Weliswaar is er in het nieuwe kabinet geen aparte minister van Digitale zaken benoemd, maar er is wel een staatssecretaris voor Digitalisering[1] aangewezen die dit onderwerp in haar portefeuille heeft gekregen.
De tweede kamer heeft daarnaast inmiddels een vaste commissie Digitale zaken aangesteld. Daarmee wordt een poging ondernomen om de bestaande versplintering van aandacht voor deze ontwikkeling binnen de politiek te centraliseren en is ook een stap gezet naar de realisatie van de ambitie van het kabinet om van Nederland het digitale knooppunt van Europa te maken. Een ambitie die ook al uit het vorige regeerakkoord (2017) tussen VVD, CDA, D66 en ChristenUnie bleek.
In het nieuwe regeerakkoord wordt stilgestaan bij de noodzaak voor ‘solide spelregels, toezicht en strategische autonomie om het toenemende risico van een digitale kloof en groeiende ongelijkheid in onze samenleving te voorkomen en onze veiligheid, rechtsstaat, democratie, mensen- en grondrechten en concurrentievermogen te beschermen’. Ondermeer wordt ‘toezicht op algoritmes’ (willekeur, transparantie en discriminatie) en ‘cybercriminaliteit’ genoemd. In die context sluit het regeerakkoord aan bij een nieuw voorstel van de Europese Commissie (EC) uit 2021 met betrekking tot de regulering van kunstmatige intelligentie (KI) en met een geactualiseerd actieplan vanuit een EU perspectief. Het kader zal directe werking hebben voor zowel publieke als private partijen binnen en buiten de EU voor zover deze:
Het gaat te ver om hier een volledige beschrijving te geven van wat het voorstel precies betekent, maar wij nodigen u uit om bij gelegenheid dit voorstel zelf door te nemen. Wij volstaan met een korte samenvatting van wat wij denken dat op dit moment relevant is voor pensioenfondsen.
Status
Momenteel moeten het Europese parlement en de Raad van Ministers namens de lidstaten het voorstel nog bespreken. Na vaststelling van de voorgestelde verordening zal deze een directe werking hebben binnen de gehele EU.
Highlights uit het voorstel
Het voorstel uit 2021 voorziet in de oprichting van een European Artificial Intelligence Board (Europees comité voor KI) die de EC met aanbevelingen en advies moet bijstaan bij specifieke vragen. Daarnaast is het de bedoeling dat de commissie als kennis en deskundigheidscentrum voor de aangesloten EU lidstaten zal fungeren.
Het geactualiseerde actieplan
In het voorstel wordt ingegaan op verschillende toepassingen van KI en de bijbehorende risico’s. Ten opzichte van een eerder actieplan uit 2018 is meer aansluiting gezocht bij de recente inzichten en formele afspraken binnen de EU omtrent duurzaamheid, milieu en gezondheid (Een Europese Green Deal). Het geactualiseerde actieplan schetst een aantal voorstellen om een EU aanpak van KI te vereenvoudigen en gaat verder in op de mogelijkheden die deze ontwikkeling met zich meebrengt vanuit de ambitie om ‘wereldwijd koploper te worden in betrouwbare KI’.
In 2020 is door de EC ook nog een White paper over (een EU aanpak van) KI gepubliceerd om richting te geven aan de realisatie van eerder genoemde ambitie. Opvallend genoeg ziet Nederland voor zichzelf dan weer een plek als Europese koploper op het gebied van ondermeer digitalisering[2] en het onlangs aangetreden nieuwe kabinet heeft aangegeven dat Nederland zich moet ontwikkelen tot ‘het digitale knooppunt van Europa’.
Het voorstel geeft ook een risicoclassificatie voor KI-systemen waarvan de classificatie afhankelijk wordt gesteld van de functie van het KI-systeem, het specifieke doel en de specifieke modaliteiten waarvoor het systeem wordt gebruikt. Als criteria wordt gekeken naar de draagwijdte van het gebruik van de KI-toepassing en haar doelstelling, het aantal personen waarop ze een impact kan hebben, de afhankelijkheid van het resultaat en de onomkeerbaarheid van schade alsmede de mate waarin de bestaande Uniewetgeving in doeltreffende maatregelen voorziet om die risico’s te voorkomen of substantieel te beperken[3]. De risicoclassificatie maakt onderscheid tussen:
Achtergrond
Het voorgestelde regelgevende kader uit 2021 is een vervolg op eerdere initiatieven van de EC uit 2018 en 2019. Met name het document uit 2019 (Ethische richtsnoeren voor betrouwbare KI) was bedoeld om richting te geven aan een gezamenlijke visie op ethische omgang met KI.
