De G7-Principes: Redding of Ondergang voor AI?

Inleiding.

In de snel evoluerende wereld van kunstmatige intelligentie (AI) is er een groeiende behoefte aan richtlijnen en principes die zowel innovatie als ethische overwegingen bevorderen. De recente aankondiging van de G7-principes voor AI heeft een golf van discussies en analyses teweeggebracht over hoe deze richtlijnen de toekomst van AI zullen vormgeven.

De G7-principes vormen een ambitieuze poging om een ethisch en praktisch kader te bieden voor de ontwikkeling en implementatie van geavanceerde AI-systemen. Terwijl deze principes lovenswaardige doelen nastreven, zoals het bevorderen van transparantie, veiligheid en ethische verantwoordelijkheid, is het cruciaal om ze te evalueren in het licht van eerdere ervaringen en uitdagingen.

Věra Jourová en Thierry Breton benadrukken de rol van de EU als pionier in AI-regelgeving, maar het is de vraag of deze “leidende principes” daadwerkelijk zullen leiden tot effectieve internationale normen. Het is één ding om een enquête te lanceren en feedback te verzamelen; het is een heel ander verhaal om die feedback om te zetten in actie.

Eerdere EU-richtlijnen en -wetgeving.

De EU heeft al een AI-wet voorgesteld, bekend als de AI Act, die als doel heeft een regelgevend kader te bieden voor AI-systemen die op de markt worden gebracht of in gebruik worden genomen in de EU. Deze wet maakt onderscheid tussen verschillende soorten AI, waaronder “algemene doeleinden AI”, “fundamentele modellen” en “generatieve AI”, volgens een update van Stibbe.

Daarnaast heeft de Europese Commissie interne richtlijnen uitgegeven voor het gebruik en de interactie met online generatieve AI-modellen. Er zijn ook voorstellen gedaan voor nieuwe auteursrechtregels voor generatieve AI.

Analyse van de G7-enquête.

De G7-enquête lijkt een aanvulling te zijn op deze eerdere inspanningen, maar het is onduidelijk hoe deze “vrijwillige” principes zich zullen verhouden tot de “wettelijk bindende” regels van de AI Act. Het feit dat de enquête expliciet stelt dat deze principes “geen invloed hebben op het voorstel van de EU Artificial Intelligence Act” roept vragen op over de coherentie van deze twee benaderingen.

De elf principes zijn breed en veelomvattend, maar ze missen specificiteit. Ze roepen op tot “passende maatregelen”, “transparantie” en “verantwoorde informatie-uitwisseling”, maar zonder concrete richtlijnen of handhavingsmechanismen lijken deze principes meer op wensdenken dan op een praktisch kader.

Analyse van de Principes:

• Risicobeoordeling gedurende de AI-levenscyclus: Positief is dat proactieve identificatie van problemen en publieke perceptie verbeterd kunnen worden.

Positief:

• Het helpt bedrijven om proactief te zijn in het identificeren van potentiële problemen, zoals bij de ontwikkeling van medische diagnose-tools.

• Het kan de publieke perceptie van een bedrijf als verantwoordelijk en ethisch verbeteren, zoals bij de GDPR-compliance-inspanningen van bedrijven.

Negatief:

• In het verleden hebben bedrijven zoals Volkswagen met hun emissieschandaal laten zien dat interne risicobeoordelingen kunnen worden gemanipuleerd.

• Wie: Wie is verantwoordelijk voor de risicobeoordeling?

• Wat: Wat zijn de specifieke risico’s die moeten worden beoordeeld?

• Waar: Waar in de ontwikkelingscyclus vindt de beoordeling plaats?

• Wanneer: Wanneer moeten deze beoordelingen worden herzien of bijgewerkt?

• Waarom: Waarom is deze beoordeling noodzakelijk?

• Waarmee: Waarmee wordt de risicobeoordeling uitgevoerd (tools, methodologieën)?

