Het gebruik van kunstmatige intelligentie (AI) wordt steeds prominenter in de meeste bedrijfstakken. International Data Corporation heeft bijvoorbeeld vastgesteld dat de AI-markt (inclusief software, hardware en diensten) naar verwachting wereldwijd een omvang van een half biljoen USD zal bereiken in 2023. Als gevolg hiervan heeft de Europese Commissie, gezien de verwachte aanzienlijke impact op de samenleving, twee voorstellen gepresenteerd om de ontwikkeling en het gebruik van AI te reguleren, namelijk de Artificial Intelligence Act (verordening) en de Artificial Intelligence Liability richtlijn.

DIT ARTIKEL IS GESCHREVEN DOOR CEM ADIYAMAN EN MOURAD SEGHIR. CEM ([email protected]) EN MOURAD ([email protected]) HEBBEN BEIDEN EEN STERKE FOCUS OP LAW & TECHNOLOGY BINNEN RSM NETHERLANDS BUSINESS CONSULTING SERVICES.

Initiële gedachten 

De Europese Unie (EU) erkent het immense potentieel van AI op gebieden als gezondheidszorg, duurzaamheid, openbare diensten en economische concurrentiekracht. De EU is zich echter ook bewust van de risico's die gepaard gaan met AI, zoals vooroordelen, discriminatie en privacy zorgen. Als reactie hierop heeft de EU voorstellen ingediend met als doel ervoor te zorgen dat het gebruik van AI-systemen binnen haar grenzen veilig, betrouwbaar en in overeenstemming met de fundamentele rechten gebeurt.

Een van de belangrijkste doelstellingen van deze voorstellen is het bevorderen van verantwoorde innovatie en tegelijkertijd een gelijk speelveld voor alle belanghebbenden handhaven. De EU heeft de intentie dit te bereiken door een delicate balans te vinden tussen de voordelen en risico's die gepaard gaan met AI, met een sterke focus op het waarborgen van het welzijn van mensen en fundamentele rechten. Bovendien streeft de EU ernaar zichzelf te positioneren als wereldleider op het gebied van technische vooruitgang, zonder concessies te doen aan haar kernwaarden.

De introductie van de AI Liability richtlijn is een belangrijke stap die de EU heeft genomen om gereguleerde actoren te ontmoedigen betrokken te raken bij onveilige praktijken. Door duidelijke en geharmoniseerde aansprakelijkheidsregels vast te stellen, heeft de richtlijn tot doel degenen die verantwoordelijk zijn voor enige schade veroorzaakt door AI-systemen aansprakelijk te stellen.

De reguleringsaanpak van de EU met betrekking tot AI weerspiegelt een grondig begrip van de complexe uitdagingen en ethische implicaties die gepaard gaan met het commerciële gebruik ervan. In een reeks artikelen zal RSM niet alleen ingaan op de complexiteit van het regelgevingslandschap voor AI in de EU, maar ook op de ethische overwegingen rond de verantwoorde implementatie ervan voor commerciële doeleinden.

Aankomende AI-verordening in Europa: reikwijdte 

De voorgestelde Artificial Intelligence Act van de EU heeft tot doel hoogrisico AI-systemen in de regio te reguleren. De definitie van wat een hoogrisico AI-systeem is, staat nog ter discussie, maar het potentiële effect op fundamentele rechten is een belangrijke factor. Bijvoorbeeld, een AI-systeem dat autonoom sollicitanten screent en filtert, beslissingen en voorspellingen maakt tijdens het wervingsproces, kan discriminatoire praktijken voortzetten en op grote schaal fundamentele rechten schaden als het niet onder toezicht staat.

Volgens de voorgestelde wetgeving ligt de primaire regelgevende verantwoordelijkheid bij de leverancier, de entiteit die verantwoordelijk is voor de ontwikkeling van het hoogrisico AI-systeem. Zij moeten een conformiteitscertificering verkrijgen om ervoor te zorgen dat wordt voldaan aan vereisten met betrekking tot menselijk toezicht, risicobeheer, transparantie en gegevensbeheer.

