Alexa, Siri en de Google Assistent, zelfrijdende wagens, spraak- en gezichtsherkenning, beeld- en tekstanalyse software, … Artificiële Intelligentie is de voorbije jaren aan een ware explosie bezig en bewust of onbewust wordt het leven van élk van ons vandaag al dagelijks beïnvloed door (de gevolgen van) AI: van de reclame die we te zien krijgen, tot de regeling van de verkeerslichten waar we staan te wachten terwijl we die reclame wegswipen op onze smartphone.
Kunstmatige intelligentie wordt dan ook terecht door de EU beschouwd als één van de essentiële bouwstenen voor de digitale maatschappij van de toekomst en gelet op de snelheid waarmee de rekenkracht van computersystemen evolueert is die toekomst niet morgen, maar gisteren al begonnen.
Die razendsnelle evolutie heeft echter ook de voorbije jaren het besef doen groeien dat er dringend nood is aan een regelgevend kader. In het beste geval maakt AI ons leven aangenamer, maar als diezelfde technologie in verkeerde handen zou komen, kan dat potentieel desastreuze gevolgen hebben, bijvoorbeeld voor jouw en mijn privacy.
Precies om die reden wordt er achter de schermen binnen de EU al 2 jaar gewerkt aan een regelgevend kader dat moet zorgen voor een veilig en ethisch verantwoord gebruik van AI binnen de EU. Het eerste ontwerp van de “AI Verordening” dat hieruit voort zou moeten vloeien, werd vorige week publiek gemaakt, nadat ze naar goede gewoonte enkele dagen eerder al onbedoeld was uitgelekt.
We overlopen hieronder de grote lijnen van het ontwerp samen met jou.
Eerste poging in de wereld om AI te reguleren
Het voorstel van verordening dat de Europese Commissie op 21 april 2021 publiek maakte is het allereerste regelgevingskader voor AI ter wereld. De regels zijn onderdeel van de strategie van de Europese Commissie om van de EU een mondiale hub voor nieuwe technologie en digitalisering te maken. Om dit doel te bereiken wil de EU zorgen voor wettelijke waarborgen voor de privacy en de grondrechten van Europese burgers en wil ze tegelijk het draagvlak voor AI, investeringen en innovatie in de hele EU versterken.
(Cynici vragen zich daarbij overigens nu al af of het ontwerp dat vandaag voorligt, omdat het zo streng is, niet precies het omgekeerde effect dreigt te hebben, maar daarover later meer).
“Risk based approach” die doet denken aan GDPR
De nieuwe regels doen bij een eerste lezing onmiddellijk denken aan de GDPR, die sinds 2018 in de EU en tot ver daarbuiten bepaalt hoe bedrijven mogen omgaan met jouw en mijn persoonsgegevens. Op een gelijkaardige manier wil de EU voor het ganse grondgebied van de EU op één en dezelfde wijze reguleren hoe bedrijven data (al dan niet persoonsgegevens) kunnen inzetten binnen AI-algortimes.
Eén van die opvallende raakpunten met de aanpak onder GDPR is de zogenaamde “risk based approach”: AI-development zal een risicoanalyse vereisen en AI-systemen die een duidelijke bedreiging vormen voor de veiligheid en rechten van Europese burgers, worden verboden. Het gaat dan om AI-toepassingen die menselijk gedrag manipuleren om de vrije wil van gebruikers te omzeilen. De Europese Commissie geeft zelf als voorbeeld “smart” speelgoed met spraaktechnologie dat kinderen kan aansporen tot gevaarlijk gedrag. De Commissie maakt een onderscheid tussen zulke “hoog risico” AI, “beperkt risico” AI en “minimaal risico” AI.
Hoog risico AI-systemen zijn diegene die gebruikt worden voor publieke infrastructuur (verkeer bvb), in medische omgevingen, in het kader van beroepsopleidingen of toegang tot onderwijs (bvb verbeteren van examens), werkgelegenheid, personeelsbeleid (bvb screening bij sollicitaties), essentiële diensten zoals bank- en kredietdiensten (kredietwaardigheidschecks), gebruik door politiediensten, douanediensten, rechtbanken en andere overheden (inclusief bijvoorbeeld ook alle mogelijke biometrische systemen van gezichtsherkenning, stemherkenning, vingerafdrukherkenning, etc…).
Deze toepassingen zullen aan strenge verplichtingen worden onderworpen voordat zij in de handel mogen worden gebracht:
- Ernstige plichten tot risicobeoordeling en -beperking
- Hoge kwaliteit van de datasets die het systeem voeden om risico’s en discriminerende resultaten zoveel mogelijk uit te sluiten
- Registratieplicht (!)
- Gedetailleerde documentatie en transparantie naar overheden toe over de werking van de algoritmes
- Transparante informatie voor gebruikers
- Verplichting tot passend menselijk toezicht op de werking
- (cyber-)Veiligheid, robuustheid en nauwkeurigheid
Met name alle systemen voor biometrische identificatie op afstand worden als risicovol beschouwd en moeten aan strikte eisen voldoen. Op openbare plaatsen is het rechtstreekse gebruik van die systemen voor rechtshandhavingsdoeleinden in beginsel verboden. Beperkte uitzonderingen zijn strikt gedefinieerd en geregeld (bv. om een vermist kind te zoeken, een specifieke en nakende terroristische dreiging af te wenden of een dader of verdachte van een ernstig strafbaar feit op te sporen, te identificeren of te vervolgen). Er moet vooraf toestemming worden gegeven door een rechterlijke of andere onafhankelijke instantie, die slechts geldt voor een beperkte termijn en omgeving en voor specifieke databanken.
