In het afgelopen half jaar is de AI Act een keer of twaalf aangenomen, doorgevoerd of akkoord bevonden. En juridisch gezien is de wet er nog niet; het Europese wetgevingsproces is bepaald ondoorzichtig. De vele berichtgeving over de wet onderstreept het belang van deze innovatieregulerende wet. Wat betekent de wet voor de praktijk, beginnend bij de belangrijkste vraag voor mensen die AI ontwikkelen of inzetten: val ik onder de AI Act met dit systeem?
Regulering van AI
De AI Act is als wet het sluitstuk van een proces dat al in 2018 is ingezet. De Europese Commissie identificeerde de opkomst van wat toen nog 'Big Data' heette als een belangrijk aandachtspunt. Omdat de regulering van zoiets nieuws nog knap ingewikkeld was, begon de Commissie met een iets 'zachtere' aanpak: een set ethische richtsnoeren door een expertgroep, de High-Level Expert Group. De richtsnoeren benoemen vier ethische beginselen voor AI:
1. Respect voor de menselijke autonomie: Menselijke autonomie en waardigheid zijn kernwaarden van menselijkheid, en mogen dus niet worden aangetast. Ook niet wanneer een algoritme of AI dat per ongeluk zou doen door automatische analyses of handelingen. Dit impliceert dat een AI altijd onder menselijke beheersing of toezicht moet werken.
2. Preventie van schade: Dit betreft zowel fysieke als mentale of sociale schade. Een AI mag dus geen fysiek gevaar veroorzaken, maar bijvoorbeeld ook niet de ongelijkheid tussen bevolkingsgroepen verhogen of consumenten nadeel bezorgen in hun interacties met bedrijven. Dit vertaalt zich naar eisen als non-discriminatie.
3. Rechtvaardigheid: De gelijke en rechtvaardige verdeling van zowel de voordelen als de kosten van AI. Ook moet er onder dit beginsel voor worden gezorgd dat personen en groepen vrij zijn van onrechtvaardige vertekening, discriminatie en stigmatisering. Een kernaspect hierbij is in beroep te kunnen gaan of bezwaar te kunnen maken tegen handelen van AI.
4. Verantwoording: Transparantie en kenbaarheid van het hoe en wat van een AI-systeem. Dit is een cruciale tegenkracht tegen wat vaak het 'black box'-gedrag van AI wordt genoemd, waarbij niet te achterhalen is hoe een systeem werkt of waarom bepaalde keuzes zijn gemaakt.
De richtsnoeren pleitten voor een wettelijk kader dat de ethische regels een stevig fundament moest geven. Dit was een uitdaging. Er is vaak gepleit voor een algemene wet op AI, maar het grote nadeel hiervan is dat AI vaak niet als zodanig wordt ingezet, maar als deel van een groter systeem. Een zorgrobot (carebot) die bejaarden verzorgt, roept heel andere vragen op dan een AI die belastingaangiftes controleert of een bezorgdrone die een verjaardagstaart veilig bij een bedrijf moet zien te krijgen.
Op 21 april 2021 introduceerde de Europese Commissie een conceptverordening 'tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie', kortweg de AI Act genoemd. De opzet was bijzonder: enerzijds probeert deze verordening alle vormen en al het gebruik van AI te reguleren, anderzijds wordt daarbij uitgegaan van de risico’s die de maatschappij loopt bij de inzet van AI. Dit sluit aan bij de bredere trend binnen de EU om op basis van risico’s te reguleren, zoals ook bij de AVG gebeurde.
Meerdere niveaus
De structuur van de voorgestelde AI Act bestaat uit drie niveaus. Op het hoogste niveau bevinden zich de onacceptabele AI's: de inzet daarvan is in strijd met fundamentele waarden in de EU, zoals bij socialcreditscoring of de inzet van subliminale technieken om mensen schade toe te brengen, bijvoorbeeld door te analyseren of iemand ongelukkig is en die persoon dan haarlemmerolieproducten aansmeren. Deze producten mogen niet worden gebruikt in de hele EU.
