AI regulatory sandboxes en data

Hoe test je of een AI toepassing voldoet aan wet- en regelgeving? Hoe test je of een AI toepassing buiten een testomgeving, met een ‘echte’ dataset, compliant is met wet- en regelgeving? Dat zou je willen kunnen testen in een controleerde testomgeving: een ‘AI regulatory sandbox’. Het voorstel van de Europese Commissie van de Artificial Intelligence Verordening bevat twee artikelen waarmee het mogelijk wordt om voor AI-systemen regulatory sandboxes op te zetten. Een regulatory sandbox is een testomgeving waarin systemen gecontroleerd getest kunnen worden. De eerste Nederlandse voorbeelden hiervan komen uit de financiële sector, uitgevoerd door DNB. Artikel 53 van het voorstel omschrijft een regulatory sandbox als een gecontroleerde omgeving ter vergemakkelijking van het volgens een specifiek plan ontwikkelen, testen en valideren van innovatieve AI-systemen voor een beperkte tijd voordat zij in de handel worden gebracht of in bedrijf worden gesteld. Hierin kan een ontwikkelaar bijvoorbeeld testen hoe hij kan voldoen aan de eisen voor high-risk AI-systemen uit het voorstel. Dit alles onder direct toezicht en directe begeleiding van de bevoegde autoriteiten. Een sandbox moet namelijk worden opgezet door een lidstaat.

 
Persoonsgegevens in de sandbox

In principe gelden in de sandbox gewoon de gebruikelijke regels van de Algemene Verordening Gegevensbescherming (AVG). Het voorstel bevat wel een extra mogelijkheid voor het verwerken van persoonsgegevens, specifiek voor sandboxes. Artikel 54 AI Act (AI verordening) creëert namelijk een uitbereiding op Artikel 6 lid 4 AVG door een wettelijke grond voor verdere verwerking toe te voegen. Hiermee mag er data verwerkt worden die voor andere doelen was verzameld om AI systemen te ontwikkelen en testen onder de volgende voorwaarden:

1. Het AI-systeem is innovatief en draagt bij aan het algemeen belang op het gebied van -justitie en veiligheid; -openbare veiligheid en gezondheid; -milieubescherming;
2. De gegevens zijn noodzakelijk voor een van de eisen van Titel III, Hoofdstuk 2 en kunnen niet worden vervangen door geanonimiseerde, synthetische of andere niet-persoonsgegevens;
3. Er is een effectief monitoringsysteem waarmee risico’s voor de betrokkene kunnen worden geïdentificeerd en actie kan worden ondernomen;
4. De persoonsgegevens in de Regulatory sandbox worden geïsoleerd en in een beschermde omgeving gebruikt;
5. De persoonsgegevens worden niet gedeeld met andere partijen;
6. De verwerking leidt niet tot maatregelen of beslissingen die een effect hebben op de betrokkenen;
7. De persoonsgegevens worden verwijderd nadat de Regulatory sandbox voorbij is of als de bewaarperiode van de persoonsgegevens verstreken is;
8. De logbestanden van de verwerking worden een jaar na de afronding van de Regulatory sandbox bewaard voor documentatieverplichtingen;
9. De complete en gedetailleerde omschrijving van het proces en de gedachtegang achter het trainen, testen en valideren van het AI-systeem wordt samen met de testresultaten bewaard bij de technische documentatie van het AI-systeem, en
10. Een samenvatting van het project, de doelen en de verwachte resultaten wordt gepubliceerd op de website van de toezichthouders.

Let wel op, deze lijst met vereisten is vrij streng en laat dus niet toe dat de gebruikte gegevens later nog worden gebruikt. Dit kan een probleem vormen voor een eventuele hertrainen van het AI-systeem of bij het door ontwikkelen van het systeem.

 
Conclusie

In het voorstel van de Europese Commissie krijgen lidstaten de mogelijkheid om regulatory sandboxes op te zetten. Hiermee kunnen ze ontwikkelaars van AI-systemen een veilige en gecontroleerde ontwikkelomgeving bieden waarin ze hun systemen kunnen ontwikkelen, testen en valideren. Dit zorgt ervoor dat eventuele vragen van de ontwikkelaars over de eisen waar ze aan moeten voldoen al tijdens de ontwikkeling beantwoord kunnen worden door de betrokken toezichthouders. Hiermee kan u als ontwikkelaar dus in een veilige omgeving uitvinden hoe u aan de eisen van het voorstel kan gaan voldoen.

 
Advies

Wanneer je vragen hebt over het compliant zijn van een AI systeem, wanneer je dat wilt toetsen aan de huidige / toekomstige wet- en regelgeving, dan kunnen wij je helpen. Of wanneer je een AI toepassing wilt laten maken, dan weten wij wat je voor afspraken moet maken. Voor meer informatie kun je contact opnemen met Jos van der Wijst (wijst@bg.legal).