In 2021 heeft de Europese Commissie een ontwerpverordening ingediend die het gebruik van kunstmatige intelligentie (‘KI’) moet regulerenOp 6 december 2022 is er een akkoord bereikt over deze nieuwe Europese ‘KI-verordening’. De verwachting is dat deze wetgeving in het najaar van 2023 wordt ingevoerd. Alle lidstaten van de Europese Unie (EU) zijn dan verplicht om de KI-verordening te implementeren.
Hoog tijd om eens dieper in deze aanstaande regelgeving te duiken. In deze blog lees je wat het doel, de opzet en de gevolgen van de nieuwe regelgeving zijn.
De voorlopige definitie die wordt gehanteerd door de Europese Commissie is vrij vertaald de volgende: een toepassing van KI is een software die voor een bepaalde reeks door mensen gedefinieerde doelstellingen output kan genereren, zoals inhoud, voorspellingen, aanbevelingen of beslissingen die van invloed zijn op de omgeving waarmee wordt geïnteracteerd.
Denk hierbij aan de software die je gebruikt voor je persoonlijke assistent Siri, zelfrijdende auto’s, gezichtsherkenning om je telefoon te ontgrendelen of het tonen van gepersonaliseerde suggesties door Netflix of Spotify. Door de brede formulering van de definitie zal de KI-verordening niet alleen van toepassing zijn op enkel softwareproducten, maar ook op producten die maar deels afhankelijk zijn van KI. De nieuwe regelgeving heeft daarom een grote impact.
Dit komt mede omdat iedere aanbieder en gebruiker van toepassingen van KI binnen de EU, zich aan deze regelgeving moet houden. Bevindt een aanbieder of gebruiker zich buiten de EU, dan is de regelgeving alsnog van toepassing als de output van de toepassing van KI in de Unie wordt gebruikt.
Het doel van verordening is kortweg ervoor zorgen dat toepassingen van KI veilig zijn en geen inbreuk maken op bestaande (EU) wetgeving. Denk hierbij aan het voorkomen van discriminatie en het beschermen van grondrechten. Tegelijkertijd moet de verordening ook rechtszekerheid garanderen om investeringen en innovatie in KI te vergemakkelijken.
Om deze doelen te behalen, is gekozen voor een opzet die gebaseerd is op het risico die de toepassing van KI met zich meebrengt. Hierbij wordt onderscheid gemaakt tussen toepassingen van KI welke:
Toepassingen van KI die in de eerste categorie vallen (onaanvaardbaar risico), zijn verboden. De belangrijkste toepassingen die hieronder vallen zijn, versimpeld weergegeven, toepassingen van KI die gedrag van personen ‘materieel vervormen’ of daar misbruik van maken. Denk daarbij aan het social scoring principe uit China, waarbij de overheid iedere burger een score geeft en deze hoger of lager wordt naar aanleiding van bepaalde dingen die iemand doet.
Voor toepassingen van KI uit de tweede categorie gelden dwingende voorschriften, waaronder het implementeren van een risicomanagementsysteem gedurende de gehele levenscyclus van de toepassing. Dit is dus geen eenmalige verplichting. Daarnaast zijn toepassingen van KI met een hoog risico onderworpen aan een conformiteitsbeoordeling voordat het gebruik is toegestaan en moet menselijk toezicht op de systemen mogelijk blijven.
Naast een algemene formulering van toepassingen van KI met een ‘hoog risico’ worden in de bijlage van de KI-verordening acht sectoren/gebieden genoemd waar het hoge risico wordt aangenomen voor bepaalde processen. Dit gaat om KI op het gebied van:
Verder verschillen de verplichtingen per organisatie die betrokken is bij de toepassing van KI. Zo gelden er verschillende verplichtingen voor aanbieders, productfabrikanten, importeurs, distributeurs, gebruikers en andere derde partijen die betrokken zijn bij de KI-waardeketen.
Voor toepassingen van KI die geen hoog risico, maar wel een specifiek manipulatierisico met zich meebrengen, geldt een transparantievereiste. Denk hierbij aan deep fakes, waarbij beelden van mensen gemaakt of aangepast worden (bijvoorbeeld hun emotie of gezichtsuitdrukking) door middel van KI. Wordt gebruik gemaakt van deze toepassingen, dan zal dit voor gebruikers kenbaar gemaakt moeten worden.
Voor toepassingen van KI die een laag of minimaal risico met zich meebrengen, geldt dat deze in principe zijn toegestaan. Wel beoogt de KI-verordening dat de dwingende voorschriften, die gelden voor de tweede categorie van toepassingen van KI, vrijwillig worden toegepast op toepassingen van KI met een laag of minimaal risico.
Uit de nieuwe regelgeving blijkt ook dat een Europese toezichthouder in het leven wordt geroepen. Deze toezichthouder is onder andere belast met de naleving van de KI-Verordening en werkt samen met de nationale toezichthouders. Ook zal er een uitgebreid systeem worden opgetuigd voor sancties die opgelegd kunnen worden bij overtreding van de regelgeving. Boetes kunnen oplopen tot 6% van de wereldwijde omzet.
De uitgebreide definitie van toepassingen van KI zal voor grote impact zorgen in vrijwel alle sectoren (en niet alleen binnen de digitale dienstverlening). Ook voor zorginstellingen, non-profitorganisaties en overheidsinstanties zal de KI-verordening de nodige vragen oproepen en tot maatregelen dwingen. Het is van cruciaal belang om de indeling van toepassingen van KI op een juiste manier uit te voeren. De indeling van de toepassingen van KI in categorie twee, drie of vier heeft belangrijke gevolgen voor de maatregelen die getroffen moeten worden. Daarom is het raadzaam om tijdig te inventariseren of de nieuwe regelgeving impact gaat hebben op uw organisatie en of uw organisatie hier klaar voor is. Wij helpen u hier uiteraard graag bij.
Heeft u hulp nodig bij het inrichten van uw organisatie of heeft u vragen over de nieuwe KI-verordening, neem dan contact op met een van onze advocaten van Team IE/ICT/Privacy.