De EU-wetgevende instanties bereikten vorige week een voorlopig akkoord over de AI Act. De nieuwe EU-verordening is de eerste alomvattende regelgeving op het gebied van AI ter wereld. De AI Act gaat grotendeels van toepassing worden vanaf 2025 voor AI-systemen en modellen die op de EU-markt worden gebracht.
Na bijna 36 uur onderhandelen verspreid over twee dagen konden vertegenwoordigers van de EU-Commissie, het Europese Parlement en de Raad van de EU een compromis vinden voor de regulering van AI in de EU. In de laatste weken ontstond in Brussel groeiende bezorgdheid over de onenigheid tussen het Europese Parlement en de Raad die de succesvolle goedkeuring van de verordening in de weg zou staan. De belangrijkste geschilpunten waren met name de toegestane toepassingen van AI-systemen voor handhavingsinstanties en de regulering van 'foundation models' (zoals OpenAI’s GPT-4). Minder controversiële punten op de agenda van de wetgevers waren de governance-aspecten van de verordening en de toepasbaarheid op openbronsoftwaremodellen.
De AI Act bouwt voort op een risicogebaseerde benadering, waarbij AI-toepassingen die een hoger maatschappelijk risico met zich meedragen, aan strengere verplichtingen worden gehouden. De verordening onderscheidt tussen verboden AI-toepassingen, 'hoogrisico' en 'laagrisico' toepassingen.
De grootste strijd speelde zich af op het gebied van handhaving en nationale veiligheid (1). Frankrijk, gesteund door Duitsland en Italië, was een sterke voorstander van een brede uitzondering op AI-toepassingen voor militaire of veiligheidsdoeleinden. Daarnaast pleiten de EU-lidstaten ook voor de afschaffing van bepaalde transparantieverplichtingen voor handhavingsinstanties.
Europarlementariërs zetten zich tegen en eisten daarnaast ook een verbod op het gebruik van real-time biometrische identificatie, zoals gezichtsherkenning. Uiteindelijk kwamen de twee partijen uit op een compromis. Nu bevat het voorlopige akkoord beperktere uitzonderingen voor veiligheids- en handhavingsinstanties vergeleken met de voorstellen van de EU-lidstaten. Anderzijds wordt het gebruik van biometrische identificatie toegestaan, zij alleen in uitzonderlijke situaties.
Er komen ook nieuwe regels voor (generatieve) AI-modellen. Eerder in november bleek al dat Frankrijk, Duitsland en Italië tegen regulering van AI-modellen waren. De onderhandelingen liepen vast (1). De lidstaten vreesden namelijk dat de invoering van nieuwe verplichtingen de aantrekkelijkheid van de EU-markt voor AI-ontwikkelaars zou verminderen en het concurrentievermogen van Europese bedrijven zou ondermijnen. Uiteindelijk lukte het de Europarlementariërs, op basis van een voorstel van de Europese Commissie, om universele transparantieverplichtingen door te drukken, naast strengere eisen voor AI-modellen met een grotere maatschappelijke impact.
Martin Hemmer, partner en advocaat bij AKD, merkt op het onderhandelingsresultaat een redelijk compromis lijkt te zijn. “De consequenties van een algemene kwalificatie voor deze AI modellen als high risk systeem zouden wel erg groot zijn voor de industrie, terwijl toepassing van een low of medium (titel IV van het voorstel) risk tot een behoorlijke vrijblijvende situatie zou leiden. Deze categorie systemen valt dan ook nog in twee subcategorieën uiteen die kennelijk afhankelijk zijn van de omvang van de dataset. Voor de systemen met de hoogste impact zullen nog nadere standaarden worden ontwikkeld. In ieder geval dienen de aanbieders transparant te zijn over de data die gebruikt zijn om de modellen te trainen. Auteursrechthebbenden zullen daar naar verwachting met interesse kennis van nemen”.
De wet voorziet in de oprichting van nieuwe toezichthoudende instanties op Europees niveau, zoals de AI Office binnen de Europese Commissie en de AI Board die een onafhankelijke adviesfunctie zal overnemen. Het niet-naleven van de AI Act kan tot dure boetes leiden bij de onrechtmatige inzet van verboden systemen (max. 35 miljoen euro of 7 procent van het jaarlijkse omzet). Lagere boetes worden gehanteerd voor andere risicogroepen van AI toepassingen (15 miljoen euro of 3 procent van het jaarlijkse omzet) en voor het niet verstrekken van de juiste informatie (7,5 miljoen euro of 1,5 procent van het jaarlijkse omzet).
“In ieder geval stelt de AI Act een groot aantal compliance eisen voor high risk producten (zoals een risk management systeem voor de gehele life cycle)”, stelt Hemmer. “Dat zal leiden tot veel werk maar niet noodzakelijk voor juristen. Onvermijdelijk zal de tekst van de AI Act op tal van punten echter ruimte voor interpretatie overlaten en dus voor juridische discussies. Wanneer is sprake van ‘suitable risk management measures’?; wanneer zijn ‘adequate mitigation and control measures appropriate’ (zie art. 9 voorstel AI Act)?; wanneer is een systeem ‘sufficiently transparent’ (art. 13) en wanneer is er voldoende menselijk toezicht (art. 14)? Dit staat dan nog los van de wisselwerking met het privacyrecht dat onverlet wordt gelaten door de AI Act en dat nu reeds van kracht is. Het gebruik van persoonsgegevens als trainingsdata en iedere interactie van een AI-systeem met natuurlijke personen zal immers privacyrechtelijke consequenties hebben”.
De Raad en het EP zullen naar verwachting voor het einde van het jaar de AI Act nog formeel goedkeuren. De verordening wordt in 2025 van toepassing, met de uitzondering van bepaalde hoofdstukken (zoals de verbodene toepassingen) die al eerder zullen gelden.
https://privacy-web.nl/nieuws/onderhandelingen-rondom-ai-act-lopen-vast/;
https://pont.media/nieuws/909750/voorlopig-akkoord-ai-act-franse-lobby-zette-strenge-regulering-op-losse-schroeven/.
