Regulering van AI op komst: wat betekent dit voor bedrijven?

Astrid Sixma schreef dit artikel samen met Rowan Berg.

De steeds verregaandere toepassing van AI brengt ook vragen met zich mee over wenselijkheid hiervan: hoe kan het ethisch en transparant worden ingezet? En vanuit een meer juridische perspectief: hoe worden grondrechten zoals privacy geborgd, hoe kan er toezicht worden gehouden op het gebruik van AI en hoe zit het met aansprakelijkheid? Reden genoeg om AI (verder) te reguleren. Waar staan we nu qua regulering en wat betekent dat voor bedrijven die AI-toepassingen gebruiken?

De Europese Unie en AI

Al in februari 2020 heeft de Europese Commissie de European approach to artificial intelligence gepresenteerd, met als doel het stimuleren van de ontwikkeling en het gebruik van AI, maar op een veilige en eerlijke manier. In dat kader is in april 2021 het eerste voorstel voor de AI-verordening gepubliceerd.

Een dergelijke ‘AI-wet’ was de eerste in zijn soort en het resultaat van deze behoorlijke uitdaging is dan ook met veel lof ontvangen. Er was echter tevens de nodige kritiek; de vergaande assessment- en documentatieverplichtingen zouden te hoge compliance-kosten met zich meebrengen voor bedrijven, de definitie van ‘AI’ was erg ruim, maar general purpose AI (zoals de Iarge language models van ChatGPT) viel dan weer buiten de reikwijdte van de AI-verordening, etc. Hierover is de afgelopen twee jaar veel discussie gevoerd en op 11 mei 2023 is het aangepaste voorstel van de AI-verordening verschenen. Daarmee zijn de kaders van de AI-verordening nu duidelijk. Naar verwachting wordt de verordening in 2024 afgerond, waarna deze vervolgens trapsgewijs over 2024 - 2026 daadwerkelijk van toepassing zal worden en bedrijven er aan dienen te voldoen.

Implicaties van de AI-verordening

Het feit dat de inwerkingtreding van de AI-verordening nog even op zich laat wachten, betekent niet dat de voorbereiding op de implementatie op de lange baan kan worden geschoven. Het in kaart brengen van het gebruik van AI in de organisatie, het implementeren van risico- en kwaliteitsbeheer en het optuigen van de nodige documentatie zal veel tijd vergen. Dit zal neerkomen op een compliance-traject in omvang vergelijkbaar met de implementatie van de Algemene verordening gegevensbescherming (AVG).

De op een organisatie rustende verplichtingen zijn daarbij wel afhankelijk van het risico van het AI-systeem en de rol van de organisatie. De AI-verordening hanteert een risico-gebaseerd onderscheid: verboden AI-systemen en AI-systemen met een hoog, bepaald of laag risico. Afhankelijk van de classificatie gelden er verplichtingen die veilige ontwikkeling en gebruik van AI-systemen moeten bevorderen – bijvoorbeeld het ontwikkelen van technische documentatie en het voldoen aan kwaliteitseisen voor trainingsdatasets. De nadruk wat betreft de verplichtingen ligt op systemen met een hoog risico. Tevens wordt onderscheid gemaakt tussen aanbieders, distributeurs en gebruikers van AI-systemen, waarbij vooral de aanbieder van AI zich geconfronteerd ziet met veel nieuwe verplichtingen. Desalniettemin komen ook op bedrijven die gebruik maken van AI, wat de grootste groep zal zijn, vergaande verplichtingen te rusten. Gebruik maken van de (ogenschijnlijk) oneindige mogelijkheden van AI is daarmee niet vrijblijvend. Immers, als het bedrijf niet aan diens verplichtingen voldoet, kan de verantwoordelijke toezichthouder hierop handhaven – waarbij de boetes kunnen oplopen tot 30 miljoen euro of zes procent van de wereldwijde omzet; hetgeen significant hoger is dan bijvoorbeeld onder de AVG.

