De AI ACT: Het belang van naleving van regelgeving - en wat er op het spel staat voor bedrijven van elk type en elke omvang

Bekijk de Data Leader video 

Luister naar de podcast 

Nathalie Beslay is de CEO en medeoprichter van Naaia, een leverancier van compliance- en risicobeheeroplossingen voor de artificial intelligence-sector. Nathalie is advocaat sinds 2004 en houdt zich bezig met de gezondheids- en schoonheidsindustrie. Ze is bij uitstek gekwalificeerd om regelgevingskwesties te bespreken, omdat ze een project heeft geleid voor het Sevilla Instituut voor Technologische Prospectie over de uitdagingen en risico's van de introductie van nieuwe technologieën in de gezondheidssector. Ze is ook technisch adviseur geweest voor de Franse staatssecretaris van Volksgezondheid over bio-ethische kwesties en General Counsel voor een e-health solutions operator.

Of het nu gaat om gezondheidszorg of AI, mensen worstelen met wettelijke beperkingen. De sleutel is om beperkingen om te zetten in kansen. Inzicht in het regelgevingskader voor producten uit de gezondheidszorg hielp me om de inzet en de risico's van het nieuwe regelgevingskader voor AI te begrijpen, omdat het op precies dezelfde manier is opgebouwd als het regelgevingskader voor producten uit de gezondheidszorg: de onderliggende doelstellingen zijn in principe de veiligheid van gebruikers en begunstigden van het product.

De AI-wet is ontworpen als een horizontale productregulering. Dat betekent dat het van toepassing is op elk type bedrijf, ongeacht de grootte, privaat of publiek. Er zijn uitzonderingen voor bepaalde sectoren, zoals het leger, maar het is een productregelgeving, qua concept en type verplichting vergelijkbaar met andere productregelgeving. 

Achter de 400 pagina's complexiteit van de AI-wet gaan in wezen een risicobeheersysteem, een kwaliteitsborgingssysteem, documentatie, technische documentatie en gebruiksaanwijzingen schuil. Er is veel gesproken over de regelgevingsdrempel - wanneer een regelgeving zo beperkend is dat deze een last oplegt in plaats van tot gunstige doelstellingen te leiden. Maar studies hebben aangetoond dat als bedrijven zeer digitaal zijn, zal regelgeving hen helpen ontwikkelen.

Om dat te bereiken, moeten bedrijven de AI-wet omarmen, overnemen en de verplichtingen ervan in hun proces integreren. De beste manier is om te zeggen, “Ik ga value-based compliance doen, ik ga kijken naar wat compliance kan opleveren voor mijn product, en dus voor mijn klanten.”

Omdat de AI-wet een productverordening is, zal deze verschillende verplichtingen opleggen aan de artificial intelligence toeleveringsketen, afhankelijk van of u een leverancier, distributeur of implementator bent. Er zullen verschillende stadia naast elkaar bestaan, afhankelijk van of u zelf produceert of off-the-shelf koopt, of dat u een model gebruikt en er vervolgens een AI-systeem van maakt. Leveranciers zullen conformiteit moeten aantonen en technische documentatie moeten leveren, spelers die aanpassingen maken zullen moeten aantonen dat ze respect hebben voor wat leveranciers hen gegeven hebben, maar ook dat elke toegevoegde laag voldoet, onbevooroordeeld is, auteursrechten respecteert, kwalitatief is en gebruik maakt van representatieve data.

De oorspronkelijke tekst van de AI Act is geëvolueerd, deels door de stemmen van degenen die uitgesproken anti-regulering waren. Vandaag de dag is de O&O-periode een uitstel voor controles, en open source modellen zijn vrijgesteld, behalve wanneer ze een zogenaamd systeemrisico vormen, d.w.z. wanneer het risiconiveau te hoog is om van de vrijstelling te kunnen profiteren. Ik wil de twijfelaars graag vertellen dat Europese AI rekening houdt met deze kwesties en deze regels in hun marketingprocessen integreert. Bovenal wil ik ze vertellen dat Als je zoveel capaciteit, kracht, intelligentie en visie hebt als onze Franse en Europese spelers, dan is het helemaal niet ingewikkeld om compliance op te bouwen en te integreren.

Het is belangrijk om te onthouden dat de Amerikaanse en Chinese AI-wetgeving ook in ontwikkeling is en dat iedereen heeft hetzelfde doel: het menselijke element bij het gebruik van deze nieuwe technologieën behouden en heroriënteren - of probeer dat in ieder geval zo goed mogelijk te doen.

U kunt het beste de tijdlijn opnieuw bekijken. Over de AI-wet wordt officieel gestemd op 22 april in het Europees Parlement. In mei wordt de wet gepubliceerd in het Publicatieblad, en dan begint het tijdschema. Over zes maanden moet verboden AI verwijderd zijn van platforms of in overeenstemming zijn gebracht. Na één jaar moeten uitgevers van algemene artificial intelligence-modellen aan de voorschriften voldoen. Over twee jaar moeten alle andere AI-systemen aan alle verplichtingen voldoen, met iets langere termijnen voor AI's waarvan de naleving complexer is. Met andere woorden, elke keer dat een AI betrekking heeft op een product of apparaat dat zelf onderworpen is aan regelgeving - medische apparatuur, gastransport, bepaalde gereedschapsmachines, bijvoorbeeld - zal de wetgever 36 maanden de tijd geven om te voldoen, omdat deze regelgeving verzameld en geordend moet worden.

Dus, de eerste prioriteit is om verboden AI's in kaart te brengen, te identificeren en te screenen, om ze eruit te halen of aan de voorschriften te laten voldoen. Het doel is om naleving door waarde te bereiken door onszelf af te vragen waar naleving voor dient, door kwaliteitsproducten te maken die veilig, begrijpelijk en verklaarbaar zijn, die een doel dienen en die zo weinig mogelijk energie proberen te verbruiken.

De AI-wet gaat uit van een risicogebaseerde benadering. Bepaalde AI-systemen werden geacht een “onaanvaardbaar” risico in te houden, dus heeft de wetgever deze op de lijst van verboden systemen gezet. Er zijn er acht, Een daarvan zijn artificial intelligence-systemen die subliminale manipulatie mogelijk zouden kunnen maken. De lijst bevat ook algemene sociale classificatiesystemen, d.w.z. het kwalificeren en categoriseren van personen op basis van economisch niveau of sociale positie, maar dan op grote schaal. Emotieherkenningssystemen gebaseerd op biometrie zijn ook verboden op de werkplek en in het onderwijs, behalve om veiligheidsredenen. In productiefaciliteiten kan het bijvoorbeeld nodig zijn om te proberen de emotionele toestand van mensen te meten om hun veiligheid op een productielijn te handhaven of om de veiligheid tegen mogelijke indringers te garanderen. Een andere verboden AIS zijn gezichtsherkenningssystemen die gebruikt worden om criminaliteit te bestrijden. Dit type videobewaking is voorbehouden aan bepaalde autoriteiten en voor bepaalde overtredingen. Als het wordt toegestaan voor particuliere organisaties, dan is het voor bepaalde overtredingen die als zeer ernstig worden beschouwd, zoals terrorisme, misdaad, aanranding en verkrachting, en het is zo specifiek als dat in de AI-wet.

In dat geval, ja, zouden mensen het niet meer moeten gebruiken, en zou OpenAI een aanzienlijke boete moeten betalen. Maar ik geloof niet in dit scenario. Ik denk dat spelers zich aan de regels zullen houden. Het zal niet gemakkelijk zijn - het zal veel geld kosten en veel planning vergen. Compliance betekent een budget vaststellen om aan de vereisten te voldoen, op snelheid komen, experts mobiliseren, teams opleiden en compliance in de routekaart van het bedrijf opnemen. Het is niet gemakkelijk, maar wel haalbaar, en gezien de belangen die op het spel staan, moet het gebeuren.

Wanneer we de regels toepassen, kijken we naar de mate waarin de regel het product kan dienen. Als u bijvoorbeeld een verplichting hebt voor traceerbaarheid, voor verklaarbaarheid door de hele keten, en u maakt gebruik van onderaannemers, dan kan een beroep op deze onderaannemers voor kwaliteit betekenen dat u de kosten verhoogt of normen installeert, en dat is duidelijk in het voordeel van het product. Dus hoe veranderen we deze beperking in een kans? We kijken naar de mate waarin de regel de nodige respons op het gebied van kwaliteit en veiligheid zal hebben.

Bepaalde industrieën hebben dit begrepen, zoals de voedingsindustrie. De Nutri-Score is een regel die producten helpt die het spel meespelen. Het schept vertrouwen bij de consument. Natuurlijk is de Nutri-Score een beperking geweest in de waardeketen, maar wie kan er vandaag de dag nog over klagen? Iedereen is het eens met dit soort regels. De luchtvaart is een andere industrie die weet dat naleving en regels goed zijn voor hun producten. In branches waar veiligheid van cruciaal belang is, hebben ze beperkingen omgezet in een troef van vertrouwen, een kans om loyaliteit, begrip en een band met hun klanten op te bouwen. Hetzelfde geldt voor artificial intelligence: het is goed om deze regels te hebben... en misschien zelfs een gelegenheid om ons af te vragen of we een bepaalde AI echt nodig hebben, als de inspanning te groot is in verhouding tot het voordeel.

Generaal MacArthur zei ooit: “Verloren gevechten kunnen in twee woorden worden samengevat: te laat.” Het kan te laat zijn omdat de Europese wetgever een dwingend systeem met autoriteiten en sancties heeft opgezet. Afgezien van de angst voor juridische repercussies, kan het ook te laat zijn in de keten van markttoegang. Op het gebied van AI zijn er tegenwoordig maar weinig spelers die niet “vertrouwen” of “verantwoorde AI” of “op één lijn gebrachte AI” zeggen, alsof het intrinsiek is. Je kunt geen AI maken zonder vertrouwen, dus het zal zeker een verschil maken op de markt. Als u niet vanaf het begin een nalevingsproces hebt ingebouwd, zult u zeker verliezen in de hele waardeketen. 

Naaia helpt bedrijven zich te concentreren op hun kernactiviteiten, op innovatie en op hun teams. Onze tool biedt de sleutels om compliance zo snel en effectief mogelijk te bereiken. Het bevat een kwalificatiealgoritme dat een opslagplaats binnen het bedrijf creëert om alle artificial intelligence-systemen te identificeren en kwalificeren, en vervolgens een actieplan genereert. Dit actieplan zal worden opgesteld binnen de perimeter van elke AIS, maar het zal ook de inspanningen bundelen over alle regelgevingen heen om bedrijven te helpen snel en effectief compliance te bereiken, door hen lijsten met concrete acties te geven met sjablonen voor documentatie en trainingstools voor teams om aan de slag te gaan. We doen dit door de beperkingen en kosten te beperken, door het gebruik van experts die niet dicht genoeg bij de teams en de producten staan te beperken, en door te proberen deze functie te internaliseren om het te verteren en te metaboliseren. Het juiste woord voor naleving is “metaboliseren”, zodat wanneer we het product op de markt brengen, we zo onbezorgd en ongehinderd mogelijk te werk gaan.

Vandaag de dag zijn het vooral early adopters en massive adopters van AI, C40-groepen die een grote pijp hebben en al veel AI hebben ingezet. En meer gespecialiseerde spelers met AI als kernactiviteit, die absoluut verplicht zijn om meteen compliancepraktijken in te voeren, omdat het een kwestie van leven of dood is: ze kunnen niet op de markt komen als ze niet compliant zijn. Later zullen we geleidelijk kleinere bedrijven toevoegen. Zij hebben minder middelen om zich met nalevingsproblemen bezig te houden, maar ze zullen in de toekomst ook minder opties hebben. Net zoals er een CRM is om klantenrelaties te beheren, een ERP om de productie te beheren en een HRIS om HR te beheren, geloven wij dat we een hulpmiddel nodig hebben om AI centraal te beheren., en om iedereen te helpen goed gebruik te maken van AI en verantwoordelijkheden te beheren. In dit opzicht is Naaia een AIMS, een Artificial Intelligence Management System dat een commodity zal worden - dat is onze visie voor morgen.