Het middenniveau betreft AI's met een hoog risico voor mensen bij hun ongecontroleerde inzet. Voorbeelden zijn biometrie in de openbare ruimte, beheer van de infrastructuur, selectie en werving van personeel, rechtshandhaving of grenscontroles. Dergelijke systemen zijn alleen toegelaten als ze aan strenge regels worden onderworpen, waaronder vooral een AI Impact Assessment om de risico’s vooraf in kaart te brengen, een gedocumenteerd ontwerp- en verbeterproces en transparantie over de manier van werken. Overige AI's worden beschouwd als laag risico en die mogen in principe hun gang gaan, al moeten ze transparant zijn dat ze AI zijn. Blijkt het dan toch mis te gaan, dan kan de Europese Commissie ze alsnog hoog-risico verklaren.
De AI Act zal worden aangevuld met een wijziging van de Richtlijn productaansprakelijkheid, die fouten gemaakt door AI in consumentenproducten op hetzelfde niveau schaart als ontploffende onderdelen of giftige stoffen daarin. Met deze laatste optie is een schadeclaim vanuit getroffen burgers direct mogelijk, met zelfs de optie tot een massaclaim bij lastig kwantificeerbare zaken als vooringenomenheid. Bij dergelijke claims staat een omdraaiing van de bewijslast in de steigers: de AI-exploitant moet aantonen dat de dataset wél eerlijk is ontworpen en dat maatregelen zijn genomen om bias te voorkomen.
:strip_exif()/i/2006381080.jpeg?f=imagenormal)
Halverwege de behandeling van de wet gebeurde er iets bijzonders. ChatGPT, Midjourney en nog wat diensten groeiden als kool: de hype van generatieve AI was geboren. Deze diensten pasten niet goed in de systematiek van de AI Act, die uitging van AI verpakt in producten, of commercieel aangeboden diensten, die een specifiek doel dienden. Voorbeelden hiervan zijn biometrische toegangscontrole, autonome bezorgdrones, zelf inparkerende auto’s en smarthomes die verzinnen wanneer de markiezen dicht kunnen. Maar de AI die nu de markt veroverde, kon alles tegelijk en was tegelijkertijd voor niets echt specifiek ontworpen. Hoe moest dat nu in de wet worden opgenomen?
Wat niet meehielp, was dat al deze diensten uit Amerika kwamen, gratis werden weggegeven en weinig blijk gaven zich aan de ethische beginselen van de EU te houden. Het anti-Amerika-sentiment kan soms sterk zijn. Binnen enkele maanden was dan ook een heel hoofdstuk toegevoegd over de regulering van 'AI-modellen voor algemene doeleinden' (general purpose AI models). Kort gezegd komt die neer op transparantie van keuzes en beperkingen bij het ontwerp, en documenteren van beoogd gebruik en beperkingen zodat integratoren daar rekening mee kunnen houden.
Een definitie van AI
De focus van de AI Act ligt op systemen en toepassingen. De definitie van AI is dan ook geschreven als die van een systeem:
An AI system is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content , recommendations, or decisions that can influence physical or virtual environments.
In eerdere versies werd in deze definitie nog verwezen naar gebruik van allerlei technieken, zoals neurale netwerken of expertsystemen. Dat is nu achterwege gelaten; waar het bij AI om gaat, is dat systemen autonoom beslissingen nemen. Het gebrek aan menselijke tussenkomst of toezicht is waar de risico’s door ontstaan en dus zijn systemen in principe AI wanneer ze autonoom opereren.
Inference, oftewel afleiding
In principe, want er is meer: de systemen moeten bepaalde doelen (objectives) gesteld zijn en zelfstandig achterhalen hoe daarbinnen uitvoer te genereren, zoals voorspellingen, content of aanbevelingen. De doelen kunnen expliciet zijn, zoals bij een ChatGPT-prompt, of implicieter, zoals bij een systeem dat objecten in beeld classificeert zonder precies te weten waarom. Overweging 6 van de AI Act legt uit: "The techniques that enable inference while building an AI system include machine learning approaches that learn from data how to achieve certain objectives; and logic- and knowledge-based approaches that infer from encoded knowledge or symbolic representation of the task to be solved." Het gaat er dus om dat het systeem zelfstandig afleidt wat er moet gebeuren.
Een chatbot voor klantenservice die natuurlijketaalverwerking gebruikt om vragen van klanten te begrijpen en passende antwoorden te genereren, valt bijvoorbeeld onder de definitie, omdat het autonoom opereert en zelfstandig uitvoer genereert, zoals antwoorden en aanbevelingen, binnen impliciete doelstellingen (de klant helpen). Hetzelfde geldt voor een systeem dat via machinelearning getraind is om medische beelden te analyseren om ziekten te diagnosticeren. Dit systeem genereert uitvoer op basis van zelf afgeleide regels, wat inherent is aan machinelearning. Het proces gebeurt autonoom; je drukt op de knop en krijgt de analyse. Dit is dus een AI-systeem, ook al is het autonoom handelen niet meer dan de behandelend arts wijzen op symptomen op het beeld.
