EU-plan eenvoudigere AI-regels botst met privacywaakhonden

De toezichthouders spraken vorige week hun zorgen uit in een verklaring die de Nederlandse privacywaakhond Autoriteit Persoonsgegevens ondersteunt. De aanleiding voor de kritiek van EDPB en EDPS is het voorstel van de Europese Commissie om de uitvoering van de AI-verordening te vereenvoudigen. Dit voorstel, bekend als de ‘Digital Omnibus on AI’, is bedoeld om het voor AI-bedrijven makkelijker te maken om in de EU te opereren, onder andere door ruimere toegang tot gegevens en minder administratieve lasten.

De kritiek richt zich op onderdelen van het voorstel die volgens hen:

• de transparantie en het toezicht verminderen, zoals het schrappen van de registratieplicht voor bepaalde AI-systemen,
• onvoldoende waarborgen bieden bij het gebruik van gevoelige persoonsgegevens,
• de rol en bevoegdheden van nationale toezichthouders kunnen ondermijnen en kunnen leiden tot
• uitstel van belangrijke verplichtingen voor AI-systemen met een hoog risico.

Het voorstel maakt het makkelijker om bijzondere persoonsgegevens, zoals etniciteit en gezondheid, te gebruiken voor het opsporen van discriminatie in AI. Volgens de toezichthouders mag dit alleen in strikt afgebakende situaties met ernstige risico’s en passende veiligheidsmaatregelen. Bovendien kan het schrappen van de registratieplicht voor AI-systemen die door de aanbieders ervan niet als hoog-risico worden beschouwd, misbruik in de hand werken. De wijziging kan een ongewenste prikkel creëren: aanbieders kunnen gemakkelijk ten onrechte beweren dat hun AI-systeem geen hoog risico vormt.

Afbakening van de rol van AI Office

Voor de uitvoering van de AI-verordening (AI Act) richt de Europese Commissie een nieuwe centrale Europese toezichthouder op AI (AI Office). De EDPB en EDPS maken zich zorgen dat het AI Office te veel centrale macht krijgt, waardoor de nationale toezichthouders bevoegdheden verliezen en het onafhankelijk toezicht in gevaar kan komen. Ze pleiten daarom voor een duidelijke afbakening van de rol van het AI Office, in balans met de rol van nationale autoriteiten zoals de Autoriteit Persoonsgegevens.

De Europese Commissie geeft in de ‘Digital Omnibus on AI’ aan dat er een taak ligt voor overheden om AI-kennis te bevorderen, bijvoorbeeld via educatieprogramma’s. De toezichthouders vrezen dat organisaties hierdoor gaan denken dat AI-educatie vooral een publieke taak is, en dat zij er zelf minder verantwoordelijkheid voor hoeven te nemen. Organisaties die AI ontwikkelen of gebruiken, blijven zelf verantwoordelijk voor voldoende kennis en zorgvuldigheid binnen hun organisatie, benadrukken de EDPB en EDPS. Zonder voldoende AI-kennis bij personeel kunnen organisaties verkeerde keuzes maken in ontwerp, toepassing en beoordeling van AI-systemen. Dat kan leiden tot onbedoelde discriminatie of onvoldoende veiligheidsmaatregelen bij gevoelige toepassingen.

Geen uitstel verplichtingen bij hoog risico

Ten slotte uitten de toezichthouders hun zorgen over het uitstellen van kernverplichtingen voor AI-systemen met een hoog risico. Het gaat bij die kernverplichtingen bijvoorbeeld om het proactief identificeren en beperken van risico’s voor fundamentele rechten en veiligheid. Ook moeten er bij deze hoogrisico-systemen garanties zijn dat trainings-, test- en validatiedata vrij zijn van vooringenomenheid en relevant, representatief en accuraat. De systemen moeten verder ontworpen zijn zodat menselijk ingrijpen mogelijk blijft om ongewenste gevolgen te voorkomen.

Zo is er een reeks verplichtingen die ervoor moeten zorgen dat deze systemen veilig, transparant en volgens de mensenrechten worden ontwikkeld en gebruikt. De Europese Commissie stelt in de ‘Omnibus’ voor om bijvoorbeeld de registratieplicht voor hoog-risico AI-systemen later in te voeren en verplichtingen voor documentatie en transparantie gefaseerd te implementeren. Zo krijgen bedrijven en lidstaten extra tijd om zich aan de regels aan te passen, volgens de Europese Commissie. De toezichthouders zien vooral een juridisch grijs gebied ontstaan waarin misbruik mogelijk is. Leveranciers kunnen AI-systemen al inzetten zonder voldoende waarborgen, waardoor fundamentele rechten niet op tijd beschermd zijn.