Onder AI-toepassingen met beperkt risico verstaat de Verordening bijvoorbeeld chatbottoepasingen. Het zal vereist zijn om de gebruiker transparant en correct te informeren over het gebruik van AI, zodat hij of zij zelf kan beslissen om wel of niet met een softwaretoepassing in gesprek te gaan.
De laatste categorie is met voorsprong de grootste. Het gaat om duizenden AI-toepassingen voor dagelijks gebruik, die slechts een “minimaal risico” met zich meebrengen. Als voorbeelden worden vernoemd : “slimme” spamfilters, zelflerende video games, predictieve marketingtools, slimme keukentoestellen, … De ontwerpverordening laat die systemen ongemoeid aangezien het risico voor de rechten of de veiligheid van burgers minimaal of onbestaand is (wat overigens niet betekent dat andere regels zoals precies GDPR niet van kracht zouden kunnen zijn op deze toepassingen, natuurlijk!).
Los van bovenstaande zijn er overigens in het ontwerp ook AI-toepassingen die per definitie verboden zouden zijn. Dat is bijvoorbeeld het geval voor het gebruik van realtime geautomatiseerde gezichtsherkenningssystemen door overheidsinstanties op openbaar toegankelijke plaatsen of ook nog AI-toepassingen die “subliminale technieken gebruiken die het bewustzijn van een persoon te boven gaan“, of die proberen misbruik te maken van de kwetsbaarheden van mensen als gevolg van leeftijd, fysieke of mentale handicap, in beide gevallen om hun gedrag te verstoren op een manier die lichamelijk letsel kan veroorzaken. of psychologische schade.
Te vergaande beperkingen?
Er is overigens meteen ook heel wat, al dan niet terecht, kritiek op het ontwerp van verordening. Vroege tegenstanders wijzen erop dat de Europese Unie zichzelf in de voet dreigt te schieten. Ze legt immers als eerste politieke blok ter wereld een wetgevend kader op rond AI dat meteen ook vergaande beperkingen met zich mee brengt én ze legt diezelfde regels meteen ook -net zoals bij GDPR- op aan niet-Europese bedrijven die hun software in de EU willen aanbieden. Met name het verbod om AI in te zetten voor bijvoorbeeld credit scoring of ook nog de vergaande beperkingen in het gebruik van biometrische data dreigen volgens sommigen ernstige concurrentiebeperkingen op te leggen aan Europese spelers en dreigen dus innovatie te verplaatsen van de EU naar andere delen van de wereld.
Nochtans is de Europese Commissie niet lichtzinnig over het innovatieaspect heen gegaan. Het ontwerp bevat immers precies ook maatregelen ter ondersteuning van innovatie. Zo is er bijvoorbeeld voorzien in een sandboxing-regeling op het gebied van AI en zijn er maatregelen die KMO’s en start-ups moeten vrijstellen van al te veel regelgevende druk of ook nog de oprichting van digitale hubs en faciliteiten voor het testen van experimenten.
Boetes en sancties
Het ontwerp voorziet overigens ook in een stevig sanctiemechanisme bij overtredingen en de voorziene boetes doen op hun beurt ook weer sterk denken aan wat we al kennen onder GDPR, met administratieve boetes tot 20.000.000 euro of 4% van de totale wereldwijde jaaromzet. Net als onder de GDPR zijn de nationale toezichthoudende autoriteiten bevoegd om toe te zien op de naleving van de regels en er wordt een “European Artificial Intelligence Board” (EAIB) opgericht, naar analogie met de EDPB onder GDPR die voor uniforme toepassing doorheen de EU moet zorgen.
Binnenkort ook “Machineverordening”
Naast de toekomstige AI-verordening werkt de EU overigens ook aan een “Machineverordening”, die de huidige Machinerichtlijn moet vervangen op termijn. Daar waar de nieuwe AI-verordening de veiligheidsrisico’s van AI-systemen zal aanpakken, wil de machineverordening de veilige integratie van het AI-systeem in de machine als geheel waarborgen. In de huidige machinerichtlijn, die wordt vervangen door de nieuwe machineverordening, zijn vandaag al gezondheids- en veiligheidseisen voor machines vastgesteld. Binnen afzienbare tijd krijgen die regels dus een update. Het gaat dan om de veiligheid van een breed scala aan producten voor consumenten en professionals, van robots tot grasmaaiers, 3D-printers, bouwmachines en industriële productielijnen.
Volgende stappen?
Vandaag ligt enkel een ontwerp van de Europese Commissie voor. Dat ontwerp moet vervolgens door zowel de Europese Raad (de regeringsleiders) als door het Europees Parlement besproken en geamendeerd worden alvorens een definitief voorstel verwacht kan worden. De analogie met GDPR leert ons opnieuw dat dit een oefening is die in het beste geval 24 maanden tijd vereist. De finale versie zal dus nog wel even op zich laten wachten, maar dat het de EU menens is, is wel duidelijk.