• Welke: Welke maatregelen worden genomen bij geïdentificeerde risico’s?

2. Identificeren en mitigeren van kwetsbaarheden: Dit principe kan datalekken voorkomen en de betrouwbaarheid vergroten.

Positief:

• Het kan helpen bij het voorkomen van datalekken, zoals bij de verbeteringen die Target heeft doorgevoerd na hun grote datalek.

• Het kan de betrouwbaarheid van het systeem vergroten, zoals bij software-updates die regelmatig beveiligingspatches bevatten.

Negatief:

• De Heartbleed-bug toonde aan dat zelfs wijdverspreide beveiligingsprotocollen kwetsbaar kunnen zijn.

• Wie: Wie identificeert en mitigeert de kwetsbaarheden?

• Wat: Wat zijn de kwetsbaarheden die moeten worden aangepakt?

• Waar: Waar worden deze kwetsbaarheden meestal gevonden?

• Wanneer: Wanneer moeten deze kwetsbaarheden worden aangepakt?

• Waarom: Waarom is het belangrijk om deze kwetsbaarheden te mitigeren?

• Waarmee: Waarmee worden deze kwetsbaarheden geïdentificeerd en geminimaliseerd?

• Welke: Welke stappen worden ondernomen als een kwetsbaarheid wordt ontdekt?

3. Transparantie over capaciteiten en beperkingen: Verhoogt consumentenvertrouwen en stelt realistische verwachtingen.

Positief:

• Het kan het vertrouwen van de consument vergroten, zoals bij transparante algoritmes voor kredietbeoordeling.

• Het kan helpen bij het stellen van realistische verwachtingen, zoals bij de beperkingen van spraakassistenten zoals Siri en Alexa.

Negatief:

• Theranos is een voorbeeld waarbij gebrek aan transparantie leidde tot een catastrofale mislukking.

• Wie: Wie moet transparant zijn over de capaciteiten en beperkingen?

• Wat: Wat zijn de capaciteiten en beperkingen die moeten worden gecommuniceerd?

• Waar: Waar moeten deze worden gecommuniceerd (documentatie, gebruikersinterface)?

• Wanneer: Wanneer moet deze informatie worden bijgewerkt of herzien?

• Waarom: Waarom is transparantie in deze context belangrijk?

• Waarmee: Waarmee wordt deze transparantie bereikt (technologie, openbaarmaking)?

• Welke: Welke gevolgen zijn er voor het niet naleven van deze transparantie?

4. Verantwoorde informatie-uitwisseling: Bevordert identificatie van bedreigingen en ontwikkeling van best practices.

Positief:

• Het kan helpen bij het identificeren van nieuwe bedreigingen, zoals bij samenwerkingen tussen cybersecuritybedrijven.

• Het kan de ontwikkeling van best practices bevorderen, zoals bij open-sourceprojecten.

Negatief:

• Concurrentiegevoelige informatie kan een barrière vormen, zoals gezien bij de trage adoptie van cybersecurity-informatiedeling in de financiële sector.

• Wie: Wie zijn de partijen betrokken bij de informatie-uitwisseling?

• Wat: Wat voor soort informatie wordt uitgewisseld?

• Waar: Waar wordt deze informatie opgeslagen of gedeeld?

• Wanneer: Wanneer moet deze informatie worden uitgewisseld?

• Waarom: Waarom is het belangrijk om deze informatie te delen?

• Waarmee: Waarmee wordt de informatie uitgewisseld (platforms, protocollen)?

• Welke: Welke beveiligingsmaatregelen zijn er om de uitgewisselde informatie te beschermen?

5. AI-governance en risicobeheer: Helpt bij het navigeren door regelgeving en het vermijden van juridische risico’s.

Positief:

• Het kan helpen bij het navigeren door complexe regelgeving, zoals bij bedrijven die voldoen aan zowel de GDPR als de CCPA.

