Hoe staten het voortouw nemen bij AI-regulering ISMS.online

Hoe staten het voortouw nemen op het gebied van AI-regulering

Door Danny Bradbury • 18 juni 2024

Het afgelopen jaar was een van de grootste sinds wetenschappers het concept eind jaren veertig voor het eerst voorstelden. AI-leveranciers zijn blijven innoveren, waarbij er regelmatig krachtigere AI-modellen verschijnen, en technologieleveranciers zijn druk bezig deze in hun kernaanbod op te nemen. Terwijl het Witte Huis een Executive Order Om te proberen wat vangrails rond deze krachtige technologie te plaatsen, is deze beperkt zonder steun van het Congres, en wetgevers hebben heel weinig gedaan om te helpen. Er bestaat nog steeds geen overkoepelende AI-regulering op federaal niveau.

Dit heeft ertoe geleid dat de deelstaatregeringen het vacuüm hebben opgevuld, en zij zijn de uitdaging aangegaan. Volgens de Business Software Alliance zijn staatswetgevers geïntroduceerd 440% meer AI-gerelateerde facturen in 2023 dan in het voorgaande jaar. Deze wetten hebben een verscheidenheid aan AI-gerelateerde kwesties onderzocht, waaronder de mogelijkheid van vooringenomenheid, transparantie over welke gegevens worden gebruikt om AI-systemen te trainen, en specifieke bedreigingen zoals deepfakes.

Een vloedgolf aan staatsmaatregelen

De door staten genomen regelgevende maatregelen lopen sterk uiteen. Sommigen, zoals Texas, hebben zich geconcentreerd op het gebruik van AI door de staat zelf. Zijn House Bill 2060, vorig jaar ondertekend in de wet, heeft een AI-adviesraad opgericht om het gebruik van AI-systemen door de staat te beoordelen en de noodzaak van een ethische code te beoordelen.

Andere AI-regelgeving omvat het gebruik van deze systemen door de particuliere sector, vaak opgenomen in de privacywetgeving voor consumenten. Oregon's SB619, die op 1 juli van dit jaar van kracht wordt, bevat een opt-outbepaling voor gegevens die worden gebruikt bij geautomatiseerde profilering. Van Montana SB384 De wetgeving inzake consumentenprivacy, geïntroduceerd in februari 2023, bevat een soortgelijke bepaling, net als die van Virginia Wet bescherming persoonsgegevens consumenten en die van Newhampshire SB255. Deze zijn allemaal al in werking getreden, net als die van Tennessee HB1181, dat gegevensbeschermingsbeoordelingen voor gegevensprofilering verplicht stelt.

Sommigen richten zich op generatieve AI. Die van Utah SB149, die in maart van dit jaar tot wet werd ondertekend, schrijft voor dat individuen moeten worden geïnformeerd als ze met AI in aanraking komen in een gereguleerd beroep (een beroep waarvoor ze een vergunning of een staatscertificaat moeten hebben).

Andere staten hebben geprobeerd verder te gaan dan het profileren van opt-outbepalingen met verdere AI-gerelateerde bescherming. Connecticut, dat vorig jaar een dergelijke bepaling in zijn Connecticut Privacy Act afdwong, probeerde een ander wetsvoorstel in te dienen – SB2 – dat de ontwikkeling van geautomatiseerde besluitvormingsinstrumenten en AI-systemen zelf zou hebben gereguleerd. Het zou uitgebreide documentatie van dergelijke systemen en hun gedrag hebben geëist, samen met de gegevens die tijdens de ontwikkeling zijn gebruikt (dit zou ook trainingsgegevens hebben omvat). Het zou ook risicobeoordelingen rond de inzet ervan vereisen, samen met transparantie.

De senaat van Connecticut keurde SB2 goed, maar slaagde er niet in om binnen de deadline van mei tot een huisstemming te komen, deels vanwege de belofte van de gouverneur van Connecticut, Ned Lamont, om het wetsvoorstel te vetoën.

Colorado had echter meer geluk bij het verleggen van de grenzen van de AI-regelgeving. Een week nadat SB2 de laatste hindernis had bereikt, werd de wetgevende macht van de staat Colorado aangenomen SB24-205, dat specifiek AI reguleert. De wet introduceert een ethisch raamwerk voor de ontwikkeling van risicovolle AI-systemen, dwingt openbaarmaking van het gebruik ervan af en geeft consumenten de kans om hun resultaten in twijfel te trekken en alle persoonlijke gegevens die het AI-systeem heeft gebruikt, te corrigeren. AI-systemen met een hoog risico, die de wet definieert als systemen die leiden tot ‘gevolgbeslissingen’, zullen ook worden onderworpen aan een risicobeoordeling en jaarlijkse evaluatie.

Andere staten hebben zich gericht op specifieke toepassingen van AI. In 2020 slaagde Illinois voor 820 ILCS 42/1 (de Wet op video-interviews op het gebied van kunstmatige intelligentie), waardoor potentiële werkgevers worden gedwongen toestemming te krijgen van sollicitanten als ze AI gebruiken om hun video-interviews te analyseren.

Er zitten nog meer agressieve biljetten in de hopper. In mei werd de Californische senaat aangenomen SB1047 met 32 stemmen tegen één. Dit wetsvoorstel, dat een deadline heeft van 31 augustus om door de staatsvergadering te worden aangenomen, weerspiegelt enkele van de maatregelen in de Executive Order on AI van het Witte Huis. Het legt met name veiligheidsmaatregelen op, zoals red-teaming en cybersecurity-tests voor grote AI-modellen. Het zou een apart kantoor creëren om AI te reguleren, samen met een publieke cloud voor het trainen van AI-modellen, en ervoor zorgen dat er een ‘kill switch’ in AI-modellen zou worden ingebouwd om ze uit te schakelen mocht er iets misgaan.

Staatswetten die de grenzen van de AI-regelgeving verleggen, zullen blijven verschijnen zolang federale wetgevers stil blijven zitten. Er zijn enkele veelbelovende stappen gezet, zoals de introductie van het SAFE Innovation Framework van senator Schumer om het verantwoorde gebruik van AI te onderzoeken. Dat initiatief ontwikkelt zich echter in een ijzig tempo. Een voorgesteld Federale wet op risicobeheer op het gebied van kunstmatige intelligentie zou ook federale agentschappen dwingen het NIST AI Risk Management Framework over te nemen en richtlijnen voor AI-acquisitie voor agentschappen te creëren. Op dit moment zijn het echter de staten waar de actie plaatsvindt.

Hoe kunt u zich voorbereiden?

Hoe kunnen bedrijven zich voorbereiden op wat nu al een lappendeken van regelgeving op staatsniveau rond AI aan het worden is? De ISO 42001-norm dient als nuttig referentiepunt. Het schetst de vereisten voor een Artificial Intelligence Management System (AIMS) dat beleid, procedures en doelstellingen omvat als onderdeel van een bestuursstructuur voor het gebruik van AI-systemen. Het dringt ook aan op transparantie en verantwoording bij op AI gebaseerde besluitvorming, en helpt organisaties bij het identificeren en beperken van AI-gerelateerde risico's.

Naarmate de staatsregels toenemen, is een ISO-norm een maatstaf die blijk geeft van goede praktijken en vooruitziendheid in een onzekere tijd voor AI-regulering.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury