Compliance en risicomanagement bij Artificiële Intelligentie leren? #legaltechtuesday

Steeds meer organisaties zetten Artificial Intelligence (AI) in. Dit versnelt beslissingsprocessen en schept nieuwe inzichten omtrent risico’s, klanteigenschappen en commerciële kansen. Deze techniek is zeer nieuw en haar inzet roept dan ook vele vragen op over de juridische en ethische randvoorwaarden. Mag dat wel, een computer laten beslissen? Welke kaders hanteer je om een verantwoorde inzet van AI te realiseren? Wordt het tijd voor een AI Compliance Officer?

De inzet van AI biedt nieuwe mogelijkheden. Bestaande processen kunnen fors worden versneld door menselijke tussenkomst te vervangen door een AI. Zo zou een AI-bewaker bagage van bezoekers kunnen screenen op ongewenste voorwerpen, en deze doet dat dan veel sneller dan een mens (en is bovendien om vijf uur niet moe en afgeleid). Een verzekeraar zou een AI in kunnen zetten om claims te kunnen analyseren.

Dergelijke analyses hebben echter ook diverse risico’s. Zo staan AI’s er om bekend dat zij bestaande vooringenomenheid (bias) uit de onderliggende data sterk uitvergroten, wat kan leiden tot ongewenst gedrag zoals discriminatie. Ook is het vaak lastig duidelijke uitleg te krijgen over hoe een AI tot zijn conclusie komt: dergelijke data-analyse is volkomen onvergelijkbaar met een menselijk gedachteproces.

Deze risico’s maken organisaties nog steeds huiverig over de inzet van AI. Ook de wetgever heeft niet stilgezeten: in de Europese privacywet GDPR is een expliciet verbod opgenomen om mensen aan besluiten te onderwerpen die door een AI zijn genomen. Hoe dan ook grip te krijgen op AI, en te zorgen voor een nette, ethisch verantwoorde inzet, is een lastige vraag voor veel organisaties.

In 2019 publiceerde de Europese Commissie de Ethics Guidelines for trustworthy AI. Onder “ethisch” verstaat men niet alleen het voldoen aan wettelijke regels, maar ook aan meer algemene ethische principes. Ethische AI bestaat uit drie componenten, waaraan gedurende de volledige levenscyclus van het systeem moet worden voldaan: de AI moet

  1. wettig zijn, door te voldoen aan alle toepasselijke wet- en regelgeving,
  2. ethisch zijn, door naleving van ethische beginselen en waarden te waarborgen, en
  3. robuust zijn uit zowel technisch als sociaal oogpunt, aangezien KI-systemen ongewild schade kunnen aanrichten, zelfs al zijn de bedoelingen goed.
Uitgaande van deze drie componenten komen de richtsnoeren tot zeven vereisten voor AI-systemen:
  1. Menselijke controle en toezicht
  2. Diversiteit, non-discriminatie en rechtvaardigheid
  3. Technische robuustheid en veiligheid
  4. Transparantie en verklaarbaarheid
  5. Privacy en datagovernance
  6. Maatschappelijk en milieuwelzijn
  7. Verantwoording en controleerbaarheid
Het toetsen aan deze vereisten komt in de praktijk neer op het welbekende proces van compliance: formuleer criteria waarmee naleving kan worden gemeten, zorg dat mensen doordrongen zijn van het belang van naleving en toets op de criteria. Dat dan ook nog eens op een positieve manier; nee zeggen is altijd makkelijk, maar technologie op een compliant en werkbare manier de markt op krijgen is een stuk lastiger.

Omdat het hier ook nog eens gaat om geavanceerde technologie en vaak vele partijen betrokken zijn, is AI compliance een uitdagende kwestie. Een AI compliance officer moet dan ook behoorlijk thuis zijn in wetgeving, techniek en de toepassingspraktijk.

Ik vond dit zo’n leuke dat ik de afgelopen weken eigenlijk alleen heb gewerkt aan mijn nieuwe leergang AI in de praktijk: compliance & governance. Deze online leergang is speciaal ontwikkeld voor informatieprofessionals, juristen en compliance officers die aan de slag moeten of willen met AI en de toetsing daarvan. Geen blokkades opwerpen, maar zorgen dat bedrijven en instanties aan de slag kunnen. Weten wat er wel kan en hoe dat wordt bereikt.