• Het kan helpen bij het vermijden van juridische risico’s, zoals bij bedrijven die proactief audits uitvoeren op hun AI-systemen.

Negatief:

• Uber’s aanpak van governance heeft geleid tot verschillende juridische problemen wereldwijd.

• Wie: Wie is verantwoordelijk voor de governance en het risicobeheer?

• Wat: Wat zijn de governance-structuren en risicobeheerprocessen?

• Waar: Waar worden deze processen gedocumenteerd en geïmplementeerd?

• Wanneer: Wanneer worden deze processen herzien?

• Waarom: Waarom zijn deze governance en risicobeheer nodig?

• Waarmee: Waarmee worden deze processen uitgevoerd (tools, teams)?

• Welke: Welke sancties zijn er voor het niet naleven van deze processen?

6. Investeer in robuuste beveiligingscontroles: Beschermt intellectueel eigendom en waarborgt bedrijfscontinuïteit.

Positief:

• Het kan helpen bij het beschermen van intellectueel eigendom, zoals bij bedrijven die extra beveiligingslagen toevoegen aan hun R&D-afdelingen.

• Het kan de bedrijfscontinuïteit waarborgen, zoals bij bedrijven die redundante systemen implementeren.

Negatief:

• Equifax toonde aan dat zelfs met beveiligingscontroles, menselijke fouten kunnen leiden tot grote datalekken.

• Wie: Wie is verantwoordelijk voor de beveiligingscontroles?

• Wat: Wat zijn de specifieke beveiligingscontroles die moeten worden geïmplementeerd?

• Waar: Waar in de infrastructuur worden deze controles geplaatst?

• Wanneer: Wanneer moeten deze controles worden bijgewerkt of herzien?

• Waarom: Waarom zijn deze specifieke controles nodig?

• Waarmee: Waarmee worden deze controles geïmplementeerd (hardware, software)?

• Welke: Welke acties worden ondernomen als een controle faalt?

7. Betrouwbare contentauthenticatie: Bestrijdt desinformatie en verbetert traceerbaarheid.

Positief:

• Het kan helpen bij het bestrijden van desinformatie, zoals bij digitale watermerken op nieuwsfoto’s.

• Het kan de traceerbaarheid van content verbeteren, zoals bij blockchain-gebaseerde authenticatiesystemen.

Negatief:

• Deepfakes hebben aangetoond dat zelfs geavanceerde authenticatiemechanismen kunnen worden omzeild.

• Wie: Wie is verantwoordelijk voor de contentauthenticatie?

• Wat: Wat zijn de authenticatiemechanismen die moeten worden gebruikt?

• Waar: Waar wordt de geauthenticeerde content opgeslagen of weergegeven?

• Wanneer: Wanneer moet de authenticatie plaatsvinden?

• Waarom: Waarom is authenticatie in deze context belangrijk?

• Waarmee: Waarmee wordt de authenticatie uitgevoerd (technologieën, protocollen)?

• Welke: Welke stappen worden ondernomen als de authenticatie faalt?

8. Onderzoek naar maatschappelijke risico’s: Identificeert onbedoelde gevolgen en vormt overheidsbeleid, maar door de industrie gefinancierd onderzoek kan bevooroordeeld zijn.

Positief:

• Het kan helpen bij het identificeren van onbedoelde gevolgen, zoals bij ethische toetsing van AI in de gezondheidszorg.

• Het kan bijdragen aan het vormen van overheidsbeleid, zoals bij onderzoek naar de impact van AI op de werkgelegenheid.

Negatief:

• De tabaksindustrie toonde aan dat door de industrie gefinancierd onderzoek vaak bevooroordeeld is.

• Wie: Wie voert het onderzoek uit naar maatschappelijke risico’s?

• Wat: Wat zijn de maatschappelijke risico’s die moeten worden onderzocht?

• Waar: Waar wordt dit onderzoek gepubliceerd of gedeeld?