In dit document Ethische richtsnoeren voor betrouwbare KI werden 3 componenten van de KI levenscyclus genoemd die allemaal nodig zijn, maar ieder voor zich niet volstaan om tot betrouwbare KI te komen. Daarvoor moeten alle afzonderlijke componenten en de werking daarvan op elkaar aansluiten. De KI moet:
Bovengenoemde drie componenten zijn in onderstaande vereisten voor KI systemen uitgewerkt, waarbij de geïnformeerde lezer hier direct de relatie zal leggen met de bepalingen uit de Algemene Verordening Gegevensbescherming (AVG).
Tip
Het voorstel bevat tevens een testversie ‘Controlelijst voor betrouwbare KI’. Deze testversie van de controlelijst is een goed handvat als u bij uitbesteding van gegevensverwerkingen met derden aan tafel zit en u een beeld wilt krijgen van de manier waarop die derde met ‘uw’ gegevens omgaat en hoe met de eventuele ethische vraagstukken -verbonden aan KI- rekening is gehouden.
Wat betekent dit voor u?
Deze ontwikkeling kan niet los gezien worden van ontwikkelingen op het gebied van privacy en de waarborging van de rechten van personen (betrokkenen) zoals die in de AVG zijn opgenomen. De ontwikkeling is tevens in lijn met het Handvest van de grondrechten van de EU en met de internationale handelsverplichtingen van de Unie.
De gezamenlijke aanpak moet een waarborg zijn voor navolging van de EU rechten en waarden, naast een gezamenlijke EU aanpak van de risico’s die met deze nieuwe ontwikkelingen gepaard gaan. Ontwikkelingen op het gebied van KI vragen om meer dan uitsluitend een technische beoordeling. Van fondsbestuurders wordt verwacht dat zij ook oog hebben voor de impact die een dergelijke ontwikkeling heeft op de inrichting van beleid en processen en hoe die de ethische vraagstukken adresseren die daarmee gepaard gaan.
Voor pensioenfondsen zal naast de ‘gebruikelijke’ aandacht voor de bescherming van privacy en veiligheid[7] met name ‘profilering’[8] een punt van aandacht zijn, vooral ook omdat met de komst van het nieuwe pensioenstelsel de waarschijnlijkheid dat fondsen vanuit de beleggingsstrategie met vooraf bepaalde risicoprofielen gaan werken zal toenemen. Deelnemers moeten daarbij steeds de regie houden en niet op basis van profilering per definitie in een ‘standaard beleggingsprofiel’ terecht komen.
Daarnaast is ook de proportionaliteit van verwerkingen een aandachtspunt. Het uitgangspunt is meestal ‘hoe meer ik van een deelnemer weet, hoe beter ik tot een passend risicoprofiel kan komen’, terwijl de vraag ‘hoeveel, en welke informatie u precies nodig heeft om tot een passend risicoprofiel te komen daarbij een beetje uit het oog raakt.
Ten overvloede wijs ik nog op de relatie tussen (IT) innovatie en de afweging of er een DPIA moet worden uitgevoerd. Ook als een fonds ‘meevaart’ op de technologische ontwikkelingen en vernieuwingen van derden (uitbesteding) is het fonds niet ontslagen van de eigen zorgplicht ten opzichte van haar belanghebbenden en moet het fonds actief toetsen of de betreffende derde dit aspect heeft meegenomen en wat daarvan de resultaten zijn.
Bronnen en Interessante artikelen
[1] Alexandra van Huffelen (D66)
[2] Zie het vorige akkoord tussen VVD, CDA, D66 en ChristenUnie uit 2017.
[3] EC 2021
[4] KI-systemen die bv gebruik maken van kwetsbaarheden van kinderen, die gebruik maken van subliminale boodschappen (onbewuste beïnvloeding), KI-systemen die door overheden gebruikt worden om personen op basis van ‘social scoring’ in te delen volgens een puntensysteem (strafpunten bij overtreding van regels, en bonuspunten bij ‘goed gedrag’) en (beperkt) systemen voor biometrische identificatie op afstand in openbaar toegankelijke ruimten ten behoeve van rechtshandhaving. Voor alle risicovolle KI-systemen worden bindende eisen voorgesteld.
[5] Systemen die gebruikt worden bij bijvoorbeeld selectie van personen voor specifieke doelen zoals sollicitatieprocedures of toegang tot sociale zekerheden. Deze systemen moeten aan specifieke eisen voldoen en worden daar vooraf op getoetst. Voor alle risicovolle KI-systemen worden bindende eisen voorgesteld.
[6] Denk aan KI-chatbots (samenvoeging van ‘chat’ en ‘robot’) bij klantenservicedesks die het meest passende antwoord op een vraag selecteren vanuit een geautomatiseerde matching (machine learning) van de vraag met standaard antwoorden uit de database van de chatbot. Denk ook aan scripted bots, waarbij de vragensteller (rule-based) beperkt wordt in de keuze van de vragen.
[7] AVG art. 32 (beveiliging van de verwerking)
[8] AVG art. 4 (profilering) en art.22 (recht op een menselijke blik)
