AI en Europese Wetgeving

AI is heel goed in het herkennen van patronen in data en het reproduceren daarvan. Heel simpel gezegd is AI een weergave van de meest voorkomende patronen in de data waar de AI op gebaseerd is. AI-modellen zijn gemaakt door mensen, terwijl data ook vaak door mensen zijn verzameld. Waarden en normen zijn een integraal onderdeel van de menselijke natuur en ze worden ook onvermijdelijk weerspiegeld in de interpretatie en gebruik van data.

Wat bij sommigen angst voor AI veroorzaakt, is het menselijke in AI. Meer specifiek is de herkenning van menselijke intelligentie in AI de reden voor bezorgdheid en angsten. Als menselijk kenmerk is intelligentie iets positiefs. Maar als AI een weerspiegeling is van de menselijke natuur, dan betekent dit dat er ook niet-zo-goede eigenschappen in de modellen zijn geworteld, zoals vooroordelen. Het is waarschijnlijk onmogelijk om vooroordelen in data en AI te voorkomen, maar juist daarom is het cruciaal om je bewust te zijn van ethiek in datagedreven werken. In dit artikel geef ik meer informatie over bestaande EU-wetten die een goede normatieve basis bieden voor data-ethiek en presenteer ik praktische stappen om ethiek te integreren in AI-processen binnen organisaties.

De volgende twee EU-wetten vormen een goede basis van een ethisch begrip van data. De twee wetten zijn ontstaan als een natuurlijke afleiding van Europese waarden zoals menselijke waardigheid, vrijheid, democratie, gelijkheid, de rechtsstaat en mensenrechten en de ontwikkeling hiervan in een steeds meer digitale wereld.

1. AVG

De Algemene Verordening Gegevensbescherming (AVG) bevat regels voor de verwerking van persoonsgegevens door publieke en particuliere organisaties. De AVG creëert een gedeeld begrip van datarechten van individuen binnen de Europese Unie. Afgezien van het gebruik van persoonsgegevens voor persoonlijke of huishoudelijke activiteiten, gaat de AVG ervan uit dat het verzamelen en verwerken van persoonlijke data illegaal is. De AVG stelt uitzonderingen vast. Deze zijn als betrokkenen toestemming geven of de verwerking noodzakelijk is voor wettelijke verplichtingen, contracten, bescherming van de vitale en rechtmatige belangen en/of de uitvoering van taken.

De specifieke rechten van gebruikers omvatten toegang tot persoonsgegevens, wijziging, verwijdering, aanvraag, beperking van verwerking en het maken van een bezwaar tegen organisaties die je data verwerken. Organisaties die data verwerken zijn ook verplicht om bepaalde informatie te geven vóór het verzamelen. Onder andere gaat het om informatie en contactgegevens van de organisatie, uitleg van de rechten, duur van de opslag en de doeleinden waarvoor de data worden gebruikt.
Wat we hieruit kunnen concluderen in het kader van AI-ethiek is dat het een enorme verantwoordelijkheid is om persoonlijke data te verwerken. Mensen hebben immers interactie met AI – bijvoorbeeld met een AI bot - en AI-modellen worden getraind met grote hoeveelheden data. In het geval van persoonlijke data gelden de AVG-regels regels en omdat het gebruik van AI ook een verwerking van gegevens is, moeten AI-toepassingen deze rechten garanderen. De AVG geeft een goed overzicht van hoe serieus we persoonsgegevens moeten nemen en dient als een basisrichtlijn voor AI-ethiek.

Tip:
Als het om persoonsgegevens gaat, wees zo transparant mogelijk. Overweeg zorgvuldig op welke manier de gegevens door AI zullen worden gebruikt en welke potentiële gevaren daaraan verbonden kunnen zijn. Denk na over privacyrechten en of AI deze beschadigt. Stel dat je het gebruik van AI als onderdeel van je dienst communiceert, welke reactie verwacht je dan van je gebruikers? Hypothetische scenario’s kunnen nuttig zijn om te bepalen wanneer de risico’s te groot zijn en AI geen geschikte toepassing is. Hoe zou jij je voelen als je zou weten dat je genetische gegevens worden gebruikt om jouw gezondheidsprofiel te bepalen?

