Controleerbaarheid houdt in dat het mogelijk wordt gemaakt om de algoritmen, gegevens en ontwerpprocessen te controleren. Dat betekent niet noodzakelijkerwijs dat informatie over bedrijfsmodellen en intellectuele eigendom in verband met het AI-systeem altijd openbaar beschikbaar moet zijn. Evaluatie door interne en externe actoren en de beschikbaarheid van dergelijke evaluatieverslagen kunnen bijdragen aan de betrouwbaarheid van de technologie. Bij toepassingen die een invloed hebben op grondrechten, met inbegrip van veiligheidskritieke toepassingen, moeten AI-systemen onafhankelijk kunnen worden gecontroleerd.

Risicobeheersing impliceert dat het vermogen om verslag te doen van handelingen of beslissingen die bijdragen aan een bepaald resultaat van het systeem, alsook het vermogen om op de gevolgen van een dergelijk resultaat te reageren, moet worden gewaarborgd. De vaststelling, beoordeling, verslaglegging en minimalisering van de potentiële negatieve effecten van AI-systemen is in het bijzonder cruciaal voor degenen die er (in)direct de gevolgen van ondervinden. Er moet gedegen bescherming beschikbaar zijn voor klokkenluiders, ngo's, vakverenigingen of andere entiteiten wanneer zij melding maken van legitieme zorgen over een op AI gebaseerd systeem. Wanneer zich een negatief effect voordoet, moeten toegankelijke mechanismen bestaan ter waarborging van geschikte beroepsmogelijkheden.

De ethische vereiste bestaat uit twee sub-componenten

• controleerbaarheid
• risicobeheersing

Controleerbaarheid

Werden de nodige maatregelen genomen die de controleerbaarheid van het AI-systeem verzekeren/vereenvoudigen (zoals de traceerbaarheid van het ontwikkelingsproces, de herkomst/bron van de gebruikte trainingsdata en de logging van de processen, uitkomsten en negatieve of positieve impact van het AI-systeem).

• Algemeen

Deze vereiste moet samen worden gelezen met de bespreking van de Ethisch Vereiste 4: Transparantie. Ook contractuele afspraken tussen de betrokken actoren zijn aangewezen om de nodige waarborgen rond controleerbaarheid te voorzien.

• Gegevensbescherming

Er zijn verschillende bepalingen in de AVG die elders al aan bod kwamen rond transparantie (art. 12 en 13-14) en het recht van inzage voor de betrokkene (art. 15). Ook de verplichting voor de verwerkingsverantwoordelijke om een register van de verwerkingsactiviteiten bij te houden met o.a. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen indien mogelijk (art. 30) kwam eerder al aan bod. Ook moet elke organisatie die persoonsgegevens verwerkt nagaan of daar risico’s aan verbonden zijn. Indien een organisatie vermoedt dat een AI-systeem naar alle waarschijnlijkheid een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen moet zij een GEB uitvoeren.

• Consumentenbescherming

Ook de informatieplichten in Richtlijn 2011/83 over consumentenrechten kwamen reeds ter sprake en zijn in dit verband eveneens relevant. Er moet onder andere worden aangegeven of er een mogelijkheid is van toegang tot buitengerechtelijke klachten- en geschilbeslechtingsprocedures waaraan de handelaar is onderworpen (art. 6 en art. VI.45 WER).

Het invoeren van adequate logging procedures zal in de toekomst vermoedelijk aan belang winnen bijvoorbeeld binnen aangepast wetgevende kader rond aansprakelijkheid en AI-systemen.

Binnen het WER zijn een aantal bepalingen te vinden die relevant zijn die de controleerbaarheid van het AI-systeem verzekeren/vereenvoudigen. De producenten bijvoorbeeld geven binnen het bestek van hun activiteiten de gebruiker de informatie die hem in staat stelt zich een oordeel te vormen over de aan een product inherente risico's gedurende de normale of redelijkerwijs te verwachten gebruiksduur, indien deze risico's zonder passende waarschuwing niet onmiddellijk herkenbaar zijn, en zich tegen deze risico's te beschermen. De producenten nemen binnen het bestek van hun activiteiten, maatregelen die zijn afgestemd op de kenmerken van de door hen geleverde producten en diensten om 1) op de hoogte te kunnen blijven van de risico's van deze producten en diensten en 2) de passende acties te kunnen ondernemen om deze risico's te voorkomen, waaronder het uit de handel nemen, het aangepast en doeltreffend waarschuwen van de gebruikers en het terugroepen (art. IX. 8).

