3 aandachtspunten voor kunstmatige intelligentie in het bedrijfsleven
3 aandachtspunten voor kunstmatige intelligentie in het bedrijfsleven
Of het nu is om repetitieve taken te automatiseren, nauwkeurigheid te verbeteren of om in het algemeen kosten en tijd te besparen, Artificial Intelligence (AI) toepassingen hebben bij veel bedrijven interesse gewekt. Ondanks de razendsnelle ontwikkelingen in het afgelopen jaar is het gebruik van AI-toepassingen niet ongereguleerd. De ogen zijn in eerste instantie al gauw gericht op de in juni aangenomen Europese Artificial Intelligence Act (AI Act). Bij het gebruik van AI-toepassingen dient ook rekening gehouden te worden met andere aspecten zoals privacy, aansprakelijkheid en intellectueel eigendom.
Kunstmatige Intelligentie
AI Act
Gezien de razendsnelle ontwikkelingen op het gebied van AI en om wereldwijd de toon te zetten voor de regulering van AI-systemen, heeft de Europese Unie in sneltreinvaart een AI Act opgetuigd. Deze wet hanteert een risicogebaseerde benadering, waarbij het wettelijk regime voor AI-aanbieders en -gebruikers afhankelijk is van het risiconiveau van de AI-systemen.
Allereerst verbiedt de AI Act bepaalde AI-toepassingen met een onaanvaardbaar risico, waaronder sociale scoring en real-time biometrische identificatiesystemen op openbare plaatsen. Ten tweede geldt een strenge regulering voor hoog-risico systemen. Het gaat dan om AI-systemen die aanzienlijke schade kunnen veroorzaken aan de gezondheid, veiligheid en/of fundamentele rechten van mensen, zoals AI-systemen die worden gebruikt bij de besturing van kritieke infrastructuur. Ten derde gelden slechts transparantieverplichtingen voor AI-systemen met een beperkt risico, zoals een chatbot. Tot slot bevat de AI Act geen maatregelen voor AI-systemen die een minimaal risico vormen voor de gezondheid en veiligheid van personen.
Naast de vier risicogroepen worden in de AI Act ook regels gecreëerd voor generatieve AI-systemen, zoals ChatGPT, en foundation models. Voor bedrijven is het belangrijk te weten hoe de AI-toepassingen gekwalificeerd dienen te worden om aan de juiste wettelijke verplichtingen te voldoen. Het is namelijk ook mogelijk dat een AI-systeem onder één van de vrijstellingen valt, met name voor onderzoeksactiviteiten en AI-componenten onder open-source licenties.
Privacy
Hoe verhoudt de Algemene Verordening Gegevensbescherming zich tot AI-systemen?
Het wettelijk kader rondom privacy is gewaarborgd in de Algemene Verordening Gegevensbescherming (AVG). Bij het gebruik van een AI-systeem waarin persoonsgegevens worden verwerkt, gelden daarom ook de vereisten uit de AVG. Welke verplichtingen brengt dit met zich mee?
- Er dient een rechtsgeldige grondslag te zijn voor de verwerking van de persoonsgegevens en doelbinding en dataminimalisatie in acht moeten worden genomen.
- De persoonsgegevens die gebruikt worden moeten juist en voldoende beveiligd te zijn. Bovendien speelt, net als in de AI Act, transparantie ook in de AVG een rol.
- Transparantie is vereist ten aanzien van de personen van wie persoonsgegevens worden verwerkt, in het bijzonder wanneer sprake is van besluitvorming door het AI-systeem.
- De AVG kent ook rechten toe aan personen wiens persoonsgegevens verwerkt worden. Deze rechten gelden uiteraard nog steeds wanneer de persoonsgegevens door een AI-systeem verwerkt worden. Een onderneming dient er zorg voor te dragen dat deze rechten uiteindelijk ook uitgeoefend kunnen worden.
- Tot slot dienen ondernemingen die niet slechts een AI-systeem in gebruik nemen, maar zelf (laten) ontwikkelen, rekening te houden met privacy by design en privacy by default.
Om aan al deze verplichtingen uit de AVG te voldoen, kan het verstandig (en vaak zelfs verplicht) zijn om een Data Protection Impact Assessment (DPIA) uit te (laten) voeren. Zo wordt stapsgewijs nagegaan of de privacy van betrokkenen voldoende beschermd wordt.
