Uitleg Europese AI-Act: veilige, eerlijke en transparante AI-systemen
De EU wil Artificial Intelligence (AI) systemen reguleren middels de EU-AI-Act. De regelgeving richt zich vooral op het versterken van regels rondom datakwaliteit, transparantie, menselijk toezicht en verantwoording. De wetgeving moet begin 2024 van kracht worden. In onderstaand artikel wil ik in het kort de werking uitleggen voor bedrijven en overheden die AI-toepassingen willen ontwikkelen of verkopen.
Doel van de AI-Act
Met de AI-Act wil Europa ervoor zorgen dat AI-systemen veilig, transparant, traceerbaar, niet-discriminerend en milieuvriendelijk zijn. Elke systeem wat aan de EU-AI-Act voldoet mag het CE-keurmerk voeren. De regelgeving geldt ook voor AI-systemen uit de rest van de wereld die in Europa gebruikt worden. Zie hieronder alle zaken op een rijtje: (klik hier om een PDF-versie te downloaden)
Risico gebaseerde classificatie
Bovenstaande doelen hoopt men te bereiken door AI-systemen te classificeren op basis van het risico dat ze vormen via vier risiconiveaus:
- Onaanvaardbaar risico: AI-systemen die een duidelijke bedreiging voor de veiligheid, het levensonderhoud en de rechten van mensen vormen zijn verboden. Denk hierbij aan predictive policing, sociale scoring (wat in China wel gebeurt) tot aan speelgoed dat met behulp van spraakhulp dat gevaarlijk gedrag aanmoedigt.
- Hoog risico systemen: Dit zijn AI-systemen die een flinke impact hebben op de levensloop van mensen zoals student-onderwijssystemen, burger-overheidssystemen, kritieke-infrastructuur-systemen, biometrische identificatiesystemen op afstand (uitzondering voor o.a. antiterrorisme, vermiste personen), etc. Deze systemen moet voldoen aan regelgeving zoals risicobeoordeling en beperking, kwaliteit van de dataset, volledige documentatie van het algoritme en logging van gebruik en menselijk toezicht. De overhead bij de ontwikkeling van deze AI-systemen is fors.
- Beperkt risico systemen heeft betrekking op AI-systemen met specifieke transparantieverplichtingen. Bij het gebruik van AI-systemen zoals chatbots (ChatGpt) en Social media moeten gebruikers zich ervan bewust zijn dat ze communiceren met een machine c.q. algoritme. Ook deep-fake apps vallen hier onder. Dus fabrikanten moeten transparantie aantonen t.a.v. de gebruikte data en algoritmes.
- Minimaal of geen risico: deze AI-applicaties vormen de meeste AI-systemen. Voorbeelden zijn onder meer spamfilters, videogames met AI en voorraadbeheersystemen. Deze systemen hoeven aan geen enkele AI-regelgeving te voldoen.
Toezicht en handhaving
Toezicht en handhaving vindt plaats op het AI-systeem en de gebruikte dataset (ook tijdens gebruik) door self-assessments. Voor high-risk AI-toepassingen is het verplicht om de algemene toezichthouder en de sectorspecifieke toezichthouder te betrekken. De algemene toezichthouder is een land-specifieke toezichthouder (zoals Autoriteit Persoonsgegevens (Dutch DPA)) maar mogelijk wordt dit een centrale Europese Autoriteit. Stel je ontwikkelt een AI-systeem voor de gezondheidszorg dan heb je ook te maken met de Inspectie Gezondheidszorg en Jeugd en/of de Nederlandse Zorgautoriteit (NZa).De primaire verantwoordelijkheid voor een AI-systeem zal worden gedragen door de "aanbieders" van AI-systemen; echter, er zullen echter ook bepaalde verantwoordelijkheden worden toegewezen aan distributeurs en importeurs van AI-halffabricaten (zoals b.v. bij LLM foudation models). Maar ook gebruikers kunnen de werking van AI-toepassingen beïnvloeden door b.v. op social media een specifiek onderwerp te zoeken. Het recommending systeem zal daar automatisch op reageren en dit onderwerp hoog op de tijdlijn van een gebruiker zetten. De AI-Act stelt dat ook in dit geval de aanbieder transparant is over de werking.
Onze mening
De opzet van de EU-AI-Act is groot en complex en de totstandkoming is een stevig politiek proces. Top bedrijven zijn bang dat de regelgeving te streng is: https://edition.cnn.com/2023/06/30/tech/eu-companies-risks-ai-law-intl-hnk/index.html. Top wetenschappers zoals Andrew Ng zijn bang dat wetgevers te weinig verstand hebben van AI om goede regelgeving te maken: https://www.deeplearning.ai/the-batch/what-lawmakers-need-to-know-about-ai/. Zeker nu de technische ontwikkelingen zo enorm snel gaan. Ik denk dat regelgeving hard nodig is, maar ook ik onderschrijf de meningen in de artikelen hierboven. Ik zou willen dat de concurrentiekracht van Europa en Nederland gelijke tred houdt met die van China en de USA zodat we ons uiteindelijk niet afhankelijk maken. De Nederlandse AI Coalitie | NL AIC en AiNed zetten hier overigens goede en belangrijke stappen in en streven naar een sterk AI-ecosysteem.
Het grootste deel van het werk om een goedkeuring te krijgen, komt terecht bij de ontwikkelaars die hun AI-code moeten documenteren, op een manier die ook nog eens begrijpelijk voor de gebruiker is. Ik vraag me af of we AI-systemen niet beter kunnen certificeren, zoals we nu ook met auto's doen? Dan ontwikkel je standaard test methodieken (botsproeven, CO2-emissie) die gemeten worden door een onafhankelijke instantie. Dat voorkomt willekeur en het verschillend toepassen van regels.
Een ander mogelijk probleem is de snelheid van de ontwikkelingen op het gebied van AI. In de AI-Act worden specifieke toepassingen en technieken (zoals foundation models, deep-fake apps) genoemd die in bepaalde risico-categorieën ingedeeld worden. Maar in het geval van een nieuwe AI-technologie is de wet direct achterhaald (bijvoorbeeld de generatieve AI). Het is onduidelijk hoe hiermee omgegaan wordt.
Als laatste zou de capaciteit, kennis en kunde bij toezichthouders door de huidige opzet van de wet wel eens een probleem kunnen worden. AI-Experts kunnen prima verdienen bij tech-bedrijven en minder bij overheden. Ook liggen tech bedrijven vaak voor op toezichthouders bij innovatieve technologieën. Big-tech bedrijven kunnen daardoor mogelijk makkelijker met de regels omgaan. Al met al wordt het een interessante periode.
Meer lezen?
Wilt u meer lezen, klik eens op onderstaande links:
https://digital-strategy.ec.europa.eu/nl/policies/regulatory-framework-ai
https://www.weforum.org/agenda/2023/06/european-union-ai-act-explained/
Een blog door Kai Zenner: https://www.kaizenner.eu/post/aiact-part3