De producenten en distributeurs moeten ook het Centraal Meldpunt voor Producten onmiddellijk in kennis stellen wanneer zij weten, of op grond van de hun ter beschikking staande gegevens beroepshalve behoren te weten, dat een product of dienst die door hen op de markt werd gebracht voor de gebruiker risico's met zich meebrengt die onverenigbaar zijn met de algemene veiligheidsverplichting (Art. IX.8. § 4 WER). Zij moeten daarbij bepaalde informatie geven (bv. gegevens waardoor het product exact kan worden geïdentificeerd en alle beschikbare informatie aan de hand waarvan het product kan worden getraceerd).

Daarnaast is ook tal van sectorale regelgeving relevant waarin maatregelen worden opgelegd die de controleerbaarheid van producten die gebruik maken van AI verzekeren/vereenvoudigen, zoals bv. technische documentatie. Denk aan de Verordening Medische Hulpmiddelen (art. 10.4, 10.5, 10.9 en 10.13). Ook de regelgeving rond machines stelt dat de fabrikant alvorens een machine in de handel te brengen en/of in bedrijf te stellen zich ervan moet vergewissen dat het technisch dossier beschikbaar is (art. 7). Ook onder de NIS-wet moeten technische en organisatorische beveiligingsmaatregelen worden genomen die incidenten kunnen vermijden of hun impact kunnen beperken (art. 20-23).

Werd voorzien dat het AI-systeem kan worden onderworpen aan audits en externe controles door onafhankelijke derden?

De certificering van AI-systemen werd in tal van beleidsdocumenten reeds onderstreept. Stemmen gaan bijvoorbeeld op om AI-systemen met een hoog risico te onderwerpen aan een verplichte certificering. Een vrijwillige certificering wordt ook vooropgesteld als een optie voor de regulering van AI.

Toch bestaan er al heel wat andere mogelijkheden om labels te verkrijgen.

• De CE-markering bijvoorbeeld geeft aan dat een product volgens de fabrikant aan alle EU-eisen voldoet qua veiligheid, gezondheid en milieubescherming. De markering is verplicht voor bepaalde categorieën producten die in de EU verkocht worden, ook als ze elders gemaakt zijn. De CE-markering is alleen verplicht voor producten waarvoor EU-specificaties bestaan en die specificaties bovendien bepalen dat de betrokken producten van een CE-markering moeten zijn voorzien. Voor sommige producten moet een onafhankelijke aangemelde instantie worden betrokken die nagaat of een product conform is en dus een CE label kan krijgen. Dit is terug te vinden in regels per productcategorie. Als een product niet door een onafhankelijke instantie gecontroleerd moet worden, is het aan de producent om te controleren of het aan alle technische eisen voldoet. Dit houdt in dat de mogelijke gebruiksrisico's van het product worden ingeschat en gedocumenteerd.

• Sectorale bepalingen spelen een belangrijke rol om na te gaan of certificering of een andere conformiteitbeoordeling nodig is (zie bv. art. 52-60 Verordening Medische Hulpmiddelen).

Risicobeheersing

Werd voorzien in enige vorm van externe begeleiding of audits door derden om toezicht te houden op ethische kwesties en verantwoordingsmaatregelen? Werden risicotrainingen georganiseerd en zo ja, werd dan ook informatie over het mogelijke wettelijke kader dat van toepassing is op AI-systemen gegeven? Werd overwogen om een AI ethics review board of een soortgelijk mechanisme op te richten om de algemene verantwoordings- en ethische praktijken te bespreken? Werden de nodige mechanismes en processen voorzien om de conformiteit van AI-systemen met de vereisten van ALTAI lijst te verzekeren, op te volgen en te bespreken?