Verwerkersovereenkomsten
Daarnaast vloeien ook verplichtingen voort uit verwerkersovereenkomsten die met klanten of derden gesloten zijn of uit het privacybeleid dat is gepubliceerd. Het is belangrijk dat deze documenten up-to-date zijn en nageleefd worden. Bij het gebruik van AI-systemen ligt anders het gevaar op de loer dat in strijd met deze afspraken gehandeld wordt. Het kenmerkende aspect van AI-systemen is namelijk het zelflerend vermogen. Dit houdt in dat de input gebruikt kan worden om het systeem beter te laten werken. Wanneer gebruikgemaakt wordt van een openbaar AI-systeem, zoals de reguliere versie van ChatGPT, is de kans groot dat de input op die manier in een grote bak data belandt bij een buitenlands Big Tech bedrijf. En dus ook persoonsgegevens. Daarmee worden in één klap niet alleen persoonsgegevens met een derde partij gedeeld, maar ook doorgegeven naar een land buiten de Europese Economische Ruimte (EER), wat vaak in strijd is met hetgeen afgesproken is met de betrokkenen en met wat is gepubliceerd in het privacybeleid.
Aansprakelijkheid: ontstane schade door een AI-systeem verhalen?
Hoewel het op dit moment lastig is een schadevergoeding te ontvangen voor schade die ontstaan is door een AI-systeem, onder andere door de verouderde productaansprakelijkheidswetgeving, zal dit in de toekomst veranderen. De Europese Commissie heeft in het najaar van 2022 voorstellen voor nieuwe richtlijnen op het gebied van AI-aansprakelijkheid (RAAI) en productaansprakelijkheid (VRPA) bekendgemaakt. Deze richtlijnen hebben als doel om benadeelden voldoende instrumenten te geven om schade eenvoudiger te kunnen verhalen, onder andere door het verlagen van de bewijslast.
Daarom is het voor organisaties - die gebruikmaken van AI-systemen - van belang om voldoende afspraken te maken met de gebruikers van het systeem rondom aansprakelijkheid. Wanneer het AI-systeem rechtstreeks gebruikt wordt door een klant, kan het ook verstandig zijn om duidelijk te communiceren over het gebruik van het AI-systeem en de klant te wijzen op mogelijke gevaren en fouten die kunnen ontstaan. Het is dan ook noodzakelijk dat de bepalingen rondom aansprakelijkheid in de algemene voorwaarden voldoende duidelijk en up-to-date zijn.
Intellectueel Eigendom
Er kan veel frictie ontstaan tussen intellectueel eigendom en AI. Allereerst: wie verkrijgt de auteursrechten van de door het AI-systeem gecreëerde werken? Een AI-systeem is geen natuurlijk persoon en zou dus in beginsel geen auteursrechten kunnen verwerven. Als het werk door een AI-toepassing is gecreëerd door middel van menselijke tussenkomst, zoals creatieve prompts, zou betoogd kunnen worden dat de auteursrechten door de schrijver van deze input verkregen wordt.
Daarnaast dient aandacht besteed te worden aan trainingsdata, de data die gebruikt wordt voor de AI-toepassing. Veel werken zijn auteursrechtelijk beschermd en kunnen niet altijd zonder problemen gebruikt worden als trainingsdata, wat op dit moment in de Verenigde Staten al tot een aantal rechtszaken heeft geleid. Ook doet zich het vraagstuk voor wie aansprakelijk is op het moment dat het AI-systeem een werk creëert dat inbreuk maakt op de IE-rechten van een derde. Tot slot: AI-systemen kunnen zelf ook beschermd zijn door intellectueel eigendom.
Specifieke aandachtspunten
Dit artikel schetst een aantal algemene aandachtspunten rondom de implementatie van AI binnen een organisatie. Het is van belang dat ook rekening gehouden wordt met andere specifieke aspecten, zoals contractuele verplichtingen en sectorreguleringen. Zo bestaat er bijvoorbeeld specifieke wetgeving rondom AI-systemen in de zorg in de Medical Device Regulation (MDR).
AI Act waarschijnlijk van kracht in 2026
De definitieve tekst van de AI Act zal worden onderhandeld tussen de Europese Commissie, de Europese Raad en het Europees Parlement, met als doel overeenstemming te bereiken later dit jaar. Na goedkeuring zal de AI Act 24 maanden later van kracht worden, naar verwachting medio 2026. Deze wet markeert een belangrijke stap in de regulering van AI in de EU om de rechten en veiligheid van burgers te waarborgen.
Tijdige voorbereiding raadzaam voor volledige compliancy
Om als bedrijf voorbereid te zijn op de komende AI-wetgeving, is het verstandig nu al te beginnen met de voorbereidingen om over twee jaren volledig compliant te zijn. Dit begint met de vraag: welke AI-toepassingen heb ik en wat wil ik met AI doen? Door een duidelijk uitgangspunt te hebben en aandacht te besteden aan bovenstaande onderwerpen kunnen stapsgewijs maatregelen genomen worden om aan wetgeving te voldoen en bedrijfsrisico’s te verminderen.
Meer informatie
Heeft u naar aanleiding van dit artikel vragen over de implementatie van AI binnen uw organisatie? Neem gerust vrijblijvend contact met een van onze specialisten.