Geen AI is bijvoorbeeld een 'slim irrigatiesysteem' dat de grondvochtigheid en omgevingstemperatuur meet en via een opgegeven formule autonoom bepaalt hoeveel water toegevoegd moet worden. Hoewel dit autonoom opereert, valt het niet onder de definitie, omdat er geen sprake is van 'afleiden' (inference) van hoe de uitvoer te maken op basis van invoer. De regels zijn vast: bij 20 graden en een grondvochtigheid van vijf procent wordt 0,2 liter water toegevoegd.
Twijfelachtig is een muziekstreamingdienst die nieuwe liedjes voorstelt op basis van luistergeschiedenis (metadata) en sonische kenmerken van andere muziek. Dit systeem handelt autonoom en doet aanbevelingen. Twijfelachtig is of sprake is van 'inference'. Het gebruik van sonische kenmerken (lied A lijkt op lied B) zou je kunnen zien als een vorm van afleiden van wat bij lied A past, maar of dat genoeg is? Is het slechts een oppervlakkige vergelijking of impliceert het een dieper begrip van muzikale voorkeuren?
Producten op de markt
De AI Act is gericht op producten en diensten; je valt er dus eigenlijk pas onder wanneer je die op de markt brengt. Dat kan ook bij een gratis dienst zijn, al dan niet advertentiegedreven, maar je moet het wel bedrijfsmatig doen. AI voor wetenschappelijk onderzoek en wetenschappelijke ontwikkeling is expliciet uitgezonderd, en even verderop bepaalt de Act nog een keer dat zij niet van toepassing is op 'onderzoeks-, test- of ontwikkelingsactiviteiten' zolang het nog niet gaat om producten of diensten die op de markt zijn. Software maken om te zien wat er kan en dat vervolgens vrijelijk weggeven, zou dus geen probleem moeten zijn.
De Nederlandse tekst spreekt van gratis licenties, maar dat betekent natuurlijk een vrije licentie.
Er is een tussenvorm die nieuwe vragen oproept: opensourcesoftware. De Nederlandse tekst van de AI Act spreekt van 'gratis en opensourcelicenties', maar bedoelt natuurlijk vrije en opensourcelicenties. Want open source gaat niet over prijs, maar over vrijheid: de mogelijkheid hebben dat je verder gaat met andermans werk. Veel onderzoekers gebruiken open source als basis voor hun werk of publiceren hun eigen programmeerwerk onder een opensourcelicentie, zoals de GPL, Mozilla Public License, BSD- of MIT-licentie.
De AI Act worstelt hier met een dilemma. Enerzijds is open source een zeer innovatief en succesvol model voor het ontwikkelen van software. Anderzijds zijn er veel bedrijven die bergen geld verdienen rond open source. Het zou al te gemakkelijk zijn als die bedrijven zich onder de AI Act uit konden worstelen enkel omdat hun software open source is. Daarom bepaalt de wet (artikel 2 lid 12) dat open source is uitgezonderd, tenzij deze een hoogrisicoproduct vormt, een verboden praktijk realiseert of direct interacteert met eindgebruikers (artikel 50).
In de praktijk zal het verschil vooral moeten blijken uit de positionering van de partij die aangesproken wordt. Bijdragen aan een opensourcecommunity zal niet leiden tot verantwoordelijk gehouden worden voor een AI Act-schending. Een bedrijf dat dienstverlening levert boven op opensourcesoftware, moet zich wel aan de AI Act houden. De meest logische toets lijkt mij te zijn of wat de partij doet, uniek is voor open source of dat de partij 'gewoon' open source in plaats van een commerciële leverancier gebruikt.
Geografische scope
Nu kunnen we de geografische scope van de AI Act beter duiden. Artikel 2 werkt in lid 1 zeven situaties uit waarin een entiteit onder de AI Act valt. De kern is zoals gezegd of je producten (of diensten) op de markt brengt in de EU, ongeacht waar je zelf gevestigd bent. 'Op de markt brengen' vereist meer dan enkel toegankelijk zijn vanuit de EU. Dit principe kennen we van de AVG en uit het consumentenrecht: je moet je richten op de EU, bijvoorbeeld door betaling in euro's mogelijk te maken, expliciet te vermelden dat je in de hele EU levert of een helpdesk in vijf Europese talen aan te bieden.
