De inhoud van de AI Act werd afgelopen week officieel vastgelegd. De overeenkomst moet meer concreet aangeven welke AI binnen de EU is toegelaten en op welke wijze. Er komen verplichtingen die nog weinig gedetailleerd zijn, al is het wel duidelijk dat AI-ontwikkelaars zoals Google en OpenAI geen auteursrechten mogen schenden.
De overeenkomst over de inhoud van de AI Act werd aangekondigd met de woorden die we rondom de wetgeving al vaak genoeg hoorden. “De AI-wet van de EU is het allereerste alomvattende wettelijke kader voor kunstmatige intelligentie wereldwijd”, sprak Ursula von der Leyen, Voorzitter van de Europese Commissie. Dat zegt weinig over de inhoud van dit kader, hoewel dat net de meest relevante zaak is.
Criteria: impact en risico
De wetgeving waaraan AI moet voldoen, is afhankelijk van twee zaken. Enerzijds is dit afhankelijk van het potentiële risico aan het gebruik van de technologie. Anderzijds wordt de zwaarte van de regels bepaald aan de hand van de impact die de technologie draagt. Hoewel beide criteria belangrijk zijn, is er geen eenduidige manier om het risico en de impact van AI te bepalen. De wetgevers hebben de denkoefening voor de systemen met een hoog risico alvast gemaakt. Daarin vallen systemen die de banken- en verzekeringssector dienen, net als systemen die de verkiezingsuitslagen kunnen beïnvloeden. Deze systemen worden opgelegd een risico-beoordeling uit te voeren. De exacte inhoud van de risico-beoordeling deelt de verklaring over de overeenkomst nog niet mee.
AI-systemen die een algemeen doel dienen en zich niet richten op een specifieke groep gebruikers (general-purpose AI ofwel GPAI), krijgen een eigen set van regels. Hier kijken de wetgevers dus toch naar de technologie en laten de wetgevers de criteria weer links liggen. Deze algemene modellen tonen ook de zwaktes van de criteria die zijn vooropgesteld. Voor de meesten zal een algemene AI-tool worden gebruikt voor iets onschuldigs, zoals het maken van een samenvatting of het opstellen van een e-mail. Andere gebruikers gaan misschien net met de tools aan de slag om persoonlijke gegevens van mensen op te zoeken of om malware te creëren. De tools daarom standaard indelen bij ‘hoog risico’ kan dan weer veel discussies met de ontwikkelaars van deze AI-tools uitlokken.
Lees ook: Lobbyen OpenAI, Microsoft en Google zich onder de AI Act uit?
Trainingsdata bekend, beter omgaan met auteursrechten
Specifiek moet deze technologie voldoen aan een transparantiebeleid, dat de makers verplicht technische documentatie op te stellen, de Europese wetgeving omtrent auteursrechten na te leven en een samenvatting te schrijven over de trainingsdata. Al merken we ook op dat er nog veel mogelijkheden zijn over hoe diepgaand of uitgebreid deze zaken zijn.
Algemene modellen met een systemisch risico krijgen extra regels voor de kiezen. Zo komen er extra testen bij voor het evalueren van de risico’s, is er een verplichting om ‘ernstige incidenten’ te melden. Opvallend is dat het bij deze modellen ook plots nodig is om verslag uit te brengen over de energie-efficiëntie, terwijl de duurzaamheid van minder risicovolle modellen er blijkbaar niet toe doet.
Het transparantiebeleid blijft in dezelfde vorm als het Parlement eerder al opzette. Het Parlement beantwoordde eerder al welke wijzigingen de wetgeving voor ChatGPT en diens bedenker OpenAI zouden betekenen. OpenAI zal namelijk transparant moeten aangeven aan de EU welke datasets zij gebruikten in de training van het taalmodel en welke daarvan auteursrechtelijk beschermd zijn. Verder moet de EU op de hoogte worden gebracht van de manier waarop het AI-product werkt.
Duidelijke labels vallen weg
In de uiteindelijke overeenkomst merken we op dat de focus van de wet naar de productie van het AI-systeem is verschoven. Eerdere regels omtrent het markeren van AI-inhoud zien we niet meer terug. Online inhoud afkomstig van een AI-tool blijft daardoor lastig te herkennen.
Alle AI-systemen worden wel nog ingedeeld in verschillende categorieën: minimaal risico, beperkt risico, hoog risico en onaanvaardbaar risico. De wetgevers stelden een lijst op van systemen die verboden worden, zij zouden dus het label van ‘onaanvaardbaar risico’ dragen. Het verbod geldt onder andere voor biometrische identificatie en vormen van scraping waarin foto’s van personen worden verzameld. Er zijn echter wel scenario’s overeengekomen waarin landen het gebruik van biometrische identificatie wel mogen inzetten. De categorie ‘minimaal risico’ is het dichtbevolkst, hierin zitten bijvoorbeeld spamfilters die kwaadaardige e-mails eruit filteren.
Geldboetes tot 35 miljoen euro
Aan overtredingen op de wetgeving zitten ondanks de protesten van Duitsland, Frankrijk en Italië, toch geldboetes vast. Deze drie Europese grootmachten hoopten er eerder door te kunnen drukken dat de AI Act een set van vrijwillige regels werd. Dat blijkt niet gelukt. Aan de AI Act hangen geldboetes tussen de 7,5 miljoen en 35 miljoen euro. Het exacte bedrag is afhankelijk van de ernst van de overtreding en de jaarlijkse omzet van de AI-producent.
Het plotse verzet van deze landen was het resultaat van een beschermende houding tegenover AI-start-ups in eigen land. Het compromis om deze bedrijven te beschermen is de mogelijkheid om ‘regulatory sandboxes’ en ‘real-world-tests’ op te zetten. Zo kunnen kleinere bedrijven op een veilige manier de regels uittesten, zonder dat ze een groot deel van hun inkomsten onmiddellijk op het spel zetten.
Volgens het Europees Parlement bevat de wetgeving ‘alomvattende regels’. Gezien de algemeenheid van de criteria en verplichtingen, kunnen we ons inderdaad vinden in die stelling. Gezien het snel evoluerende karakter van de technologie en het AI-veld, zijn brede begrippen wel nodig. Anders kan de wetgeving bij de publicatie alweer achterlopen op de realiteit.
18 uur geleden
Expert bijdrage
