29/06/2022 - Het gaat snel. Toezichthouders, adviesorganen en intergouvernementele organisaties zitten niet stil als het om de maatschappelijke impact van Artificiële Intelligentie (AI) gaat. Er is inmiddels een veelheid aan richtlijnen, leidraden, handreikingen en adviezen geproduceerd voor de verantwoorde inzet van algoritmes. Ook op gebied van wetgeving gebeurt er veel. Europa is met de AI-verordening hard op weg om wetgeving te maken om de risico’s bij de inzet van algoritmes in te dammen. De verantwoorde inzet van AI is in korte tijd een ‘hot topic’ geworden. Om de maatschappelijke en juridische risico’s rond de inzet van algoritmes in kaart te brengen zijn er in Nederland diverse impact assessments ontwikkeld. Zo heeft Platform voor de InformatieSamenleving, ECP, onder andere samen met Considerati het AI Impact Assessment ontwikkeld en heeft het Ministerie van Binnenlandse Zaken en Koningkrijksrelaties (BZK) onlangs de Impact Assessment Mensenrechten en Algoritmen (IAMA) laten ontwikkelen. Onlangs heeft de kamer een motie goedgekeurd om de IAMA te verplichten voor overheden "voorafgaand aan het gebruik van algoritmen wanneer algoritmen worden ingezet om evaluaties van of beslissingen over mensen te maken". In eerdere blogs zinspeelden we al op deze verplichting. Kortom, er is grote maatschappelijke druk om negatieve effecten van de inzet van AI te reguleren.
Veel overheidsorganisaties zijn zich al aan het voorbereiden op de verplichting van de IAMA. De vraag daarbij is: moeten alle algoritmes aan het volledige IAMA onderworpen worden? Of: hoe zorgen we ervoor dat het voorkomen van negatieve impact al in de designfase wordt meegenomen (denk aan privacy by design en ethics by design methoden)? En: Hoe houden we dit uitvoerbaar in de praktijk? Naast het IAMA moeten overheden immers ook een algoritmeregister bijhouden en in veel gevallen een Data Protection Impact Assessment (DPIA) uitvoeren. De ‘compliance druk’ neemt daarmee flink toe.
Binnen de Algemene verordening gegevensbescherming (AVG) worden er al restricties gezet op het inzetten van AI. Zo gelden er bij het verwerken van persoonsgegevens specifieke regels. Ook stelt de AVG dat mensen bijvoorbeeld niet mogen worden onderworpen aan geautomatiseerde besluitvorming, als zij daar rechtsgevolgen van kunnen ondervinden. Onder de AVG is het in veel gevallen verplicht om een DPIA uit te voeren om de privacy risico’s in kaart te brengen. Wat is dan nog de toegevoegde waarde van de IAMA?
Beide assessments gaan over de impact op mensen. Maar waar de DPIA zich op specifiek privacyaspecten richt, kijkt de IAMA naar een breder scala aan grondrechten. Zowel de voorgenomen Europese AI-verordening als de IAMA kijkt verder dan alleen de verwerking van persoonsgegevens. Ook als een algoritme geen persoonsgegevens verwerkt is de uitvoering van de IAMA mogelijk van toepassing. Een AI-systeem dat gebruikt wordt in een lift verwerkt misschien geen persoonsgegevens, maar kan wel impact hebben op mensen (bijvoorbeeld op gebied van veiligheid). Ook systemen die geaggregeerde data gebruiken kunnen in sommige gevallen buiten het toepassingsgebied van de AVG vallen of ten minste ‘grijs gebied’ zijn. Denk bijvoorbeeld aan AI-systemen voor crowdmanagement of predictive policing.
Ten tweede, de AVG richt zijn pijlen veelal op het ‘ingrediënt’ van de AI, de data en de juiste verwerking daarvan. De AI Act en de IAMA kijken meer naar het hele gerecht, de risico’s van de technologietoepassing en de uitkomsten daarvan, ongeacht het type data dat het gebruikt.
Kortom; de DPIA geeft handvaten bij de inzet van algoritmes, maar heeft ook blinde vlekken. Bij het inzetten van een algoritme is het dus heel goed mogelijk dat een overheidsinstantie straks zowel een DPIA als een IAMA moet uitvoeren.
De eerste link tussen de IAMA en de Europese AI-verordening is overigens inmiddels ook al gelegd. In een commissievergadering heeft staatssecretaris Digitale Zaken Alexandra van Huffelen toegezegd zich in te spannen de IAMA en het algoritmeregister op te nemen in de AI Act. “Het is inderdaad onze bedoeling om te onderzoeken of we het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes, IAMA, dat we gemaakt hebben, onderdeel kunnen laten uitmaken van de verordening, omdat we weten dat verschillende landen het belangrijk vinden dat die mensenrechtentoetsen goed worden gedaan. Er zijn ook verschillende landen die enthousiast zijn over het werk dat Nederland daarvoor heeft gedaan. Wat mij betreft gaan we in de komende tijd bepleiten dat dat in die verordening komt“. Of dit lukt is nog zeer de vraag. Van Huffelen zal zeker niet de enige zijn in Brussel met een wensenlijstje.
Hoe dan ook, de politieke en maatschappelijke druk om op een verantwoorde manier met de inzet van algoritmes om te gaan neemt toe.
Bent u benieuwd naar het Impact Assessment Mensenrechten en Algoritmes of heeft u andere vragen? Neem gerust contact met ons op. Onze experts staan u graag te woord.