De Europese AI Act is eerder te mild dan een belemmering voor innovatie

In de eerste maand dat de verboden uit de Europese AI Act daadwerkelijk van kracht zijn, staat deze kersverse digitale regulering meteen vol in de wind omdat zij onnodige beperkingen zou opleggen aan techbedrijven en daardoor innovatie in de weg zou staan. De nuchtere conclusie is dat dit reuze meevalt. Eigenlijk is de wet zelfs nog aan de milde kant.

Léon de Beer, senior manager Responsible AI bij KPMG

De Artificial Intelligence Act van de Europese Unie (ook bekend als de EU AI Act of de AI Act) is een wereldwijde mijlpaal in de regulering van kunstmatige intelligentie (AI). De wet verbiedt bepaalde vormen van AI-gebruik volledig en stelt voor andere toepassingen eisen aan risicomanagement, vastlegging en transparantie. Als stok om mee te slaan biedt de wet de mogelijkheid om overtreders boetes op te leggen tot maximaal € 35 miljoen of 7% van de wereldwijde jaaromzet. Vanaf 2 februari 2025 zijn de eerste verboden uit de AI Act daadwerkelijk ingegaan. Ongeveer tegelijkertijd heffen de Verenigde Staten sinds de inauguratie van Donald Trump zo ongeveer alle juridische beperkingen voor AI op, steekt China met de DeepSeek chatbots de Amerikanen naar de kroon en roepen Europese techbedrijven om deregulering. De vraag rijst dan ook of de AI Act de volgende nagel is aan de doodskist van het Europese innovatievermogen.

Om deze vraag te beantwoorden moeten we terug naar de essentie van AI Act: op welke AI-systemen is de wet van toepassing en wat wordt er dan daadwerkelijk vereist? Wat betreft de reikwijdte gelden de verplichtingen van de AI Act alleen voor AI-systemen in specifieke toepassingsgebieden, die in de wet zijn opgesomd in een uitputtende lijst. Daar staan overigens verstandige zaken in. U zit waarschijnlijk niet te wachten op social scoring à la China, of uitbuiting van uw menselijke kwetsbaarheden met AI. Ook zullen de meeste mensen het ermee eens zijn dat het gebruik van AI in kritieke infrastructuren of voor wetshandhaving risicovol is. Belangrijker is echter wat er niet op de lijst staat. Militaire toepassingen of nationale veiligheid vallen bijvoorbeeld buiten de bepalingen van de AI Act, net als ieder ander toepassingsgebied dat niet expliciet in de AI Act benoemd is. Welbeschouwd valt het met de reikwijdte van de AI Act dus nogal mee – of tegen, afhankelijk van uw perspectief.

Ten tweede zijn er de verplichtingen voor de AI-systemen die onder de AI Act vallen, waarvoor de wet een aantal risicoklassen onderkent. Over AI-systemen in de categorie ‘verboden’ kunnen we hier kort zijn (want niet toegestaan) en voor de categorie ‘beperkt risico’ komen de eisen neer op enkele basale verplichtingen tot transparantie. Denk aan een watermerk op met AI gegenereerde afbeeldingen, of een chatbot die zich netjes als zodanig identificeert richting gebruikers. De meest spannende categorie is die van ‘hoog risico’, maar de wet vraagt hier van organisaties feitelijk niet meer dan een gedegen ontwikkelproces te doorlopen, risico’s te identificeren en op te lossen en dit alles netjes te documenteren. Dat gaat natuurlijk niet vanzelf, maar het kan toch nauwelijks een onredelijke eis worden genoemd. Ten slotte hebben (generatieve) AI-toepassingen voor brede doeleinden (zoals ChatGPT) in de uiteindelijke versie van de AI Act hun eigen risicoklasse gekregen, waarin de verplichtingen in principe beperkt zijn tot enkele transparantievereisten.

Zowel met de reikwijdte als de verplichtingen volgend uit de AI Act valt het dus nogal mee. Sterker nog, kijkend naar deze twee aspecten valt ook prima te betogen dat de AI Act in zijn huidige vorm niet ver genoeg gaat en dus te mild is. Kan het bedrijfsleven dan rustig achteroverleunen? Absoluut niet. De AI Act komt voort uit productveiligheidswetgeving en heeft dan ook vooral oog voor de bescherming van eindgebruikers van AI (dan wel degenen op wie AI wordt toegepast). Maar werken met AI brengt ook risico’s met zich mee voor organisaties zelf en deze vallen volledig buiten de reikwijdte van de AI Act. Oftewel: toepassingen die niet ‘hoog risico’ zijn vanuit wettelijk oogpunt, kunnen wel degelijk grote risico’s met zich meebrengen op het gebied van de reputatie, de bedrijfsprestaties of de continuïteit van een organisatie die met AI aan de slag gaat. Denk bijvoorbeeld aan ongewenste bejegening van klanten door ‘intelligente’ virtuele medewerkers, of primaire processen die – al dan niet sluipenderwijs – grotendeels afhankelijk worden van het functioneren van een aantal kritieke en mogelijk extern beheerde AI-systemen. Als organisaties serieus met AI aan de slag gaan, is een pure focus op naleving van de AI Act dan ook een recept voor ongelukken. De AI Act is absoluut een stap in de goede richting om de risico’s van AI-ontwikkeling en -gebruik te reguleren, maar het is geen wondermiddel. Voor zowel burgers als bedrijven geldt dan ook: waakzaamheid blijft geboden.

Dat brengt ons terug bij de klaagzang vanuit de techwereld over de onnodige wettelijke belemmeringen die zouden worden opgeworpen door een overijverige EU. We kunnen de vraag natuurlijk ook omkeren. Welke maatschappelijk relevante innovaties gaan we mislopen door het vereisen van minimale maatregelen om de veiligheid en grondrechten van gebruikers van digitale diensten te beschermen? De roep om deregulering van AI is in het meest gunstige geval het weigeren van verantwoordelijkheid voor de eigen productontwikkeling. En in een iets cynischer interpretatie is het simpelweg een poging barrières uit de weg te ruimen tegen ongebreidelde manipulatie, economische uitbuiting, en de inbreuk op fundamentele rechten van EU-burgers. Dat de AI Act in zijn huidige vorm innovatie in de weg zou staan is in elk geval klinkklare onzin.