De Europese Unie maakt wetgeving op allerlei terreinen. Zo ook op het gebied van digitale technologieën en diensten. De afgelopen jaren heeft de Europese Commissie veel wetsvoorstellen gedaan om de rechten van burgers in het digitale tijdperk te beschermen. Logisch dus, als je door de vele voorstellen niet meer goed weet wat wel en wat (nog) niet is vastgelegd in EU-regels. Om je hiermee te helpen publiceert Digital House of Europe een serie blogs waarin de wetten en wetsvoorstellen een voor een langskomen en worden besproken. In deze blog bespreken we de EU AI Act.
De EU AI Act is de afkorting voor het voorstel van de Europese Commissie voor een wet over het gebruik van kunstmatige intelligentie. Al sinds maart 2018 werken verschillende instellingen van de Europese Unie aan wetgeving voor kunstmatige intelligentie (of artificiële
intelligentie, AI). Dit begon met verschillende expert groepen. Later, in 2020, publiceerde de Europese Commissie haar standpunten over het ontwikkelen en gebruik van AI. In 2021 publiceerde de Europese Commissie haar wetsvoorstel voor AI, de EU AI Act.
De EU AI Act is uniek: nergens anders ter wereld buigen meerdere landen zich over gezamenlijke regels voor het ontwikkelen en gebruik van AI. Voor de EU is het een belangrijke stap: omdat de EU een gezamenlijke markt heeft, moeten de eisen voor AI in alle landen gelijk zijn. Het kan niet zo zijn dat een bepaalde manier van ontwikkelen of toepassen van AI verboden is in Nederland, terwijl dit wel is toegestaan in België, bijvoorbeeld.
De AI Act is niet heel duidelijk over wat voor soort AI wel en niet gebruikt of ontwikkeld mag worden. Er is een aantal toepassingen absoluut verboden. Dat zijn AI-toepassingen die minderheden schaden, of worden gebruikt door overheden of de politie voor een sociaal puntensysteem of het direct verzamelen en verwerken van biometrische gegevens in openbare ruimten[1]. Maar daarna wordt het wetsvoorstel vaag. Zo is er een grote reeks aan AI-toepassingen die wordt gezien als ‘hoog risico’. Dat betekent dat de ontwikkelaar en de gebruiker van de AI-toepassing moeten voldoen aan extra regels, bijvoorbeeld transparantievereisten en monitoringverplichtingen. Maar wat deze regels concreet betekenen is nog niet duidelijk. Daarnaast zijn verschillende partijen het oneens over welke AI-toepassingen wel en welke niet een ‘hoog risico’ vormen. Momenteel vallen hele sectoren binnen ‘hoog risico’. Zo wordt de gezondheidssector, maar ook de energiesector en het onderwijs gezien als ‘hoog risico’. Als alle AI-toepassingen binnen deze sectoren worden gezien als ‘hoog risico’, blijven er weinig toepassingen over die niet hoog risico zijn.
Wel bepaalt de Europese Commissie in het wetsvoorstel wie moet toezien op de regels. Dat zullen de nationale toezichthouders worden. In Nederland kan dat de Autoriteit Persoonsgegevens of de Autoriteit Consument en Markt zijn. Dit hangt af van de situatie: als het gaat om problemen over de markt en handel, is de Autoriteit Consument en Markt verantwoordelijk, in andere gevallen is de Autoriteit Persoonsgegevens aan zet. Die twee zijn niet altijd makkelijk uit elkaar te houden. Problemen rond persoonlijke data zullen bijvoorbeeld meestal door de Autoriteit Persoonsgegevens moeten worden behandeld. Tenzij deze problemen gaan over de handel in data; dan is juist de Autoriteit Consument en Markt verantwoordelijk.
Het is nog even afwachten hoe de EU AI Act er uiteindelijk uit komt te zien. Het wetsvoorstel wordt nu besproken door verschillende EU-commissies, raden en het Europese Parlement. Zij mogen wijzigingen doorgeven. Als alle wijzigingen zijn doorgevoerd, kan het voorstel worden aangenomen. Dit zal op z’n vroegst eind 2023 gebeuren.
[1] Tenzij de politie een kind of een terrorist zoekt, dan mag de politie wel jouw biometrische gegevens zoeken en verzamelen in openbare ruimten en direct verwerken.