AI Act: er is een (politieke) deal!

De dag 6 december 2023 stond bij velen met een rode cirkel in de agenda. Alle ogen waren gericht op Brussel. Dit was de dag dat overeenstemming moest worden verkregen over de AI Act: de eerste verordening waarin regels worden vastgelegd over het ontwikkelen en inzetten van AI-systemen. In de eerste blog van onze AI-blogreeks schreven wij over de Europese AI Act. Zou overeenstemming worden bereikt over de AI Act op 6 december 2023, dan zou de verordening (relatief) snel in werking kunnen treden. Zou overeenstemming niet op die dag worden bereikt, dan moest er waarschijnlijk worden gewacht tot na de Europese verkiezingen, die in juni 2024 plaatsvinden. Dit zou een enorme vertraging opleveren. Uiteindelijk werd pas op 8 december 2023, na bijna 36 uur onderhandelen (exclusief een pauze), een overeenstemming bereikt over de inhoud van de AI Act, een record. In dit artikel leggen wij uit waarom de onderhandelingen zo lang duurden, wat nu is afgesproken en hoe het proces met betrekking tot de AI Act verdergaat

Hoe zagen de onderhandelingen eruit?

In 2021 heeft de Europese Commissie een voorstel voor de AI-verordening ingediend. Vervolgens was het aan het Europees Parlement en de Raad van de Europese Unie om ook hun kijk te geven op dit voorstel. Dit gebeurde pas afgelopen zomer omdat in de tussentijd veel ontwikkelingen hadden plaatsgevonden (waaronder de komst van ChatGPT), waar nog geen rekening mee was gehouden bij het uitbrengen van het voorstel. Nadat het Europees Parlement en de Raad het voorstel hadden bekeken en (vele) aanpassingen hadden voorgesteld, begon eind deze zomer de zogenoemde ‘trialoog’. De trialoog is de onderhandelingsfase waarin het voorstel inhoudelijk wordt behandeld door de drie Europese wetgevingsinstanties: Europees Parlement, Raad van Ministers van de Europese Unie en de Europese Commissie. Afgelopen week zou de zesde en laatste trialoog plaatsvinden. Het was erg spannend of dit ook daadwerkelijk de laatste trialoog zou gaan worden omdat er geschilpunten bestonden waarover de wetgevingsinstanties het niet eens leken te worden. De voornaamste geschilpunten zetten wij hier uiteen: de regulering van ‘foundation models’ en general purpose AI-systemen, en de lijst van verboden AI-systemen, met eventuele uitzonderingen voor nationale veiligheid.

Foundation models: regulering versus innovatie

Een belangrijk geschilpunt was de regulering van zogenoemde ‘foundation models’. Dit zijn basismodellen die getraind zijn op grote hoeveelheden gegevens en die de ontwikkeling van verschillende AI-toepassingen mogelijk maken. Een voorbeeld van een foundation model is GPT-4 van OpenAI en Gemini van Google. Op deze foundation models kunnen meerdere AI-toepassingen worden ontwikkeld en kunnen AI-toepassing worden ontwikkeld die worden ingezet voor verschillende doeleinden (zogenoemde general purpose AI-systemen), zoals ChatGPT en DALL•E. De discussie die speelde zag op de vraag of en hoe deze foundation models gereguleerd moesten worden. Frankrijk, Duitsland en Italië wilden – in het kader van het stimuleren van innovatie en concurrentie – het liefst dat ontwikkelaars van foundation models aan zelfregulering zouden doen, terwijl anderen wilden dat er ook voor deze basismodellen strenge en duidelijke regels werden vastgelegd in de AI-verordening. Uiteindelijk is er gekozen voor een getrapt systeem, waarbij grote foundation models aan meer verplichtingen zullen moeten voldoen dan de kleinere foundation models. De grote foundation models zullen aan verplichtingen moeten voldoen op het gebied van cybersecurity, modelevaluatie en energieverbruik. Verder gaat voor alle foundation models – ongeacht de omvang van de dataset – gelden dat zij moeten voldoen aan een aantal transparantieverplichtingen, onder meer ten aanzien van de (auteursrechtelijk beschermde) gegevens die zijn gebruikt om het model te trainen.

