Ethische principes en (niet-) bestaande juridische regels voor AI

Context Gids – De Europese Commissie (EC) baseert haar AI-strategie op drie pijlers: (i) investering in onderzoek om de capaciteit en het gebruik van AI te bevorderen, (ii) een voorbereiding op de socio-economische veranderingen, en (iii) de ontwikkeling van een passend ethisch en juridisch kader dat aansluit op de waarden van de Europese Unie (EU).

Wat betreft het derde punt zijn de werkzaamheden van de in juni 2018 opgerichte Deskundigengroep inzake Kunstmatige Intelligentie (High-Level Expert Group on Artificial Intelligence – AI HLEG) van groot belang. In april 2019 publiceerde de AI HLEG de Ethische Richtsnoeren voor Betrouwbare AI. Het document bevat een aantal aanbevelingen voor het ontwikkelen van betrouwbare AI (Trustworthy AI). Een betrouwbaar AI-systeem leeft alle toepasselijke regelgeving na, handelt in overeenstemming met ethische waarden/principes en is robuust (zowel vanuit een sociaal als technisch perspectief). De Richtsnoeren bevatten zeven ethische eisen waaraan AI-systemen moeten voldoen om betrouwbaar te zijn:

• menselijke controle en menselijk toezicht;
• technische robuustheid en veiligheid;
• privacy en databeheer;
• transparantie;
• diversiteit, non-discriminatie en rechtvaardigheid;
• maatschappelijk en milieuwelzijn; en
• verantwoording.

ALTAI Beoordelingslijst – Deze Ethische Richtsnoeren zijn geen geldend recht. Ze geven louter een aanwijzing over hoe AI ethisch kan worden ontworpen, ontwikkeld en gebruikt (soft law). Toch kan best zoveel mogelijk rekening worden gehouden met deze vereisten en ervoor worden gezorgd dat AI-systemen conform deze principes worden ontwikkeld. Hoe deze Ethische Richtsnoeren kunnen worden nageleefd, is echter niet altijd duidelijk en/of eenvoudig. Om een en ander te vereenvoudigen, werd bij de Ethische Richtsnoeren daarom recent een Beoordelingslijst (Assessment List for Trustworthy AI – ALTAI) toegevoegd. Deze lijst bevat een aantal heel concrete vragen om te beoordelen of een bepaalde ethische vereiste wordt nageleefd.

Opbouw gids – Met deze gids wil het Kenniscentrum Data & Maatschappij nagaan in welke mate de vragen in de ALTAI Beoordelingslijst al een vertaling vinden in het bestaande wetgevende kader en of er bepaalde relevante regels zijn die aansluiten bij de ethische vereisten. Meteen geven we ook aan waar nog ruimte is voor verduidelijking, aanvulling of verfijning. Daarom gaan we in de volgende delen dieper in op elk van de zeven ethische vereisten, aan de hand van de volgende vragen:

• Wat betekent de ethische vereiste?
• Welke regels vormen reeds een vertaling van de ethische vereiste of kunnen dienen als inspiratiebron voor het aannemen van (bijkomende) regels over de vereiste?
• Waar zitten mogelijke punten van verbetering en/of aandachtspunten?
• Welke tools zijn er al/kunnen worden gebruikt om aan de ethische vereiste te voldoen?

Doel gids – Op deze pagina vind je een toegankelijke online encyclopedie met voor iedere ethische vereiste enkele uitklapmogelijkheden per vraag - zoals de vragen hierboven. Op die manier kan je de gids op een interactieve wijze ontdekken en gebruiken volgens jouw behoeftes.

Het doel van deze gids en de interactieve website is drievoudig. Ten eerste willen we een overzicht geven van de toepasselijke ethische vereisten met een beknopte inhoudelijke omkadering en duiding. We identificeren daarbij ook de relevante wetgeving. We analyseren deze niet tot in detail, maar geven de essentie weer en integreren hyperlinks naar de vindplaats. Ten tweede willen we voor elke ethische vereiste een aantal leemtes identificeren en enkele aanbevelingen voor beleidsmakers formuleren. Op basis hiervan kunnen in de toekomst dan gerichte(re) acties worden ondernomen. Ten derde is het de bedoeling om opnieuw een levend document (working document) te ontwikkelen, waarin de informatie op regelmatige tijdstippen zal worden geactualiseerd en waarop stakeholders steeds feedback of aanbevelingen kunnen geven.

