Europa wil weer voorop in de AA-IE

VS en China maken de dienst uit

Kunstmatige intelligentie biedt grote kansen én risico’s. De Europese Unie wil het proces in goede banen leiden en tegelijk een belangrijke speler worden op de wereldmarkt. Het zal gevolgen hebben voor lokale overheden, als de toezichthouders en aanjagers van technische innovatie.

Meer data in Europa. Dat is wat de Europese Unie wil. De Verenigde Staten en China maken nu de dienst uit op datagebied, wat niet alleen betekent dat Europa geld misloopt, maar ook dat er geen grip is op hoe er met data wordt omgesprongen. In het komende ‘digitale decennium’ wil de EU de achterstand inlopen. Er zijn veel initiatieven om dat doel te bereiken. Er komen wetten en strategieën aan voor digitale markten, digitale diensten, privacy, de media, digitale financiering, digitale identiteit en ga zo maar door.

De Europese Unie komt binnenkort met een voorstel voor de Data Governance Act, die gegevensuitwisseling in de EU moet verbeteren. Het gaat bijvoorbeeld om het hergebruiken van overheidsgegevens, ‘wanneer die gegevens onderworpen zijn aan rechten van anderen’, en gegevens deling tussen bedrijven tegen een vergoeding. Op 1 december zou het voorstel er moeten zijn. Wat er al ligt, is het wetsvoorstel voor kunstmatige intelligentie – de Artificial Intelligence Act. De maatschappij evolueert snel, schrijft de EU, en systemen van kunstmatige intelligentie (AI) bieden allerlei voordelen. Ze kunnen uitkomst bieden bij het oplossen van maatschappelijke problemen. Volgens Europa Decentraal kunnen lokale overheden ze goed gebruiken: ‘Door slim gebruik te maken van AI bij onder andere infrastructuur, afval en toezicht, kunnen steden efficiënter en duurzamer worden ingericht. Zo kan AI worden ingezet bij het effectiever regelen van verkeersstromen.’

De technologieën brengen ook grote risico’s met zich mee. Het kan ‘leiden tot vormen van discriminatie, schending van privacy en persoonsgegevens of inbreuk op sommige vrijheden’. Om die reden werd in februari 2020 het gebruik van anti-fraudesysteem SyRI door de rechtbank verboden. Het zou ‘onvoldoende controleerbaar’ zijn en het vormde een te grote inbreuk op de privacy van burgers. De Europese Commissie ziet dergelijke risico’s ook en heeft daarom een paar jaar geleden een aantal ‘ethische richtsnoeren’ opgesteld: AI moet wettig, ethisch en robuust zijn uit zowel technisch als sociaal oogpunt, omdat AI-systemen ondanks goede bedoelingen toch schade aan kunnen richten.

Risico’s

In de huidige regelgeving komen de risico’s te weinig naar voren, vindt de Commissie, dus kwam ze in april met een nieuwe aanpak. Het wordt gezien als een ambitieus voorstel dat probeert een nieuwe markt te creëren en een wereldwijd domino-effect te veroorzaken. ‘Gezien de snelheid van de technologische veranderingen en de mogelijke uitdagingen, is de EU vastbesloten te streven naar een evenwichtige aanpak’, schrijft de Commissie. ‘Het is in het belang van de EU om haar technologische leiderspositie te behouden en ervoor te zorgen dat Europeanen kunnen genieten van nieuwe technologieen, ontwikkeld en functionerend volgens de waarden, grondrechten en beginselen van de Unie.’

Een Europese voorloper van dit voorstel is de General Data Protection Regulation (GDPR), in Nederland vertaald als de AVG. Het verschil daarmee illustreert ook waar AI om draait: de GDPR gaat over privacy en beveiliging bij het verzamelen en verwerken van data. De AI-regulering gaat om de technieken die worden losgelaten op die verzamelingen data – algoritmen die de onderliggende data gebruiken. ‘Het grote plaatje voor de Europese Unie in één zin is: we willen meer data in Europa’, zegt Kalliopi Spyridaki, chief privacy strategist bij analytics- en AI-specialist SAS.

‘We willen data pools, we willen innovatie en we zullen wetten creëren om dat mogelijk te maken. Momenteel zijn de Verenigde Staten en China de grote spelers en Rusland is opkomend. De Europese Unie wil een omgeving waarin innovatie mogelijk is, maar waar mensen ook worden beschermd.’ Belangrijk aan de wetgeving is dat die kijkt naar risico. Er is AI met beperkt risico, met hoog risico en met onaanvaardbaar risico. Voor die indeling kijkt de EU naar de impact van de AI-toepassingen op veiligheid, mensenrechten en vrijheden. Bij het gebruik van een chatbot is bijvoorbeeld slechts sprake van beperkt risico. Systemen met een hoog risico zijn biometrische identificatie, rechtshandhaving of systemen ‘die bedoeld zijn om door of namens overheidsinstanties te worden gebruikt om te beoordelen of natuurlijke personen in aanmerking komen voor overheidsuitkeringen en -diensten’. Er is veel maatschappelijke discussie over.

Onaanvaardbaar

Een onaanvaardbaar risico kan ontstaan bij systemen die kwetsbaarheden van mensen uitbuiten, bij systemen die worden gebruikt voor onbeperkte surveillance of bij systemen die worden gebruikt voor social scoring. Denk bij die laatste aan systemen van sociaal krediet zoals China die heeft. En in de Verenigde Staten zijn kredietscores heel belangrijk. Deze wetgeving bepaalt dat dergelijke scores niet mogen worden gebruikt om onderscheid te maken tussen burgers, bijvoorbeeld door te bepalen wie waar mag wonen. Zo probeert de EU Amerikaanse toestanden te voorkomen.

De op risico gebaseerde aanpak plaatst de bewijslast bij de ontwikkelaars, gebruikers en toezichthouders. Zij zullen moet onderzoeken en onderbouwen in welke categorieën hun systemen vallen. Dat kan lastig zijn als ze voor meerdere doeleinden kunnen worden gebruikt, zoals bijvoorbeeld de software die SAS ontwikkelt. ‘Onze software is niet ontwikkeld voor een bepaald type gebruik’, zegt Spyridaki. ‘De meeste bedrijven in de b2b-sector opereren zo. Hoe kunnen we aan de voorschriften voldoen als we geen controle hebben over hoe onze software wordt gebruikt?’ Er zijn bedrijven die de voorschriften te complex vinden, weet Spyridaki, maar zo denkt SAS er (nog) niet over.

Het succes van de wetgeving zal afhangen van hoe goed de aanjagersrol werkt. Sommigen ervaren Europese wetgeving als een hindernis, maar de EU rekent erop dat de AI-verordening een standaard wordt. Zo ging het ook bij de GDPR (AVG). Een Australisch bedrijf vertelde Spyridaki: als je de GDPR aanhoudt, zit je overal ter wereld goed. ‘De wetgeving werd overal overgenomen en daarmee een wereldwijde standaard, ook vanuit een filosofisch en menselijk perspectief. Deze verordening moet dat bewerkstelligen voor AI.’

Toch is er twijfel bij Spyridaki. ‘Het blijft een goed doordachte wet, zonder grote gaten, maar het proces verloopt langzaam. Zolang het Europees Parlement er niet mee aan de slag gaat blijft het bij lijstjes afvinken en komt er geen debat.’ In het hart van het proces, wanneer het parlement het bespreekt en er wellicht nog duizenden amendementen binnenkomen, wordt het makkelijker in te schatten wat de juridische aspecten en praktische toepassingen van de wetgeving zullen zijn. Zodra de regulering wordt aangenomen, zal Nederland de bepalingen in nationale wet- en regelgeving moeten doorvoeren. ‘Wat het voorstel voor een Europese AI-verordening precies inhoudt voor decentrale overheden is nog niet bekend’, schrijft Europa Decentraal. ‘Ook is het nog onduidelijk wat de Nederlandse plannen concreet zijn op het gebied van AI-wetgeving.’

Aanjagers

Overheden zullen als gebruikers en handhavers met de wetgeving te maken krijgen. Overheden zijn belangrijke aanjagers geweest van technologische vernieuwing, zoals toen Rotterdam SyRI in gebruik nam, wat leidde tot het verbod begin 2020. Eerder dit jaar beboette de Autoriteit Persoonsgegevens (AP) Enschede omdat het een wifi-trackingsysteem gebruikte om burgers te volgen. Enschede benadrukte dat de verzamelde gegevens niet terug te leiden zou zijn tot personen, maar de AP was het daar niet mee eens. Enschede omschreef zichzelf als ‘een stad waar technologie, innovatie en creativiteit tot de culturele traditie behoort’ en stelde dat de AP de voortrekkersrol bestrafte. Daar ging de AP niet in mee, vertelde vicevoorzitter Monique Verdier. ‘Innovatie is geen rechtvaardiging om aan de voorkant dan maar niet voldoende naar privacy te kijken.’

Toezicht en handhaving van de Europese AI-regulering kan een struikelpunt zijn, zegt Spyridaki. ‘Helaas krijgen de lidstaten de flexibiliteit om de toezichthoudende autoriteiten te kiezen. Ik zeg helaas omdat het in sommige landen de mededingingsautoriteit kan zijn en in andere landen de gegevensbeschermingsautoriteit en in weer andere landen de regelgevende instanties voor bijvoorbeeld telecommunicatie.’ Europese coördinatie is dan moeilijk.

Een sectorale benadering is ook een mogelijkheid. ‘In de financiële dienstensector kun je bijvoorbeeld bestaande regelgevers voor financiële diensten de bevoegdheid geven om toezicht te houden op AI-systemen die door banken worden gebruikt.’

Wat kunnen Nederlandse overheden en ambtenaren doen? ‘Zij bevinden zich waar de wetten effect krijgen’, zegt Linnet Taylor, sinds oktober hoogleraar International Data Governance aan de Tilburg Universiteit. ‘Wetgeving heeft alleen zin als er toezicht en handhaving is. Er is veel debat over hoe dit gaat gebeuren. Sommige formele controle, zoals audits, zullen worden uitbesteed aan de grote bedrijven. Maar overheden moeten ook aan de slag. Er zullen geen teams uit het niets komen om de wetgeving te handhaven.’

Zodra de Europese regulering wordt aangenomen, moet in alle landen het debat plaatsvinden over hoe het nationale wetgeving wordt. Taylor verwacht dat dat debat over AI in Nederland zal leiden tot botsingen, omdat Nederland een innovatievriendelijk land is en de publieke en private sectoren de grenzen opzoeken van wat mogelijk is. Wie het toezicht moet houden, krijgt er een flinke taak aan.

Taylor: ‘Mijn inschatting is dat er geen nieuwe instituties komen voor toezicht, maar nieuwe vormen van samenwerking. Een complex netwerk van toezicht, ombudsmannen en compliance officers. Er zal een hoop nieuwe expertise nodig zijn om te zorgen dat het toezicht effectief is. Ik verwacht dat overheden daarom een stuk meer gaan samenwerken met de academische wereld. Niet alleen om problemen op te lossen, maar ook om problemen te voorkomen. Ze moeten niet wachten totdat het allemaal misgaat.’

Deze publicatie is mede mogelijk gemaakt door een bijdrage van het mediafonds van de Europese Unie.