• Wanneer: Wanneer moet dit onderzoek worden uitgevoerd of bijgewerkt?

• Waarom: Waarom is dit onderzoek belangrijk?

• Waarmee: Waarmee wordt dit onderzoek uitgevoerd (methodologieën, tools)?

• Welke: Welke acties worden ondernomen op basis van de onderzoeksresultaten?

9. Prioriteit aan mondiale uitdagingen: Leidt tot menselijke voordelen en aanpak van urgente problemen.

Positief:

• Het kan leiden tot innovaties die ten goede komen aan de mensheid, zoals bij AI voor klimaatmodellering.

• Het kan helpen bij het aanpakken van urgente problemen, zoals bij AI in de gezondheidszorg voor het diagnosticeren van ziekten.

Negatief:

• De focus op winstmaximalisatie kan leiden tot het negeren van mondiale uitdagingen, zoals gezien bij de trage adoptie van duurzame praktijken in de techindustrie.

• Wie: Wie bepaalt welke mondiale uitdagingen prioriteit krijgen?

• Wat: Wat zijn de mondiale uitdagingen die prioriteit krijgen?

• Waar: Waar worden middelen toegewezen om deze uitdagingen aan te pakken?

• Wanneer: Wanneer worden deze prioriteiten herzien?

• Waarom: Waarom krijgen deze specifieke uitdagingen prioriteit?

• Waarmee: Waarmee worden deze uitdagingen aangepakt (technologieën, partnerschappen)?

• Welke: Welke maatregelen worden genomen om de impact te meten?

10. Ontwikkeling van internationale technische normen: Creëert een gelijk speelveld en bevordert interoperabiliteit.

Positief:

• Het kan helpen bij het creëren van een gelijk speelveld, zoals bij internationale cybersecuritynormen.

• Het kan interoperabiliteit bevorderen, zoals bij open standaarden voor data-uitwisseling.

Negatief:

• De GDPR heeft aangetoond dat internationale naleving een uitdaging kan zijn.

• Wie: Wie is verantwoordelijk voor de ontwikkeling van deze normen?

• Wat: Wat zijn de specifieke technische normen die moeten worden ontwikkeld?

• Waar: Waar worden deze normen gepubliceerd of gedeeld?

• Wanneer: Wanneer worden deze normen herzien of bijgewerkt?

• Waarom: Waarom zijn deze specifieke normen belangrijk?

• Waarmee: Waarmee worden deze normen ontwikkeld (organisaties, technologieën)?

• Welke: Welke stappen worden ondernomen voor internationale naleving?

11. Data-invoercontroles en audits: Waarborgt datakwaliteit en voldoet aan regelgeving, maar de kosten kunnen een barrière vormen voor kleinere bedrijven.

Positief:

• Het kan helpen bij het waarborgen van de kwaliteit van de data, zoals bij bedrijven die regelmatig hun datasets schonen.

• Het kan helpen bij het voldoen aan regelgeving, zoals bij bedrijven die externe audits ondergaan om te voldoen aan de GDPR.

Negatief:

• De kosten en complexiteit van audits kunnen een barrière vormen voor kleinere bedrijven, zoals gezien bij start-ups in de medische sector.

• Wie: Wie is verantwoordelijk voor de data-invoercontroles en audits?

• Wat: Wat zijn de specifieke controles en audits die moeten worden uitgevoerd?

• Waar: Waar worden deze controles en audits gedocumenteerd?

• Wanneer: Wanneer moeten deze controles en audits worden uitgevoerd?

• Waarom: Waarom zijn deze controles en audits noodzakelijk?

• Waarmee: Waarmee worden deze controles en audits uitgevoerd (tools, methodologieën)?

• Welke: Welke acties worden ondernomen als een controle of audit faalt?

Deze SWOT-analyse kan dienen als een startpunt voor een diepgaandere evaluatie en discussie over de G7-principes voor AI.

