De kogel is door de kerk, het is zeker dat er Europese wetgeving komt op het gebied van AI. Wel moet de AI Act eerst nog door lidstaten worden ondertekend, en daarna volgt er nog een overgangstermijn. Hierdoor duurt het naar verwachting tot 2027 voordat de AI Act wordt gehandhaafd.
De Europese AI Act gaat er echt komen: de voorbereiding begint nu
Toekomstmuziek? Integendeel, het voorsorteren begint nu al. Systemen gaan immers al gauw tien tot vijftien jaar mee. Dus wat je nu gaat ontwikkelen kan maar beter al voldoen aan de eisen die de Europese wet gaat stellen aan AI-modellen.
Overigens klinkt het woord ‘eisen’ misschien alsof deze de wet innovatie op AI-gebied gaat inperken, en zo wordt er in de media over het algemeen ook over geschreven. Maar de werkelijkheid is veel genuanceerder. Ik durf zelfs te stellen dat de wet een positieve impuls gaat geven aan innovatie binnen AI.
Daarover later meer. Eerst: waar zou je vandaag eigenlijk al mee moeten beginnen om je organisatie voor te bereiden op de AI Act?
Bepaal je risicocategorie
Een belangrijk aspect van de nieuwe wet is dat er verschillende richtlijnen komen, afhankelijk van het risico dat het gebruik van AI met zich meebrengt. Sommige toepassingen van AI worden verboden (denk aan social scoring), andere alleen bij hoge uitzondering goedgekeurd, zoals gezichtsherkenning.
De toepassingen van AI die wel worden toegestaan, worden weer onderverdeeld in risicoklassen. De vuistregel is dat de toepassingen van AI die rechtstreeks de persoonlijke levenssfeer van Europese burgers beïnvloeden, onder de hoogste risicoklasse vallen. De zorgsector en de overheid behoren sowieso tot deze categorie. Maar er zijn er meer; de Europese Unie zelf verwacht dat ongeveer 15 procent van alle AI-systemen in deze categorie zal passen.
Het is aan te raden om nu al te beginnen met een assessment; in welke categorie valt onze organisatie? Want deze classificatie bepaalt welke maatregelen je zult moeten nemen.
Schat de impact op mensenrechten in
Nog een assessment dat je nu al kunt doen: wat is de impact van onze AI-initiatieven op mensenrechten? Een belangrijke doelstelling van AI Act is het beschermen van Europese burgers tegen negatieve gevolgen van kunstmatige intelligentie. Mogelijke schending van mensenrechten is daar een belangrijk onderdeel van. Stel, een politiekorps in een Europese stad ontwikkelt een AI-model dat kan voorspellen in welke wijken de kans op criminaliteit het grootst is. Als je op basis van de uitkomsten van zo’n model strenger gaat surveilleren of optreden in deze wijken, dan kan dat op gespannen voet staan met het gelijkheidsbeginsel.
Ook hier geldt: hoe groter de mogelijke impact van je model op mensenrechten, des te strenger de richtlijnen waar je vanaf 2027 mee te maken hebt. Er zijn al goede assessments voorhanden die je kunnen helpen om in te schatten wat de impact is van je AI-model op mensenrechten, zoals de Impact Assessment Mensenrechten en Algoritmes (IAMA) van Universiteit Utrecht.
Aangezien er in totaal meer dan 100 mensenrechten zijn gedefinieerd, is het geen overbodige luxe om zo’n assessment te doen.
Transparantie en uitlegbaarheid van AI-modellen
Een belangrijk onderdeel van de AI Act is dat het voor Europese burgers duidelijk moet zijn wanneer ze te maken hebben met AI en hoe de technologie wordt ingezet. Voor bedrijven betekent dit dat ze transparant zullen moeten zijn in de toepassing van AI: welke datasets worden gebruikt en welke algoritmes worden toegepast? Een tweede vereiste is dat AI-modellen ook uitlegbaar moeten zijn: welke keuzes maakt een AI-model om tot bepaalde beslissingen te komen?
Zorg er dus voor dat je in de ontwikkeling van AI-modellen hier rekening mee houdt. Wees transparant over data, algoritmes en ontwikkel alleen modellen die je kunt interpreteren.
