Artificiële intelligentie (AI) wordt op dit moment al op uiteenlopende manieren toegepast. Denk aan algoritmen die helpen om relevante informatie te vinden via het internet of om geautomatiseerd een geheimhoudingsverklaring te reviewen, zoals onze eigen dienst NDA Lynn. Deze voorbeelden klinken wellicht onschuldig, maar aan het gebruik van AI kleven ook substantiële risico’s. Mede om die reden publiceerde de Europese Commissie afgelopen maand een conceptverordening om het gebruik van AI aan banden te leggen. Waarom is deze verordening nodig en hoe zien de regels er op hoofdlijnen uit?
AI is eigenlijk een verzamelnaam voor diverse technieken waarmee een computersysteem in staat wordt gesteld om menselijke vaardigheden te vertonen (zoals leren, redeneren of creatieve keuzes maken). Dit kan zowel vorm krijgen in software als in hardware. Op die manier kunnen allerlei processen in de samenleving worden geoptimaliseerd. Denk aan programmatuur die dokters helpt om nauwkeurigere diagnoses te stellen, of aan autonome voertuigen die een veel efficiënter gebruik van ons wegennet mogelijk maken. Maar dit soort toepassingen brengen ook gevaren met zich mee.
Langzaam maar zeker krijgt AI een steeds grotere impact op ons leven. Zo worden AI steeds vaker ingezet om ‘mee te denken’ over belangrijke beslissingen. Een goed voorbeeld hiervan is COMPAS: een systeem dat in de Verenigde Staten wordt gebruikt om de strafmaat voor verdachten te bepalen. Als zo’n systeem een verkeerde analyse of inschatting maakt, kan dat direct gevolgen hebben voor onze vrijheid en autonomie. Weliswaar wordt COMPAS op dit moment alleen gebruikt ‘ter ondersteuning’ van de rechter: het uiteindelijke oordeel wordt genomen door een mens. Maar de kans bestaat dat we steeds meer op dit soort systemen gaan leunen en dat de menselijke controle steeds minder wordt.
De wens om dit soort systemen te gebruiken is vaak gebaseerd op de aanname dat een AI veel betere beslissingen kan nemen dan een mens. Een computer heeft immers niet te maken met emoties, persoonlijke voorkeuren, vermoeidheid of andere omstandigheden die het beoordelingsvermogen van een mens kunnen beïnvloeden. Hoewel hier een kern van waarheid in zit, blijken ook AI in de praktijk allesbehalve onfeilbaar. Zo zijn op dit moment de meeste AI-toepassingen gebaseerd op machine learning. Daarbij wordt een computer met behulp van een dataset getraind om zelfstandig bepaalde patronen te herkennen. Welke patronen de computer herkent, is sterk afhankelijk van de manier waarop – en de data waarmee – hij getraind wordt. Als die dataset te eenzijdig is of niet omvangrijk genoeg is, dan kan dat grote impact hebben op de uiteindelijke werking van de AI. Daarmee kunnen wij als mens (zelfs met de beste bedoelingen) alsnog bepaalde vooroordelen, oogkleppen of andere gebreken inbouwen in een AI.
Daarbij komt nog een aanvullende complicerende factor: het is in de praktijk vaak lastig om achteraf te achterhalen waarom een AI een bepaalde beslissing heeft genomen, zelfs voor degene die de AI oorspronkelijk ontwikkeld heeft (het is een ‘black box’). Als een mens een verkeerde inschatting maakt of een foute beslissing neemt, kun je hem of haar achteraf ter verantwoording roepen. Bij AI-systemen is dat een stuk ingewikkelder.
Om de hiervoor beschreven gevaren te ondervangen, komt de Europese Commissie nu met een verordening. Daarin is gekozen voor een risico-georiënteerde benadering. De verordening beschrijft vier categorieën van AI-systemen. Afhankelijk van de toepassing kunnen er strengere of juist soepelere regels gelden. Hieronder staan we kort stil bij de verschillende categorieën.
Van bepaalde vormen van AI wordt in de verordening op voorhand gezegd dat deze onaanvaardbare risico’s met zich meebrengen. Dit soort AI-systemen worden daarom eenvoudigweg verboden. Onder deze categorie vallen bijvoorbeeld systemen die bedoeld zijn om ‘social scoring’ toe te passen. Maar denk ook aan toepassingen die indruisen tegen onze grondrechten of fundamentele waarden. Zo worden ook toepassingen voor ‘real time’ biometrische identificatie op openbare plaatsen verboden. Daarbij geldt overigens een uitzondering voor opsporingsautoriteiten, die dit soort AI-systemen onder omstandigheden wel mogen inzetten.
Daarnaast zijn er de AI-toepassingen waar volgens de Europese Commissie een hoog risico aan kleeft. Deze toepassingen zijn wél toegestaan, zolang bepaalde regels en voorschriften in acht worden genomen. Deze verplichtingen zien onder meer op:
Voordat het AI-systeem op de markt wordt toegelaten, moet er een conformiteitsbeoordeling worden uitgevoerd. In sommige gevallen mag de leverancier deze zelf uitvoeren. In andere gevallen moet deze worden uitgevoerd door een ‘notified body’.
Tot slot zijn er AI-systemen met een beperkt of zelfs minimaal risico. Voor dit soort toepassingen gelden in principe geen inhoudelijke eisen. Wel kúnnen er voor dit soort systemen (afhankelijk van de toepassing) bepaalde transparantieverplichtingen gelden. Daarnaast moedigt de Europese Commissie marktpartijen aan om voor dit soort AI-systemen zelf gedragscodes vast te stellen.
De Europese Commissie wil dat er in iedere lidstaat een toezichthouder wordt aangewezen om de naleving van de verordening te contoleren. Constateert deze toezichthouder een overtreding, dan kunnen er serieuze boetes worden opgelegd. Uitgaande van de conceptverordening bedraagt de maximale boete € 30 miljoen of 6 procent van de wereldwijde jaaromzet van een bedrijf.
De nu gepubliceerde verordening is nog een concept. Voordat de verordening in werking treedt, zal deze eerst door het Europees Parlement en de Raad moeten worden goedgekeurd. Dit zal naar verwachting een langslepend traject worden, waarbij ook inhoudelijke wijzigingen in de concepttekst kunnen worden aangebracht. Het is daarom op dit moment nog lastig om in te schatten hoe de regels er uiteindelijk precies uit komen te zien en wanneer deze van kracht worden. Maar wij houden u uiteraard op de hoogte over relevante ontwikkelingen via onze blog.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.