Er zijn meer details over de EU AI Act naar buiten gekomen. Zo valt klassieke software niet onder de wet. En er komen vrijstellingen voor ai-onderzoek, persoonlijke niet-professionele activiteiten en ‘opensource’-modellen. Dit laatste vanuit de gedachte dat die meer transparant en beter inzichtelijk zijn en gemakkelijk aangepast kunnen worden. De Nederlandse branchevereniging NLdigital constateert dat de scope van de AI Act wat is verduidelijkt.
De op risico gebaseerde aanpak van de EU AI Act laat artificiële intelligentie (ai) met een laag risico ‘ongemoeid’. René Corbijn, hoofd beleid en public affairs bij deze belangenorganisatie, zegt: ‘Dit is gunstig omdat veel ai-systemen niet high risk zijn.’
Corbijn ziet de definitieve inhoud van deze belangrijke wetgeving steeds meer gestalte krijgen. Details van de wet zijn nader uitgewerkt. Begin deze week lekte een achthonderd pagina’s tellend document uit, een niet-officiële eindversie. Op 8 december hadden de Europese Commissie, het Parlement en de Raad over deze verordening mondeling overeenstemming bereikt, maar dit akkoord moest nog op papier worden uitgewerkt.
Slok op een borrel
De nieuwe wet reguleert ai-systemen, dat wil zeggen machine-gebaseerde systemen die met een zekere mate van autonomie werken en zich kunnen aanpassen. Ze kunnen output genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die fysieke of virtuele omgevingen kunnen beïnvloeden. Deze (verkort weergegeven) definitie sluit aan bij wat internationaal gangbaar is. De wet onderstreept de naleving van de bestaande wetten van de Europese Unie op het gebied van gegevensbescherming, privacy, intellectueel eigendom en communicatie.
Belangenorganisaties zoals NLdigital hikten in hun eerste reacties na het akkoord van 8 december zwaar aan tegen de administratieve lasten voor bedrijven waartoe de AI Act leidt. Maar een meevaller is dat de bescherming van de grondrechten zoals die is uitgewerkt in de ‘Fundamental Rights Impact Assessment’ alleen gaat gelden voor overheden en essentieel publieke diensten. Dat scheelt een slok op een borrel.
Regelarme zones
Uitgewerkt ook zijn de maatregelen ter ondersteuning van innovatie in Europa. Lidstaten zijn verplicht om ‘ai regulatory sandboxes’ in te richten. Dit zijn regelarme zones om bedrijven te helpen met compliance. Bedrijven kunnen binnen deze gecontroleerde omgeving gedurende een bepaalde tijd naar hartenlust ai-systemen ontwikkelen, testen en valideren voordat ze op de markt komen.
Bevoegde autoriteiten zorgen voor begeleiding, toezicht en ondersteuning. Testen in reële omstandigheden buiten de sandbox is toegestaan, onder toezicht van de toezichthouder. Mkb-bedrijven krijgen voorrang. Er komt ook een campagne om hen bewust te maken van de mogelijkheden. Deze categorie krijgt ook te maken met lagere kosten voor de conformiteitsbeoordeling. René Corbijn is blij dat bedrijven deze ruimte krijgen, ‘maar de impact is afhankelijk van de manier waarop de lidstaten hier mee omgaan. Om dit goed te kunnen doen is afstemming tussen overheden en bedrijfsleven nodig.’
NLdigital heeft ook kritiek. ‘General Purpose AI’ (GPAI)-modellen krijgen een getrapte aanpak, maar deze is niet echt toekomstvast. (bijvoorbeeld gebaseerd op rekenkracht of aantal gebruikers). Daar komt bij dat de eisen van rapportage vrij ver gaan, wat leidt tot extra kosten voor bedrijven om daaraan te voldoen.
Corbijn vindt verder de rolverdeling tussen providers en exploitanten (‘deployers’) onduidelijk als het gaat om de verplichtingen in de waardeketen. De betrokken definities moeten helderder. Als een bedrijf bijvoorbeeld een GPAI-model wil gebruiken om hun eigen data mee te trainen kan het zijn dat ze van exploitant ineens provider worden, met de bijbehorende verantwoordelijkheden.
Verschillende wetgevingen
Een ander probleem is de overlap in verschillende wetgevingen, met verschillende definities en raamwerken van toezicht. Corbijn: ‘Een medtech-bedrijf dat ai gebruikt in apparaten, kan te maken krijgen met zowel de Europese Medical Device Regulation als de AI Act, met verschillende definities. Dit leidt tot hoge en tijdrovende compliancekosten.’
Verder merkt hij op dat controle moet worden gepland vanaf de inrichting van het systeem, maar het risico op schending van fundamentele rechten blijft groot.