Open source of cloudleverancier?
Binnen de Europese AI Act worden andere (minder strenge) eisen gesteld aan open source-systemen, die vanwege hun collaboratieve aard al relatief transparant zouden zijn. Dat heeft gevolgen voor de mogelijke keuze die je als organisatie moet maken voor Large Language Models (LLM’s), neurale netwerken die zijn getraind op enorme hoeveelheden tekstdata en daardoor in staat om menselijke taal te genereren, zoals ChatGPT. Deze modellen worden binnen steeds meer organisaties ingezet om AI-modellen op te ontwikkelen.
Grofweg zijn er namelijk twee keuzes als het gaat om LLM’s: je kunt gaan voor modellen van grote cloud-leveranciers als Open AI (ChatGPT) of Google (Bard), of je gaat voor open source-modellen zoals Llama 2 of Mistral. Wat vaak wordt onderschat, is dat de keuze voor een cloud-leverancier nu misschien wel verstandig lijkt, maar in de toekomst uitdagingen kan opleveren. Dat heeft alles te maken met versiebeheer. Stel, je bouwt nu een model op GPT-4, en over een jaar brengt OpenAI een nieuw model uit en wordt versie 4 niet langer meer ondersteund, dan werkt het model dat je op deze versie hebt gebouwd ook niet meer.
Het voordeel van open source LLM’s is dat je ze lokaal kunt hosten en dus ook versioneren. Bouw je nu een AI-model op Llama 2 of Mistral, dan weet je zeker dat je niet over een jaar of enkele jaren opnieuw moet beginnen omdat de huidige versie niet meer wordt ondersteund.
AI Act: geen vloek, maar zegen
Hoewel de invoering van de AI Act (in 2027) nog ver weg lijkt, gaat de impact heel snel zichtbaar zijn. Door duidelijk te stellen welke kant we als samenleving vooral niet op willen met AI, wordt de ontwikkeling van bepaalde toepassingen nu al tegengehouden. Denk bijvoorbeeld aan social scoring: een manier om bepaalde scores toe te kennen aan consumenten of burgers op basis van hun gedrag of eigenschappen en daar bepaalde voordelen of juist nadelen aan toe te kennen. We weten dat dat in China al op grote schaal gebeurt, maar in de VS wordt social scoring ook toegepast: zo zijn er creditcardmaatschappijen die bepaalde consumenten een lagere kredietscore geven op basis van de kredietwaardigheid van hun WhatsApp-contacten.
En hoe zit het met de innovatiekracht? Is de AI Act een rem op het innovatieve vermogen van Europese bedrijven? Ook daarvan verwacht ik juist het tegendeel. Met name startups worden in de AI Act behoorlijk beschermd, pas als ze zijn uitgegroeid tot groot bedrijf, worden ze onderworpen aan strengere regels. Wat ook logisch is: want hoe groter je bent, des te groter je mogelijke impact. Je zou dus zelfs kunnen zeggen dat kleine bedrijven meer kans krijgen om zich in het concurrentiespeelveld te mengen.
In de berichtgeving in de media wordt vooral de nadruk gelegd op de beperkende werking van de AI Act, en dat is eigenlijk echt zonde. Dat de EU grenzen stelt en zegt ‘laten we AI niet inzetten voor social scoring of gezichtsbepaling’, is juist een hele sterke keuze en een goed signaal. We weten welke enorme impact AI nu al heeft en vooral ook kan gaan hebben op de maatschappij, het is heel verstandig om op dit punt in de ontwikkeling al te stellen: dit zijn onze normen en waarden, op basis daarvan gaan we richtlijnen opstellen voor wat we wel en niet willen met AI. En als dat betekent dat Big Tech systemen niet uitbrengen op de Europese markt, dan betekent het ook dat deze tegen de Europese waarden indruisen. Alleen maar goed toch?
Sterker nog, als we dit vijftien jaar geleden ook hadden gedaan tijdens de opkomst van social media, dan hadden we misschien veel van de huidige problemen hiermee kunnen voorkomen.