Met de eerste ethische vereiste, menselijke controle en menselijk toezicht, wordt gedoeld op het feit dat AI-systemen de menselijke autonomie en het menselijk beslissingsproces moeten ondersteunen, zoals volgt uit het beginsel van respect voor de menselijke autonomie. Daarvoor is het nodig dat AI-systemen zowel een democratische en gelijkwaardige samenleving mogelijk maken door de gebruikersautonomie te garanderen, als fundamentele rechten respecteren, wat dient te worden afgedwongen door middel van menselijk toezicht.

Onder deze vereiste worden AI-systemen beoordeeld op basis van twee sub-componenten, namelijk de mate waarin zij menselijke autonomie (agency) en menselijk toezicht (oversight) toelaten.

De ethische vereiste van technische robuustheid houdt in dat AI-systemen met een preventieve benadering moeten worden ontwikkeld. AI-systemen moeten zich gedragen zoals voorzien en alle vormen van onaanvaardbare schade moeten worden vermeden. De fysieke en mentale integriteit van mensen moet altijd worden gewaarborgd.

Het vereiste van technische robuustheid bestaat uit vier sub-componenten: (1) weerbaarheid tegen aanvallen en bedreigingen, (2) algemene veiligheidsmaatregelen, (3) nauwkeurigheid en (4) betrouwbaarheid.

Deze ethische vereiste heeft betrekking op de grondrechten van eenieder op bescherming van het privéleven en het nauw daaraan verwante recht op gegevensbescherming. Deze rechten dragen bij aan het beschermen van de mentale en fysieke integriteit van natuurlijke personen. Het beginsel ‘preventie van schade’ speelt dan ook een belangrijke rol bij deze ethische vereiste. Om deze schade in de praktijk te beperken, is een doorgedreven risico-gebaseerde benadering nodig die op zich een performante data-governance (databeheer) vereist.

Deze ethische vereiste dekt de volgende drie sub-componenten (1) privacy en gegevensbescherming, (2) kwaliteit en integriteit van gegevens en (3) toegang tot gegevens.

Een cruciaal onderdeel van het bereiken van een betrouwbare AI is transparantie. Transparantie heeft betrekking op verschillende elementen die relevant zijn voor een AI-systeem waaronder de gegevens, het systeem en de bedrijfsmodellen.

Deze vereiste van transparantie bestaat uit drie sub-componenten, namelijk (1) traceerbaarheid, (2) verklaarbaarheid en (3) open communicatie over de beperkingen van het AI-systeem.

Om betrouwbare AI te verwezenlijken moeten inclusie en diversiteit mogelijk worden gemaakt gedurende de hele levenscyclus van het AI-systeem. Er moet daarbij gedurende het hele proces met alle betrokken belanghebbenden rekening worden gehouden. Er moet ook worden gezorgd voor gelijke toegang via inclusieve ontwerpprocessen, alsook voor gelijke behandeling. Deze vereiste is nauw verbonden met het beginsel van rechtvaardigheid.

Deze vereiste houdt rekening met drie sub-componenten: (1) voorkomen van onrechtvaardige vertekeningen, (2) verzekeren van toegankelijkheid en universeel ontwerp en (3) zorgen voor participatie van belanghebbenden.

Deze ethische vereiste vormt de uitdrukking van de ethische beginselen van schadepreventie en rechtvaardigheid. Deze vereiste houdt in dat bij de ontwikkeling, het ontwerp en gebruik van AI-systemen ook met andere belanghebbenden – de brede maatschappij, het milieu en andere wezens met gevoel – rekening wordt gehouden. Duurzaamheid en economische verantwoordelijkheid van AI-systemen moet worden aangemoedigd en onderzoek in dit veld moet worden gestimuleerd.

Dit ethisch vereiste heeft drie sub-componenten, namelijk (1) duurzaamheid en milieuvriendelijkheid, (2) sociale aspecten en (3) vrijwaring van democratie en samenleving.

De vereiste van verantwoording vormt een aanvulling op de bovenstaande vereisten en is nauw verbonden aan het beginsel van rechtvaardigheid. Op grond van deze vereiste moeten mechanismen worden ingesteld om de verantwoordelijkheid en verantwoording voor AI-systemen en de resultaten daarvan te garanderen, zowel voor als na de toepassing. De nodige maatregelen moeten dus worden genomen om verantwoordelijkheid te verzekeren en aan te moedigen bij het ontwikkelen of gebruik van AI-systemen. Deze vereiste impliceert dat de potentiele risico’s van AI-systemen op een transparante manier worden geïdentificeerd en gemitigeerd. Wanneer er sprake is van onrechtvaardige of nadelige gevolgen moeten toegankelijke verantwoordingsmechanismen bestaan die voorzien in een adequate verhaalsmogelijkheid. Het komt er dus eigenlijk op neer om te zorgen dat iemand verantwoordelijk kan worden gesteld indien AI-systemen schade veroorzaken en dat er een adequate schadeloosstelling wordt voorzien.

De ethische vereiste bestaat uit twee sub-componenten (1) controleerbaarheid en (2) risicobeheersing.

Voor elke ethische vereiste werden al een aantal tekortkomingen geïdentificeerd en een aantal aanbevelingen gefromuleerd. In dit deel besluiten we dan ook met een korte evaluatie over de relatie tussen de ethische richtlijnen en het wetgevende kader. We gaan na waar er lacunes zitten met betrekking tot de ‘vertaling’ van ethische vereisten in het wetgevende kader. Kortom, we geven een overzicht van waar er voor beleidsmakers nog werk aan de winkel is en rond welke vereisten verder kan worden nagedacht. Een ding wordt meteen duidelijk: wie de ethische vereisten wil linken aan het wetgevende kader moet een heel brede kennis hebben van zo goed als alle rechtsdomeinen. In tijden van toenemende specialisatie, lijkt een all round juridische kennis dus zeker een voordeel te bieden met betrekking tot de ontwikkeling van betrouwbare AI-systemen. Bovendien vergen deze vereisten ook een soort van reflex en mentaliteit die niet steeds te vertalen valt in wetgeving (bv. milieu, maatschappelijk, duurzaamheid).

• Vereiste 1 (menselijke controle en toezicht)

Deze ethische vereiste weerklinkt reeds in vele en verscheidene wettelijke vereisten en het is daarom voornamelijk een kwestie van bestaande regels te verduidelijken en met elkaar in verband te brengen. Zo is huidige regelgeving nog niet voorzien op systemen die kunnen ‘leren’ of door de ontwerper/gebruiker onvoorziene handelingen kunnen stellen. Het is daarom aan te raden om (i) eventueel relevante wettelijke vereisten of technische standaarden aan te passen/aan te vullen zodat ze met dit autonome karakter van AI-systemen rekening kunnen houden en (ii) na te kijken in welke mate het toepassingsgebied van bepaalde wetgeving zou moeten worden aangepast. Anderzijds betreft dit vereiste juridisch minder aflijnbare onderwerpen als ‘afhankelijkheid’ en ‘aanhankelijkheid’ die (nog) geen weerklank vinden in het huidige recht. Vraag is hier of, en in welke mate, de (Europese of Belgische) wetgever kan of moet optreden om dergelijke concepten in wettelijke vereisten om te zetten en dit niet alleen voor AI-systemen, maar ook voor andere producten.

• Vereiste 2 (technische robuustheid en veiligheid)

Op het vlak van technische robuustheid en veiligheid bestaan er al meerdere uitgewerkte juridische kaders die verplichten om een adequate beveiliging te voorzien. De digitalisering – en bij uitstek het toenemend gebruik van AI-systemen – stellen deze regels op meerdere vlakken op de proef. Veel bestaande regelgeving is gericht op lichamelijke producten (bv. productveiligheid en productaansprakelijkheid). Het cyberveiligheidsregime is vooral gericht op het verhinderen van aanvallen door hackers. Bijkomend interdisciplinaire samenwerking lijkt dan ook nodig om na te gaan of en hoe deze wetgeving en/of regulering moet worden verfijnd in een AI-context.

• Vereiste 3 (privacy en databeheer)

Op het vlak van privacy en databeheer bestaat er al een uitgewerkt wetgevend kader vanuit het gegevensbeschermingsrecht. Niettemin blijkt de effectieve en nuttige toepassing hiervan vaak tot problemen te leiden en is het moeilijk om in de praktijk tot een werkbare privacy-cultuur te komen. Dit kan vermoedelijk worden opgelost door een betere bewustmaking en een duidelijker toelichting van de impact en toepassing van het gegevensbeschermingsrecht in AI-context. Ook een betere handhaving lijkt daarvoor onvermijdelijk. Problematisch is dat enkel verwerkers en verwerkingsverantwoordelijken onderworpen zijn aan de AVG en de ontwikkelaars en aanbieders strikt gezien niet gehouden zijn om hun (AI-)producten te laten voldoen aan bijv. de vereisten omtrent gegevensbescherming door ontwerp en standaardinstellingen. Regulerend initiatief hieromtrent kan maar nuttig zijn indien dat minstens op EU-niveau gebeurt.

