Recent heeft de Raad van Europa unaniem de nieuwe Artificial Intelligence Act (AIA) goedgekeurd. Dit is een primeur, want het is de eerste uitgebreide en wijd toepasbare set van geharmoniseerde regels over AI die werd gemaakt in de wereld. De AIA volgt een risk-based approach en stelt regels vast voor het op de markt brengen, in dienst stellen en gebruiken van artificiële intelligentiesystemen in de Unie. De Europese Commissie diende in 2021 een voorstel in om de uitdagingen die AI met zich meebrengt aan te pakken. De komst van ChatGPT eind 2022 verstoorde het wetgevend proces tijdelijk, waarna extra voorschriften voor generatieve AI aan het voorstel werden toegevoegd. Inmiddels keurden alle 27 EU-Lidstaten het voorstel goed.
Wat moet je voorlopig onthouden over de AIA?
AI-systemen worden heel wijd gedefinieerd
De Europese regulering volgt de definitie van de OESO: “a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”. Deze definitie legt de nadruk op ‘autonomie’ en ‘afleiden’ om AI te onderscheiden van andere software. Door te voorzien in een brede definitie, zorgt de Raad ervoor dat de AI-wet niet snel verouderd raakt.
De regulering bevat een lijst van verboden AI systems
Specifieke AI-systemen worden expliciet verboden. Reeds 6 maanden na de inwerkingtreding van de Act zullen actoren verplicht zijn deze regels naleven. De AIA bevat een gesloten lijst die een opsomming geeft van welke zaken hieronder vallen. Bijvoorbeeld: subliminale, manipulatieve of misleidende technieken om gedrag aanzienlijk te verstoren; uitbuiten van kwetsbaarheden van een persoon of een groep vanwege bijzondere kenmerken; sociale scoresystemen; afleiden van emoties op de werkplek of in onderwijsinstellingen, behalve om medische of veiligheidsredenen; etc.
Transparantieverplichtingen voor bepaalde categorieën
De AIA legt bijzondere transparantieverplichtingen op aan vier specifieke categorieën van AI-systemen: generatieve AI (zoals ChatGPT); deepfakes; emotieherkenningsystemen; en systemen die rechtstreeks met natuurlijke personen communiceren. De transparantieverplichtingen gaan vooral over het degelijk informeren van de gebruiker. Kunstmatig gegenereerde of gemanipuleerde inhoud moet als zodanig kunnen worden geïdentificeerd.
Hoog Risico AI-systemen
Voor de praktijk zal het heel belangrijk zijn voor ondernemingen actief in de AI-wereld om te bepalen of hun AI-systeem een hoog risico met zich meedraagt. Deze systemen vormen een uitzonderlijk en essentieel onderdeel van de AI-wetgeving en zijn strikter gereguleerd. Na de inwerkingtreding van de AI Act zullen er nog Europese richtlijnen volgen die de praktische implementatie van deze hoog risico systemen verder invullen. Deze bepalingen zullen dan ook pas twee jaar na de inwerkingtreding van de AIA effectief van toepassing worden. Alleszins zorgt de EU wetgever voor een belangrijke uitzondering op de hoog risico categorie: als AI-systeemaanbieders kunnen aantonen dat hun systeem geen aanzienlijk risico op schade voor de gezondheid, veiligheid, of fundamentele rechten van natuurlijke personen oplevert, dan vallen zij hierbuiten. Naar alle verwachtingen zullen practici hiervan regelmatig gebruik proberen maken.
Serieuze verplichtingen
Hoog risico-AI systemen moeten voldoen aan zeer strenge vereisten opdat hun producent ze op de markt mag aanbieden. Ze moeten betrouwbaar, transparant, en verantwoordelijk zijn, en de aanbieders moeten risicobeoordelingen uitvoeren, heel wat gegevens bijhouden, gebruikers in extensieve mate informeren, en zich registreren in een EU-database die publiek toegankelijk is.
Verplichtingen over de hele distributieketen
Niet alleen de aanbieder van hoog risico AI, maar ook de importeur en de distributeur zullen moeten voldoen aan bovenstaande strikte vereisten. De importeur en de distributeur moeten voornamelijk verifiëren of het hoog risico AI-systeem dat zij verhandelen, voldoet aan de regelgeving door documentatie en conformiteit na te kijken.
FRIA voor banken, verzekeraars, en publieke instanties
Overheden en private entiteiten die publieke diensten verlenen zijn verplicht om een zogenaamde FRIA (fundamentele rechten impactbeoordeling) uit te voeren vooraleer hoog risico AI te implementeren. De betreffende entiteiten moeten bepaalde risico’s, toezichtmaatregelen, getroffen personen, en andere zaken op voorhand in kaar brengen.
Ook gebruikers moeten opletten
Zelfs gebruikers van AI-systemen moeten bepaalde verplichtingen in acht nemen, als het gaat over een hoog risico systeem. Zo is de gebruiker ertoe verbonden de AI te gebruiken in overeenstemming met de instructies van de aanbieder. Dit kan een belangrijk argument zijn wanneer er discussies zouden ontstaan met aansprakelijkheid tot gevolg.
Doorschuiven van aansprakelijkheid
De Europese wetgever voorziet in een mechanisme waarbij de importeur, de distributeur, de gebruiker, of een derde partij kan worden beschouwd als aanbieder van het hoog risico AI-systeem. Net zoals bij productaansprakelijkheid, moet daarvoor zijn voldaan aan enkele voorwaarden: hun naam of handelsmerk is aangebracht op het systeem nadat het op de markt werd gebracht; er werden aanzienlijke wijzigingen uitgevoerd aan het systeem maar het blijft hoog risico; of het doel is zodanig gewijzigd dat het hoog risico wordt. Hierdoor zijn alle verplichtingen die normaal enkel gelden voor de aanbieder, ook van toepassing op de betreffende partij.
Handhaving
Toezichtautoriteiten krijgen de bevoegdheid om op te treden tegen niet-naleving. Zij kunnen klachten onderzoeken en sancties opleggen, waaronder hoge boetes. In het geval van hoog risico AI-systemen is het mogelijk dat deze boetes oplopen tot maximaal 15 miljoen euro of 3% van de totale wereldwijde jaaromzet. Opletten is dus de boodschap.
Hamme, 3 mei 2024.