De Europese Unie heeft vrijdagavond laat, na drie dagen van onderhandelingen tussen de lidstaten en het Europees Parlement, een akkoord bereikt over baanbrekende wetgeving om artificiële intelligentie (AI) te reguleren. "De AI Act van de EU is wereldwijd het eerste alomvattende juridisch kader voor artificiële intelligentie. Dit is dus een historisch moment", begroet Europees Commissievoorzitter Ursula von der Leyen zaterdag het akkoord.
Het was de Franse Eurocommissaris voor Interne Markt Thierry Breton die op X (voorheen Twitter) bekendmaakte dat het akkoord bereikt was. Hij en vicevoorzitter van de Europese Commissie Vera Jourova zagen erop toe dat de onderhandelaars van de Raad (de lidstaten) en van het Parlement de geest van hun voorstel respecteerden.
Met de AI-wet wil Europa de veiligheid en de grondrechten van zijn burgers respecteren, en tegelijk het innovatieve karakter en het concurrentievermogen van de Europese AI-sector vrijwaren en zelfs stimuleren. Door als eerste met zo'n wetgeving te komen, wil het een internationale standaard zetten.
Het basisprincipe is dat AI-systemen ingedeeld worden op basis van hun risicoprofiel. De meeste AI-toepassingen zullen in de categorie 'minimaal risico' vallen en zullen daarom niet aan specifieke verplichtingen moeten voldoen. Het gaat dan bijvoorbeeld om spamfilters of 'recommender systems' die gebruikers op basis van een bepaald algoritme suggesties doen (denk aan op maat gemaakte afspeellijsten of productoverzichten in online winkels).
Anders is het met de AI met 'hoog risico'. Omdat artificiële intelligentie onlosmakelijk met grote datasets verbonden is, zullen deze systemen niet zomaar eender welke data kunnen verzamelen en zullen ze hun inherent risico zo goed en zo kwaad mogelijk moeten verlagen. Elke activiteit moet gedocumenteerd worden, gebruikers moeten weten waar ze aan toe zijn en er moet te allen tijde menselijk toezicht zijn.
Dat klinkt abstract, maar voorbeelden als AI-toepassingen in energie-infrastructuur, medische toepassingen, systemen om de toegang tot onderwijsinstellingen of jobprofielen te bepalen of toepassingen die gebruikt worden bij ordehandhaving, maken duidelijk waar het om gaat. Biometrische identificatie en toepassingen die emoties automatisch herkennen, worden per definitie als hoog risico ingeschaald.
Tijdens de onderhandelingen was er heel wat te doen over de AI-toepassingen waar een 'onaanvaardbaar risico' aan verbonden is en die dus verboden moeten worden. Zo drong het Europees Parlement aan op een totaalverbod op biometrische identificatie. De lidstaten konden desondanks een aantal uitzonderingen in de wacht slepen. Zo zal gezichtsherkenning in realtime enkel mogen worden toegepast in de zoektocht naar slachtoffers van bijvoorbeeld ontvoerders of mensenhandelaars of om een duidelijke dreiging als een terroristische aanval te voorkomen. Ook verdachten in zulke zaken zullen via biometrische identificatie mogen worden opgespoord, maar ook hier zal een voorafgaand akkoord van een onderzoeksrechter nodig zijn.
Toepassingen waar geen uitzonderingen voor werden afgesproken en die dus altijd verboden zullen zijn, zijn 'social scoring' zoals dat in China bestaat, het willekeurig schrapen van afbeeldingen van gezichten om databanken aan te leggen en het categoriseren van mensen op basis van hun politieke, religieuze of filosofische overtuiging, hun seksuele geaardheid of ras. Emotieherkenning op de werkvloer of in het onderwijs wordt eveneens verboden.
Transparantievereisten vormen een ander bijzonder aandachtspunt van de nieuwe wetgeving. Wie een beroep doet op een AI-systeem zoals een chatbot, zal altijd duidelijk gemaakt moeten worden dat hij of zij met een machine communiceert. Deepfakes en andere AI-content moeten altijd als dusdanig gelabeld worden.
De voorbije maanden nam vooral geavanceerde, generatieve AI, die zelf teksten, beelden en andere content kan creëren, zoals ChatGPT, DALL-E en Bard, een hoge vlucht. Voor deze 'foundation models' zullen bijkomende transparantieverplichtingen gelden. Deze toepassingen zullen aan de Europese regelgeving op het vlak van auteursrecht moeten voldoen en zullen gepaard moeten gaan met gedetailleerde samenvattingen van de content die gebruikt werd om de modellen te trainen. Voor generatieve AI die systemische risico's kan bevatten, komen er nog meer verplichtingen.
Voor het toezicht op deze geavanceerde AI-modellen zal er binnen de Europese Commissie een 'AI Office' worden opgericht. "Dit wordt wereldwijd het eerste orgaan dat bindende regels op het vlak van AI kan opleggen en zal daarom naar alle verwachting een internationale referentie worden", luidt het bij de Commissie.
Om de innovatie in de Europese AI-sector te stimuleren, zullen kleine AI-spelers hun toepassingen in afgeschermde omgevingen kunnen ontwikkelen, zodat ze niet vermorzeld worden door grote internationale spelers. "De AI-wet is een lanceerplatform voor Europese start-ups en onderzoekers, zodat ze de leiding kunnen nemen over de race naar betrouwbare AI", zegt commissaris Breton.
Tot slot is overeengekomen dat bedrijven die de Europese AI-regels aan hun laars lappen, boetes riskeren die kunnen oplopen van 7,5 miljoen euro of 1,5 procent van hun mondiale omzet tot 35 miljoen euro of 7 procent van hun omzet, afhankelijk van de inbreuk en de grootte van de onderneming.
De nieuwe AI-wet moet nu nog formeel aangenomen worden door de Raad en door de plenaire vergadering van het Europees Parlement. Op die manier moeten de regels in 2026 van kracht worden. In afwachting werkt de EU aan een AI Pact, waarbij ondernemingen zich kunnen aansluiten om bepaalde verplichtingen van de wetgeving reeds vrijwillig toe te passen. Volgens Commissievoorzitter Von der Leyen hebben al zo'n 100 bedrijven interesse getoond in het Pact.
Nog dit: de wet is technologieneutraal ontworpen. Dat betekent dat ook toekomstige AI-systemen, waar nu nog geen sprake van is, automatisch in het toepassingsgebied zullen vallen.