Sterke punten (Strengths)

• Wie: Duidelijke verantwoordelijkheden – De principes wijzen specifieke actoren aan die verantwoordelijk zijn voor de implementatie.

• Wat: Omvattend – De principes dekken een breed scala aan onderwerpen, van risicobeoordeling tot ethische overwegingen.

• Waar: Wereldwijde reikwijdte – De principes zijn ontworpen om op mondiaal niveau te worden toegepast.

• Wanneer: Tijdige implementatie – De principes benadrukken het belang van tijdige actie.

• Waarom: Ethiek en Veiligheid – De principes leggen een sterke nadruk op ethische en veilige AI.

• Waarmee: Methodologische Flexibiliteit – De principes laten ruimte voor verschillende methodologieën en tools.

• Welke: Duidelijke acties – De principes specificeren welke acties moeten worden ondernomen bij niet-naleving.

Zwakke punten (Weaknesses)

• Wie: Gebrek aan toezicht – Het is onduidelijk wie verantwoordelijk is voor het toezicht op de naleving.

• Wat: Vagelijkheid – Sommige principes zijn vaag en open voor interpretatie.

• Waar: Implementatiegaten – Niet alle gebieden van AI-ontwikkeling zijn gedekt.

• Wanneer: Geen tijdslijnen – De principes stellen geen specifieke tijdslijnen vast voor actie.

• Waarom: Ontbrekende Motivatie – De principes bieden niet altijd een duidelijke rationale voor hun aanbevelingen.

• Waarmee: Gebrek aan Specificiteit – De principes zijn vaak niet specifiek over welke tools of methodologieën moeten worden gebruikt.

• Welke: Sancties zijn onduidelijk – Het is niet duidelijk welke sancties van toepassing zijn bij niet-naleving.

Kansen (Opportunities)

• Wie: Stakeholderbetrokkenheid – De principes kunnen worden gebruikt om een brede stakeholderbetrokkenheid te bevorderen.

• Wat: Innovatie – De principes kunnen als katalysator dienen voor innovatie in veilige en ethische AI.

• Waar: Internationale Normen – De principes kunnen dienen als een basis voor internationale normen.

• Wanneer: Voortdurende Verbetering – De principes kunnen worden herzien en bijgewerkt als onderdeel van een continu verbeterproces.

• Waarom: Publieke Acceptatie – Het volgen van de principes kan leiden tot grotere publieke acceptatie van AI.

• Waarmee: Technologische Vooruitgang – De principes kunnen de ontwikkeling van nieuwe tools en methodologieën stimuleren.

• Welke: Juridische Bescherming – Naleving van de principes kan enige juridische bescherming bieden.

Bedreigingen (Threats)

• Wie: Gebrek aan Verantwoording – Zonder duidelijk toezicht kunnen organisaties de principes negeren.

• Wat: Technologische Beperkingen – De huidige technologie kan niet voldoen aan alle vereisten van de principes.

• Waar: Politieke Risico’s – Internationale spanningen kunnen de wereldwijde toepassing van de principes belemmeren.

• Wanneer: Veroudering – De principes kunnen snel verouderd raken gezien de snelle vooruitgang in AI.

• Waarom: Ethische Dilemma’s – De principes kunnen in conflict komen met andere ethische overwegingen.

• Waarmee: Financiële Kosten – De implementatie van de principes kan kostbaar zijn.

• Welke: Juridische Risico’s – Onvolledige naleving kan leiden tot juridische risico’s.

De enquête vraagt ook naar de mening over een “monitoringmechanisme” om verantwoording af te leggen. Dit is een cruciaal punt, maar de opties zijn teleurstellend simplistisch: monitoring door een internationaal vertrouwde organisatie, nationale organisaties, zelfbeoordeling of geen monitoring. Dit roept de vraag op of er überhaupt een effectief toezichtsmechanisme kan worden opgezet.