De stof wordt volledig online aangeboden. Met geavanceerde vormen van elearning kan de cursist eenvoudig werken en effectief de stof tot zich nemen. De docent is online beschikbaar voor 1-op-1 overleg, en via een discussieforum kunnen cursisten met elkaar overleggen en brainstormen.

Met dat forum is trouwens iets bijzonders: het wordt aangeboden door een fictief Nederlands dorp. De leergang kent namelijk een serious game element, waarbij deelnemers optreden voor bedrijfsleven en overheid in dat dorp om te zorgen dat AI-initiatieven volledig compliant én bruikbaar worden. Hoe beter men het spel speelt, hoe hoger het dorp scoort in de wereldwijde competitie van de Most AI-focused city in the world, bijgehouden door het fictieve United Nations Office for Global AI (UNOGAI). Bij pittige onderwerpen als deze is serious gaming een bewezen techniek om leren effectiever te maken.

Durf jij de uitdaging aan? Op 1 februari gaat de eerste ronde van start. Meer informatie en de inschrijfmogelijkheid vindt u bij ICTRecht.

Arnoud

 

 

 

Wanneer heeft een kunstmatige intelligentie auteursrecht op een filmscript?

Een kunstmatige intelligentie (AI) schrijft alle tekst voor David Hasselhoff in een nieuwe korte scifi-film, las ik bij Tweakers. De AI heeft een grote databank met filmteksten, en componeert daarmee nieuwe combinaties (via een LSTM) die acteur David Hasselhoff dan uitspreekt. Wat de vraag oproept, van wie zijn die teksten eigenlijk?

Hoofdregel uit de auteurswet is dat de partij die een creatief werk maakt, daar het auteursrecht op heeft. Het gaat dan om de natuurlijk persoon die het werk maakt, of in voorkomende gevallen zijn werkgever. Een opdrachtnemer zoals een ingehuurde programmeur, fotograaf of tekstschrijver heeft dus zélf het auteursrecht en niet zijn opdrachtgever.

Daar hebben we alleen niet heel veel aan in dit geval, want een AI is geen natuurlijk persoon. De wet erkent robots en software niet als personen.

Een eerste gedachte is dan, dan zal de programmeur van Benjamin wel de rechten hebben. De robot is dan zeg maar een heel slim toetsenbord met automatisch aanvullen of zelf scherpstellende camera met volgsysteem of iets dergelijks, daarvan vinden we ook niet dat die zelf auteursrechten hebben.

Ergens voelt dat alleen een beetje té makkelijk. Er zit ergens een fundamenteel verschil tussen afmaken wat een mens in gang zetten of een geautomatiseerde standaardhandeling enerzijds en een onverwachte creatieve uiting van een geavanceerd neuraal netwerk? Want niet te ontkennen valt dat die Benjamin érg creatieve uitingen doet, waar die programmeur vooraf totaal geen uitspraken over had kunnen doen. Als een werk zó onvoorspelbaar tot stand komt, is het dan nog wel logisch dat de rechten op dat werk bij de schepper van de software komen te liggen?

(De techniek komt er heel kort gezegd op neer dat het netwerk leert welke woorden typisch volgen op een bepaald woord, en dan vervolgens los gaat op een startzin of -woord. Ongeveer zoals een vrije-associatieoefening bij brainstormen. Je kunt je dus zelfs afvragen óf er wel creativiteit in het werk zit, als het alleen maar is “na ‘de’ komt meestal ‘hond'”.)

Arnoud

Mag je een kunstmatige intelligentie klonen via zijn API?

aapje-api.pngHet stelen van een AI is eenvoudiger dan je denkt, las ik bij Wired. Hoewel de algoritmes voor zelfdenkende en -lerende systemen uiteraard als supergeheim en bizar waardevol gezien worden, blijkt het mogelijk de werking vrijwel exact te repliceren. Mag dat?

