Wat betekent de AI Act voor de publieke sector? De wetgeving kan vertrouwen in AI stimuleren, maar danst op een delicaat koord tussen regulering, technologie en praktische implementatie.
De AI Act ging op 1 augustus 2024 officieel van kracht en de regels gaan met mondjesmaat in. De wetgeving dient als hoger doel om de snelle integratie van AI in ons dagelijkse leven in gecontroleerde banen te leiden. Daar is zeker nood aan, want onzekerheid over wat wel en niet kan, houdt adoptie tegen in de bedrijfswereld.
Die spanning is nog harder voelbaar in de publieke sector, waar beslissingen genomen door of met AI een grote impact kunnen hebben op burgers. Het Smals AI Competence Center bracht onlangs vier experten uit verschillende disciplines samen om de impact van de AI Act op de publieke sector te bespreken. Het panel gelooft in de positieve impact van de wet op vertrouwen in de technologie, maar ziet obstakels voor de praktische uitvoering.
lees ook
Smals toont hoe een digitale overheid wél kan werken
Systemische risico’s
De regels van de AI Act worden bepaald door een risicocategorisering van AI-systemen. Voor bepaalde AI-systemen trekt de Europese wetgever zonder discussie de rode kaart. Dat geldt onder andere voor technologie die gebruikt kan worden voor het toekennen van nadelige sociale scores of het gebruik van gezichts- en emotieherkenning in de publieke ruimte.
“Dan is er de categorie ‘hoog risico AI-systemen’, die onder andere specifieke datakwaliteitsvereisten opgelegd krijgen”, legt Thomas Gils, AI Act-expert aan de KU Leuven, uit.
Gaan we de ladder verder af, botsen we op AI-systemen die rekening moeten houden met specifieke transparantieverplichtingen, zoals chatbots en beeldgeneratoren. Deze systemen kunnen gebruik maken van AI-modellen voor ‘algemene doeleinden’, waar de meeste LLM’s onder vallen. Naargelang of het model wel of niet systeemrisico’s kan inhouden, wordt een verdere onderverdeling gemaakt.
Versterking van GDPR
Dit alleen al klinkt complex, maar in essentie versterkt de AI Act de GDPR, merkt Kurt Maekelberghe op, DPO bij de Kruispuntbank van de Sociale Zekerheid (KSZ). “De GDPR is onverkort toepasbaar op AI-systemen. Bij hoogrisicosystemen moeten we een uitgebreide analyse maken van de bedreigingen voor de grondrechten van personen wiens informatie verwerkt wordt, of die afhankelijk zijn van de output. De overheid heeft geen marge om foute beslissingen te nemen”.
lees ook
Publieke sector zet breed in op generatieve AI, maar stuit op knelpunten in infrastructuur en beveiliging
“Bepaalde gegevens kunnen bewaard worden voor het trainen van modellen. Het is daarom belangrijk om het contract met je leverancier goed na te lezen of die de garantie biedt dat je gegevens niet langer bijgehouden worden dan nodig is voor de verwerking”, voegt Katy Fokou, AI-onderzoeker voor Smals, nog toe.
Geletterdheid
Een belangrijk principe van de AI Act is ‘geletterdheid’. De wet gebiedt dat mensen die AI gebruiken de nodige technische, praktische en juridische bagage hebben zodat ze er verantwoord mee kunnen omgaan. “Dit gaat in theorie zeer breed, want iedereen met een smartphone gebruikt eigenlijk AI. Of dit ook zo breed zal worden afgedwongen, is nog een andere vraag”, zegt Gils.
Fokou verduidelijkt hoe Smals dit aanpakt. “We pakken het pragmatisch aan, met specifieke training voor iedere rol. De eerste stap is het belang erkennen van regulering, maar ook van innovatie. AI-tools komen op de markt, dus is het essentieel om iedereen te informeren en bewust te maken van wat wel en niet kan, om de technologie te ‘demystifiëren’ en vertrouwen te winnen. Maar ik denk niet dat er één opleiding voor iedereen bestaat”.
