Europa raakte het afgelopen weekend eens over de Europese spelregels voor AI. Wat betekent die wet voor bedrijven die vandaag AI-toepassingen ontwikkelen? Belemmert ze hun innovatie, of zijn ze blij dat er een wettelijke wegwijzer is voor wat mag en kan?
Wat staat er in?
Wat je op dit moment moet weten is dat de details van de AI Act nog niet publiek zijn. Er is een akkoord tussen de Europese Raad, de Europese Commissie en het Europees Parlement over de tekst, zodat die normaal nog deze legislatuur (voor de Europese verkiezingen in 2024) wordt gestemd. Dan volgt de nationale ratificatie door de lidstaten en dan pas kan de AI Act formeel in voege gaan.
Maar de grote lijnen van de tekst zijn wel bekend. De AI Act moet er voor zorgen dat er binnen Europa veilig en verantwoord wordt omgegaan met AI. Het snijpunt zit er daarbij in hoe je zo veel mogelijk innovatie toelaat, maar met beperking van maatschappelijke risico’s. Zo staat vast dat AI-systemen worden ingedeeld op basis van risico, waarbij de meesten een label voor minimaal risico zullen krijgen. Denk daarbij aan een spamfilter die met AI ongewenste mails blokkeert. Met uitzondering van het prinsencollectief van Nigeria zal dat weinig mensen benadelen.
AI met een hoog risicoprofiel krijgt strengere regels. Hier gaat het om kunstmatige intelligentie die werkt met (grote) datasets en gevoelige gegevens. Tools om meer inzichten te krijgen uit je klantendata of personeelsbestand kunnen daar onder vallen, net zoals medische en biometrische toepassingen of zaken rond onderwijs. Europa wil dat zulke systemen goed gedocumenteerd zijn, dat er altijd menselijk toezicht is en dat wat het algoritme voorstelt ook kan worden verklaard.
Tot slot zijn er ook de ‘verboden toepassingen’, zaken waar Europa het risico te groot acht om ze toe te laten. Een vaak gebruikt voorbeeld is social scoring, een systeem waar je als burger wordt beoordeeld op je gedrag, of emotieherkenning in het onderwijs of op het werk. Daarvoor bedankt Europa, maar tegelijk zijn er uitzonderingen mogelijk. Dan mag diezelfde toepassing wel worden gebruikt om bijvoorbeeld een terreuraanval te voorkomen, of om vlotter slachtoffers te herkennen. Dingen die op papier mooi klinken, maar de deur weer op een kier zetten.
Wat verandert dit?
Hoewel de effectieve implementatie pas voor 2026 is, houdt de wetgeving ook Belgische bedrijven bezig. Data News ging bij enkele spelers polsen hoe zij naar de AI Act kijken. Daar horen we vooral nuance en tevredenheid dat er duidelijkheid komt. ‘In aanloop van de wetgeving horen we vaak ‘AI is niet gereguleerd’, maar dat klopt niet,’ zegt Michiel Van Lerbeirghe, Legal Counsel bij ML6. ‘Als wij vandaag projecten uitwerken dan houden we rekening met bestaande wetgeving. Gaat dat gepaard met persoonsgegevens, dan moeten we ook rekening houden met de GDPR en zorgen dat die data goed beveiligd is,’ klinkt het. Hetzelfde geldt voor copyrightregels met externe data, of non-discriminatie. ‘Wat wel verandert is dat er nu specifieke wetgeving is, met plichten en boetes en dat dat geharmoniseerd is binnen de EU.
Ook bij In The Pocket zien ze in de AI Act geen gamechanger voor hun activiteiten. ‘Ik denk dat bedrijven momenteel vaker aanlopen tegen beperkingen door de GDPR dan tegen de dingen die in de AI Act aan bod komen,’ vertelt Frederik De Bosschere, verantwoordelijk voor strategie en AI bij In The Pocket, en een van de twee mensen achter de techpodcast Computer Club.
Cegeka, een grote Belgische speler actief in vrijwel heel Europa en daarbuiten, komt tot dezelfde conclusie. ‘Algemeen is dit positief voor ons. Het trekt een aantal lijnen rond wat ethisch toegelaten is,’ zegt Tim Jacobs, AI-specialist bij Cegeka daarover. Wat sterk meespeelt is dat veel bedrijven vandaag al een ethische code hanteren, waardoor projecten die door Europa verboden zijn zo goed als niet op de agenda staan. ‘De meeste bedrijven hebben wel een moreel kompas rond wat ze wel of niet willen doen,’ zegt De Bosschere.
‘Ik denk dat bedrijven momenteel vaker aanlopen tegen beperkingen door de GDPR dan tegen de dingen die in de AI Act aan bod komen.’
Frederik De Bosschere, In The Pocket
Dat extra regels er voor zorgen dat er minder innovatie vanuit Europa zal komen wil hij ook nuanceren. ‘Het kan zijn dat er hierdoor minder in Europese AI wordt geïnvesteerd, maar de echte reden voor zo’n verschil is dat er gewoon minder venture capital in onze startups zitten, en in mindere mate omdat er hier meer regels zijn voor AI.’
‘Dat de AI Act innovatie zou belemmeren of wegjagen uit Europa, klopt volgens mij niet,’ zegt ook Van Lerbeirghe (ML6) daarover. Hij vergelijkt het met de GDPR, waar ook felle kritiek op was bij de introductie in 2018, maar nadien werd overgenomen buiten Europa.
Jacobs (Cegeka): ‘Wij focussen ons op projecten die een positieve maatschappelijke impact hebben en de AI Act laat ons toe daar verder op te focussen. AI zal een impact hebben op ons leven, maar deze wet gaat helpen om daar een positief verhaal rond te brengen.’