• Algemeen

De bedoeling is om de ethische aspecten van AI bij het ontwerp, de ontwikkeling en het gebruik in kaart te brengen. Op die manier kunnen betrouwbare AI-systemen worden ontwikkeld.

Hier is momenteel nog niet veel wetgeving over te vinden, net omdat het concept ethiek en de ‘juridische vertaling’ ervan niet altijd eenvoudig is. Wel is onder de toepasselijke regelgeving soms vereist dat actoren een risicoanalyse uitvoeren die in een AI-context kan worden gebruikt als vertrekpunt en inspiratiebron. Denk bijvoorbeeld aan de verplichting onder de AVG om een GEB uit te voeren indien een organisatie vermoedt dat een AI-systeem naar alle waarschijnlijkheid een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

• Sectorale wetgeving

Ook in sectorale wetgeving kan inspiratie worden gevonden, bijvoorbeeld in de Verordening Medische Hulpmiddelen door middel van het kwaliteitsmanagementsysteem (art. 10). Het systeem omvat alle delen en onderdelen van de organisatie van de fabrikant die over de kwaliteit van de processen, procedures en hulpmiddelen gaan. Het regelt de structuur, verantwoordelijkheden, procedures, processen en managementmiddelen vereist voor de toepassing van de beginselen en maatregelen die nodig zijn om de bepalingen van de Verordening te kunnen naleven.

Ook de regeling rond productveiligheid in het WER bevat een aantal relevante bepalingen over het nemen van de nodige maatregelen om op de hoogte te kunnen blijven van de risico's van producten en diensten en om de passende acties te kunnen ondernemen om deze risico's te voorkomen.

Werden er een processen/maatregelen geïmplementeerd ten aanzien van derde partijen (zoals leveranciers, verdelers, gebruikers) om potentiële kwetsbaarheden, risico's of vooroordelen in het AI-systeem te melden?

• Algemeen

Contractuele afspraken en de Wet van 4 april 2019 zijn relevant voor deze waarborgen.

• Gegevensbescherming

De betrokkene heeft onder de AVG verschillende mogelijkheden om deze zaken te melden. Denk aan het recht op rectificatie van onjuiste gegevens en het recht om vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken (art. 16 AVG). De betrokkene heeft ook het recht op gegevenswissing (art. 17 AVG). Onder bepaalde omstandigheden heeft de betrokkene ook het recht om van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen (art. 18). De betrokkene heeft ook een recht van bezwaar tegen de verwerking van persoonsgegevens, met inbegrip van en geautomatiseerde individuele besluitvorming van profilering (art 21). De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft (art. 22).

• Consumentenbescherming

Daarnaast zijn er ook verschillende relevante bepalingen te vinden in consumentenwetgeving. Zo voorziet art. VI.47 WER op basis van de Richtlijn Consumentenbescherming in een herroepingsrecht van 14 dagen. Alvorens een consument verbonden is door een overeenkomst moet de handelaar op een duidelijke en begrijpelijke wijze ook informatie verstrekken over o.a. de toegang tot buitengerechtelijke klachten- en geschilbeslechtingsprocedures waaraan de handelaar is onderworpen, en de wijze waarop daar toegang toe is (art. VI.45 WER).

Ook art. 1649ter-1649sexies BW voorzien op basis van de Richtlijn betreffende bepaalde aspecten van de verkoop van en de garanties voor consumptiegoederen een recht van verhaal voor de consument, alsook andere rechten bij een conformiteitsgebrek. Er zijn ook een aantal remedies voorzien voor consumenten in Richtlijn over digitale inhoud en Richtlijn verkoop van goederen in geval van leveringsverzuim of conformiteitsgebrek.

