Het raamwerkverdrag over AI komt eraan: wat betekent dit voor uw organisatie?

Door Phil Muncaster • 15 oktober 2024

De snelheid waarmee AI-innovatie zich ontwikkelt, heeft velen verrast. In sommige landen hebben wetgevers moeite om bij te blijven, en ze schommelen tussen zelfregulering (waar de VS voorstander van is) en een meer praktische aanpak (bijvoorbeeld de EU AI Act). Maar de meesten erkennen nu het potentieel van de technologie om mensenrechten en de rechtsstaat te ondermijnen. Een nieuwe Kaderverdrag van de Raad van Europa inzake kunstmatige intelligentie gaat in op deze zorgen.

Het doel is om bestaande wereldwijde normen voor mensenrechten, democratie en de rechtsstaat aan te vullen en tegelijkertijd juridische hiaten aan te pakken die voortvloeien uit snelle technologische vooruitgang op het gebied van AI. Maar is het waarschijnlijk dat de technologie-agnostische, vaag geformuleerde aanpak de impact zal hebben die voorstanders beweren?

Wat is het en waarom nu?

Vijf jaar in de maak, wordt het verdrag omschreven als het "allereerste internationale juridisch bindende verdrag" dat AI reguleert. Het werd geschreven door de 46 lidstaten van de Raad van Europa (inclusief het VK), de EU en 11 niet-lidstaten, waaronder Australië, Japan en de VS.

Het kan worden gezien in de context van een groeiend aantal uiteenlopende overheidsinspanningen om AI te reguleren op een manier die opkomende risico's verzacht. Deze omvatten de Executive Order over AI vanaf oktober 2023, de Bletchley-verklaring een maand later (november 2023), en de Aankondiging van de toespraak van de koning dat de Britse overheid van plan is om AI-wetgeving in te voeren om krachtige AI-modellen te reguleren.

Waarin verschilt dit van de EU AI-wet?

Volgens de Raad van Europa bevat het verdrag een aantal fundamentele principes die de levenscyclus van AI-systemen moeten bepalen:

Menselijke waardigheid en individuele autonomie
Gelijkheid en non-discriminatie
Respect voor privacy en bescherming van persoonsgegevens
Transparantie en toezicht
Verantwoording en verantwoordelijkheid
Betrouwbaarheid
Veilige innovatie

Ondertekenaars moeten relevante informatie over AI-systemen documenteren en beschikbaar stellen aan iedereen die er last van heeft. Deze informatie moet gedetailleerd genoeg zijn, zodat mensen beslissingen die via AI zijn genomen of zelfs het gebruik van AI zelf, kunnen aanvechten. Ze moeten ook een klacht kunnen indienen bij de autoriteiten. Die autoriteiten moeten "effectieve procedurele garanties, waarborgen en rechten" bieden aan iedereen die door AI wordt getroffen en die hun mensenrechten en vrijheden kunnen beïnvloeden. De Raad zegt dat gebruikers van AI ook op de hoogte moeten worden gesteld dat ze interacteren met niet-menselijke intelligentie.

De conventie eist dat staten ook risico- en impactbeoordelingen uitvoeren met betrekking tot de impact van AI op mensenrechten, democratie en de rechtsstaat. Als gevolg hiervan moeten ze "voldoende preventie- en mitigatiemaatregelen" treffen en zelfs verboden of moratoria op bepaalde AI-toepassingen invoeren.

Dus, hoe verschilt dit van de EU AI Act? Het meest voor de hand liggende is dat het van toepassing is op natiestaten in plaats van op particuliere bedrijven, hoewel het ook van invloed is op particuliere entiteiten die namens overheden handelen. Hoewel beide gericht zijn op het beschermen van mensenrechten in de context van AI-gebruik, zijn het "aparte stukken wetgeving met zeer verschillende grondslagen in de wet", aldus Sarah Pearce, partner bij Hunton Andrews Kurth.

“De EU AI Act is een stuk wetgeving dat door de Europese Unie is uitgevaardigd en dat rechtstreeks zal worden gehandhaafd. Het AI-verdrag is een internationaal verdrag dat door verschillende natiestaten is ondertekend. Ondertekenaars verbinden zich aan bepaalde principes/verplichtingen en werken samen met wetgevers en regelgevers op nationaal niveau om die principes/vereisten te implementeren en te handhaven,” vertelt ze aan ISMS.online.

“De principes van het AI-verdrag lijken nogal breed en vereisen verdere actie van natiestaten om implementatie en handhaving te garanderen, dus de effectiviteit ervan is op dit moment twijfelachtig. Daarentegen is de EU AI Act een wet die van kracht is en een reeks wettelijke vereisten bevat waaraan organisaties in scope moeten voldoen of het risico lopen op sancties voor niet-naleving. Het bevat ook bepalingen over hoe de wetgeving zal worden gehandhaafd.”

Zal het een verschil maken?

Volgens een rapport van de commissie zijn er verschillende potentiële uitdagingen met betrekking tot de conventie. Vogel- en vogelanalyse:

Staten kunnen kiezen hoe ze hun regels toepassen op private actoren – direct of via “andere passende maatregelen”. Dit zou kunnen leiden tot discrepanties in de manier waarop het wereldwijd wordt toegepast, net als het feit dat de term “overheidsinstantie” niet in de tekst is gedefinieerd.
Over het algemeen houdt het verdrag zich aan brede principes in plaats van specifieke vereisten. Dit betekent dat er bij de omzetting ervan in lokale wetgeving grote verschillen in regelgeving kunnen ontstaan.
Hoewel er een rapportageplicht bestaat voor naleving, zijn er geen strikte handhavingscriteria, waardoor het verdrag enigszins machteloos is.
Er zijn geen rechtsmiddelen, zoals boetes, voorgesteld voor schendingen van de mensenrechten die verband houden met het verdrag. Dit betekent dat deze ook aanzienlijk kunnen verschillen tussen rechtsgebieden.

"Naar alle waarschijnlijkheid zullen de meeste organisaties het lastig vinden om te voldoen aan de conventies vanwege de onnauwkeurige taal en de brede plichten", vertelt Matthew Holman, partner bij Cripps, aan ISMS.online.

“De EU zegt dat ze dit heeft gedaan door de EU AI Act te implementeren, en ze heeft op dat punt in principe gelijk. De Britse regering zegt dat bestaande nationale wetten de punten uit het verdrag al aanpakken, dus er is geen aparte wet nodig. Of ze op dat punt gelijk heeft, is nog maar de vraag, maar ik ben geneigd het oneens te zijn.”

Wat zijn de volgende stappen?

De Britse regering lijkt bereid te zijn om te verdedigen haar positie als leider in AI-veiligheid. Het beweert dat bestaande wetten en maatregelen zullen worden "verbeterd" zodra het verdrag is geratificeerd en dat het nauw zal samenwerken met "regulators, de gedecentraliseerde administraties en lokale autoriteiten" om de nieuwe vereisten te implementeren.

Tot die tijd moeten zowel publieke als private organisaties die mogelijk door het verdrag worden getroffen, ervoor zorgen dat elke AI-ontwikkeling in overeenstemming is met de kernwaarden van de Raad van Europa: mensenrechten, democratie, de rechtsstaat en transparantie.

“Overheidsinstanties en particuliere actoren zouden ernaar moeten streven de transparantie van processen te vergroten en samen te werken met overheidsinstanties om een kader te creëren voor ethische praktijken die voldoen aan de industriestandaard”, concludeert hij.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster