Aangepast voorstel AI Verordening

18 aug 2022

Op 15 juli 2022 heeft het Tsjechisch voorzitterschap van de Europese Raad een aangepast voorstel gepubliceerd van de AI Verordening (AI Act). Dit ~~aangepast voorstel~~ borduurt voort op het voorstel van de Europese Commissie en het aangepast voorstel dat onder het Sloveens en het Frans voorzitterschap is aangepast. De definitieve versie van het voorstel zal tot stand moeten komen in onderhandelingen tussen het Europees Parlement, de Europese Commissie en de Europese Raad (de regeringen).

In dit blog bespreek ik de meest in het oog springende aanpassingen van het voorstel.

1. Definitie

In het voorstel van de Europese Commissie van 21 april 2021 is in artikel 3 een definitie opgenomen van een ~~Artificial Intelligence system~~, waarbij wordt verwezen naar een bijlage I. In die bijlage is een brede definitie opgenomen van een AI systeem. In de bijlage wordt AI zo breed gedefinieerd dat, volgens critici, er zaken onder vallen die wij nu niet als AI zouden aanmerken.

In het aangepaste voorstel is de definitie aangepast tot “a system that is designed to operate with a certain level of autonomy and that, based on machine and/or human-provided data and inputs, infers how to achieve a given set of human-defined objectives using machine learning and/or logic- and knowledge based approaches, and produces system-generated outputs such as content (generative AI systems), predictions, recommendations or decisions , influencing the environments with which the AI system interacts”.

Ook komt bijlage I te vervallen.

Kortom, het is een systeem dat is ontwikkeld met machine learning techniek en/of een ‘logic- or knowledge based approach’. Verder is de mogelijkheid voor de Europese Commissie om de definitie aan te passen gewijzigd. In plaats van het aanpassen van de bijlage, wordt nu in artikel 4 aan de Europese Commissie de mogelijkheid gegeven om met ~~uitvoeringsbesluiten~~ (‘implementation acts’) uitleg te geven aan de termen machine learning en logic-/knowledge bases approach.

Gevolg

Het gevolg van deze aangepaste definitie lijkt te zijn dat het aantal systemen dat onder de definitie van AI systeem vallen nu beperkter is. Daarnaast is met het schrappen van bijlage I ook de bevoegdheid van de Commissie om de desbetreffende bijlage te wijzigen via delegated acts komen te vervallen. Dit houdt in dat het de Commissie nu alleen is toegestaan om ~~uitvoeringsbesluiten~~ vast te stellen ter verduidelijking van bestaande categorieën. [L. Bertuzzi, ‘Czech Presidency sets out path for AI Act discussions’, EURACTIV, 22 juni 2022] Hiermee wordt dus de mate waarin de Commissie in staat is wijzigingen aan te brengen in de technieken en benaderingen, die voorheen gedefinieerd stonden in bijlage I, ingeperkt. De flexibiliteit en toekomstbestendigheid worden nu dus gewaarborgd door middel van de uitleg die de Europese Commissie kan blijven geven aan de bestaande categorieën.

2. High risk AI systemen

In het voorstel van de Europese Commissie moeten alle AI systemen, door middel van een ~~self-assessment~~, in één van vier risico categorieën worden ingedeeld. De AI systemen die in de categorie ‘hoog risico’ vallen, zijn beschreven in bijlage III. De AI systemen in deze categorie moeten voor het op de markt brengen en daarna, aan verschillende vereisten (blijven) voldoen.

Hier was veel kritiek op. Niet alleen omdat AI toepassingen ten onrechte wel of niet op de lijst stonden, maar ook omdat het een hele administratieve last betekende.

In het aangepaste voorstel blijft de bijlage III lijst met High riks AI systemen bestaan. Maar niet ieder AI systeem dat op de bijlage staat is per definitie een ~~‘High Riks’ AI systee~~m. Dat is alleen het geval wanneer:

De output van het AI systeem wordt gebruikt zonder dat een mens deze valideert, of
De output van het AI systeem niet wordt gebruikt als louter ondersteunend voor de beslissing die een mens neemt en daardoor tot een aanmerkelijk risico kan leiden voor de gezondheid, veiligheid of fundamentele rechten.

De Europese Commissie moet in uitvoeringsbesluiten (‘implementation acts’) uitleg geven aan de term ‘louter ondersteunend’ (‘purely accessory’).

Gevolg

Het gevolg hiervan is dat, waarschijnlijk, een aantal AI systemen die op de bijlage III staan, toch niet als high risk aangemerkt zullen worden. De administratieve last lijkt daardoor beperkt te zijn tot de vaststelling dat er geen sprake is van een high risk AI systeem.

De bijlage III lijst is ook aangepast.

De volgende AI systemen zijn geschrapt van de lijst:

AI systems intended to be used to control emissions and pollution
AI systems intended to be used for insurance premium setting, underwritings and claims assessments
AI systems intended to be used by law enforcement authorities or on their behalf for law enforcement purposes to detect deep fakes as referred to in article 52(3)
AI systems intended to be used by law enforcement authorities or on their behalf for crime analytics regarding natural persons, allowing law enforcement authorities to search complex related and unrelated large data sets available in different data sources or in different data formats in order to identify unknown patterns or discover hidden relationships in the data.

Een aantal beschrijvingen zijn aangepast zoals:

Biometrische systemen; in het oude voorstel waren daar beperkingen aangebracht: Biometric identification systems intended to be used for the ‘real-time’ and ‘post’ remote biometric identification of natural persons without their agreement”. De beperkingen zijn geschrapt zodat nu alle biometrische systemen high risk zijn.

De ~~Europese Commissie~~ zal in staat zijn om de voorbeelden in bijlage III waar nodig aan te passen, aan te vullen en te verwijderen.

Wat betekent dit voor de praktijk nu

De definitieve tekst van de AI verordening is er nog niet. Dit betekent dat het voorbereiden op de AI verordening daardoor gehinderd wordt. Desalniettemin lijkt er al wel op grote lijnen overeenstemming te bestaan. Daarbij kan gedacht worden aan het indelen in risico categorieën, dat organisaties zelf moeten vaststellen in welke risicocategorie een AI systeem valt, en dat test omgevingen (AI regulatory sandbox) mogelijk worden.

Ook nu kunnen organisaties al vaststellen of het AI systeem dat zij gebruiken of willen gaan gebruiken compliant is. BG.legal heeft daarvoor enkele tools ontwikkeld om bedrijven / organisaties hierin te ondersteunen: