Habemus ordinationem: de AI-verordening is een feit!

Leestijd: 4 minuten

Vrijdag 8 december steeg er witte rook op uit Brussel: na 36 uur onderhandelen hebben het Europees Parlement (EP) en de Raad van Ministers (lees: de lidstaten) een compromis bereikt over de inhoud van de AI-verordening. Of dat zou lukken was zeker geen gegeven, maar de druk was groot om tot overeenstemming te komen. Volgend jaar vinden er namelijk verkiezingen van het EP plaats, gevolgd door de benoeming van een nieuwe Europese Commissie. Als de onderhandelingen daarom dit jaar niet tot een goed einde zouden worden gebracht, zou de totstandkoming van de AI-verordening waarschijnlijk zeker een jaar vertraging hebben opgelopen.

Laatste discussiepunten: realtime gezichtsherkenning en foundation models

Voor de slotonderhandelingen stonden nog twee belangrijke punten open waarover EP en lidstaten het met elkaar eens moesten worden: het EP wilde graag een totaalverbod op realtime gezichtsherkenning, terwijl de lidstaten nog enige speelruimte wilden hebben. En mogelijk nog belangrijker: in november voerden Duitsland, Frankrijk en Italië aan dat zogenaamde foundation models slechts een verplichting tot zelfregulering mochten krijgen, terwijl het EP deze als hoogrisicomodellen wilde bestempelen.

Waarom een AI-verordening?

De ontwikkeling van AI, begonnen in de jaren ’50 van de vorige eeuw, heeft de afgelopen jaren een ongekende vlucht genomen, mede ingegeven door de enorme groei van rekenkracht en opslagcapaciteit van data. Dit biedt grote kansen, maar ook grote risico’s voor mens en maatschappij. De reeks voorbeelden van situaties waarin de inzet van AI tot ongewenste resultaten heeft geleid, is nagenoeg eindeloos. Om de risico’s te beteugelen en een verantwoorde inzet van AI te bevorderen, heeft de Europese Commissie in 2021 een voorstel gedaan om de ontwikkeling en het gebruik van AI te reguleren.

Het resultaat: 4 risicocategorieën

Conform het voorstel van de Europese Commissie maakt de AI-verordening in spe onderscheid tussen vier risicocategorieën:

1. Onaanvaardbaar risico:
   Dit zijn modellen die een dusdanig hoog risicoprofiel hebben, dat die onder alle omstandigheden verboden zijn. Hieronder vallen onder meer social-scoring-systemen, emotieherkenning in het onderwijs en op het werk, het ongericht en op grote schaal scrapen van foto’s van gezichten en modellen die bedoeld zijn om gedrag te manipuleren.
2. Hoog risico:
   Voor deze modellen gelden strenge vereisten, verdeeld over de ontwikkelaars van deze modellen, en degenen die ze bedrijfsmatig inzetten. Denk bijvoorbeeld aan realtime gezichtsherkenning (zeer beperkt toegestaan voor de opsporing van bepaalde, zware misdrijven), toepassingen in kritieke infrastructuren, essentiële publieke en private diensten, in de rechtspraak en in het kader van democratische processen.
3. Beperkt risico:
   AI-toepassingen die interacteren met mensen, zoals chatbots.
4. Minimaal risico:
   Toepassingen die (nagenoeg) geen risico opleveren, zoals AI-toepassingen die onderdeel zijn van videogames en spamfilters.

Het nadeel van deze ‘horizontal layer’-benadering is dat het een alles-of-niets-aanpak is: ofwel er gelden zeer strikte eisen (voor hoog-risicomodellen), of bijna geen. Aangezien iedere AI-toepassing zijn eigen risicoprofiel heeft, is het te verwachten dat er behoefte zal ontstaan aan de nodige nuance. Dus ook voor modellen die worden geacht een beperkt of minimaal risico te hebben, is het van belang stil te staan bij een verantwoorde implementatie.

Eisen aan hoog-risicomodellen

Alhoewel de definitieve tekst nog niet bekend is, geeft het oorspronkelijke voorstel van de Europese Commissie een goede indruk van de eisen die zullen gelden voor hoog-risicomodellen. Enkele voorbeelden van te verwachten vereisten zijn (afhankelijk van of je ontwikkelaar of gebruiker bent van AI-modellen):

• het operationeel hebben van een kwaliteitsmanagementsysteem ten aanzien van de betrokken modellen;
• het bijhouden van technische documentatie;
• het uitvoeren van impact assessments op mensenrechten;
• het uitvoeren van conformiteitsbeoordelingen;
• ervoor zorgen dat de inputdata van voldoende kwaliteit is;
• verhoogde eisen ten aanzien van transparantie.

Specifieke vereisten voor foundation models

Foundation models zijn modellen die zijn ontwikkeld voor een grote verscheidenheid aan taken en als basis kunnen dienen voor een groot scala aan (al dan niet hoog-risico) AI-toepassingen. Enkele voorbeelden zijn large language modellen als GPT, Gemini en LLama. Voor deze modellen gelden specifieke vereisten op het gebied van transparantie, met aanvullende regels voor ‘high-impact’ foundation models. Dat zijn modellen die zijn getraind op grote hoeveelheden data en waarvoor zeer veel rekenkracht nodig is.

Hoe verder?

De uitonderhandelde tekst moet nu nog formeel worden aangenomen door zowel het EP als de Raad van Ministers. De verwachting is dat dit binnen enkele maanden zal gebeuren, zodat de AI-verordening in de eerste helft van 2024 in werking treedt. Voor de meeste bepalingen zal vervolgens een implementatietermijn van twee jaar gelden, zodat de verordening in zijn geheel begin 2026 van kracht wordt. Ervaring met andere (Europese) wetgeving leert bovendien dat details nog uitgewerkt moeten worden en het opbouwen van jurisprudentie nog enige tijd zal vergen. Ook zullen – net als bij de AVG – de nationale toezichthouders tijd nodig hebben om interpretaties met elkaar af te stemmen.

In de tussentijd moet ieder specifiek model worden ondergebracht onder een van de vier risicocategorieën. Dit zal ongetwijfeld veel discussie losmaken, omdat aanbieders en gebruikers van modellen er baat bij hebben om een zo laag mogelijke risicokwalificatie toe te passen. Maar zoals gezegd: zelfs voor modellen die een ‘beperkt’ risico in zich dragen, doe je er goed aan om stil te staan bij de vraag hoe je jouw model op een verantwoorde manier kunt inzetten.

Wat betekent de AI-verordening voor jouw organisatie?

Het ziet er naar uit dat de AI-verordening medio 2024 definitief wordt aangenomen. Als jouw organisatie gebruikmaakt van AI (zoals voorspelmodellen, foundation of large language models) dien je in 2026 te voldoen aan de eisen die de verordening stelt. Dit lijkt nog ver weg, maar de ervaring leert dat het voldoen aan nieuwe wetgeving vraagt om adequaat handelen. Het voorbereiden van de organisatie door AI-toepassingen te inventariseren en de vereiste waarborgen aan te brengen is erg tijdrovend. Het is belangrijk om als directie te beseffen dat dit een veranderproces is dat niet 1, 2, 3 is doorgevoerd. Wil je hier meer over weten of eens van gedachten wisselen, neem dan gerust contact met me op.