Hoe breng je AI Compliance in de praktijk?

De AI Act komt eraan, en dat geeft veel opschudding gezien het enorm snel toegenomen belang van autonome systemen en algoritmische besluitvorming. Op 12 oktober organiseerde ICTRecht daarom de eerste praktijkmiddag “AI Compliance en Governance – een praktische introductie”. Professionals uit vele sectoren (innovatie, retail, verzekering, onderwijs, overheid en meer) schoven aan om het laatste nieuws over de wet te horen en praktische handvatten mee te nemen.

Introductie: de AI Act

De nieuwe regulering van AI is deel van een breder pakket aan maatregelen, ook wel de Digital Decade van de EU genoemd. Binnen vijf hoofdstromingen (data, cyber, platforms, content en AI) komt de EU met een ware stortvloed aan nieuwe regels – sommige overzichten laten meer dan 90 nieuwe complexe wetten zien die van 2016 tot nu van kracht worden om digitale technologie en diensten te reguleren.

AI specifiek heeft de EU al sinds 2018 in het vizier. Men heeft gekozen voor een grondige aanpak. Eerst werd met een witboek de mogelijkheden onderzocht, waarna een groep experts de zogeheten Richtsnoeren voor betrouwbare AI samenstelde. Deze leggen met de begrippen wettig, ethisch en robuust het fundament voor de regulering uit de AI Act. Deze begrippen worden vertaald naar zeven beginselen, die terugkomen in alle aspecten van regulering:

  1. Menselijke controle en menselijk toezicht
  2. Technische robuustheid en veiligheid
  3. Privacy en datagovernance
  4. Transparantie
  5. Diversiteit, non-discriminatie en rechtvaardigheid
  6. Maatschappelijk en milieuwelzijn
  7. Verantwoording

De Act zelf werd in april 2021 aangekondigd, en kreeg veel bijval maar ook een hoop kritiek. Nadat zowel de Raad van Ministers als het Europees Parlement hun standpunten bekendmaakten, zitten we nu middenin de zogeheten triloog waarbij deze twee partijen samen met de Europese Commissie aansturen op een compromistekst. De uitdrukkelijke bedoeling is om op 1 januari de wet aan te nemen, mede omdat er volgend jaar verkiezingen van het Europees Parlement zijn en niemand wil dat het nieuwe Parlement alles nog eens over gaat doen.

Maar eerst: de e-learnings

Alle deelnemers kwamen goed voorbereid ten tafel. In de opzet van onze Academy wordt iedere praktijkmiddag namelijk voorafgegaan door een online onderdeel dat in eigen tijd wordt gedaan. Hierbij wordt kennis aangereikt middels webinars (behapbare uitlegvideo’s van 20 minuten) en kun je als deelnemer oefenen met interactieve puzzels, stellingen, analyses enzovoorts.

Allereerst zorgen we hiermee dat iedereen de basis in het eigen tempo verwerft. Maar ten tweede en minstens zo belangrijk, iedereen komt op hetzelfde niveau binnen zodat we in de middag direct de diepte in kunnen gaan.

Opbouw van de AI Act

De AI Act is opgedeeld in twaalf hoofdstukken, waarvan de tweede helft met name het toezicht en de handhaving regelt. De meeste aandacht ging dan ook uit naar de hoofdstukken over wat nu precies een onacceptabel of hoog risico is, en welke complianceverplichtingen er gelden bij een hoog-risico AI. Onderstaande slide uit de presentatie laat zien hoe complex de toetsing is om te bepalen of een AI telt als hoog risico.

Screenshot 2023-10-18 at 12.28.36

 

Casusgestuurd aan de slag

Praktijkmiddagen bij ICTRecht zijn geen klassieke bijeenkomst waarbij men netjes aantekeningen maakt bij de stof en vragen stelt. Cursisten gaan zelf aan de slag met casussen, die in groepjes voorbereid worden en plenair bediscussieerd om zo tot nieuwe inzichten en verwerving van skills te komen.

De eerste casus betrof een slim afvalverwerkingssysteem, dat niet zo goed bleek te werken als de folder beloofde: bepaalde wijken in het fictieve Juinen bleven met bergen afval zitten, terwijl andere wijken meerdere malen per dag een vuilniswagen langs kregen. Wat is hier aan de hand, wat heeft dit met AI te maken en onder welk van de zeven beginselen zou dit probleem aangepakt kunnen worden? De oplossing verraden wij natuurlijk niet in deze blog, maar het is niet wat je denkt.

In de tweede casus doken we dieper de AI Act in rondom een medische innovatie van het fictieve MedTech (inderdaad, gevestigd op de technologiecampus van datzelfde Juinen). Lees je mee? 

Presentatie2

De brede impact van een dergelijk medisch AI-systeem maakt dat hier sprake is van een duidelijke hoog-risico AI. Om de risico’s hiervan in kaart te brengen en te mitigeren, was dan ook een AI Impact Assessment nodig. Het hiervoor gebruikte model is het ECP AIIA model, breed gedragen in de Nederlandse AI-strategie. De stof van deze analyse werd verdeeld over de groepjes, die vervolgens met elkaar de uitkomsten bespraken en naar oplossingen zochten.

Zijn er nog vragen?

Een goede praktijkbijeenkomst kent vele vragen, en uiteraard riepen die ook weer vele nieuwe vragen op. De classificatie van een AI systeem als hoog risico was bijvoorbeeld de gehele middag een aandachtspunt. Maar ook de inwerkingtreding en gefaseerde vankrachtwording van de AIA is nog onduidelijk voor velen. We tonen daarom ook deze slide nog even:

Presentatie3

 

Net als bij de AVG geldt dus een algemene overgangsperiode van twee jaar. Binnen die periode gaat er wel al het nodige gebeuren. De keurende instanties (“notified bodies”) worden al eerder opgericht, net als de nationale toezichthouders en hun coördinerende instantie de AI Board. Na een jaar worden ook de bepalingen over boetes en andere handhavende maatregelen van kracht, met name omdat toezichthouders dan ook direct hun handhavings- en boetebeleid moeten maken zodat marktdeelnemers weten waar ze aan toe zijn wanneer in januari 2026 alle bepalingen voor hen gaan gelden.

Ook na de officiële eindtijd waren we nog niet klaar: de discussie over wat nu een AI is, bleef terugkomen. De gekozen insteek van Europa om uit te gaan van “autonomie” als sleutelbegrip voorkomt discussies over precieze technologische termen, maar geeft natuurlijk weer nieuwe randgevallen: welk niveau van autonomie is beslissend, gaat het om de ernst van de gevolgen of wat speelt nog meer een rol? Hier kunnen we alleen maar proberen verstandige beslissingen te maken.

Zien we je de volgende keer?

Sprak bovenstaande je aan, en wil je ook leren hoe je AI compliance in de praktijk brengt? Dat treft! Deze cursus wordt op 12 maart 2024 nogmaals georganiseerd. Schrijf je snel in, want ook deze middag loopt snel vol.

Extra leuk: na het volgen van deze cursus krijg je ook nog eens 10% korting op de opleiding tot AI Compliance Officer. Januari is inmiddels volgeboekt, maar er starten nieuwe rondes in maart en mei 2024. Wacht niet te lang en schrijf je snel in!

 

Terug naar overzicht