Karel Van Eeckhoutte getuigt als Strategic Advisor voor de Rijksdienst Sociale Zekerheid: “RSZ zet sterk in op het verhogen van AI-geletterdheid binnen de organisatie. We bieden een breed gamma aan activiteiten aan, waaronder opleidingen, nieuwsbrieven en afterworksessies. Die behandelen wat AI precies is, welke vormen ze aanneemt en welke risico’s ermee gepaard gaan. We moedigen medewerkers actief aan om vragen te stellen en ervaringen te delen.”
Wie is verantwoordelijk?
Van geletterdheid gaat het naar governance. Maekelberghe wijst op een gebrek aan uniforme regels. “Er is vandaag nog geen materiaal aanwezig waarvan we kunnen zeggen dat als je dit volgt, dat je er wel komt. De standaarden die bestaan moeten nog steeds geïnterpreteerd worden. We moeten op dit moment nog aan een praktisch model werken”.
Het panel klinkt wel eensgezind dat governance niet op een eiland mag staan in de organisatie. “In RSZ werken we met een multidisciplinaire AI Governance-groep, met elk zijn eigen expertise. Dit team werkt de initiatieven uit en biedt ondersteuning op het terrein. In de Innovation Board betrekken we alle directies bij het bepalen van de strategische koers rond AI. Zo wordt er organisatiebreed over AI nagedacht”, zegt Van Eeckhoutte.
“Vanuit de Vlaamse overheid is er een ‘playbook’ opgesteld voor de publieke sector”, pikt Gils in. “Dat is een interessant document om naar te kijken, maar je moet als organisatie onderscheiden waar je naartoe wil. In elk AI-project moet je mensen betrekken en hen op de hoogte stellen van risico’s en beperkingen, zowel technische als juridische. Dat kan niet als governance op een ‘ivoren toren’ zit. Wie de controle en het overzicht uitvoert, is voor ieder project en bedrijf anders”.
AI in de schaduw
Een brede governance-strategie moet waken over zogenaamde shadow AI, waarbij werknemers AI-hulpmiddelen op eigen houtje gaan gebruiken. Maekelberghe: “Het probleem is gerelateerd aan de toegang die werknemers krijgen tot applicaties op het internet. Dat is geen nieuw fenomeen. Let op met tools die persoonsgegevens lekken of buiten de grens van de bedrijfsomgeving brengen. Als werkgever moet je duidelijk bepalen welke middelen gebruikt kunnen worden”.
“We hebben dit vrijwel meteen gezien met ChatGPT”, valt Fokou bij. “Een van de eerste maatregelen die we binnen Smals hebben genomen, is het opstellen van beleidsregels voor het gebruik van generatieve AI. Het is normaal dat mensen die tools willen gebruiken, maar je moet ze goed informeren op hoe dat op de juiste manier te doen”.
lees ook
Van agenten tot je thermostaat: AI laat zich niet in één hokje plaatsen
“Je kunt tools gaan whitelisten of blacklisten, maar dat laatste is moeilijk omdat AI intussen overal is. Hoe ga je dat beheren?”, vraagt van Eeckhoutte luidop. Maekelberghe komt snel met een antwoord:
“Ik vind de discussie vaak te bot. De vraag is voor mij of je AI mag gebruiken voor een specifiek doel. Kan je ChatGPT gebruiken om een macro in Excel te schrijven? Ja, maar weet dan dat er fouten in de code kunnen zitten. Mag je ChatGPT gebruiken om persoonlijke dossiers te schrijven? Neen, want dan werk je met persoonsgegevens. In de praktijk is het vaak genuanceerder”.
Rol van de overheid
De overheid speelt een actieve rol in het aanreiken van tools en kader voor de naleving van de AI Act. Dat is een complex land als België niet altijd vanzelfsprekend. “De Vlaamse overheid kijkt al twee à drie jaar naar hoe ze verantwoord met AI kan omgaan. Interregionaal overleg is dus belangrijk. Voor de burger maakt het niet uit van welke overheid een tool komt. We moeten vermijden dat we dezelfde fouten maken die in andere landen gemaakt zijn”, aldus Gils.