• Vereiste 4 (transparantie)

Op het vlak van transparantie en informatieverplichtingen bestaat al heel wat regelgeving, zeker ten aanzien van consumenten. Bijkomende afzonderlijke wetgeving lijkt dus niet nodig, al kan de bestaande wetgeving (in de toekomst) op sommige vlakken licht worden aangepast en/of verduidelijkt. Met enkele kleine toevoegingen specifiek gericht op AI-systemen (bv. rond invoerdata en de werking van AI-systemen) kan al heel wat worden bereikt op vlak van conformiteit met de ALTAI lijst. Een alternatief is om op basis van die wetgeving bijkomende richtlijnen aan te nemen specifiek voor AI-systemen (cf. ‘AI bijsluiter’).

• Vereiste 5 (diversiteit, discriminatie en rechtvaardigheid)

Op het gebied van non-discriminatie is er al een omvattend kader. Toch lijkt het er op dat mogelijke nieuwe vormen van discriminatie niet onder de bestaande wetgeving zouden vallen. Daarom moet nagegaan worden of dit door een aanvulling op de bestaande wetgeving kan opgelost worden. Participatie van belanghebbenden in een AI-context is daarentegen nog niet voorzien in specifieke wetgeving. Een voorbeeld hiervan is wel al te vinden in de context van de AVG. Voor AI-systemen dient onderzocht te worden hoe een dergelijke regelgeving er uit zou kunnen zien.

• Vereiste 6 (maatschappelijk en milieubewustzijn)

Inzake milieubewustzijn is er al een omvangrijk lappendeken aan juridische kaders die zich toespitsen op specifieke risico’s die kunnen worden veroorzaakt. Er zijn ook normen om de ontwikkeling van producten duurzamer te maken. Deze zijn vooral gericht op hardware. Het is nuttig om na te gaan of dergelijke vereisten ook zouden moeten gelden voor de ontwikkeling van software. Uit deze vereiste volgt ook dat de betrokken actoren voldoende moeten worden ingelicht over de impact op het milieu en de maatschappij bij het ontwikkelen en gebruik van AI-systemen. Ook wat betreft de impact van AI-systemen op democratische waarden lijkt het vooral een kwestie van bewustzijn. Inzake arbeid en sociale zaken is het noodzakelijk dat de bevolking met AI-systemen leert omgaan zonder daarbij evenwel te grote (administratieve) kosten op bedrijven te leggen. Er zijn reeds juridische mechanismen voorzien voor overleg en het verstrekken van informatie aan werknemers. Toch kan opnieuw meer aandacht worden gegeven aan specifieke opleidingsprogramma’s, en zeker aan het ontwikkelen en behouden van digitale vaardigheden om met AI-systemen om te gaan. Het voorzien van verdere beroepsopleidingen is dan ook cruciaal.

• Vereiste 7 (verantwoording)

Voor deze vereiste werden reeds een aantal aanknopingspunten gevonden in het bestaande recht. Indien schade veroorzaakt wordt door AI-systemen zijn er een aantal mogelijkheden voor slachtoffers om vergoeding te krijgen. Toch zijn bijkomende verfijningen aan het wetgevende kader nodig, bijvoorbeeld rond bepaalde juridische concepten (bv. kwalificatie software) of procedurele aspecten (bv. bewijslast slachtoffers).

Totstandkoming gids – Deze gids kwam tot stand door middel van overleg met en input door belanghebbenden en met steun van het Vlaams Departement Economie, Wetenschap & Innovatie (EWI). Na intern overleg werd een algemeen overzicht van de ethische vereisten opgesteld. Dit werd aan de belanghebbenden bezorgd voor feedback. Onderzoekers aan het KU Leuven Centre for IT & IP Law (CiTiP) zijn verantwoordelijk voor coördinatie van deze gids. De betrokken stakeholders en het onderzoeksluik van het Vlaams AI-plan kregen ook de mogelijkheid om feedback te geven op een draft versie van deze gids. Bijkomende feedback, aanvullingen, vragen en input op/over deze gids kan te alle tijden aan hun worden overgemaakt.

Disclaimer – Het KDM wenst bij te dragen aan het debat en het creëren van een maatschappelijk draagvlak voor AI en data-gedreven toepassingen. De door het KDM verschafte informatie, zoals deze gids, is algemeen en kan niet beschouwd worden als individueel juridisch advies. Ze kan niet worden gebruikt ter vervanging van advies door een juridisch expert. Hoewel het KDM ernaar streeft om onze documenten correct en accuraat op te stellen, is het mogelijk dat de daarin vervatte positie niet toepasbaar is op uw specifieke situatie, niet volledig, juist of actueel is, of niet overeenkomt met de positie die een rechtbank of toezichthoudende autoriteit zou kunnen innemen. Het KDM draagt dan ook geen enkele verantwoordelijkheid voor de naleving van de toepasselijke wettelijke voorschriften door een organisatie.