- De kogel is door de kerk wat betreft de regulering van artificial intelligence in de Europese Unie.
- De Europese AI Act werd afgelopen week afgerond, maar de nieuwe richtlijn is nog niet officieel in werking.
- Bovendien roept de nieuwe wet veel vragen op.
- Lees ook: EU akkoord om artificial intelligence aan banden te leggen: volgen van burgers met AI verboden, gezichtsherkenning beperkt
ANALYSE – We weten dat politici niet vies zijn van lange debatten, maar het gesteggel over de nieuwe, Europese AI Act werd Europarlementariërs afgelopen week toch echt wat te veel. Nadat ze bijna 24 uur met elkaar in gesprek waren geweest, besloten ze een slaappauze in te lassen.
Daarna werd er met frisse moed doorvergaderd tot de klok 38 uur aantikte en iedereen elkaar de hand kon schudden: de eerste opzet van de Europese AI Act was afgelopen zaterdag rond. ’s Werelds eerste poging om AI te reguleren.
Maar eigenlijk is de wet die toepassingen van artificial intelligence moet reguleren, er nog helemaal niet. Het conceptvoorstel moet nog tot in detail uitgeschreven worden. Daarna moet er nog een keer naar gekeken worden, om vervolgens opnieuw tot definitief akkoord te komen. Pas dan hebben we officieel een Europese wet waar AI-makers en -gebruikers zich aan moeten houden.
In de tussentijd is er het AI Pact. Dat is een overeenkomst van ondertussen meer dan honderd AI-bedrijven die zich alvast zeggen te houden aan de regels die in de Europese AI Act opgenomen worden. Dat klinkt goed, maar die regels laten nog wel ruimte voor interpretatie.
Gelukkig kreeg Business Insider wat verduidelijkende informatie tijdens een persbijeenkomst, waarbij een EU-functionaris antwoord gaf op prangende vragen.
Nieuwe Europese wet voor regulering van AI
Laten we eerst doornemen wat er na de invoer van de nieuwe regelgeving allemaal verboden is. Dit lijkt het belangrijkst, toch? Dit is het lijstje:
• Biometrische categorisatie of categorisering op basis van gevoelige informatie.
• Beeld van het internet scrapen voor gezichtsherkenning.
• Het herkennen van emoties op werk of op school.
• Social scoring. Het indelen van mensen op basis van social gedrag of persoonlijke karaktereigenschappen.
• AI die menselijk gedrag nabootst om daarmee de vrije wil van mensen te beïnvloeden
• Misbruik maken van kwetsbare mensen op basis van minderjarigheid, handicap of sociale of economische status.
Over de meeste punten, zoals het verbieden van social scoring en het identificeren van emoties, waren de parlementariërs het vrij snel eens. Wel was er onenigheid over biometrische identificatie, ofwel gezichtsherkenning. De Europese Commissie wilde dit pertinent verbieden, maar het Parlement vond dat het toch nuttig kan zijn in uitzonderlijke omstandigheden.
Uiteindelijk komt er in de Europese AI Act te staan dat overheden de technologie mogen inzetten, als er bijvoorbeeld sprake is van een mogelijke terroristische aanslag, een ontvoering, mensenhandel of moord. De lijst van uitzonderingen omvat 16 zware criminele activiteiten. Wordt daaraan voldaan, dan mag gezichtsherkenning ingezet worden, maar nog steeds niet zomaar.
Voor gebruik moet eigenlijk vooraf toestemming gevraagd worden bij de rechter of een toezichthouder. Maar als de tijdsdruk te hoog is mag de technologie ook zonder toestemming ingezet worden. Die toestemming moet dan alsnog binnen 24 uur aangevraagd worden. De uitkomst van de inzet van de technologie mag dan alleen gebruikt worden als die toestemming er daadwerkelijk komt. Is dat niet het geval, dan moet alle data vernietigd worden.
Je kunt je voorstellen dat er in die 24 uur een groot grijs gebied zit waarvan misbruik gemaakt kan worden. Uitkomsten kunnen immers gezien worden door medewerkers. Geziene data kun je wel vernietigen, maar niet zomaar vergeten. Het is dan ook niet heel gek dat verschillende mensenrechtenorganisaties juist op dit punt de EU aanvallen.