Verboden AI-systemen en uitzonderingen voor nationale veiligheid

Een tweede geschilpunt zag op het gebruik van biometrische identificatiesystemen in de openbare ruimte, waarmee personen kunnen worden herkend. Het Europees Parlement was van mening dat deze AI-systemen verboden moesten worden omdat dergelijke systemen een groot risico vormen voor de bescherming van mensenrechten, zoals het recht op privacy en non-discriminatie. De Raad wilde daarentegen dat dergelijke systemen wel gebruikt konden worden in het kader van de nationale veiligheid nu deze systemen kunnen worden ingezet bij het voorkomen en oplossen van misdrijven, het opsporen van verdachten en het opsporen van vermiste personen. De gulden middenweg werd gevonden tijdens de laatste trialoog. De lijst met verboden AI-systemen wordt uitgebreid, maar met een mogelijkheid voor het gebruik van biometrische identificatie door rechtshandhavingsinstanties, mits wordt voldaan aan aanvullende waarborgen. Ook mogen dergelijke AI-systemen dan alleen worden ingezet indien het gebruik strikt noodzakelijk is voor rechtshandhavingsdoeleinden voor vooraf vastgelegde misdrijven, en er moet toestemming verkregen worden van een rechter voor het gebruik daarvan.

Toezicht en boetes

Er is ook meer duidelijkheid gekomen over toezicht op de AI-verordening op Europees niveau. Er gaat een AI Office komen die de toezichthoudende rol gaat uitvoeren op het gebied van foundation models. Daarnaast dienen nationale toezichthouders te worden aangewezen, die worden verenigd in een European Artificial Intelligence Board (‘EAIB’), vergelijkbaar met de European Data Protection Board (‘EDPB’). De EAIB zal onafhankelijk toezicht houden op en adviezen geven over de AI-verordening en de praktische toepassing daarvan. De boetes voor overtredingen van de AI-verordening werden ook vastgesteld. Iets lager dan in het voorstel van het Europees Parlement, maar nog steeds flinke bedragen. De boete wordt vastgesteld aan de hand van een bepaald percentage van de totale jaaromzet van een organisatie of het betreft een vooraf bepaald bedrag, afhankelijk van welk bedrag hoger is. Dit zou neerkomen op 35 miljoen of 7% voor de onrechtmatige inzet van verboden AI-systemen, 15 miljoen of 3% voor overtredingen ten aanzien van andere categorieën AI-systemen en 7.5 miljoen of 1.5% voor het verstrekken van onjuiste informatie. Voor kleinere ondernemingen en startups gaan hoogstwaarschijnlijk nog lagere boeteregels gelden.

Hoe nu verder?

We zijn er nog niet. De Europese wetgevende instanties hebben een overeenstemming bereikt over de inhoud van de AI-verordening, maar nu moet nog overeenstemming worden bereikt over de definitieve tekst op papier. De komende weken wordt de definitieve tekst uitgewerkt en daarna moeten de wetgevende instanties hier nog over instemmen. Zodra dat is gebeurd, zal de AI-verordening in werking treden. De verwachting (en hoop) is dat begin 2024 de stemming kan plaatsvinden. Vervolgens zal er nog een transitieperiode gelden voor organisaties om hun AI-systemen in overeenstemming te brengen met de AI-verordening. De transitieperiode zal in beginsel 2 jaar zijn, maar sommige bepalingen – zoals ten aanzien van de verboden AI-systemen – zullen naar verwachting al eerder van kracht gaan, namelijk 6 maanden na de inwerkingtreding. Vermoedelijk zal in 2026 de AI Act volledig in werking getreden zijn. Lees voor meer informatie ook nog het persbericht van het Europees Parlement en van de Raad. Wij houden u uiteraard op de hoogte van ontwikkelingen op het gebied van AI en de (definitieve tekst van de) AI-verordening. Mocht u hierover vragen hebben of heeft u hierbij hulp nodig? Neem dan contact op met ons AI-team. Zij helpen u graag verder.