Tevens kan de gebruiker aansprakelijk worden gehouden voor schade die voortvloeit uit het gebruik van AI. In dat kader zijn de Richtlijn AI-aansprakelijkheid, welke nu ook in de maak is, en de Richtlijn Productaansprakelijkheid, waarvoor recentelijk wijzigingen zijn voorgesteld, van belang. Deze richtlijnen bevatten kort gezegd regels die de consument moeten beschermen tegen AI en het voor hen makkelijker moeten maken om de gebruiker of aanbieder van AI aansprakelijkheid te stellen

Gezien de risico’s en het feit dat de aankomende regelgeving verplichtingen bevat waarvan de implementatie de nodige tijd zal kosten, is het raadzaam om hier tijdig mee te beginnen en advies over in te winnen.

Huidige regulering en risico’s van AI

Het is echter niet zo dat het gebruik van AI tot de inwerkingtreding van de AI-verordening ongereguleerd is. In tegendeel, er is verschillende wet- en regelgeving die dit normeert – denk aan mensenrechten verdragen, de AVG, wetgeving op het gebied van intellectuele eigendom en gebruik van data.

Vanuit een mensenrechten- en privacy-perspectief staan de algemene principes van fairness, accountability en transparency centraal. Met andere woorden: het gebruik van AI moet eerlijk zijn en mag niet discrimineren, het gebruik en de werking van het systeem moet kunnen worden uitgelegd en verantwoord, en dit moet transparant zijn. Wordt binnen een onderneming reeds gebruik gemaakt van AI of dit aangeboden, dan valt het aan te raden om deze principes nu al in acht te nemen. De naleving van deze algemene principes zal de overgang naar de AI-verordening ook vergemakkelijken, aangezien die principes in de daarin opgenomen verplichtingen ook centraal staan.

Een voorbeeld uit de praktijk van hoe de implementatie van AI strijdig kan zijn met deze algemene principes is een (oude) recruitmenttool van Amazon. Op basis van historische data had de tool (zichzelf) aangeleerd dat mannen de voorkeur verdienden en de tool wees daarom vrouwen eerder af. Daarmee zou die tool inbreuk maken op een scala aan bestaande rechten en plichten: onder meer het discriminatieverbod c.q. het recht op gelijke behandeling, en het verbod op geautomatiseerde individuele besluitvorming.

Onder de AI-verordening kwalificeren dergelijke selectie-tools als hoog risico AI-systemen, waardoor de aanbieder aan een uitgebreide set aan verplichting moet voldoen, waaronder risicobeheer, databeheer en informatieverschaffing, en ook op de gebruiker verplichtingen rusten, zoals het monitoren van de werking van het AI-systeem en het bewaren van logs.

Conclusie

De adoptie van AI neemt met rasse schreden toe en de regulering ervan volgt op korte afstand. Bedrijven dienen zich proactief voor te bereiden op de implementatie van de AI-verordening, rekening houdend met de impact ervan op hun AI-toepassingen. Het toepassen van AI in de bedrijfsvoering biedt enorme kansen, waarbij het wel essentieel is dat een balans wordt gevonden tussen innovatie en verantwoord gebruik.

1. Voorstel voor een Verordening tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (Wet op de Artificiële Intelligentie) (COM/2021/206).

2. Voorstel voor een Verordening van de regels inzake niet-contractuele civielrechtelijke aansprakelijkheid aan artificiële intelligentie (AI) (Richtlijn AI-aansprakelijkheid) (COM/2022/296).

3. Voorstel voor een Richtlijn inzake aansprakelijkheid voor producten met gebreken (Richtlijn Productaansprakelijkheid) (COM/2022/0302).

4. Omdat dit de reikwijdte van dit artikel te buiten gaat verwijzen wij graag haar het artikel ‘AI en aansprakelijkheid: stappen naar een nieuw regime’ van P.G. van der Putt en R.J.J. Westerdijk in TvIR, 2023/1.

5. Zie voor een uitgebreider overzicht van relevante regelgeving in het kader van AI het hoofdstuk over Nederland van Astrid Sixma, in John Buyers (ed), Artificial Intelligence: Law Over Borders Comparative Guide 2022 (hier te lezen).

6. Naar Nederlands recht onder meer: artikel 1 Grondwet, artikel 14 EVRM, Wet gelijke behandeling van mannen en vrouwen, art. 5 en 22 AVG.