Voor organisaties die alvast aan de gang willen gaan kan het opzetten van een Balanced Scorecard met KPI’s helpen. Een Balanced Scorecard met Key Performance Indicators (KPI’s) kan een effectief hulpmiddel zijn om de implementatie van de G7-principes voor AI te meten en te beheren. Hier is een voorbeeld van hoe zo’n Balanced Scorecard eruit zou kunnen zien, afgestemd op scenario-planning:

Financiële Perspectief

KPI: Kosten van Implementatie

• Doel: Minimaliseer de kosten van het implementeren van de principes.

• Scenario: Wat als de implementatiekosten stijgen?

KPI: ROI van AI-veiligheidsmaatregelen

• Doel: Positieve ROI binnen 2 jaar.

• Scenario: Wat als de ROI negatief blijft?

Klantperspectief

KPI: Klanttevredenheidsscore

• Doel: Bereik een score van minimaal 8 op 10.

• Scenario: Wat als klanten de AI-toepassingen niet vertrouwen?

KPI: Aantal klachten over AI-systemen

• Doel: Verminder het aantal klachten met 25%.

• Scenario: Wat als klachten toenemen?

Interne Processen

KPI: Tijd tot Implementatie van elk principe

• Doel: Voltooi de implementatie binnen 6 maanden.

• Scenario: Wat als er vertragingen optreden?

KPI: Aantal geïdentificeerde en verholpen AI-risico’s

• Doel: Identificeer en verhelp minimaal 90% van de risico’s.

• Scenario: Wat als nieuwe risico’s ontstaan na implementatie?

Leren en Groeien

KPI: Medewerkerstraining in AI-ethiek en -veiligheid

• Doel: Train 100% van het relevante personeel.

• Scenario: Wat als medewerkers de training niet effectief vinden?

KPI: Aantal innovaties of verbeteringen voorgesteld door medewerkers

• Doel: Stimuleer minimaal 10 innovatieve ideeën per kwartaal.

• Scenario: Wat als het personeel niet betrokken is bij continue verbetering?

Deze Balanced Scorecard kan worden gebruikt om de voortgang te meten en aan te passen aan verschillende scenario’s. Het stelt organisaties in staat om proactief te plannen en te reageren op veranderende omstandigheden, wat cruciaal is voor het succesvol implementeren van de G7-principes voor AI.

Afsluiting en Aanbevelingen.

Om de effectiviteit van deze principes te maximaliseren, stel ik de volgende aanbevelingen voor:

• Instellen van een onafhankelijke toezichthoudende instantie.

• Nadruk op implementatie en handhaving, met duidelijke sancties voor niet-naleving.

• Mechanisme voor publieke inspraak en transparantie in de ontwikkeling en implementatie van deze principes.

Door deze aanbevelingen te implementeren, kunnen we een robuuster en meer effectief kader creëren voor de ethische en veilige ontwikkeling van geavanceerde AI-systemen.

Conclusie.

Hoewel de EU en de G7 lovenswaardige stappen lijken te zetten om een kader te creëren voor de ethische en veilige ontwikkeling van GAI, blijven er significante gaten en inconsistenties bestaan. De G7-enquête, hoewel een interessante oefening in stakeholderbetrokkenheid, lijkt meer een aanvulling te zijn dan een significante stap voorwaarts. Het ontbreekt aan duidelijke handhavingsmechanismen en lijkt niet volledig geïntegreerd te zijn met bestaande EU-wetgeving en -richtlijnen.

In dit licht zou ik aanraden om deze ontwikkelingen met een gezonde dosis scepsis te benaderen. Er is nog veel werk aan de winkel om van deze principes en wetten effectieve instrumenten te maken voor het beheersen van de risico’s en het benutten van de kansen van GAI.

EU AI Act: first regulation on artificial intelligence | News | European Parliament

europa.eu

EU Artificial Intelligence Act and Generative AI – an update

stibbe.com

EU proposes new copyright rules