Met de komst van de AI Act wordt de ontwikkeling van AI gereguleerd. De wetgeving volgt op een enorme maatschappelijke discussie over de toekomstige applicaties van kunstmatige intelligentie. In dit blog behandelen we de rol van compliance in de ontwikkeling van AI. Over het trainen van AI op al dan niet gecreëerde datasets en de output daarop, is veel te doen, voornamelijk uit de hoek van het intellectueel eigendomsrecht. De AI Act stelt in ieder geval grenzen aan de manier waarop AI moet functioneren en hoe applicaties getraind worden.
Maar ook vanuit de hoek van het privacyrecht is er een kritische blik op kansen en valkuilen in privacybescherming in de ontwikkeling van kunstmatige intelligentie op basis van persoonlijke data. De redactie van PONT | Data & Privacy ging in gesprek over de AI Act met Jantien Hovingh, privacy-expert bij Lex Digitalis.
“Ongeveer 20 jaar geleden werd het technisch mogelijk om enorme hoeveelheden data te verwerken. De snelheid waarmee een groot volume gevarieerde data gegenereerd kon worden nam hiermee ook toe en daarmee de interesse voor de tools die de data konden verwerken. Er ontstond een (hernieuwde) interesse voor machine learning technieken, vooral in deep learning technieken. De afgelopen jaren is de evolutie in techniek snel gegaan, en veranderd in de revolutie die ons in 2022 bij de nieuwste generatie AI gebracht heeft, de foundationmodels, LLM’s zoals ChatGPT.
Bij het ontstaan van een nieuw rechtsgebied, is vaak sprake van botsing van een aantal grondrechten, zoals vrije handel, privacy en IE-rechten. Bij het reguleren van het nieuwe rechtsgebied wordt dan een kader gegeven waarin de afweging in deze botsing vorm krijgt. Zo ook in dit relatief nieuwe rechtsgebied, het AI-recht en de regulering daarvan in de AI Act.
Alleszins reden om, voor zover niet gedekt door bestaande regels, deze op te stellen passend binnen de structuur van het Europese rechtsstelsel. Dat is gebeurd in de AI Act. Deze reguleert de ontwikkeling, implementatie en gebruik van AI-systemen in de EU, met aandacht voor ethische aspecten als respect voor menselijke autonomie, het voorkomen van schade, het naleven van rechtvaardigheid en veiligheidsaspecten. De AI Act dient ter bescherming van fundamentele rechten en vrijheden van individuen, waaronder privacy.
De insteek van de AI Act is vergelijkbaar met die van de AVG. Het is ook een wet die nadere normen geeft, de eis stelt dat een organisatie die AI gebruikt, inzet of ontwikkelt met de in de wet gestelde normen compliant is en daarover verantwoording aflegt.”
“De vraag is of dat zo is. Innovatie en regulering zijn twee continu op elkaar inwerkende krachten. Toen de eisen van de AI Act nog niet afdwingbaar waren, stond ‘Europa’ ook niet bovenaan in de voorlopers op het gebied van de ontwikkeling van nieuwe AI. Bij de totstandkoming van de wet is echter niet alleen input gegeven op de borging van de grondrechten, maar ook op de borging van de innovatiemogelijkheden. Althans, input op een inrichting van de wet die innoveren niet onmogelijk maakt. Zo zijn de regulatory sandboxes ingericht waar, weliswaar onder streng toezicht, de uitwerking van hoog risico-toepassingen uitgetest kan worden. De wet brengt een verzwaring van compliance-lasten voor gebruikers en ontwikkelaars met zich mee.
Ook verder zie ik de wet niet als belangrijke rem op innovatie. Ja, de wet stelt eisen aan de inrichting van betrouwbare AI waarin grondrechten en privacy worden geborgd, maar dit zou ook juist als een toegevoegde waarde kunnen worden gezien.
Of de eerder genoemde compliancy-verplichting en de verantwoording daarover belemmerend zullen zijn voor de ontwikkeling van Europese AI-initiatieven zal dus afhangen van de vraag of ontwikkelaars inspelen op de toegevoegde waarde die compliance met zich meebrengt. De consument zal immers positiever reageren op AI-producten waarvan hij kan vertrouwen dat die voldoen aan ethische- en transparantie-eisen.
Dit is echter alleen aan de orde als de implementatie van de eisen van de AI Act verder gaat dan enkel het afvinken van lijstjes. Dan kan het juist een kader bieden dat veiligheid biedt en tegelijkertijd innovatie stimuleert: het versterkt het publieke vertrouwen in de verschillende AI-implementaties.”
“De AVG is een beproefd concept van regulering. De AI Act lijkt in structuur en opzet op de AVG: een aantal normen waaraan moet worden vormgegeven en over de implementatie daarvan moet verantwoording worden afgelegd en waar ook een controlerende instantie voor moet worden aangesteld.
Het is nog niet duidelijk welke instantie daarop een controlerende rol gaat spelen, wellicht de Autoriteit Persoonsgegevens. Ook is niet duidelijk wie intern bij gebruikers, providers of ontwikkelaars in de gaten moet houden of de eisen en normen opgenomen zijn in de AI of de AI-toepassing.
Als er iets duidelijk is geworden bij de invoering van de AVG is het wel dat het onmogelijk is processen privacy-by-design in te richten als de privacyofficer pas achteraf betrokken wordt. Na 6 jaar AVG blijkt dat in heel veel organisaties nog steeds regelmatig vergeten wordt om privacyrollen als stakeholders in nieuwe procesen te betrekken. Maar ook dat er nog steeds veel werk verricht moet worden in de primaire inrichting van de privacyorganisatie en het privacymanagement.
In die zin lijkt het me al heel onverstandig en onwenselijk ook dit nog bij de toch al overbelaste privacyofficer of FG neer te leggen. Dit nog afgezien van het feit dat de AI-implementatie weer een heel andere tak van sport is dan de inrichting van het privacymanagement.
Laten we vooral de geleerde lessen uit 6 jaar AVG meenemen: geen afvinklijstje, maar met hart en ziel een goede governance inrichten op daadwerkelijk en juist implementeren van de eisen uit de AI Act door mensen voor mensen.”
“Het is al ongelooflijk gemakkelijk om de implementatie van de AI Act als een verdienmodel te zien en als een razende afvinklijstjes in te gaan vullen.
Maar hoe vreselijk is het als het is ‘computer says no’ en jij als individu, als een mens geraakt wordt door een AI die over jouw sollicitatie beslist en je afwijst omdat je vrouw bent of verkeerd keek, of die bepaalt dat je een hogere verzekeringspremie betaalt, omdat bekend lijkt dat in jouw familie erfelijke afwijkingen voorkomen, of je je lening niet krijgt omdat ergens in een ander systeem een letter verkeerd is overgenomen en je voor het systeem al heel hoge schulden hebt.
Ik ben het eens met de kritiek van Bits of Freedom dat als toch blijkt dat de AI niet conform is ingericht of het ‘misgaat’ in de output, er weinig concrete mogelijkheden voor getroffen individuen zijn om dan verhaal te halen of alsnog de schade te kunnen beperken.
Het juist inrichten van betrouwbare en ethische AI (toepassingen) is al zo moeilijk. Je kan niet ook nog eens de toekomstige ontwikkelingen voorzien en zelfs nu blijkt al dat het individuele klacht of bezwaar óf niet is ingericht óf niet kan slagen.
Toch wil ik hoopvol blijven en geloven in de veerkracht van mensen, maar ook van een maatschappij waarin we als mensen blijven communiceren en onze wereld met AI voor iedereen veilig en leefbaar houden.”
Meer weten over de juridische implicaties van de AI Act? Klik dan hier voor het cursus Introductie in AI of de cursus de juridische aspecten van AI.
(1) https://www.bitsoffreedom.nl/2024/04/03/de-ai-verordening-is-bijna-rond-maar-de-bescherming-van-jouw-rechten-niet/
