autonome algoritmes moeten gaan reguleren. De regels zijn het eerste complete pakket ter wereld waarmee AI aan banden wordt gelegd. Risicobeheersing staat daarbij voorop. Wat kunnen bedrijven en overheden verwachten?

In de praktijk  

Eerst even een klein misverstand rechtzetten: we zijn er nog niet met de AI Act. De stemming in het Europees parlement is een belangrijke stap, maar niet de laatste voordat deze Verordening van kracht wordt. Heel formeel heeft het Parlement haar onderhandelaars een mandaat gegeven om met de Raad van Ministers (van de lidstaten van de EU) te onderhandelen over een definitieve tekst.

Wat het Parlement wil, zit niet ver weg van wat de ministers lijken te willen, dus naar verwachting zal het vervolg niet heel lang duren. Een invoeringsdatum van 1 januari 2024 wordt veel genoemd. Daarna volgt 2 jaar overgangsrecht om aan de nieuwe regels te wennen. En dat zijn er nogal wat.

Risiconiveaus

De AI Act werkt op hoofdlijnen met drie risiconiveaus:

1. Onacceptabele risico's: als een AI dingen doet die in strijd zijn met Europese fundamentele normen en waarden, dan mag deze niet op de Europese markt ingezet worden. Een voorbeeld is predictive policing, AI laten voorspellen of iemand crimineel gedrag zal gaan vertonen. Ook biometrische surveillance in de publieke ruimte valt hieronder en wordt dus verboden.
2. Hoog risico: AI-uitvoer of gedrag dat grote risico's met zich meebrengt, moet streng worden gereguleerd inclusief een enorme berg compliance-documenten om te bewijzen dat de risico's beheerst worden. Waar komt de data vandaan waar de AI op is getraind, hoe weten we dat bias en discriminatie zo goed mogelijk zijn uitgesloten en hoe kunnen mensen continu meekijken, bijvoorbeeld. Algoritmes die sollicitanten beoordelen, maar ook de aanbevelingsalgoritmes van de grote online platforms zijn voorbeelden van hoogrisico-AI.
3. Laag risico: AI-gedrag of uitvoer dat niet onder een van deze categorieën valt, mag zonder al te veel problemen de Europese markt op. De AI moet transparant zijn, zodat niemand denkt met een mens te maken te hebben, en de AI mag geen beslissingen nemen.

Voor wie geldt de AI Act?

De nieuwe regels gelden voor iedereen die AI inzet: producenten van AI-systemen, integrators die AI in eigen softwarediensten opnemen, afnemers die dergelijke diensten inzetten en importeurs die AI van buiten de EU halen. Iedereen moet zelfstandig kunnen aantonen dat hun AI aan de regels voldoet, en zal dus helderheid moeten halen bij waar ze deze ingekocht hebben.

Een discussiepunt is nog wat te doen met foundation models en algemene diensten zoals ChatGPT. Deze leveren an sich niet direct risico's op, die worden pas zichtbaar in een specifieke applicatie. Producenten of aanbieders hiervan moeten zich registreren in een centrale database, en moeten documentatie aanleveren waarop ontwikkelaars van toepassingen verder kunnen bouwen.

Werk jij met AI of algoritmes, of overweeg je dat te doen? Neem dan nu alvast de volgende stappen:

1. Inventariseer om welke AI het gaat en van welke leveranciers deze afkomstig zijn. Vergeet ook de shadow IT niet: de AI-diensten die werknemers op eigen houtje hebben afgenomen, al dan niet als experiment.
2. Onderzoek de contracten op aansprakelijkheid, opzegtermijn en mogelijkheden om documentatie op te eisen over werking, dataset en dergelijke.
3. Evalueer of de AI diensten vanuit Europa worden geleverd en ga anders na of dit wellicht omgezet kan worden. Een Microsoft Azure-omgeving in Europa voldoet bijvoorbeeld. Een Nederlandse dienstverlener die op de achtergrond het Amerikaanse OpenAI aanroept, is problematischer.
4. Ga na welke menselijke bemoeienis met deze algoritmes er is binnen je organisatie, denk aan protocollen voor evaluatie van de uitvoer van de AI of periodieke controle op juistheid van aanbevelingen.
5. Bepaal of algoritmes hoog risico zijn. Dit is het geval als zij op de lijst van Bijlage III staan van de huidige concepttekst. In het kort:
• Inzet van biometrie, behalve bij toegangscontrole en authenticatie op individueel niveau.
• Beheer van kritieke infrastructuur zoals publieke netwerken, telecom-infrastructuur, domeinnamen, clouddiensten, gas, elektriciteit of openbaar vervoer.
• Toegang tot opleidingsinstellingen en evaluatie of beoordeling van studenten, ook bij particulier onderwijs of professionele training (zoals cursussen voor advocaten), inclusief proctoring en het detecteren van plagiaat of fraude.
• Recruitment, screening van sollicitanten of beoordeling van werknemers voor promotie of juist aanspreken op de kwaliteit van het werk.
• Toegang tot essentiële diensten zoals woonruimte, elektriciteit, internettoegang, levensverzekeringen of gezondheidsdiensten, of het bepalen van kredietwaardigheid.
• AI inzet bij rechtshandhaving (politie en gemeentelijke diensten), grenscontrole, migratie en juridische procedures zoals rechtbanken of bestuursrechtelijke besluiten.
• AI ingezet voor aanbevelingen bij zeer grote platforms.

Het is mogelijk dat deze lijst nog wijzigt of dat specifieke uitzonderingen worden toegevoegd. In volgende blogs helpen wij jou concreet de stappen te nemen om je AIs en algoritmes te toetsen aan de voorgenomen eisen, zodat jij voorbereid het nieuwe jaar met de nieuwe AI regels in kunt gaan. 

Wil jij meer weten over wat de AI Act voor je gaat betekenen? Neem dan vooral contact met ons op via ons contactformulier. Lees hier meer over op deze pagina of meld je aan voor onze speciale thema-nieuwsbrief AI.