Kiest Groot-Brittannië voor de juiste aanpak van AI-regulering? ISMS.online

Kiest Groot-Brittannië voor de juiste aanpak van AI-regulering?

Door Dan Raywood • 2 april 2024

Half maart komt het Europees Parlement eindelijk bijeen goedgekeurd de Artificial Intelligence Act, in een poging om het veilige en conforme gebruik van AI te garanderen en tegelijkertijd de innovatie te stimuleren. Het wordt algemeen beschouwd als een wereldprimeur op het gebied van AI-regulering en staat in schril contrast met de meer hands-off aanpak van Groot-Brittannië. Maar van welke aanpak zullen het bedrijfsleven en de samenleving waarschijnlijk meer profiteren? En zal Groot-Brittannië uiteindelijk van koers veranderen?

De eerste in zijn soort

De AI-wet, goedgekeurd door 523 leden van het Europees Parlement – waarvan er slechts 46 tegen stemden – is bedoeld om:

Verbeter het concurrentievermogen van de EU in strategische sectoren
Creëer een veilige en betrouwbare samenleving om desinformatie tegen te gaan
Stimuleer digitale innovatie
Zorg voor menselijk toezicht en een betrouwbaar en verantwoord gebruik van AI
Stel waarborgen in en zorg voor transparantie bij het gebruik van AI

Brando Benifei, Europarlementariër en co-rapporteur van de Commissie Interne Markt, beschreven de wetgeving als “de eerste bindende wet ter wereld op het gebied van kunstmatige intelligentie, om risico’s te verminderen, kansen te creëren, discriminatie te bestrijden en transparantie te brengen.”

Hoewel het de eerste verordening is die rechtstreeks verband houdt met AI, a aantal acties waren op dit gebied al onder de AVG vallen, inclusief chatbots verbiedenen een tijdelijke opschorting van de Bard AI-tool van Google in de EU na interventie van de Ierse datawaakhond.

Jonathan Armstrong, advocaat en docent bij L-EV8, noemt de EU AI Act ‘behoorlijk veelomvattend’ en zegt dat deze uiteindelijk wereldwijd de norm zal stellen voor andere regelgeving. Hoewel het niet door Groot-Brittannië zal worden overgenomen, omdat het lang na de Brexit is ingevoerd, kan het nog steeds een impact hebben op ontwikkelaars in het land, stelt hij.

“Het is belangrijk om te begrijpen dat er Britse wetten zijn die al van toepassing zijn op AI, inclusief de wetgeving inzake gegevensbescherming die al door toezichthouders wordt gebruikt”, vertelt hij aan ISMS.online. “Het is ook belangrijk om te onthouden dat, aangezien AI grotendeels grensoverschrijdend is, Britse AI-ontwikkelaars en -gebruikers waarschijnlijk ook aan het EU-regime zullen moeten voldoen zodra dat van kracht is.”

Wat doet Groot-Brittannië?

Als het gaat om de Britse aanpak van AI-regulering, gelooft Armstrong dat de regering een inhaalslag maakt, hoewel er op sommige gebieden een mogelijkheid is voor Groot-Brittannië om een ander regelgevingsregime in te voeren.

“Ik ben er echter niet zeker van dat de huidige regering daartoe snel genoeg in staat is en duidelijk al haar grenzen heeft verlegd met zelfregulering op de korte termijn”, betoogt hij.

De Britse overheid AI-witboek werd vorig jaar gelanceerd en is bedoeld om “het gebruik van kunstmatige intelligentie in Groot-Brittannië te begeleiden, verantwoorde innovatie te stimuleren en het vertrouwen van het publiek in deze revolutionaire technologie te behouden.” De opdracht van de bestaande toezichthouders is “om binnen hun bevoegdheden te interpreteren en toe te passen om veilige, verantwoorde AI-innovatie te stimuleren.” Eerder dit jaar werd een reactie van de regering Volgens de EU AI Act voerden toezichthouders deze principes onafhankelijk uit.

“We blijven ons inzetten voor een contextgebaseerde aanpak die onnodige algemene regels vermijdt die van toepassing zijn op alle AI-technologieën, ongeacht hoe ze worden gebruikt”, aldus het rapport, en voegde eraan toe: “Dit is de beste manier om te zorgen voor een flexibele aanpak die de test doorstaat tijd."

Het idee hier is om een ‘pro-innovatieve benadering van AI-regulering’ te bieden die de kansen die AI biedt zal omarmen, terwijl ‘veilige, verantwoorde innovatie’ wordt aangemoedigd als ‘pro-veiligheid’ en ervoor wordt gezorgd dat AI een kracht voor het algemeen belang is. Armstrong stelt echter dat de huidige regering AI misschien niet zo goed begrijpt als zou moeten.