:strip_exif()/i/2004354720.jpeg?f=imagenormal)
Er staat nog een bijzondere in: als de uitvoer van een AI wordt gebruikt in de EU, valt dat ook onder de AI Act. Dit is bedoeld tegen loopholes. Wanneer een leverancier of afnemer zelf buiten de EU gevestigd is, maar de uitvoer van de AI in de EU gebruikt wordt, dan is de AI Act alsnog van toepassing. Een Nederlands bedrijf zou klantdata naar een organisatie in India kunnen sturen om klantretentievoorspellingen ('churn') te doen en de resultaten gebruiken om gerichte marketing te doen. De AI wordt dan in India ingezet, maar omdat de uitvoer in de EU wordt gebruikt, vallen beide bedrijven onder de AI Act.
De risicoanalyse voor AI-systemen
Goed, we vallen onder de AI Act. Laten we even aannemen dat we geen gpai zijn, maar een ‘gewoon’ AI systeem met een specifiek doel, oftewel een use case in het jargon. Daarbij kunnen zich concretere risico’s voordoen, en dat is waar de AI Act op gericht is. De AI Act kent daarbij drie risiconiveaus: onacceptabel, hoog en laag.
Verboden AI
Een AI is onacceptabel als deze in strijd handelt met Europese fundamentele normen en waarden, en mag dan niet op de Europese markt worden ingezet. Een voorbeeld is predictive policing: AI laten voorspellen of iemand crimineel gedrag zal gaan vertonen. Maar ook emotieherkenning op de werkplek staat op de 'verboden' lijst van artikel 5. Dit is vanwege de grote kans op verkeerde uitkomsten en discriminatie.
Over biometrie is altijd veel discussie geweest.
Biometrie ligt complexer. Over dit onderwerp is veel politieke discussie geweest, omdat biometrische herkenning gekoppeld aan handelen door AI als zeer riskant wordt gezien. Zie bijvoorbeeld wat Bits of Freedom over dit onderwerp zegt. Uiteindelijk is er uitsluitend een strikt verbod opgenomen op biometrische analyse om bijzondere persoonsgegevens, zoals etnische afkomst, politieke voorkeur, religie of seksuele gerichtheid, te achterhalen. Er is ook een verbod op realtimebiometrie op afstand voor politiediensten, maar dat kan worden gepasseerd bij specifieke zoektochten naar vermiste personen of slachtoffers van mensenhandel, het handelen bij een directe bedreiging of het zoeken naar een verdachte van een ernstig misdrijf.
Laag en hoog risico
Tegenover de verboden AI staat de laagrisico-AI: denk aan chatbots bij webwinkels of simpele plaatjesgeneratoren. Deze moeten transparant zijn over hun status als AI en mogen niet betrokken zijn bij besluitvorming, maar krijgen verder geen verplichtingen. Nou ja, er is één verplichting: generatieve AI die 'synthetische' tekst, afbeeldingen, audio of video maakt, moet deze markeren:
Providers of AI systems, including gpai systems, generating synthetic audio, image, video or text content, shall ensure the outputs of the AI system are marked in a machinereadable format and detectable as artificially generated or manipulated.
Bij dergelijke markeringen moet je denken aan al dan niet zichtbare watermerken. Deze zijn nu nog niet echt in gebruik en het is de vraag hoe effectief dit werkelijk gaat zijn. Maar gezien de enorme vlucht die deepfakes en nepnieuws op basis van AI ondertussen genomen heeft, is dit zeker een stap in de goede richting.
De meeste eisen gaan gelden voor AI-systemen die een hoog risico vormen voor de gezondheid, veiligheid, grondrechten of het milieu. Zo moet duidelijk zijn waar de data vandaan komt waarmee de AI is getraind, is menselijk toezicht vereist en moet de technische documentatie op orde zijn. Het afhandelen van verzekeringsclaims, bepaalde medische hulpmiddelen en algoritmes die sollicitanten beoordelen zijn voorbeelden van hoogrisico-AI.
Bepaling hoogrisicostatus
De AI Act heeft meerdere manieren om te bepalen of een systeem een hoog risico heeft.
De AI Act kent een driestappentoets om te bepalen of een systeem hoog risico is. De eerste stap is de vraag of het systeem een veiligheidscomponent is van een bij de wet gereguleerd product. In een bijlage (bijlage I) van de AI Act staan alle betreffende richtlijnen en verordeningen genoemd. Een AI die bepaalt of de lift dicht moet, is bijvoorbeeld hierom hoog risico; liften zijn gereguleerd en de deur dicht doen is een veiligheidscomponent. Een leuk liedje kiezen voor de passagiers, is dan weer geen veiligheidscomponent.
Als de toepassing geen veiligheidscomponent is van zo’n gereguleerde technologie of gereguleerd product, komen we bij een ingewikkelde afweging: de risicolijst van bijlage III. Deze noemt acht categorieën en omschrijft daarbinnen een aantal specifieke toepassingen die als hoog risico worden gezien. De belangrijkste categorieën zijn de fysieke veiligheid van kritieke infrastructuur, toegang tot onderwijs, recruitment, toegang tot publieke diensten en verzekeringsrisicoassessments. Maar let op: niet alle inzet van AI in onderwijs is dus hoog risico; het gaat om de onder dit kopje genoemde specifieke toepassingen.
Toepassingen die niet op de lijst staan, zijn dus per definitie géén hoog risico, ook al zouden er enorme risico’s denkbaar zijn. De Europese Commissie mag toepassingen toevoegen aan de lijst, maar dat moet duidelijk gemotiveerd worden en gebeuren via een speciale procedure waarbij onder meer het raadplegen van vooraf geselecteerde AI-experts hoort.
Een paar voorbeelden van toepassingen die wel of niet hoog risico zijn:
-
Een AI screent essays van studenten die toegang willen tot een master voor excellente studenten. Dit valt onder toegang tot onderwijs, specifiek onder de toepassing 'determine access or admission or to assign natural persons to educational and vocational training institutions'. Daarom is de toepassing hoog risico.
-
Een AI screent essays van studenten op plagiaat. Hoewel dit onder toegang tot onderwijs valt, is deze specifieke toepassing binnen dat onderwerp niet genoemd en is dus geen hoog risico.
-
Een AI evalueert afval dat in een ondergrondse container wordt geplaatst en geeft boetes wanneer het afval in een andere container had gemoeten. Dit betreft weliswaar toegang tot publieke diensten, maar de specifieke toepassing is te beperkt geformuleerd. De tekst daarvan is immers: 'evaluate the eligibility of natural persons for essential public assistance benefits and services, including healthcare services, as well as to grant, reduce, revoke, or reclaim such benefits and services.' Hoewel afval een 'essential service' is, wordt deze dienst niet geweigerd.
Uitzonderingen
Valt een toepassing binnen een genoemd toepassingsgebied, dan is de toepassing in principe AI. Er zijn echter vier uitzonderingen toegevoegd, die maken dat een AI in zo’n risicogebied toch weer geen hoog risico bevat. Als aan een van deze vier voorwaarden is voldaan (de derde stap), dan is de AI kort gezegd slechts een randzaak en is het gerechtvaardigd dat deze buiten de zware regels valt.
De vier uitzonderingen zijn:
-
De AI voert slechts een beperkte, specifieke procedurele taak uit. Denk aan het structureren van een vragenlijst, het categoriseren van binnenkomende data of het herkennen van duplicaten bij inzendingen.
-
De AI verhoogt alleen de kwaliteit van het werk, zoals door aantekeningen op te werken tot een formele brief, vergelijkbare gevallen aan te dragen of de leesbaarheid te verbeteren.
-
De AI detecteert afwijkingen van gebruikelijke 'beslispatronen', zoals het signaleren dat in dit soort zaken meestal A wordt besloten en dat nu ineens B gekozen is, waarna de mens een dubbelcheck kan uitvoeren.
-
De AI verricht alleen een voorbereidende taak, zoals procesbegeleiding bij een intake, het analyseren of opschonen van teksten, het vertalen van invoer, suggesties toevoegen of de kwaliteit van invoer controleren. Ook een AI die tekstsuggesties doet bij het schrijven van een beslissing, valt binnen deze uitzondering.
Hierbij moet dan nog worden opgemerkt dat wanneer je AI-systeem een vorm van profileren van mensen toepast, je je niet op deze uitzonderingen mag beroepen. De Europese Commissie heeft de taak gekregen om een lijst met voorbeelden te maken van AI-systemen die wel of niet een hoog risico zijn en de reden(en) waarom dat het geval is. Ik wacht dat vooralsnog niet af.
Verplichtingen voor hoogrisico-AI
De AI Act benoemt in Afdeling 2 acht aspecten waar hoogrisicosystemen aan moeten voldoen:
-
Artikel 8: Raamwerk voor compliance
-
Artikel 9: Systeem voor risicobeheer
-
Artikel 10: Privacy en data governance
-
Artikel 11: Documentatie
-
Artikel 12: Registratie en logging
-
Artikel 13: Transparantie naar gebruikers toe
-
Artikel 14: Menselijk toezicht
-
Artikel 15: Betrouwbaarheid en veiligheid
Ik licht er een even uit: datagovernance. Veel zorgen over AI gaan over het onderwerp 'bias' of vooringenomenheid, waarbij AI-systemen besluiten nemen over mensen of handelen tegen mensen waarbij onderscheid wordt gemaakt op ongepaste kenmerken zoals etnische afkomst. Maar er kunnen zich veel meer dingen voordoen die te herleiden zijn tot problemen met de data waarmee AI-systemen worden getraind.
Datasets voor training, validatie en tests op hoogrisico-AI moeten voldoen aan bepaalde kwaliteitscriteria, aldus artikel 10. De wet kent geen harde testcriteria, maar houdt het bij 'stroken met het beoogde doel van het AI-systeem met een hoog risico'. Specifieker: je data moet 'voldoende representatief, en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde doel' zijn, en bovendien de 'passende statistische kenmerken' hebben. Er zijn helaas nog geen keurmerken waarmee je snel kunt zien of een openbare dataset hieraan voldoet.
:strip_exif()/i/2006334900.jpeg?f=imagenormal)
Het opsporen van bias is een lastige, omdat de AVG verwerking van de hiervoor benodigde bijzondere persoonsgegevens verbiedt. De AI Act doet iets bijzonders: die schept een rechtsgrond om dat wél te mogen doen, mits strikt noodzakelijk om opsporing en correctie van bias te waarborgen. De hoogste waarborgen tegen misbruik zijn dan nodig en er moet aangetoond worden dat er geen andere optie is.
De risico’s van algemeen inzetbare AI
De bovenstaande analyse is bedoeld voor systemen met een specifiek doel. AI voor algemene doeleinden, aangeduid als general-purpose AI, ofwel gpai, heeft dat niet en wordt dus apart geregeld. Van gpai is sprake bij 'een AI-model dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren'. Wie nu denkt dat dat een tikje vaag klinkt: klopt.
Bekende gpai's zijn de grote taalmodellen zoals GPT-4 (van OpenAI) en BERT (van Google), maar ook beeldgeneratiesystemen zoals DALL-E (wederom OpenAI) en Stable Diffusion (de technologie achter Midjourney) voldoen aan deze definitie. De stormachtige opkomst van vooral de AI-systemen ChatGPT en Midjourney heeft ervoor gezorgd dat hier een aparte sectie in de AI Act voor ingericht werd. Dat gaf dan weer heftige onderhandelingen, omdat ook de Europese markt de nodige gpai-providers kent, zoals het Franse Mistral dat naar verluidt zware druk op haar regering zou hebben uitgeoefend om deze sectie af te zwakken. Vervolgens sprongen ze met Microsoft in bed, maar dat is weer een ander verhaal.
:strip_exif()/i/2006182076.jpeg?f=imagenormal)
De AI Act kent een apart hoofdstuk voor gpai. De basisregels zijn kort en simpel: transparant zijn, synthetische uitvoer voorzien van markering (een onzichtbaar en niet te slopen watermerk) en een trits aan technische documentatie verschaffen waaronder een overzicht van de brondata; auteursrechthebbenden lopen zich al warm. De meeste van deze verplichtingen gelden overigens dan weer niet als je gpai open source is, inclusief de trainingsparameters.
Extra regels gaan gelden als je gpai 'systeemrisico's' kent. Dit is het geval als het systeem een cumulatieve hoeveelheid rekenkracht gebruikt voor zijn training, gemeten in floatingpointoperaties, ofwel flops, die groter is dan 1025. De huidige top van gpai zit rond de 1024 flops, zodat er momenteel geen gpai's zijn die daadwerkelijk als systeemrisico worden aangemerkt. De Commissie heeft echter de bevoegdheid om ook los van de hoeveelheid flops een gpai als systeemrisico aan te merken, als zij daarbij bepaalde criteria gebruikt. Dit is een van de manieren waarop de weerstand uit de AI-industrie is meegenomen: die criteria moeten nader worden uitgewerkt en daarbij zal inspraak uit diezelfde industrie zwaar wegen.
