VAST is een online uitgave van M.A.D.Lex. | 1 februari 2024

De aanstaande EU-verordening voor kunstmatige intelligentie (AI Act) vormt een belangrijke stap in het adresseren van de mogelijke risico’s die met AI gepaard gaan. Kritiek op de AI Act is echter dat deze mogelijk innovatie in de weg staat, door de verregaande verplichtingen voor aanbieders (ontwikkelaars) en gebruikers van AI-systemen. In dit blog staat Emelie Wesselink, advocaat bij HVG Law, stil bij de belangrijkste verplichtingen van de AI Act. Bernadette Wesdorp, Responsible AI Leader bij EY FSO Technology Consulting, licht toe hoe deze regelgeving, mits juist geïmplementeerd door middel van een solide governance, innovatie niet hoeft te belemmeren.

 

Belangrijkste verplichtingen
De AI Act kent een risicogebaseerde aanpak (zie ook VAST 2023 / B-054), waarin onderscheid wordt gemaakt tussen verboden AI-systemen, systemen met een hoog risico, systemen met een bepaald risico (‘certain risk’) en algemene AI-systemen (‘general-purpose AI’). De strengste verplichtingen zullen zien op hoogrisicosystemen, voor overige AI-systemen zullen voornamelijk transparantieverplichtingen gaan gelden. Of bepaalde verplichtingen voor hoogrisicosystemen van toepassing zijn op een organisatie hangt af van haar rol; aanbieder (ontwikkelaar) of gebruiker. Voor aanbieders gaan onder meer de volgende verplichtingen gelden:

• het uitvoeren van conformiteitsbeoordelingen om aan te tonen dat onderstaande aspecten voldoende zijn gewaarborgd:
  – datakwaliteit
  – documentatie
  – traceerbaarheid
  – transparantie
  – menselijk toezicht
  – cybersecurity en robuustheid
• het implementeren van een kwaliteits- en risicobeheerssysteem, zodat wordt gewaarborgd dat AI-systemen gedurende hun hele levenscyclus aan de eisen van de AI Act blijven voldoen.

Gebruikers van hoogrisico-AI-systemen moeten er voornamelijk voor zorgen dat:

– zij het AI-systeem gebruiken in overeenstemming met de instructies van de aanbieder;
menselijk toezicht inregelen en waarborgen dat deze personen voldoende kennis, autoriteit en support hebben.
– een fundamental rights impact assessment wordt uitgevoerd, wat neerkomt op een beoordeling van de werking van het AI-systeem in de specifieke context waarbinnen het systeem zal worden ingezet. In dit assessment moet onder andere worden beschreven wat de risico’s voor de fundamentele rechten en vrijheden voor de relevante individuen zijn, evenals hoe deze worden gemitigeerd.

 

Verantwoordelijke AI en governance
Governance is het geheel van processen dat binnen organisaties waarborgt dat bepaalde doelstellingen efficiënt en verantwoord worden bereikt. De AI Act stelt geen specifieke eisen aan de implementatie van een specifieke governance-structuur omtrent de ontwikkeling en het gebruik van AI.

Uit de praktijk blijkt dat een dergelijke structuur echter wel essentieel is voor een verantwoorde implementatie van AI binnen een organisatie. Bij die implementatie is namelijk de betrokkenheid van diverse expertises essentieel, waaronder compliance, ethiek, data-engineering, softwareontwikkeling, juridische kennis en inkoop. Ook dient het bestuur voldoende aangehaakt te zijn, omdat er forse risico’s uit het gebruik van AI kunnen volgen. Het is van belang dat al deze expertises worden meegenomen voordat wordt besloten om AI in te zetten of te ontwikkelen. Dit kan leiden tot de volgende voordelen.

• Er wordt vooraf nagedacht over hoe AI verantwoord kan worden ingezet, waardoor deze eisen worden meegenomen tijdens de ontwikkeling van een AI-systeem. Hierdoor hoeft niet achteraf een systeem op allerlei functies te worden aangepast, wat kan leiden tot het remmen of zelfs tegenhouden van innovatie.
• Binnen de organisatie kan met voldoende kennis worden besloten op welke wijze AI waarde kan toevoegen aan bestaande en nieuwe processen; samen brainstormen of de inzet daadwerkelijk nodig is om een bepaald probleem op te lossen.
• Voldoende onderbouwing en kennis om te bepalen of een organisatie AI zelf wil ontwikkelen of inkopen. Deze twee opties komen namelijk met specifieke risico’s en implicaties.
• Het voldoende kunnen identificeren, beoordelen en beheersen van risico’s, zoals bias in algoritmen, privacyproblemen of veiligheidsrisico’s. Deze risico’s worden vanuit meerdere invalshoeken geïdentificeerd waardoor een completer beeld ontstaat.
• Het goed vastleggen van duidelijke rolverdelingen en verantwoordelijkheden binnen en tussen teams, waarborgt dat de gehele organisatie met elkaar (blijft) communiceren.
• AI kan ethische dilemma’s met zich meebrengen, zoals discriminatie of inbreuk op privacy. Een solide governance zorgt ervoor dat AI-technologie op een ethisch verantwoorde manier wordt gebruikt, in overeenstemming met maatschappelijke normen en waarden.
• Er kan worden gewaarborgd dat de inzet van AI in lijn is met de bredere strategische doelen en waarden van de organisatie, bijvoorbeeld ten aanzien van het afstemmen van AI-initiatieven op bedrijfsdoelstellingen en -cultuur.

 

Kortom: governance rondom de inzet van AI helpt organisaties om op een verantwoorde, veilige, en effectieve manier van de voordelen van AI te profiteren, terwijl risico’s en negatieve gevolgen worden geminimaliseerd. Een sterke governance helpt zowel bij het naleven van de AI Act als bij de verantwoorde inzet van AI. Een effectieve governance waarborgt onder andere dat de juiste personen goed op elkaar zijn afgestemd, er voldoende toezicht is op nieuwe AI-initiatieven, en dat de organisatie in elke fase van de AI-levenscyclus aantoonbaar aandacht besteed aan de vereisten van verantwoorde AI.

 

Nu actie ondernemen
Op 2 februari 2024 vindt een belangrijke stemming plaats over de AI Act door het Comité van de Raad van de EU. Indien dit Comité voor de AI Act stemt, is de kans groot dat deze rond het eind van eerste kwartaal in werking treedt. Het al dan niet inzetten van AI is een onderwerp waar veel organisaties zich op dit moment mee bezighouden. Het is daarom een goed idee om nu een goede governance te implementeren. Indien men hiermee te lang wacht, leert de praktijk dat er al bepaalde, mogelijk onwenselijke patronen zijn ingeslopen. Denk hierbij aan de ontwikkeling van AI zonder het betrekken van een privacy officer om privacyoverwegingen mee te nemen.