De Europese datastrategie in uitvoering – De AI Act

In februari 2020 presenteerde de Europese Commissie haar nieuwe Data Strategie met als doel: Europa voorop te laten lopen in een data gedreven wereld. Belangrijk onderdeel van deze strategie is het mogelijk maken van vrij verkeer van data tussen lidstaten én verschillende sectoren. In deze reeks neemt Senior Business Consultant Noah de Groot je mee in drie belangrijke verordeningen die de Europese Commissie heeft voorgesteld om haar data strategie tot uitvoering te brengen. Wat wordt er beschreven in deze ‘acts’, en welke impact hebben ze op financiële dienstverleners? In deel 1 en deel 2 gingen we dieper in op Data Governance Act en de Data Act. In dit derde en laatste deel zoomen we in op de AI Act en de vraag hoe deze wetgeving invloed heeft op financiële dienstverleners.

Artificial Intelligence Act

De Europese Commissie heeft gezien dat artificial intelligence de afgelopen tijd aan een enorme opmars is begonnen. De opkomst van nieuwe AI-systemen en de run op het gebruik hiervan, legde de basis voor de AI Act: een wettelijk kader dat de veiligheid en rechten van personen en bedrijven moet waarborgen maar er ook voor moet zorgen dat de enorme potentie van AI benut wordt. De AI Act is een uitgebreide en horizontale verordening die de gehele levenscyclus van AI-systemen bestrijkt, van ontwerp en ontwikkeling tot gebruik en monitoring. Het definieert vier categorieën AI-systemen op basis van hun risiconiveau voor de mensenrechten en veiligheid: verboden, hoog risico, beperkt risico en minimaal risico.

Verboden AI-systemen zijn systemen die menselijk gedrag manipuleren, kwetsbaarheden uitbuiten of sociale scores toekennen. Denk bijvoorbeeld aan systemen die op basis van persoonskenmerken als leeftijd, geslacht of ras groepen mensen classificeren en scherper monitoren of controleren, het zogenaamde ‘predictive policing’. Deze systemen worden in de tijdslijn van implementatie van de wet als eerste verboden, 6 maanden nadat de wet gepubliceerd is.

Hoog risico-AI-systemen zijn systemen die worden ingezet in gebieden met een significante impact op het leven van mensen, zoals gezondheid, onderwijs, werkgelegenheid, justitie of openbaar bestuur. Deze systemen moeten voldoen aan strenge eisen op het gebied van datakwaliteit, menselijk toezicht, transparantie, nauwkeurigheid en beveiliging.

Beperkt risico AI-systemen zijn systemen die enig risico vormen voor de mensenrechten, zoals chatbots of deepfakes. Deze systemen moeten gebruikers informeren dat ze communiceren met een AI-systeem en dus niet met een medemens. Hieronder vallen ook de zogenaamde Large Language Models (LLM’s) zoals ChatGPT en Microsoft Copilot. Zij krijgen expliciete regels waaraan ze zullen moeten voldoen onder andere op het gebied van transparantie en auteursrecht.

Minimaal risico-AI-systemen zijn die welke geen of verwaarloosbare impact hebben op de mensenrechten, zoals games of spamfilters. Al deze systemen zullen worden onderworpen aan de bestaande EU-wetgeving, zoals bijvoorbeeld GDPR. De AI Act is daarmee voor veel organisaties dichterbij dan je denkt. Maak je als organisatie bijvoorbeeld gebruik van voorspellende modellen, dan dient dit altijd aan de al geldende wet- en regelgeving te voldoen.

Kansen-

Hoewel de AI Act daarmee lijkt op enkel een wettelijke verplichting, kan het ook een strategische kans zijn voor organisaties om het potentieel van AI te benutten. Het succesvol implementeren van maatregelen die de AI Act voorschrijft leidt tot meer transparantie en vertrouwen in de gebruikte AI-toepassingen. Dat maakt het makkelijker om naar klanten en toezichthouders uit te kunnen leggen hoe en waarvoor je AI inzet in je organisatie. Doordat daarnaast de vereiste veiligheids- en beheersmaatregelen worden genomen, is er meer vertrouwen in de resultaten die de AI-systemen genereren. Dat betekent betere voorspellingen, informatievoorziening en écht data-gedreven beslissingen. Vaak brengt dit ook efficiëntere en innovatievere bedrijfsoplossingen met zich mee. Ten slotte biedt de AI Act kansen voor het schalen en innoveren van AI-systemen. Inzicht in welke systemen je allemaal gebruikt gaat helpen om toepassingen samen te voegen en schaalvoordelen te behalen. Al met al loont het op orde hebben van de regelgeving omtrent kunstmatige intelligentie en stelt het organisaties in staat om zich positief te onderscheiden ten opzichte van de concurrentie.

-en uitdagingen

Nu de AI Act de laatste horde heeft genomen en is aangenomen door een grote meerderheid in het Europees Parlement komt implementatie steeds dichterbij. De verwachting is dat de wet in mei 2024 gepubliceerd zal worden. Verboden AI-systemen mogen 6 maanden na publicatie niet meer en zullen dus vanaf 2025 niet meer mogelijk zijn. De taalmodellen als ChatGPT moeten rond de zomer van 2025 aan de wetgeving voldoen. Overige systemen dienen in 2026 compliant te zijn.

Daarmee lijkt de AI Act nog ver weg, maar niets is minder waar. De ervaring leert dat het veel tijd kost om organisaties klaar te stomen voor zulke impactvolle regelgeving, zoals ook het geval bleek met GDPR. Het is daarom van belang nu al aan de slag te gaan met het treffen van voorbereidingen. Zo kan er al gestart worden met het evalueren van huidige en geplande AI-systemen. Breng hun risiconiveau en de bijbehorende verplichtingen daarbij in kaart. Is het nodig om menselijk toezicht en interventiemechanismen in te regelen? Ook hier kunnen stappen in worden genomen om ervoor te zorgen dat AI-systemen transparant, verklaarbaar en verantwoordelijk zijn. Tot slot kunnen beveiligings- en privacymaatregelen alvast geïmplementeerd worden die zorgen dat AI-systemen robuust en in overeenstemming zijn met de EU-regels voor gegevensbescherming.

Naleving en innovatie onder de AI-wet

De AI Act is een verordening met flinke impact en organisaties gaan veel tijd en resources moeten besteden om compliant te kunnen zijn. Het in kaart brengen van de gebruikte AI-systemen, risico’s inschatten en beheersmaatregelen treffen gaat ongetwijfeld veel vragen van organisaties. Aan de andere kant biedt de wet kansen voor organisaties om op een veilige en transparante manier met AI om te gaan. Alleen op die manier gaan bedrijven de vruchten van kunstmatige intelligentie plukken. Betere en meer data-gedreven besluiten, efficiëntere processen en een persoonlijkere klantervaring behoren allemaal tot de mogelijkheden. Maar dan moet je wel nu aan de slag, niet ondanks, maar dankzij de AI Act.