Europees Parlement stemt in met eigen versie AI verordening

14 jun 2023

De onderhandelingen kunnen beginnen. Het Europees Parlement heeft op 14 juni 2023 ‘haar’ versie van een AI Verordening vastgesteld. Na het voorstel van de Europese Commissie (april 2021) hebben de Lidstaten in hun versie vastgesteld (december 2022). Nu kunnen deze drie partijen gaan onderhandelen over een compromis tekst die vervolgens door het Europees Parlement moet worden aangenomen.

Enkele interessante punten in de EP versie:

Definities

Het EP voegt een aantal definities toe zoals:

social scoring means evaluating or classifying natural persons based on their social behaviour, socio-economic status or known or predicted personal or personality characteristics;

regulatory sandbox means a controlled environment established by a public authority that facilitates the safe development, testing and validation of innovative AI systems for a limited time before their placement on the market or putting into service pursuant to a specific plan under regulatory supervision;

Definitie AI systeem

Er is veel te doen geweest over de erg ruime definitie in het commissie voorstel. Het EP stelt een definitie voor die aansluit bij de OESO definitie. Het EP stelt als definitie voor:

‘‘artificial intelligence system (AI system) means a machine-based system that is designed to operate with varying levels of autonomy and that can, for explicit or implicit objectives, generate outputs such as predictions, recommendations, or decisions, that influence physical or virtual environments;

Hoog risico AI systeem

Er wordt een extra drempel toegevoegd. Een AI systeem is alleen een high risk systeem “if they pose a significant risk of harm to the health, safety or fundamental rights of natural persons”. Dit betekent dat allereerst moet worden vastgesteld (i) wat het effect is van een AI systeem en vervolgens (ii) of dit een ‘significant’ risico voor gevaar voor een natuurlijk persoon oplevert.

Er is dus een extra drempel toegevoegd aan de criteria van een hoog risico systeem, waardoor er een uitgebreidere risicobeoordeling moet plaatsvinden. Verder heeft het natuurlijk gevolgen voor welke verplichtingen er moeten worden nageleefd onder de AI verordening en mogelijke aansprakelijkheid, omdat dat per risico categorie verschilt.

AI-Verordening

Mensenrechten toets

Het EP voert een verplichte mensenrechten toets (Impact Assessment Mensenrechten en Algoritme: IAMA) in voor high risk AI toepassingen.

Significant risico

Hier is aan de definitie toegevoegd  dat een risico significant is bij een “combination of its severity, intensity, probability of occurrence, and duration of its effects, and its the ability to affect an individual, a plurality of persons or to affect a particular group of persons”.

Voor de praktijk betekent dit dat je moet kijken naar de volgende twee punten:

  • De ernst, intensiteit, waarschijnlijkheid en duur van de gevolgen (effect); en
  • Het vermogen om een individu of een groep mensen te beïnvloeden (affect).

Wanneer je wilt evalueren of iets een significant risico is.

Boete voor niet juist classificeren

Wanneer een high risk AI systeem niet in de juiste risico klasse wordt ingedeeld, dan wordt de leverancier een boete verschuldigd.

Generatieve systemen

Door de ‘komst’ van ChatGPT heeft het EP tekst toegevoegd die nadrukkelijk ziet op generatieve AI en foundation models.

Aanbieders van generative AI/foundation models, moeten:

  • voldoen aan de transparantieverplichtingen (artikel 52 lid 1 AI-act);
  • het foundation model zodanig ontwerpen en ontwikkelen dat voldoende waarborgen worden geboden tegen het genereren van inhoud die in strijd is met het recht van de Unie; en
  • een voldoende gedetailleerd overzicht van het gebruik van door het auteursrecht beschermde opleidingsgegevens documenteren en openbaar maken.

Er gelden dus extra verplichtingen voor generative/foundation models op het gebied van transparantie, rechtmatige inhoud en auteursrecht.  En voor foundation models nog meer zoals risicobeheer, gegevensbeheer en de robuustheid van het model.

Bij een General Purpose AI (GPAI) is voor een getrapte aanpak van de regulering gekozen, waarbij verplichtingen vooral terechtkomen bij partijen die deze systemen integreren in een hoog risico systeem.

Voor foundation models gelden strengere eisen zoals risicobeheer, gegevensbeheer en de robuustheid van het model.

Hoe nu verder?

De hoop/verwachting is dat vóór het einde van 2023 er overeenstemming wordt bereikt over een tekst waarna de AI Verordening op 9 juni 2024 in werking kan treden. Dit is dan net voor de verkiezingen voor het Europees Parlement. Wanneer dit niet lukt dan dreigt enorme vertraging.

Voor de praktijk is het er niet duidelijker op geworden. Op verschillende onderdelen liggen er nu drie verschillende versies waarbij het onduidelijk is waar dat toe gaat leiden. Maar de grote lijnen zijn wel duidelijk en daar is overeenstemming over. Zoals de risico classificatie; de vereisten voor de high risk AI systemen en het conformity assessment.

Wat nu te doen:

  • inventariseer als bedrijf / organisatie of en welke algoritmes je gebruikt
  • stel vast in welke risico categorie dit AI systeem valt
  • onderzoek of het AI systeem aan de vereisten voldoet van die klasse
  • zo ja, prima
  • zo nee, onderneem actie.

Wat kunnen wij doen?

  • Wij ondersteunen bedrijven/organisaties bij het inventariseren van algoritmes en het vaststellen van de daaraan verbonden risico’s (AI risk assessment)
  • Wij adviseren over de te nemen maatregelen (measures) om risico’s te mitigeren
  • Wij begeleiden overheden bij het uitvoeren van een Impact Assessment Mensenrechten en Algoritme (IAMA)
  • Wij toetsen of een AI systeem compliant is met de vereisten die daaraan gesteld worden (AI conformity check).
  • Wij delen kennis over juridische- en ethische aspecten van AI via het kennisplatform LegalAIR.

Voor meer informatie mail Jos van der Wijst (wijst@bg.legal).

Jos van der Wijst 2