2. AI Act

In reactie op de opkomst van AI heeft de EU een AI-wet (AI Act) goedgekeurd in een poging om AI als technologie te reguleren. Terwijl de AVG een focus op individuen en hun rechten heeft, reguleert de AI Act organisaties die AI aanbieden en gebruiken.
De AI Act categoriseert AI-toepassingen op basis van risico. Onder deze wet zijn sommige soorten AI helemaal niet toegestaan in de EU. Dit zijn systemen die menselijk gedrag manipuleren of individuen ranken op basis van hun persoonlijke kenmerken zoals in het geval van de toeslagenaffaire[1]. De AI Act definieert ook de categorie van AI met een hoog risico, namelijk toepassingen die een bedreiging kunnen vormen voor de gezondheid, veiligheid of grondrechten van individuen. Al-toepassingen met een hoog risico zijn toepassingen op het gebied van zorg, onderwijs, migratie, werkgelegenheid, justitie en toegang tot essentiële private en publieke diensten. Verder wordt er onderscheid gemaakt tussen AI met een beperkt risico en AI voor algemeen gebruik (zoals ChatGPT). Toepassingen met een hoog risico moeten aan bepaalde eisen voldoen en worden geëvalueerd voordat ze op de markt komen en gedurende hun hele levenscyclus. Onder andere wordt gedetailleerde technische documentatie over deze systemen opgeëist, inclusief een algemene beschrijving van de AI, maar ook beschrijvingen van de gebruikte data, algoritmen en de test- en validatieprocessen. Daarnaast zijn AI-dienstverleners verplicht om mensen te betrekken bij het monitoren van de AI-systemen. Onder de AI Act moeten operationele limieten worden geïmplementeerd die ervoor zorgen dat het AI-systeem onder controle blijft van een menselijke operator.Voor AI met een beperkt risico gelden transparentieverplichtingen zoals het informeren van gebruikers dat ze met een AI-systeem interageren.  Elk EU-land bepaalt een conformiteitsinstantie die AI met hoog risico zal controleren de AI Act handhaven.

Gebruikers en aanbieders van AI die niet in de bovengenoemde categorieën vallen, worden aangemoedigd om een interne gedragscode voor AI te implementeren en daarbij ook rekening te houden met andere belangrijke aspecten van AI, zoals milieuduurzaamheid, diversiteit van ontwikkelingsteams en toegankelijkheid.
De AI Act is sinds 1 augustus 2024 in werking getreden en hoewel het nog wel even duurt voordat de regels volledig van toepassing zijn[2], biedt de wet een goede gelegenheid om de Europese AI-wereld voor te bereiden en betrouwbaarder te maken. Veel toepassingen zullen technische evaluaties ondergaan en moeten klaar zijn om hun betrouwbaarheid te bewijzen. Maar als je organisatie op dit moment niet als AI-verstrekker of gebruiker met hoog risico telt en er geen strenge eisen zijn aan je AI-systemen, kan de AI Act inspireren tot ethische maatregelen. Dat wordt niet alleen aangemoedigd in de Act, maar kan ook de reputatie van je organisatie versterken en je voorbereiden op toekomstige compliance-verplichtingen.
De AI Act is fundamenteel geïnspireerd op het groeiende belang van ethiek in AI en geeft tips op het gebied van AI en ethiek. De volgende praktische stappen kan je binnen je organisatie implementeren om te zorgen voor ethischer gebruik en ontwikkeling van AI. Of je organisatie nu gebruiker of aanbieder van AI is, onafhankelijk van het risiconiveau van de gebruikte AI, zijn ethische overwegingen en passende maatregelen belangrijk. 

Ethisch beleid

De gedragscodes die worden aangemoedigd in de AI Act zijn een soort intern beleid dat een gedeeld begrip van AI en ethiek binnen een organisatie vastlegt en passende regels introduceert om op een ethische manier met AI en data om te gaan.
Hoe begin je aan ethiek-beleid voor AI? Als eerste stap kan je de waarden van je organisatie met betrekking tot AI bespreken en daarna definities uitwerken, zodat er een goede basis wordt gelegd voor het ontwikkelen van specifieke maatregelen. Tijdens deze discussies is het goed om ook na te denken over de specifieke context van je organisatie omdat er diverse factoren kunnen meespelen voor de ethiek van AI-systemen. Waarop zou je AI een negatief effect kunnen hebben? Dat kan bijvoorbeeld zijn op de fysieke veiligheid van gebruikers, kansengelijkheid, het milieu, privacy. AI kan ook leiden tot discriminatie. Als je van de risico’s uitgaat kan je maatregelen formuleren die kunnen helpen om deze risico’s te voorkomen en te beheren. Wat zouden, gezien de risico’s, goede ethische gedragscodes kunnen zijn?

Bij het ontwikkelen van interne regels kun je aan elke persoon denken die betrokken is bij het gebruik of de ontwikkeling van AI. Ook collega’s die een interesse hebben in AI maar niet per se direct werken aan of met AI-toepassingen, kunnen goede inzichten inbrengen en bijdragen aan discussies over AI-maatregelen. Volgens de AI-wet moeten bepaalde AI-systemen gedurende hun hele levenscyclus worden gecontroleerd. Dit impliceert dat elke stap in alle AI-processen gereguleerd kan worden. Misschien wil je processen standaardiseren om ze meer gericht te maken op ethiek. Moet de documentatie een bepaalde structuur volgen of verwacht je dat AI-ontwikkelaars altijd bepaalde aspecten van ethiek bespreken voordat ze het model afronden? Of welke praktijken kunnen ontwikkelaars inzetten om ethische AI te ontwikkelen? Maak ook plannen voor periodieke evaluaties en hoe de organisatie kan zorgen voor een goed kennisniveau.
Als je nog in de beginfase zit van het inzetten van AI en niet de capaciteiten en ervaring hebt om een heel beleid op te stellen, kan je in ieder geval discussies voeren over AI-ethiek en misschien eerste regels formuleren. Dit kan later, als je meer ervaring met AI hebt opgedaan, uitgroeien tot een gedetailleerd beleid. Zie ethiek en gesprekken hierover als een investering in de toekomst van je organisatie.