• Indienen klachten

Ook bij overheden kunnen in bepaalde gevallen klachten worden ingediend, denk bijvoorbeeld aan melding van incidenten met medische hulpmiddelen bij FAGG. Verder kan ook bij het Meldpunt een klacht worden ingediend bij misleiding, bedrog, fraude en oplichting. Onder de productveiligheid bepalingen in het WER stellen producenten en distributeurs het Centraal Meldpunt voor Producten onmiddellijk in kennis wanneer zij weten, of op grond van de hun ter beschikking staande gegevens beroepshalve behoren te weten, dat een product of dienst voor de gebruiker risico's met zich meebrengt die onverenigbaar zijn met de algemene veiligheidsverplichting (art. IX.8). Ook onder de NIS-wet wordt een mogelijkheid voorzien om melding van incidenten te maken (art. 24-31).

• Sectorale wetgeving

Ook in sectorale wetgeving kunnen de nodige processen/maatregelen worden geïmplementeerd of zijn ze voorzien. Denk bijvoorbeeld aan de post-market surveillance verplichtingen voor fabrikanten van medische hulpmiddelen. Het plan voor post-market surveillance moet bepalingen bevatten over o.a. het verzamelen en aanwenden van de beschikbare informatie, met inbegrip van feedback en klachten van gebruikers, distributeurs en importeurs.

Zijn er verhaalmogelijkheden en/of opties voor het bekomen van compensatie indien AI-systemen individuen negatief beïnvloeden (en schade veroorzaken)?

• Algemeen

De kans dat AI-systemen schade veroorzaken is reëel. Denk bijvoorbeeld aan ongevallen veroorzaakt door autonome motorvoertuigen of een robot die lichamelijke schade veroorzaakt tijdens een chirurgische ingreep. Er zijn verschillende mogelijkheden waardoor slachtoffers hun schade kunnen verhalen.

• Contractuele en buitencontractuele regimes

Er kan contractueel al het één en andere worden opgenomen. Denk bijvoorbeeld aan een contractuele schadevergoeding of de ontbinding van de overeenkomst bij wanprestatie.

Naast contractuele aansprakelijkheid kan een slachtoffer ook een vordering indienen op grond van een buitencontractuele aansprakelijkheidsregimes. Denk aan de foutaansprakelijkheid van een AI producent of software ontwikkelaar (art. 1382 BW) of aansprakelijkheid van de bewaarder van een gebrekkige zaak (art. 1384 BW).

Ook de regelgeving rond productaansprakelijkheid is van belang. Volgende deze wet is een producent aansprakelijk voor de schade veroorzaakt door een gebrek in zijn product.

• Consumentenbescherming

Het herroepingsrecht voor consumenten en de beschikbare remedies/rechten ingeval van een leveringsverzuim of conformiteitsgebrek werden reeds aangehaald.

Ook de Richtlijn over oneerlijke handelspraktijken en de relevante bepalingen in het WER voorzien in verhaalmogelijkheden. Oneerlijke handelspraktijken van ondernemingen jegens consumenten zijn verboden. De lidstaten moeten zorgen voor de invoering van passende en doeltreffende middelen ter bestrijding van oneerlijke handelspraktijken, zodat de naleving van de Richtlijn in het belang van de consumenten kan worden afgedwongen (art. 11).

Onlangs werd ook Richtlijn 2019/2161 betreft betere handhaving en modernisering van de regels voor consumentenbescherming aangenomen. Lidstaten moeten ervoor zorgen dat er remedies beschikbaar zijn voor consumenten die door oneerlijke handelspraktijken schade hebben geleden om op die manier alle gevolgen van die oneerlijke handelspraktijken teniet te doen. De consument moet toegang hebben tot schadevergoeding en, in voorkomend geval, prijsvermindering of beëindiging van de overeenkomst op een manier die evenredig en doeltreffend is.

Bedrijven kunnen zich beroepen op de bepalingen in het WER over misleidende en vergelijkende reclame (art. VI.17 en verder) die gebaseerd zijn op Richtlijn 2006/114 inzake misleidende reclame en vergelijkende reclame. De bedoeling is om beroepsbeoefenaars te beschermen tegen misleidende reclame door andere bedrijven die wordt beschouwd als een oneerlijke handelspraktijk. Volgens de Richtlijn moeten de lidstaten zorgen voor de invoering van passende en doeltreffende middelen ter bestrijding van misleidende reclame en voor de naleving van de bepalingen inzake vergelijkende reclame in het belang van handelaren en concurrenten (art. 5). Verder kan ook de Belgische B2B wet van april 2019 met betrekking tot misbruiken van economische afhankelijkheid, onrechtmatige bedingen en oneerlijke marktpraktijken tussen ondernemingen worden gebruikt. Indien de rechten als consument of onderneming niet werden gerespecteerd, of indien iemand het slachtoffer is van misleiding, bedrog, fraude of oplichting, kan een procedure worden ingesteld bij het Meldpunt.

• Gerechtelijk wetboek

Juridische procedures kunnen worden ingesteld conform de bepalingen van het Gerechtelijk Wetboek. De rechtsvordering kan evenwel niet worden toegelaten indien de eiser geen hoedanigheid en geen belang heeft om ze in te dienen. De bewijslast voor schade veroorzaakt door AI-systemen kan zwaar zijn (bv. ‘gebrekkige’ AI).

• Alternatieve geschillenprocedures

Daarnaast zijn ook alternatieve geschillenprocedures zoals arbitrage of bemiddeling soms mogelijk. Het Europese platform voor onlinegeschillenbeslechting (ODR) wordt door de Europese Commissie beschikbaar gesteld om online winkelen veiliger en eerlijker te maken door toegang te bieden tot goede instrumenten voor geschillenbeslechting. Op EU niveau werd onlangs ook een voorstel aangenomen voor een Richtlijn betreffende representatieve vorderingen ter bescherming van de collectieve belangen van consumenten en tot intrekking van Richtlijn 2009/22/EG.

• Rechtsvordering collectief herstel

In dit verband is ook de regelgeving over de rechtsvordering tot collectief herstel relevant. Een rechtsvordering tot collectief herstel is ontvankelijk indien aan verschillende voorwaarden is voldaan. De ingeroepen oorzaak betreft bijvoorbeeld een mogelijke inbreuk door de onderneming op een van haar contractuele verplichtingen, op een van de Europese verordeningen of de wetten bedoeld in art. XVII. 37 WER of op een van hun uitvoeringsbesluiten. Er zijn ook een aantal vereisten voor de verzoeker en het beroep op een rechtsvordering tot collectief herstel moet meer doelmatig lijken dan een rechtsvordering van gemeen recht. De mogelijkheid om een vordering tot collectief herstel in te stellen werd ondertussen ook voorzien voor KMO’s.

• Sectorale bepalingen

Ook in bepaalde (sectorale) wetgeving worden soms verhaalmogelijkheden voorzien. Onder de voorwaarden in de AVG heeft de betrokkene te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van persoonsgegevens (art. 21). Bovendien voorziet de AVG in een specifiek aansprakelijkheidsregime (art. 82).

Bewijsproblemen identificeren en (desgevallend) remediëren

De huidige regelgeving is niet voorzien op systemen die kunnen ‘leren’ of door de ontwerper/gebruiker onvoorziene handelingen kunnen stellen. Doorgaans wordt er immers van uitgegaan dat de onderneming of natuurlijk persoon die bepaalde hulpmiddelen hanteert daar de controle, en dus eindverantwoordelijkheid, over heeft. Werkelijk autonome AI-systemen botsen met deze stilzwijgende veronderstelling.

Het lijkt daarom van belang dat beleidsmakers duidelijkheid scheppen over de mate waarin ontwerpers en gebruikers van AI-systemen maatregelen moeten treffen of procedures voorzien met het oog op het vermijden van ongewenste gevolgen als gevolg van het zelflerende/autonome karakter van AI-systemen.

Anderzijds hebben deze vragen ook betrekking op juridisch minder aflijnbare onderwerpen als ‘afhankelijkheid’ en ‘aanhankelijkheid’ die nog geen weerklank vinden in het huidige recht. Vraag is hier of, en in welke mate, de (Europese of Belgische) wetgever kan of moet optreden om dergelijke concepten in wettelijke vereisten om te zetten en dit niet alleen voor AI-systemen, maar ook voor andere producten.

Ethisch AI-kader concretiseren

Er moet worden nagedacht over concrete maatregelen rond een ethisch kader voor AI in Vlaanderen.

Beleidsmakers in Europa bevinden zich op dit moment nog vaak op een abstract niveau van principes en de vraag om nieuwe wetgeving te overwegen. Deze initiatieven zijn te abstract om ingang te vinden in de huidige innovatie en ontwikkeling met betrekking tot AI in Europa (of Vlaanderen). Concrete maatregelen zijn dus nodig zoals bv. het aanstellen van een Chief AI Ethics Officer in een bedrijf dat AI-systemen ontwikkelt. Een aantal vragen zijn hierbij o.a. over welke skills deze persoon moet beschikken en wat het functieprofiel van een dergelijke officer moet zijn.

Bij het creëren van een ethisch kader bestaande uit concrete maatregelen of zelfs wetgeving stellen wij alvast voor om dit kader te beschermen tegen checkbox ticking, een negatieve tendens bij persoonlijke gegevensbescherming die we reeds bij privacy en databeheer noteerden.

Een andere mogelijkheid is bv. dat AI- en data-innovatietrajecten die gesteund worden met overheidsgeld ethische aspecten met betrekking tot innovatie mee moeten nemen als selectie- of ontvankelijkheidscriterium. Ethische assessments kosten tijd en middelen. Daarom moeten deze niet mee worden genomen nemen als aparte hoofding in een projectvoorstel, maar als een verplicht werkpakket. Wat er in dit werkpakket moet komen kan besproken worden met de verschillende subsidieorganen, beleidsmakers, NGO’s die de rechten van ALTAI uitdragen en het Kenniscentrum Data & Maatschappij.

Verder kan ook worden nagedacht over een soort van gedragscode voor AI, waarbij het te verwachten gedrag van AI-ontwikkelaars, organisaties en producenten kan worden omschreven. Daarnaast kan ook worden bepaald welke maatregelen nodig zijn om de controleerbaarheid van het AI-systeem te verzekeren/vereenvoudigen, alsook mogelijke processen/maatregelen die kunnen worden aangenomen om potentiële kwetsbaarheden, risico's of vooroordelen in het AI-systeem te melden. Dit systeem werkt reeds voor andere ontwikkelaars in software en sociale media. Een deontologie installeert een soort van erecode en ontwikkelaars durven praktijken van zichzelf en anderen in vraag stellen van zodra een gedeelde code beschikbaar is. De vele ingenieursprotesten bij Google en Facebook zijn hier voorbeelden van.

Inzetten op certificering

Certificeringsmechanismes voor betrouwbare AI kunnen in de toekomst een belangrijke rol spelen. Hier moeten beleidsmakers verder op inzetten om zo een kader rond certificering verder uit te stippelen. Een multidisciplinair platform opzetten met andere actoren lijkt alvast aangewezen (cf. ETAMI). Bij certificering raden wij aan om certificatie steeds voorbij het machine learning proces en model te ontwikkelen. De ALTAI-vragen richten zich vaak naar een gebruiker en de context waarin AI wordt gebruikt. Een certificering die dit laatste proces niet in kaart brengt, zal onvoldoende zekerheden verschaffen.

Verspreiden van kennis

Het verspreiden van kennis is opnieuw cruciaal. Het blijft nodig om workshops te organiseren waarbij informatie wordt verstrekt over het wettelijke kader dat van toepassing is op AI-systemen (cf. educate your leaders). Verder kan ook verduidelijking worden gebracht bij de toepasselijke wetgeving, vooral met betrekking tot AI op zichzelf (dus niet embedded). Denk aan de vraag of software een product is of wanneer software gebrekkig is. Ook kan het ontwerpen van een contractuele template in de context van AI en standaardbepalingen over de verdeling van aansprakelijkheid/verantwoordelijkheid nuttig zijn in de AI supply chain.

Ga naar onze tools pagina