Voorlopig standpunt rijk generatieve AI bekend

Mag een ambtenaar een bewonersbrief opstellen met behulp van ChatGPT? Een webafbeelding genereren met Midjourney? De hulp van Bard inroepen voor het beantwoorden van een Woo-verzoek? Het standpunt van het rijk is dat sowieso moet worden voldaan aan geldende wet- en regelgeving. Daardoor vallen veel generatieve AI-toepassingen in de praktijk al snel af.

Voorlopig standpunt

In een Kamerbrief zet demissionair staatssecretaris digitalisering Alexandra van Huffelen het langverwachte voorlopig standpunt over generatieve AI door rijksorganisaties uiteen. Hiervoor won ze onder meer advies in bij de Landsadvocaat en de Autoriteit Persoonsgegevens (AP).

Risicoanalyse per casus nodig

Het standpunt luidt, in het kort, dat de overheid het belang ziet van experimenten om generatieve AI in te zetten voor publieke waarden en dat alle generatieve AI-toepassingen moeten voldoen aan geldende wet- en regelgeving. Daarom moet per unieke casus een risicoanalyse worden uitgevoerd, in de vorm van een Data Protection Impact Assessment (DPIA4) en een algoritme impactassessment, zoals het Impact Assessment Mensenrechten en Algoritmes (IAMA5).

Voordat de toepassing wordt gebruikt, moeten de uitkomsten van de assessments zijn voorgelegd aan de Chief Information Officer en de Functionaris Gegevensbescherming. Om te voorkomen dat iedere ambtenaar apart gaat uitvinden of ChatGPT geschikt is voor een specifieke casus, destilleert de CIO Rijk rijksbrede lessen, schrijft Van Huffelen.

Liever open source generatieve AI

Vanwege de Woo en het stimuleren van transparantie, geeft het rijk de voorkeur aan open source generatieve AI. Ook daarvoor geldt dat per geval een risicoanalyse moet worden uitgevoerd. Verder wordt in het standpunt onderscheid gemaakt tussen gecontracteerde en niet-gecontracteerde diensten, omdat de laatste minder mogelijkheden bieden om ongewenste risico’s te beperken. Immers, ‘wanneer we als overheid gebruik maken van niet-gecontracteerde diensten betekent dit dat we geen nadere afspraken kunnen maken over de verwerking van ingevoerde data, en geen garanties kunnen krijgen over de herkomst van trainingsdata.’

Voldoet ChatGPT aan de wet?

Dat brengt een flinke beperking voor ambtenaren met zich mee. De demissionair staatssecretaris schrijft: ‘Niet-gecontracteerde generatieve AI-toepassingen zoals ChatGPT, Bard en Midjourney, voldoen over het algemeen niet aantoonbaar aan de geldende privacy- en auteursrechtelijke wetgeving. Zodoende is het gebruik hiervan door Rijksorganisaties (of in opdracht daarvan) in beginsel niet toegestaan, in die gevallen waarin het risico bestaat dat wetgeving wordt overtreden, tenzij de aanbieder en de gebruiker aantoonbaar voldoen aan de geldende wet- en regelgeving.' 

Geen categorisch verbod

Van Huffelen benadrukt dat het voorlopige standpunt geen categorisch verbod is van de technologie. ‘Het gebruik wordt niet ontzegd, maar gekaderd.’ Maar in een reactie op het voorlopige standpunt schrijft de VNG: ‘Voor gemeenten lijkt het [hiermee] waarschijnlijk dat zij juridische risico’s lopen wanneer zij niet-gecontracteerde generatieve AI-toepassingen gebruiken.’

Welke toepassingen zijn safe?

Volgens de VNG kan generatieve AI gemeenten enorme kansen bieden, bijvoorbeeld als ondersteuning bij het beantwoorden van bezwaarschriften en het voldoen aan Woo-verzoeken. Om gemeenten te stimuleren om op een verantwoorde manier, binnen bestaande wet- en regelgeving, te experimenteren met generatieve AI, wil de VNG graag een antwoord op de vraag welke leveranciers en toepassingen voldoen aan de bestaande wet- en regelgeving. ‘Dit inzicht ontbreekt op dit moment.’