De basis van vrijwel alle zelflerende systemen is in principe hetzelfde. Je voert het systeem een hoop trainingsinvoer, waarbij je meteen aangeeft wat de gewenste uitvoer is. Deze bak met mails is spam, deze mails zijn legitiem, het ding kauwt een tijdje en weet vervolgens nieuwe mails keurig als spam of legitiem te classificeren. Van tijd tot tijd moet je dat bijsturen, want wellicht zat er iets geks in je trainingsset. Zo kreeg ik een tijdlang geen mails uit China meer omdat in mijn trainingsset de spam voor 40% uit China kwam en mijn legitieme mail nul.

Het stelen van een AI gebeurt eigenlijk op dezelfde manier. Je kunt zo’n AI meestal via internet aanroepen (via zijn API). Dus wat je doet, is simpel: stuur een stapel data uit je trainingsset met die API en kijk wat de originele AI zegt. De antwoorden stop je in je eigen AI in zijn trainingsfase, waarmee je dus je eigen AI precies leert te denken als de originele AI.

Is dat legaal? Op het eerste gezicht wel. Hooguit als je zegt, de Terms of Service van die API verbieden het aanroepen met als doel het klonen van de AI en/of het extraheren van alle informatie. Maar dat is alleen maar contractbreuk, daar kun je niet zo veel mee.

In Europa is er misschien nog een optie: het databankenrecht. Wij kennen sinds eind jaren negentig aparte bescherming voor databanken met waardevolle informatie, los van het auteursrecht. Een databank is beschermd als hij het resultaat is van een substantiële investering in tijd, geld of moeite. Iets preciezer, een databank is:

een verzameling van werken, gegevens of andere zelfstandige elementen die systematisch of methodisch geordend en afzonderlijk met elektronische middelen of anderszins toegankelijk zijn en waarvan de verkrijging, de controle of de presentatie van de inhoud in kwalitatief of kwantitatief opzicht getuigt van een substantiële investering;

Met enige goede wil is een zelflerende AI prima in deze definitie te passen volgens mij. De brokjes kennis zijn “zelfstandige elementen”, die geordend zijn Hooguit kun je je afvragen of die blokjes kennis apart op te vragen zijn, maar als een AI een uitlegmodule heeft (“dit is spam want het komt uit China en bevat spelfouten in de titel”) dan lijkt me ook daar wel aan voldaan.

Onder het databankenrecht is het verboden een databank te kopiëren, maar ook het herhaald en systematisch opvragen van stukjes inhoud is verboden als je daarmee de normale exploitatie van de databank verhindert. En dat is volgens mij wel het geval als je een AI-databank kloont met deze truc.

Bewijzen lijkt me alleen buitengewoon ingewikkeld (tenzij je zo dom bent alles vanaf één IP-adres te doen) want je hebt in feite te maken met twee zwarte dozen die dezelfde uitvoer leveren bij dezelfde invoer. Maar je moet bewijzen dat de wérking daarvan hetzelfde is. Ik heb geen idee hoe je dát voor elkaar gaat krijgen. Dus praktisch gezien zie ik weinig manieren om juridisch wat te doen tegen het klonen van je AI.

Arnoud

Moeten we de aansprakelijkheid van autonome auto’s aan advocaten overlaten?

google-zelfrijdende-autoBergen rechtszaken zijn de belangrijkste hobbels (haha) waar de zelfrijdende auto overheen zal moeten zien te komen, las ik in Slate. Zolang de aansprakelijkheid van eigenaar, passagiers en fabrikant niet duidelijk zijn, zal de adoptie van deze voertuigen onnodig langzaam blijven lopen. Hoe lossen we dat op bij zoiets snel evoluerends als autonome auto’s? Simpel, zegt de auteur: laat dat gewoon aan het aansprakelijheidsrecht over. Dat is daar voor.

In theorie is de vraag simpel te beantwoorden. Hoe regel je aansprakelijkheid voor bepaalde situaties? Simpel, dat zet je in de wet. Die hebben we ook al de nodige: je bent aansprakelijk voor je huisdieren en voor je assistenten. Je bent ook aansprakelijk voor je minderjarige kinderen, maar omdat dat een tikje ongenuanceerd voelde is daar een complexe regel bij gekomen. Maar goed, daar komen we uit. En het is logisch dat de bal daar ligt, want jij bent in staat dat te borgen. Of (bij die dieren) het is gewoon redelijk want er is niemand anders.