Meer regels, meer gedoe?
Een wet komt met regels en regels komen doorgaans met extra werk. Dat wordt niet ontkend, maar ook niet verguisd in de sector: ‘Natuurlijk komt er extra werklast bij, maar in ons geval zijn we er wel op georganiseerd om compliant te zijn. Je moet kunnen aantonen welke dataset je gebruikt, je moet testen op mogelijke bias, maar dat doen we vandaag al in onze AI-projecten, alleen zal dat nu iets formeler gebeuren,’ zegt Jacobs. ‘Je zal moeten documenteren en transparantie geven, bijvoorbeeld duidelijk maken wanneer je met een chatbot spreekt, maar pak je een project op een volwassen manier aan, dan heb je die transparantie.’
‘Nog voor deze wetgeving in de steigers stond hanteerden we al ethische normen,’ zegt Van Lerbeirghe (ML6) daarover. ‘Eigenlijk zien we die normen door de AI Act omgezet in bindende wetgeving. Ook de door Europa ‘verboden’ toepassingen zijn zaken die we sowieso niet zouden doen. Bij ML6 hebben we een ethisch squad waar we use cases bespreken, alles wat de EU nu als niet toegelaten voorbeeld noemt, zouden we ook niet aannemen als opdracht.’
AI zal een impact hebben op ons leven, maar deze wet gaat helpen om daar een positief verhaal rond te brengen.
Tim Jacobs, Cegeka
Rond AI-toepassingen die als hoog risico worden beschouwd is er geen bezorgdheid, maar wel extra alertheid. ‘Die doen we wel en dat zal meer tijd en energie vragen om daar processen rond op te bouwen of beleid in kaart te brengen, maar dat is niet onmogelijk,’ zegt Van Lerbeirghe. ‘Goede producten moeten ook respect hebben voor gebruikers,’ zegt De Bosschere (In The Pocket). ‘Als AI een aanbeveling doet rond een werknemer, dan moet je kunnen uitleggen hoe dat systeem werkt en hoe het tot die conclusie komt.’
Gemiste kansen?
Als er dan toch wat kritiek mag zijn, dan merkt Van Lerbeirghe op dat er nog weinig duidelijk is, zowel over de concrete toepassing als op de impact op Europa en de rest van de wereld. ‘Er zijn bijvoorbeeld regels rond sandboxes, waarbinnen je niet moet voldoen aan een aantal voorwaarden, maar dat lijkt me een vaag concept waarvan we niet weten hoe dat in praktijk uitdraait.’
Jacobs (Cegeka) vraagt zich vooral af hoe toekomstgericht de AI Act zal zijn als ze tegen 2026 in praktijk wordt omgezet. ‘Twee jaar is lang. We zijn nu een jaar na de lancering van ChatGPT en als ik zie wat dat heeft veranderd voor de projecten die we bouwen, bijvoorbeeld rond de assistenten die we bouwen, dan vraag ik me af wat er tegen dan mogelijk wordt.’ Jacobs noemt daarbij onder meer de opkomst van generatieve video, en situaties waarbij de avatar (beeltenis) van iemand kan worden gebruikt. Iets wat vandaag al gebeurt met deepfake video’s, maar op termijn veel sneller en geautomatiseerd kan lopen.
‘De wettekst definieert vandaag een aantal rollen zoals een maker, een leverancier of distributeur. Gaat dat binnen twee jaar al aanvulling nodig hebben? Want zo’n wettekst pas je niet op een maand aan. Het kan zijn dat er tegen dan opnieuw iets aankomt dat zodanig disruptief is, dat er bijsturing nodig is.’
De door Europa ‘verboden’ toepassingen zijn zaken die we sowieso niet zouden doen.
Michiel Van Lerbeirghe
De Bosschere (In The Pocket) merkt op dat het wat vreemd is dat bij boetes de schuld kan worden gelegd bij de speler die het AI-model ontwikkelt, en niet bij wie het implementeert. ‘Dat is een beetje alsof je de fabriek bestraft die messen ontwikkelt en maakt in plaats van de persoon die er iemand mee neersteekt. Gelukkig is er daar wel een uitzondering voor open source, want anders gaat niemand infrastructuur durven ontwikkelen, wetende dat je mogelijk mee verantwoordelijk bent voor misbruik.’
De tijd zal verduidelijken
Alles bij elkaar wordt de AI Act positief onthaald en lijkt ze buiten extra formaliteiten geen grote gamechanger te zijn voor de Belgische bedrijven die we spreken. Het schept duidelijkheid, maar pakt vooral de mogelijk risicovolle situaties aan, waar ontwikkelaars vaak al enige voorzichtigheid hanteren.
Wel zal pas binnen enkele jaren, lang na de implementatie van de AI Act, duidelijk worden waar de echte pijnpunten of het extra werk ligt. Van Lerbeirghe (ML6) wijst er op dat de wet zich nog moet ‘zetten’ in de maatschappij. ‘Er zal nog rechtspraak komen over de exacte interpretatie van de wet, er zullen richtlijnen en best practices komen. Zaken als real time identificatie op straat worden enerzijds uitgesloten, maar er zijn ook een aantal uitzonderingen voor politiediensten. Dat zijn voorbeelden waar rechtspraak een rol zal spelen en moet bepalen hoe ver die uitzondering gaat.’ Jacobs (Cegeka): ‘Je kan niet alles uitklaren in wetgeving, er zullen interpretaties komen of rechtszaken om dingen te verduidelijken, maar dat komt uiteindelijk ook in orde.’
Kortom, het recept is geschreven, maar we zullen pas binnen enkele jaren weten hoe de soep zal smaken.
Fout opgemerkt of meer nieuws? Meld het hier