Maar wat zijn dan 'systemische risico’s of systeemrisico's? Kort gezegd komt het neer op grootschalige verstoringen of schade aan basisprocessen of -behoeftes uit de maatschappij. Een autonome auto die bij winterweer massaal botst omdat de AI niet om kan gaan met sneeuw, zou een voorbeeld zijn, maar ook AI die eenvoudig ingezet kan worden om verkiezingen te manipuleren of onherkenbare fake news kan genereren kan als dergelijke risicocategorie worden aangemerkt. Een systeem dat als zodanig aangemerkt is, mag op de markt blijven, maar zal door de EU van duidelijke waarschuwingen worden voorzien.
Wanneer wordt de AI Act van kracht?
Wanneer de AI Act van kracht wordt, is nog niet zo simpel te zeggen.
Dan moeten we nog even kijken naar het tijdspad van inwerkingtreding. Dit is nogal complex. De hoofdregel is simpel: 20 dagen nadat de wet in het Official Journal van de EU is gepubliceerd, wordt deze van kracht. Het streven is om ergens in mei dit jaar die publicatie te doen. Daarna treden de diverse bepalingen getrapt in werking. Het verbod op de onacceptabele AI zal zes maanden later, oftewel in oktober, van kracht worden, en dergelijke systemen moeten dus dan van de markt zijn.
Over een jaar moeten de zogeheten notifying authorities aangewezen zijn, die de conformiteitsassessment van hoogrisico-AI gaan uitvoeren. Deze moeten dan ook de procedures klaar hebben om dergelijke AI, die meestal in producten met een CE-logo zit, te kunnen evalueren, dus dat wordt nog krap. Ook gaan over een jaar de regels voor gpai gelden, omdat ontwikkelaars van AI-systemen vaak rekenen op gpai als basis en dus moeten weten welke zij kunnen bouwen.
Over twee jaar wordt vrijwel de gehele AI Act van kracht. De opmerkelijkste uitzondering is artikel 6 lid 1; dit zijn AI-systemen die een hoog risico zijn omdat ze een veiligheidstoepassing zijn van een gereguleerd product (stap 1 uit de driestappentoets hierboven). De fabrikanten hiervan hebben meer tijd nodig en krijgen van de wetgever een jaar extra. En nog later (2031!) moeten bepaalde genoemde legacysystemen van de overheid, zoals voor grensbewaking, eindelijk aan de AI Act voldoen.
Regulering van innovatie
Als laatste onderwerp rest nog de vraag waarom. Was het echt nodig om met zo’n reeks regels te komen om iets nieuws aan banden te leggen? Dat regels innovatie hinderen, is een vrij algemeen bekend principe. Tegelijkertijd hebben we in de ict-sector vaak genoeg gezien dat ongebreidelde innovatie ook veel dingen stukmaakt, en niet alleen de vervelende. We hebben enorme techmonopolies, het open en vrije internet is verworden tot één grote privacyslurpende reclamezuil en het idee van wetten en regels is vervangen door bergen terms of service die niemand leest en waaraan niemand zich houdt. Misschien is het dan juist goed om de laatste stap op dit gebied met iets meer toezicht te laten gebeuren?
:fill(white):strip_exif()/i/2007543392.jpeg?f=fpa)
:strip_exif()/i/2004961570.jpeg?f=fpa)
/i/2005822240.png?f=fpa)
:strip_exif()/i/1124638889.jpg?f=fpa)
:strip_exif()/i/2005682890.jpeg?f=fpa)
:strip_exif()/i/2005763776.jpeg?f=fpa)
:strip_exif()/i/2005545080.jpeg?f=fpa)
:strip_icc():strip_exif()/u/92809/crop577f58c1b8795.jpeg?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/63255/crop62861790abf81_cropped.jpg?f=community){kind=small}
/u/142011/crop65b383c6c6c2f_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/52218/euxn3oDw.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/14/wildhagen60x60.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/19522/crop6124d729ee8a5_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/239451/crop6347e9fb6897f_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/288493/dce%2520strontkop%2520avatar-60x60.jpg?f=community){kind=avatar}