Op zeker moment kregen we producten die soms ontploften of anderszins gevaarlijk waren. Dus toen kwam er ook een wet over productveiligheid, die de bal legt bij de fabrikant of importeur daarvan. Natuurlijk gaf die wet enig gesteggel maar het lijkt me niet meer dan logisch dat de bal daar ligt. Een televisie mag niet ontploffen, en de bouwer daarvan heeft alle controle dus die kan veiligheidsmaatregelen nemen.

Logisch allemaal. Maar bij de zelfrijdende auto ligt het iets ingewikkelder. Ja, natuurlijk heeft de fabrikant een grote rol want hij programmeert de AI, plaatst de sensoren en hakt knopen door over hoe te kiezen tussen passagier en medeweggebruikers. Maar de eigenaar/passagier/bestuurder heeft ook enige invloed, die gaat de weg op met het ding en drukt misschien wel op knopjes om het gedrag te beïnvloeden. Of hij zat niet op de noodrem.

Als wetgever kom je daar niet echt uit. Wil je dan toch wetten maken, dan heb je een grote kans dat je de plank misslaat en de innovatie doodreguleert. Plus, een wet invoeren duurt meerdere jaren en wie weet waar we dán zijn met zelfrijdende auto’s en kunstmatig intelligente bestuurders.

Gelukkig is er een alternatief: de rechtspraak. Ik noem dat altijd de juridische exception handler: als het niet geregeld is, dan moet de rechter in vredesnaam maar verzinnen wat in deze situatie het beste past binnen de wet, de redelijkheid en de concrete situatie. Hij kan dan een oordeel doen over die situatie, maar hij kan ook een rechtsregel formuleren die vanaf dan in vergelijkbare situaties van toepassing moet zijn. En het mooie is dat zulke rechtsregels heel specifiek kunnen zijn, en dat ze over een jaar vervangen kunnen worden door een nieuwe uitspraak gebaseerd op de inzichten van dan. Noodwetjes, zo je wilt.

Het is dus helemaal niet zo’n gek idee om de rechtbank te laten oordelen over wat te doen met aansprakelijkheid bij ongevallen waar zelfrijdende auto’s bij betrokken zijn. Het zal in het begin wat zoeken zijn met diverse uitspraken alle kanten op, maar rechters lezen ook elkaars vonnissen en zeker bij uitspraken in hoger beroep ontstaat er dan een zekere lijn waar men op kan varen. En het mooiste is dan nog dat als die lijn goed bevalt, de wetgever hem zo over kan nemen in de Wet van 2020 over Autonome Voertuigen. Of juist iets heel anders kan verzinnen omdat de jurisprudentie laat zien waar de knelpunten zitten.

De auteur doet nog een aanvullend voorstel voor het geval de rechtszaken de pan uit rijzen: in de VS geldt een wettelijke bescherming voor bedrijven die vaccins ontwikkelen. Aangezien onjuist werkende vaccins tot medische claims kunnen leiden, zouden bedrijven daarmee kunnen stoppen om wat veiligers te gaan doen. Dat willen we niet, dus zijn ze in de VS beperkt aansprakelijk voor medische missers in vaccins. Wel is er dan tegelijk een verzekeringsfonds opgericht waar slachtoffers van die missers een vergoeding uit krijgen. Zo corrigeer je voor het maatschappelijk probleem van de slachtoffers, zonder de fabrikanten nodeloos af te schrikken iets nieuws te verzinnen.

Die wettelijke bescherming doet denken aan wat we eind jaren negentig voor tussenpersonen op internet hebben bedacht. Die zijn niet aansprakelijk voor wat er op hun platform gebeurt (waar trouwens nu heisa over is omdat artiesten massaal klagen dat ze niks krijgen van het beschermde Youtube) mits ze maar een notice/takedownsysteem toepassen. Ik roep al jaren dat dit eigenlijk een systeem met dwanglicenties moet worden: Youtube mag niet verboden worden maar moet wel betalen. En dat sluit dan mooi aan bij die vaccin-regeling.

Dat dan maar doen? Fabrikanten mogen zelfrijdende auto’s op de markt brengen, en zijn behoudens grof nalatige fouten niet aansprakelijk voor ongevallen die daarmee gebeuren. Wel storten ze verplicht een bedrag in een verzekeringspot, en slachtoffers van die ongevallen ontvangen daar een uitkering uit.

Arnoud