Ook gebruikers van deze hoogrisico systemen, zoals bedrijven, hebben verplichtingen. Zij moeten de instructies van de ontwikkelaars volgen en menselijk toezichtmaatregelen implementeren zoals aangegeven door de leverancier. Als gebruikers de invoerdata beheersen, moeten zij ervoor zorgen dat deze relevant is voor het beoogde doel van het systeem. Continue monitoring van mogelijke risico's voor fundamentele rechten en tijdige rapportage van incidenten of storingen aan de leverancier of distributeur zijn vereist. Gebruikers moeten systeemlogs gedurende een passende periode bewaren en gegevensbeschermingseffectbeoordelingen uitvoeren op basis van de instructies van de leverancier om risico's met betrekking tot gegevensverwerking te evalueren en te beperken.

Als bedrijven die hoogrisico AI-systemen gebruiken niet aan hun verplichtingen voldoen, kunnen zij worden onderworpen aan boetes tot €20.000.000 of 4% van hun totale wereldwijde jaaromzet (afhankelijk van welk bedrag hoger is). Bovendien wordt bij het niet voldoen aan de verplichting om het systeem te monitoren en adequaat toezicht te houden op de invoerdata, een wettelijk vermoeden van aansprakelijkheid geactiveerd tegen het bedrijf dat het hoogrisico AI-systeem gebruikt. Volgens de nieuwe voorgestelde EU-richtlijn inzake AI-buitencontractuele aansprakelijkheid wordt het oorzakelijk verband tussen de schade en het foutieve handelen van het bedrijf dat een hoogrisico AI-systeem gebruikt, vermoed in geval van een schadeclaim tegen een niet-conforme gebruiker van een hoogrisico AI-systeem.

Hoe te voorbereiden 

De Europese AI-verordening, naar verwachting eind 2024 van kracht, vereist dat organisaties vroegtijdig stappen ondernemen om aan de eisende voldoen. De wet is van toepassing op zowel publieke als private entiteiten, ongeacht hun locatie binnen of buiten de EU, waardoor naleving een noodzaak is voor vrijwel alle organisaties die betrokken zijn bij AI-systemen in de Unie.

Om verantwoordelijke en ethische AI-praktijken te bevorderen, moeten aanbieders van AI-systemen beginnen met het identificeren en beoordelen van de aanwezigheid en het gebruik van AI-systemen binnen hun organisatie. Ze moeten ook specifieke rollen toewijzen om de verantwoordelijkheid voor AI-systemen te overzien en een kader opzetten voor voortdurende beoordeling van risicomanagement.

Het voldoen aan de AI-verordening berust grotendeels op zelfbeoordeling en de daarmee gepaard gaande kosten worden geschat op drie keer de kosten van de naleving van de GDPR. EU-impactbeoordelingen suggereren dat kleine en middelgrote bedrijven mogelijk nalevingskosten tot €160.000 kunnen hebben als hun AI-systemen voldoen aan alle relevante voorschriften. Het naleven van ethische gegevensgebruik- en privacy principes is niet langer een simpele checklistoefening, maar is een essentieel zakelijk vereiste geworden. Hoewel naleving kan leiden tot hogere kosten, biedt het ook een kans voor organisaties om zich te onderscheiden bij klanten die ethische gegevenspraktijken prioriteit geven.

Om te voldoen aan de AI-verordening en de AI Liability richtlijn, wordt organisaties geadviseerd een proactieve benadering van risicomanagement te hanteren. Dit omvat het afbakenen van AI-systemen binnen de organisatie, het toewijzen van gediversifieerde rollen en verantwoordelijkheden, het implementeren van voortdurende beoordelingen van risicomanagement, en het opzetten van interdisciplinaire controles en rapportagelijnen tussen verschillende afdelingen. Naleving toont niet alleen een toewijding aan ethisch gegevensgebruik en privacy principes, maar stelt bedrijven ook in staat zich te onderscheiden op de markt.