Artificiële intelligentie (AI) roept bij veel mensen doemscenario’s op van eindeloze oorlogen tussen mens en machine. Arnold Schwarzenegger (Terminator) en Keanu Reeves (The Matrix) zijn er beroemd mee geworden. Zelfstandig denkende en moordende machines zijn nu nog verre toekomstmuziek (hoop ik!), maar zonder dat we het veelal beseffen, maken we in het dagelijks leven al veel gebruik van AI-toepassingen.
Wat is artificiële intelligentie?
In essentie gaat het bij AI om de zelflerende capaciteiten van computersystemen. Dit kan betekenen dat het systeem zonder menselijke tussenkomst een beslissing neemt of – minder vergaand – voorstelt. Hoe het AI-systeem precies tot die beslissing is gekomen, is vaak moeilijk te achterhalen. De huidige AI-systemen excelleren vooral in patroonherkenning. Vriendenzoekers op sociale netwerken, tickets zoeken, aanbevelingsalgoritmes van streamingdiensten en gezichts- en spraakherkenning, het maakt allemaal gebruikt van AI.
Het gaat echter niet altijd goed. Nog niet zo lang geleden was software voor spraakherkenning weinig bruikbaar: de door computer uitgewerkte teksten barst(t)en van de fouten. Andere bekende AI-missers zijn bijvoorbeeld foto’s die niet goed herkend worden. Zo lang een object niet (goed) herkend wordt, is dat nog niet zo problematisch. Dat wordt het pas als zelfrijdende auto’s normaal worden. Denk ook aan de algoritmes van de Belastingdienst die een belangrijke rol hebben gespeeld in de Toeslagenaffaire. Ernstig en bijzonder pijnlijk is het wanneer de zelfrijdende auto’s objecten niet herkennen of als een chatbot zich binnen 24 uur ontpopt tot een seksistische neonazi.
Inmiddels is duidelijk dat AI-systemen behoorlijke risico’s kunnen opleveren voor de gezondheid, veiligheid of grondrechten van personen. Bovendien blijkt dat AI een belangrijk ethische component heeft: de (onbewuste) vooroordelen en de daarop gebaseerde beslissingen van ontwikkelaars, alsook de samenstelling van datasets kunnen tot allerlei problemen leiden[1].
Voorstel regulering AI
Een paar jaar geleden was niet AI maar (het gerelateerde) big data de hype van de dag. Deze ontwikkeling bracht een vergrote aandacht voor de gevolgen van IT voor de privacy met zich mee. Uiteindelijk resulteerde dit in 2018 in de “General Data Protection Regulation” (GDPR, ofwel de Algemene Verordening Gegevensbescherming: AVG ), de eerste wetgevende wereldhit van de Europese Unie.
Hoewel vooral Amerikaanse Big Tech bedrijven de AVG als een volstrekt drama presenteerden, is de GDPR/AVG een richtinggevend stuk wetgeving gebleken. Zelfs in het “land of the free and home of the brave” heeft de AVG navolging gekregen: de California Consumer Privacy Act is duidelijk sterk beïnvloed door de GDPR/AVG. In april 2021 presenteerde de Europese Commissie (hierna: EC) een voorstel voor mogelijk een tweede wetgevende wereldhit met de vreselijke titel “Proposal for a Regulation laying down harmonised rules on artificial intelligence”.
Risiconiveaus AI
De EC wil het vertrouwen in het gebruik van AI bevorderen, maar tegelijkertijd de risico’s die daar mogelijk mee gepaard gaan, beperken. De veiligheid en grondrechten van mensen en bedrijven staan voorop en moeten worden gewaarborgd. Het voorstel gebruikt een risico-gebaseerde aanpak en onderscheidt vier risiconiveaus van AI:
- Onaanvaardbaar risico: dit zijn AI-systemen die een evidente bedreiging vormen voor de veiligheid, gezondheid, bestaansmiddelen of grondrechten van mensen. Deze systemen kunnen – vaak ongemerkt – menselijk gedrag manipuleren, wat dan weer kan leiden tot fysieke of zelfs psychische schade. Het beruchtste voorbeeld is het Chinese sociaal kredietsysteem. Dit soort systemen worden in het voorstel verboden.
- Hoog risico: dit gaat om AI die bijvoorbeeld gebruikt wordt in kritieke infrastructuur, onderwijs, werkgelegenheid & personeelsbeheer, in door robotica geassisteerde chirurgie of essentiële overheidsdiensten zoals politie en justitie. De daaraan verbonden risico’s kunnen groot zijn. Het voorstel behandelt uitgebreid de verplichtingen voor “hoog risico AI-systemen”. Hiervoor zullen conformiteitsverplichtingen komen die bijvoorbeeld gericht zijn op documentatie en automatische logging, risicomanagement en veiligheid (waaronder cybersecurity!), menselijk toezicht en transparantie en informatieverstrekking voor de gebruikers van dit soort AI-systemen.
- Beperkt risico: uit het voorstel blijkt dat de EC hier vooral denkt aan chatbots en dergelijke systemen. Het risico voor gebruikers van dit soort systemen is betrekkelijk laag, maar een gebruiker moet zich er wel van bewust zijn dat deze in “gesprek” is met een (zelflerende) machine. Alleen zo kan de gebruiker een weloverwogen beslissing nemen om het gesprek voort te zetten of af te breken.
- Minimaal risico: hieronder valt volgens de EC de meeste AI, zoals de aanbevelingsalgoritmes van streamingdiensten, de AI die in videogames wordt gebuikt, maar ook bijvoorbeeld spamfilters voor e-maildiensten.
Regulerend kader voor AI
Het voorstel biedt dus een regulerend kader voor AI-systemen: per risicocategorie verschillen de voorschriften. Hoe groter het risico, hoe strenger de regels. De ontwikkelaars van AI-systemen zullen er voor moeten zorgen dat hun systemen aan de relevante eisen voldoen. Voor hoog risico AI zal zelfs gelden dat een AI-systeem alleen dan op de markt mag worden gebracht, als de ontwikkelaar een conformiteitsbeoordeling heeft laten uitvoeren. Sommige verplichtingen blijven zelfs gelden ook nadat een systeem in de handel is gebracht.
Op dit moment is het natuurlijk nog slechts een voorstel. Het zal echter duidelijk zijn dat iedere ontwikkelaar die op enige wijze een vorm van AI in zijn product of dienst verwerkt, met de verplichtingen uit dit voorstel rekening zal moeten houden.
Wat niet, of in ieder geval minder duidelijk in het voorstel uit de verf komt, is hoe de aansprakelijkheid bij gebruik van een AI-systeem zal worden geregeld. Wie is er aansprakelijk als een AI-systeem een beslissing heeft genomen die schade heeft veroorzaakt? Is dat de gebruiker van het systeem? De ontwikkelaar? In een volgend artikel zal ik op dit aspect terugkomen.