AI-wetgeving EU: grote impact voor organisaties

22/04/'21 - Op woensdag 21 april publiceerde de Europese Commissie (EC) het langverwachte voorstel voor de regulering van Artificiële Intelligentie (AI). De regulering kan een grote impact hebben op ontwikkelaars en gebruikers van ‘hoog-risico’ AI-systemen. Die moeten aan veel nieuwe eisen voldoen. Een aantal toepassingen van AI worden zelfs zo gevaarlijk geacht dat deze worden verboden in het voorstel. 

Voor wie is de wet bedoeld? 

De Commissie richt zich in het voorstel op de ontwikkelaars (providers), distributeurs en gebruikers van AI-systemen. Dat zijn systemen die door software op basis van door de mens gestelde doelen ingezet worden om output te generen. Dat zijn bijvoorbeeld voorspellingen, classificatie & analyses, maar ook aanpassingen aan een (virtuele) omgeving of media content. Zowel machine learning, logische- en expertsystemen, en statische methodes vallen onder de definitie van AI. Dat maakt de reikwijdte van de regulering heel breed.  

Welke soorten AI-systemen beschrijft de wet?  

Het voorstel onderscheidt drie typen AI-systemen waar verschillende regels voor gelden: verboden–, hoog risico– en overige AI-systemen. AI-systemen die technieken gebruiken waarbij individuen op een schadelijke manier onbewust worden beïnvloed zijn verboden. Ook AI-systemen die misbruik maken van iemands kwetsbaarheid, ingezet worden voor social scoring (bv. Chinese sociaal kredietsysteem) of biometrische identificatie in de publieke ruimte behoren tot deze categorie.  

Het grootste deel van het voorstel is gericht op AI-systemen met een hoog risico. Dit zijn AI-systemen in producten die onder specifieke EU-wetgeving vallen, zoals luchtvaartapparatuur, speelgoed en medische apparaten. Maar ook systemen die ingezet worden voor beoordeling en selectie in het onderwijs of door werkgevers, of die toegang bieden tot sociale zekerheid of een lening vallen hieronder. Ook zijn diverse toepassingen binnen het openbaar bestuur als hoog risico bestempeld, onder andere in het domein van politie en hulpdiensten, migratie en grensbewaking, en de rechtsketen. Een belangrijke uitzondering zijn toepassingen voor de openbare veiligheid. Voor al deze hoog-risico systemen gelden een aantal nieuwe vereisten.  

Alle andere toepassingen van AI zijn ‘overige’ systemen. Gebruikers (de personen of organisatie verantwoordelijk voor de inzet van een AI-systeem) moeten mensen informeren als zij interacteren met een AI-systeem. Daarbij moeten de Gebruikers ook vermelden of er gebruik wordt gemaakt van emotiedetectie. Gebruikers die media genereren die gemanipuleerd zijn op basis van echte personen, zoals deep fakes, zijn ook verplicht dit te vermelden.  

Waar moeten hoog risicosystemen straks aan voldoen? 

De belangrijkste vereiste voor hoog risicosystemen is de verplichting een keuring uit te voeren voordat het product op de markt gezet kan worden (conformiteitsbeoordeling). AI-systemen, die ingezet worden als veiligheidscomponent voor publieke infrastructuur of biometrische identificatie, moeten door een derde partij beoordeeld worden. Andere systemen voldoen met een conformiteitsbeoordeling door de provider of importeur EU. 

Bij een conformiteitsbeoordeling moet specifiek worden gekeken naar risicomanagement, de kwaliteit van data sets (voor training), documentatie en verslaglegging van belangrijke ontwerpbesluiten, transparantie en informatievoorziening naar de gebruikers, passend menselijk toezicht, en de robuustheid, accuraatheid en veiligheid van het systeem. Ook is het bijvoorbeeld verplicht een hoog risico AI-systeem te registreren in een centrale Europese database. Distributeurs van hoog risico AI-systemen zijn verantwoordelijk dat het systeem voldoet aan de eisen van de EU-regulering.  

Gebruikers zijn verplicht om het gebruik van het AI-systeem te monitoren en bij te houden welke data gebruikt is om bijvoorbeeld voorspellingen te doen. Ook moeten zij systemen gebruiken volgens instructies van de provider en de doelen waarvoor het systeem ontwikkeld is. Wordt daarvan afgeweken dan bepaalt de regulering dat de gebruiker als provider gezien moet worden, met de eisen die daarvoor gelden. 

Met de publicatie van de regulering is een proces van jaren in gang gezet voordat de wetgeving in werking treedt. Nu is het moment voorbereidingen te treffen en strategische keuzes te maken. Benieuwd wat de impact is voor uw organisatie? Neem contact op met Joas van Ham.