Transparantie: werking van artificial intelligence moet uitlegbaar zijn
Naast wat bedrijven niet meer mogen doen met AI, moeten ze ook een hoop dingen wél doen onder de AI Act. Een van de belangrijkste punten is transparantie. Maker van zogenaamde ‘general purpose AI’ (GPAI. AI zoals GPT-4 en andere zogenoemde large language models vallen hieronder) moeten aan de EU de technische werking kunnen uitleggen. Ze moeten hiervoor beschrijvende documenten overhandigen. Ook moeten ze aangeven welke datasets ze gebruikt hebben voor het trainen van de modellen en wat hierin wel en niet onder het auteursrecht valt.
Over dat laatste vallen veel AI-bedrijven, omdat ze aangegeven dat het onmogelijk is om nu nog te achterhalen welke data gebruikt is voor het trainen van een model en wat er wel en niet auteursrechtelijk beschermd is. Maar daar is een soort ‘loophole’ voor bedacht, want volgens de Europese Unie mag je een AI-model gewoon trainen op auteursrechtelijk beschermde materialen, zolang de maker ervan niet zelf heeft aangegeven dat hij of zij hier niet aan mee wil doen.
Daarnaast wordt verwacht dat duidelijk wordt gemaakt dat een 'output' van een AI-model is gemaakt met behulp van artificial intelligence. In het geval van ChatGPT moet de chatbot een chat dus beginnen met het duidelijk maken dat de gebruiker niet met een mens maar met een stuk software converseert.
Ook moeten deepfakes en andere met AI gegenereerde materialen van een watermerk voorzien worden, zodat mensen kunnen zien dat het met AI gemaakt is. Voor tekst is alleen nog niet duidelijk hoe dat moet, want daar is nog geen echte technologie voor. De EU verwacht wel dat hier ‘cutting edge’-technologie voor zal verschijnen. Tot die tijd heerst er onduidelijkheid of tekst bij invoering van de Act een watermerk kan hebben.
Open source AI
Europarlementariërs hebben besloten dat open source-AI niet echt gecontroleerd hoeft te worden. Dergelijke publiek toegankelijke modellen zouden door hun open aard al genoeg supervisie hebben.
Maar hoe het dan zit met auteursrecht in combinatie met open source-AI? Als de makers van deze modellen niets hoeven te melden, dan kunnen ze makkelijk auteursrechtelijk beschermd materiaal gebruiken, toch? Dat blijkt echter niet zo te zijn, want iedereen moet zich houden aan de Europese wetgeving rond auteursrecht. Dat staat los van de AI Act.
Het lijkt aannemelijk dat linksom of rechtsom wel duidelijk wordt hoe trainingsdata worden gebruikt, want bedrijven die open source-modellen gebruiken voor hun AI-producten, moeten ook de herkomst van de trainingsdata, en daarmee het auteursrecht dat erop rust, kunnen overhandigen.
Het aparte is dat de Europese Commissie aangeeft dat er helemaal geen lobby zou zijn tegen de transparantie over het gebruik van auteursrechtelijk beschermde data. Iets waar AI-bedrijven zich toch openlijk tegen verzetten, waarbij sommigen zelfs claimen dat het het einde van generatieve AI kan betekenen.
Per saldo lijkt de Europese AI Act vooral een startpunt. De wet wordt gezien als een levend iets dat zich blijft doorontwikkelen. En dat moet ook wel, want de technologie zelf staat evenmin stil.
De belangrijkste onduidelijkheid is misschien ook de grootste valkuil: wanneer de AI Act in werking gaat. Men hoopt over een paar maanden alles in kannen en kruiken te hebben. Maar daarna duurt het nog twee jaar voordat alle facetten van de wetgeving volledig in werking zijn.
Het kan dus zomaar zijn dat we pas in 2026 een echt beginpunt in de Europese regulering van AI hebben. Hoeveel er dan nog relevant is van de AI Act…