Meer of minder regelgeving?

Is de Britse aanpak dus beter voor het bedrijfsleven? Of is meer regelgeving positief voor organisaties? Neil Thacker, CISO bij Netskope, zegt dat hij tevreden is met de manier waarop Groot-Brittannië dit heeft aangepakt.

“Ik weet dat er op dit moment een klein contrast bestaat tussen Groot-Brittannië en de EU”, vertelt hij aan ISMS.online. “Dus je hebt de EU een verordening met sancties laten uitrollen om ervoor te zorgen dat organisaties een vorm van veiligheids- en beveiligingscontrole op AI toepassen, terwijl Groot-Brittannië bijna zegt: ‘we gaan hierover een standpunt innemen met een raamwerk, maar het is niet-wettelijk'.”

Hij stelt dat er uiteindelijk waarschijnlijk een soort Britse wetgeving over AI zal komen, “maar die probeert uit te vinden wanneer het juiste moment is”. In de tussentijd stelt Thacker dat CISO's 'zelfregulerend' zijn om ervoor te zorgen dat ze controle hebben, terwijl de samenleving de implicaties van de technologie probeert te begrijpen.

“Een van de grootste uitdagingen is dat begeleiders en assistenten in elke software worden gebundeld”, zegt hij. Wat CISO’s daarom nodig hebben, is inzicht in waar AI aanwezig is en wordt gebruikt. En ze zouden ook kunnen profiteren van het soort rigoureuze aanpak dat door de EU wordt onderschreven om ervoor te zorgen dat systemen veilig en effectief zijn

“Het gaat erom de aanbieders, de implementeerders, de importeurs, de distributeurs van deze diensten, de fabrikanten van AI-systemen op te zoeken”, besluit hij. “Het zorgt ervoor dat ze verantwoordelijk zijn om ervoor te zorgen dat veel van de basisprincipes van waar de EU AI Act voor staat, op hun systemen worden toegepast.”

Wacht maar af

Intussen lijkt de aanpak van de regering een afwachtende houding aan te nemen. Hoewel het Nationaal Cyber Security Centrum (NCSC) een zogenaamde ‘wereldprimeur’ heeft ontwikkeld richtlijnen voor veilige AI-ontwikkeling is er weinig teken van enige regelgevende macht om dergelijke best practices af te dwingen. De regering lijkt tevreden met het halen van de krantenkoppen met weinig inhoud om ze te ondersteunen.

Een veelbesproken wereldwijde gebeurtenis, gehouden door de regering in Bletchley Park in november 2023, kreeg de taak om de risico's van AI in overweging te nemen, vooral aan de grens van de ontwikkeling, en te bespreken hoe deze kunnen worden verzacht door middel van internationaal gecoördineerde actie. Het wordt echter door Armstrong van de L-EV8 beschreven “als iets van een grote liefde voor technologie in plaats van een weloverwogen kijk op regelgeving.”

In de tussentijd zullen Britse bedrijven met belangstelling uitkijken naar wat de volgende regering in petto heeft.

Dan Raywood

Dan Raywood schrijft sinds 2008 over IT-beveiliging en is voormalig analist in de informatiebeveiligingspraktijk bij 451 Research. Hij heeft gesproken op shows als 44CON, SecuriTay, SteelCon, Irisscon en Infosecurity Europe, en heeft ook geschreven voor een aantal blogs van leveranciers en presentaties gegeven op webcasts.

Lees meer van Dan Raywood

Cyber security 30 September 2025

Zal de Grok-inbreuk leiden tot grote veiligheidsproblemen?

Zal het Grok-inbreuk leiden tot zorgen over de beveiliging van GenAI?

Een recent incident heeft geleid tot zorgen over de manier waarop GenAI-tools met data omgaan. Is het tijd om ervoor te zorgen dat uw data niet in hun...

Dan Raywood

Cyber security 29 May 2025

Cybersecurity en privacy van io-nist krijgen facelift

Cybersecurity en privacy: het NIST-kader krijgt een facelift

NIST heeft onlangs plannen aangekondigd om zijn privacykader te vernieuwen en het meer een organisch en minder statisch aanbod te maken. Heeft dit voordelen voor de praktijk?

Dan Raywood

Cyber security 21 januari 2025

zero day kwetsbaarheden hoe kunt u zich voorbereiden op de onverwachte banner

Zero-Day-kwetsbaarheden: hoe kunt u zich voorbereiden op het onverwachte?

Waarschuwingen van internationale cybersecurity-instanties lieten zien hoe kwetsbaarheden vaak worden uitgebuit als zero-days. Gezien de onvoorspelbaarheid...

Dan Raywood