Het belang van samenwerking tussen overheidsinstellingen en externe experts wordt hierbij aangehaald, naar analogie met bijvoorbeeld de NIS2-wet. “Maar dit enkel doen vanuit beveiliging is te beperkt. Je moet het naar boven trekken tot de management-, uitvoerings- en IT-laag om tot een goede samenwerking te komen”, haalt Maekelberghe aan.
Scheidsrechter
De overheid zal ook de rol van scheidsrechter moeten opnemen. “In principe hanteert de AI Act het principe van markttoezicht, zoals we dat al kennen voor bijvoorbeeld medische apparatuur. De aanbieder is verantwoordelijk om bepaalde standaarden na te leven voordat hij een hoog risico AI-systeem op de markt brengt. Dit is een heel andere vorm van toezicht”, legt Gils uit.
Wie aansprakelijk is voor schade toegebracht door AI, kan trouwens een complexe vraag zijn. Aansprakelijkheidskwesties vallen immers in de buitencontractuele, grijze zone. “In verband met AI zijn hier nog veel vragen. De Europese Commissie heeft de voorgestelde richtlijn weer ingetrokken, dus geldt de nationale wetgeving. Productaansprakelijkheid voor software moet nog worden omgezet naar Belgische wetgeving”, gaat Gils verder.
Ook wie de scheidsrechter zal zijn, is nog niet helemaal uitgeklaard. Het BIPT zal wellicht optreden als voornaamste regulator, maar de wetgeving is niet afgebakend over wat zijn rol zal zijn naast andere relevante instanties zoals de FOD Economie of de Gegevensbeschermingsautoriteit. Om over potentiële regionale kwesties die in België altijd om de hoek loeren nog te zwijgen.
“We hebben momenteel nog geen autoriteiten om de regels af te dwingen. Het laatste politiek woord is hierover nog niet gezegd”, houdt Gils de bal tactisch in het midden. “De autoriteiten hebben nog veel zaken te implementeren, maar we weten niet eens wanneer ze klaar zullen zijn”, komt Fokou scherp uit de hoek.
Balans zoeken
Het panel gaat nog kort over technische valkuilen die de overheid kost wat kost moet vermijden. Die zijn in principe niet anders dan voor commerciële bedrijven, waar ‘black boxes’ en ‘vendor lock-in’ evenzeer te vermijden zijn. Fokou: “Die architectuurkwestie verhindert ons soms om vooruitgang te boeken. Er is niet genoeg concurrentie en niet genoeg keuze. Nu hebben leveranciers aantrekkelijke formules, maar we weten niet wat de finale prijs zal zijn”.
“Volgens mij heb je hier nood aan een specifieke risico-analyse waarbij je risico’s van de grote leveranciers in overweging neemt. Dit zijn traditionele IT-vragen. Ik denk dat er te veel energie kruipt in zelf LLM’s te gaan ontwikkelen voor de publieke sector. Als je de economische analyse maakt, dan zou die vooral in het voordeel van de al bestaande LLM’s uitvallen, maar met het risico dat continuïteit niet gegarandeerd is”, repliceert Maekelbergh.
De implementatie van de AI Act in de publieke sector zal een delicate evenwichtsoefening zijn. Dat is de korte conclusie van een lang verhaal dat nog maar net begonnen is. Het slotwoord is voor Van Eeckhoutte:
“Hoe je de balans vindt tussen regulering en innovatie, is een moeilijke vraag. De finaliteit die met de AI Act beoogd wordt, is goed omdat het de veiligheid en zekerheid biedt die noodzakelijk is om de toon te zetten. In hoeverre de AI Act een rem op innovatie zal zijn, valt af te wachten.
We weten niet wat de finale prijs van AI zal zijn.
Katy Fokou, AI Researcher Smals
Deze redactionele bijdrage kwam in samenwerking met onze partner Smals.