Menselijk toezicht

Als er een beleid bestaat, is een toezichthoudend orgaan de logische volgende stap. Dit kan een persoon zijn, een hele commissie, maar heel belangrijk: geen AI.
Om de implementatie van ethische principes te garanderen, moeten deskundige mensen worden betrokken bij elke fase van processen die te maken hebben met AI. Kies een bepaalde persoon binnen je organisatie die hiervoor verantwoordelijk is en die regelmatig diverse aspecten van AI-ontwikkeling en -gebruik controleert. Deze persoon moet beschikken over grondige kennis van zowel AI-technologieën als ethiek. Daarnaast is het van belang dat hij/zij relevante ervaring heeft of regelmatige trainingen volgt om op de hoogte te blijven van de nieuwste ontwikkelingen en uitdagingen op het gebied van AI en ethiek. Dit zou ook een hele commissie kunnen zijn die risico’s in AI-modellen identificeert en deze regelmatig evalueert.
Misschien ziet je organisatie geen goede redenen om op dit moment een hele commissie op te zetten of om een persoon verantwoordelijk te maken voor een beperkt aantal maatregelen. Door trainingen, discussies of het delen van informatie over ethiek kan je medewerkers bewust maken van de risico’s van AI. Zo zullen ze nadenken over hun AI-kennis met betrekking tot hun werk en hierdoor voorzichtiger omgaan met AI als technologie.

Documentatie

Goede technische documentatie helpt niet alleen bij externe audits en controles, maar kan ook de interne transparantie vergroten en meer mensen betrekken bij het interne toezicht op het systeem.
ocumenteer zoveel mogelijk over AI-modellen. Wat zijn de functionaliteiten van het model, wie zijn de doelgroepen en hoe was de AI ontworpen? Zorg ook voor voldoende informatie over de databronnen, datatransformaties, keuze van variabelen en algoritmen. Noteer informatie over het proces, belangrijke veranderingen en beslissingen. Vergeet bovendien niet ook de limieten van het model te beschrijven en de documentatie regelmatig aan te vullen.
Ook als gebruiker van AI-systemen kan je AI-documentatie als techniek inzetten om het ethisch gebruik van AI te controleren. Bewaar bijvoorbeeld informatie over het denkproces achter de keuze van AI-producten, interacties met aanbieders, de technische implementatie van de AI of fouten die vaak optreden. Om je positie als gebruiker te versterken kan je aanbieders om hun technische documentatie vragen. Zo krijg je beter inzicht in de werking van de specifieke AI-toepassing.

Regelmatige evaluatie

AI is een technologie die voortdurend in ontwikkeling is, waardoor het noodzakelijk is om het gebruik en ontwikkeling van AI binnen organisaties regelmatig te controleren en evalueren. Dit geldt voor alle tot nu toe opgenoemde tips.
AI-gedragscodes moeten een levendige discussie blijven oproepen en vaak genoeg herzien worden in reactie op de nieuwste ontwikkelingen binnen en buiten je organisatie. Stel dat je organisatie modellen wil ontwikkelen die gebruikmaken van persoonlijke data, dan brengt dit nieuwe ethische uitdagingen met zich mee; je kan dan bijvoorbeeld bespreken hoe je discriminatie voorkomt.

Eerste effecten

De AI Act is net goedgekeurd door de EU-lidstaten en het zal tot 24 maanden duren voordat we de eerste effecten van de wet zullen zien. Dit artikel is bedoeld om de Act te gebruiken als hulpmiddel om tot ethische overwegingen te komen. Als je meer wilt lezen over ethische dilemma’s bij het gebruik van generatieve AI, vind je meer informatie in ons artikel ‘AI en Ethiek: Verantwoord AI-gebruik binnen maatschappelijke organisaties’, terwijl ons artikel ‘Data-ethiek gaat over empathie, solidariteit, moraal’ een meer filosofisch perspectief biedt.

[1]Een volledige lijst vind je hier.

[2] Hoewel de AI Act sinds 1 augustus 2024 van kracht is, zullen de meeste regels pas 24 maanden na deze datum in werking treden. De implementatie van de nieuwe AI-regels zal stap voor stap plaatsvinden, afhankelijk van de risicogroep waartoe AI-toepassingen behoren. Bovendien krijgen landen de tijd om nationale instanties te kiezen voor de conformiteitscontroles. Titel II, hoofdstuk 4 en titel VI zijn van toepassing vanaf 1 november (drie maanden na de inwerkingtreding van de Act.) Artikel 71 is van toepassing vanaf 1 augustus 2024.