Europese AI-verordening: veel procedurele en inhoudelijke eisen

22/03/22

Investeer in ethisch gebruik van gegevens en privacy

De Europese Commissie publiceerde onlangs het concept van de Europese verordening op de artificiële intelligentie (AI). Deze verordening classificeert de verschillende AI-systemen in vier risicocategorieën, waarbij systemen die onder een hoger risiconiveau vallen aan meer waarborgen moeten voldoen. Voor kleine(re) ondernemingen kunnen de gevolgen onevenredig zwaar zijn door de aanzienlijke hoeveelheid vereisten en de bijbehorende nalevingskosten tot wel 160.000 euro.

‘De voorgestelde Europese AI-verordening creëert veel procedurele en inhoudelijke eisen voor iedereen die betrokken is bij (risicovolle) AI-systemen’, stellen PwC-experts cybersecurity en dataprotectie Bram van Tiel en Yvette van Gemerden. ‘Start op tijd met het aanpassingsproces en houd bij toekomstige bedrijfsbeslissingen rekening met de aankomende AI-verordening. Investeer in het ethisch gebruik van gegevens en privacy.’

Kunstmatige intelligentie: vier risiconiveaus

Kunstmatige intelligentie is als een machine die het besluitvormings- en probleemoplossend vermogen van de mens nabootst. Maar AI focust zich niet alleen op empirische gegevens en methoden. AI heeft veel meer toepassingen en helpt de wereld vooruit door uitkomsten te voorspellen, gezichten te herkennen en tarieven te berekenen. De systemen die hiervoor worden gebruikt, verschillen onderling veel van elkaar en de systemen herkennen veel, maar menselijk toezicht blijft onmisbaar. AI heeft namelijk nog een slag te maken in de ethische ontwikkeling van de systemen.

In april 2021 diende de Europese Commissie (EC) daarom een voorstel in voor een verordening op kunstmatige intelligentie. De EC wil hiermee een wereldwijde standaard neerzetten en van Europa een AI-hub maken. De zogenoemde AI-verordening waarborgt de grondrechten, maar stimuleert tegelijkertijd de ontwikkeling van kunstmatige intelligentie, waardoor er ruimte voor investeringen en innovaties ontstaat. De verordening hanteert vier verschillende risiconiveaus:

Onaanvaardbaar risico

AI-systemen in deze categorie vormen een duidelijke bedreiging voor de veiligheid, de bestaansmiddelen en de rechten van mensen. Op deze systemen zit een volledig verbod. Denk aan:

  • Manipulatieve systemen die gedrag verstoren, zoals AI-systemen die de vermoeidheid van een vrachtwagenchauffeur meten en een geluid afspelen dat hem of haar aanzet langer door te rijden.
  • Sociale puntensystemen die scores verbinden aan personen op basis waarvan zij onevenredig worden behandeld. Bijvoorbeeld door het beperken van iemands reiscapaciteit als deze persoon niet voldoende recyclet.
  • Grootschalige biometrische systemen die politie en handhavingsinstanties gebruiken en die kenmerken van een persoon herkennen, zoals software voor gezichtsherkenning gekoppeld aan een stadsbreed cameranetwerk.
Hoog risico

AI-systemen in deze categorie vormen een hoog risico voor de gezondheid, de veiligheid en de grondrechten, maar vallen niet in de categorie ‘onaanvaardbaar’. Deze systemen vallen onder producten van de EU-wetgeving onder bijlage II, of hoog-risico gebieden onder bijlage III. Onder bijlage II vallen bijvoorbeeld bepaalde medische hulpmiddelen. Bij bijlage III speelt kunstmatige intelligentie een rol bij onder andere wervings- en sollicitatieprocessen. Er gelden strenge eisen en verplichtingen voor deze hoog risicosystemen, waaronder een Europese conformiteitsmarkering.

Beperkt risico

AI-systemen in deze categorie hoeven enkel te voldoen aan transparantieverplichtingen. Bijvoorbeeld om personen die kunstmatige intelligentie gebruiken in staat te stellen weloverwogen beslissingen te nemen. Dit gebeurt in de praktijk bij een chatbot, door de gebruiker te laten weten dat hij met een AI-aangestuurde machine spreekt.

Minimaal risico

AI-systemen in deze categorie vormen een minimaal tot geen risico voor de gezondheid en de veiligheid van een persoon. Voor deze systemen gelden geen aanvullende eisen die verder gaan dan de huidige wetgeving. De EC en de EU-lidstaten faciliteren uitsluitend in vrijwillige gedragscodes en moedigen de naleving hiervan aan.

Bereid uw organisatie tijdig voor op de Europese AI-verordening

De conceptversie van de AI-verordening heeft een extraterritoriale reikwijdte en is vergelijkbaar met de huidige Algemene verordening gegevensbescherming (AVG). ‘De verordening biedt daardoor controle op zowel publieke als private partijen, binnen en buiten de Europese Unie (EU)’, verduidelijkt Van Gemerden. ‘Bijvoorbeeld, als een Amerikaanse organisatie gegevens van EU-burgers verwerkt met behulp van een AI, moet zij voldoen aan de eisen van de nieuwe AI-verordening. Dit geldt ook als de organisatie alleen de output van het AI-systeem in de EU gebruikt. De verordening betrekt zich op vrijwel alle organisaties die met AI in Europa werken. Met name de ‘hoog risico’-systemen moeten rekening houden met een geïntegreerde aanpak om de AVG en AI-verordening na te leven.’

Hoewel de verordening waarschijnlijk pas in 2024 in werking treedt, raadt Van Tiel organisaties aan zich nu al voor te bereiden op de stroom aan beoordelingen, documentaties, certificeringen en dergelijke. ‘Uit onderzoek blijkt namelijk dat de volledige wetgeving honderden verplichtingen voor AI-operators bevat. Dat betekent dat organisaties met een hoop bureaucratisch werk te maken krijgen. Hoe eerder zij zich aanpassen aan de nieuwe AI-verordening, des te sneller ethische AI- en privacypraktijken in de systemen integreren. Dit kan in drie stappen:

  1. Breng het bestaan en gebruik van AI-systemen in uw organisatie en mogelijke ontwikkelingen die u in de komende jaren wilt doorvoeren in kaart.
  2. Breid rollen uit om de verantwoordelijkheid van de AI-systemen te dragen. Naleving vereist het bewustzijn van juridisch, technisch en operationeel personeel. Onderschat het belang van cross-functionele rapportagelijnen en multidisciplinaire controles niet.
  3. Implementeer een systeem van voortdurende risico-evaluatie binnen de activiteiten van uw organisatie. Naarmate AI-systemen in de loop van de tijd evolueren, kan hetzelfde gebeuren voor de bijbehorende risico's. Eenmalige risicobeperking in het proces is daarom waarschijnlijk niet voldoende.’

Hogere nalevingskosten én boetes

De voorgestelde Europese AI-verordening berust bijna volledig op zelfbeoordeling. Momenteel zijn er geen overheidsinstanties die uitgebreide hulp bieden bij de naleving. Het ethisch gebruik van gegevens en privacy ontwikkelt zich zo tot een waardevolle bedrijfsvereiste. ‘Zo is implementatie niet ‘slechts’ een checkbox aanvinken, maar een manier om uw organisatie te onderscheiden van de concurrentie en klanten tegemoet te komen’, vindt Van Gemerden. ‘Want klanten informeren zich en leven met vragen over het ethisch gebruik van hun gegevens.’

Als organisatie moet u de juiste stappen nemen om naleving te waarborgen, wat op bedrijfsniveau de nodige kosten met zich meebrengt. ‘Vooral AI-systemen met een hoog risico krijgen waarschijnlijk te maken met aanzienlijke financiële gevolgen’, verwacht Van Tiel. ‘De nalevingskosten zullen vermoedelijk drie keer hoger liggen dan die van de AVG. Op basis van de effectbeoordeling van de EU kunnen kleine en middelgrote ondernemingen nalevingskosten tot 160.000 euro verwachten, ervan uitgaande dat het AI-systeem aan alle huidige wetgeving voldoet. Alle organisaties die zich bezighouden met een hoog risico AI-systeem moeten naar verwachting veel middelen besteden aan de naleving en implementatie, vanwege de uitgebreide reikwijdte van de Europese AI-verordening en de gedetailleerde eisen. Boetes versterken het financiële aspect: een maximum van dertig miljoen euro of zes procent van de wereldwijde omzet, wat aanzienlijk hoger is dan de maximale AVG-boetes.’

Contact

Bram van Tiel

Bram van Tiel

Partner Cybersecurity & Privacy, PwC Netherlands

Tel: +31 (0)62 243 29 62

Volg ons