Connect with us

De governancekloof: Waarom AI-regulering altijd achterloopt

Thought leaders

De governancekloof: Waarom AI-regulering altijd achterloopt

mm
Published
Updated

Innovatie evolueert met machinesnelheid, terwijl governance met mensensnelheid verloopt. Naarmate de adoptie van AI exponentieel groeit, loopt regulering achter, wat vrij typisch is voor technologie. Wereldwijd proberen overheden en andere entiteiten AI te reguleren, maar gefragmenteerde en ongelijkmatige benaderingen zijn overal aanwezig.

Een deel van de uitdaging is dat er geen apolitieke technisch ontwerp bestaat. Er zijn een aantal regels en voorstellen, van de AI-wet van de Europese Unie tot de regelgevende zandbakken van de VS, elk met zijn eigen filosofie. Terwijl AI-governance inherent achter innovatie aan loopt, is de echte uitdaging het verantwoord beheren van veiligheid en beleid binnen die vertraging.

De aard van de kloof: Innovatie eerst, toezicht later

Regulatoire vertraging is een onvermijdelijk bijproduct van technologische vooruitgang. Zo was Henry Ford niet bezig met het ontwikkelen van de Model T met als hoofdzaak de veiligheid op de weg en de verkeersregels. Regulatoire patronen volgen historisch de innovatie; recente voorbeelden zijn gegevensbescherming, blockchain en sociale media. De snelle evolutie van AI gaat voor op het vormen en handhaven van beleid. Met andere woorden, de wagen is al een tijdje voor het paard.

Een deel van de uitdaging is dat beleidsmakers vaak reageren op schade in plaats van risico’s te anticiperen, wat cycli van reactieve governance creëert. Het probleem is niet de vertraging zelf, maar eerder het ontbreken van adaptieve mechanismen om bij te blijven met nieuwe bedreigingsmodellen, en het ontbreken van de wil om een concurrentievoordeel op te offeren voor veiligheid. Het is een “race to the bottom”-scenario; we ondermijnen onze collectieve veiligheid voor lokale concurrentievoordelen.

Wereldwijde patchwork van AI-governance vertegenwoordigt gefragmenteerde filosofieën

De bestaande belangrijke benaderingen van AI-governance in de wereld verschillen sterk.

In de EU is de AI-wet die vorig jaar werd ingevoerd, sterk ethiek- en risicogebaseerd. Het gebruik van AI wordt beoordeeld op basis van het risiconiveau, waarbij sommige als onaanvaardbaar en dus verboden risico’s worden beschouwd. De VS daarentegen heeft een meer regelgevende zandbakmodel dat flexibiliteit in innovatie benadrukt. Sommigen zouden het een uitzondering voor innovatie noemen, terwijl critici het een blanco cheque zouden noemen.

Er is ook het Hiroshima-proces, dat globale coördinatie-intentie bevat, maar beperkte follow-through; elk G7-land is nog steeds gefocust op domestic AI-dominantie.

In de VS is de kwestie grotendeels overgelaten aan staten, wat effectief een gebrek aan effectieve regulering garandeert. De federale overheid doet dit soms precies vanwege hoe ineffectief het kan zijn. Staten creëren nieuwe zandbakken om technologiebedrijven en investeringen aan te trekken, maar het is onwaarschijnlijk dat er enige betekenisvolle regulering op staatsniveau zal zijn; alleen uitzonderingen worden verleend.

Het VK heeft een binnenlandse en internationale strijd gevoerd om zichzelf te vestigen als fel onafhankelijk na de Brexit. Door deregulering en het “Leveling Up”-plan van de regering is de introductie van regelgevende zandbakken geen verrassing. De regering van het VK wil dat het VK een dominante AI-supermacht wordt, zowel voor interne als externe politieke voordelen en stabiliteit.

De EU is meer gefocust op consumentenveiligheid, maar ook op de kracht van de gedeelde markt. Dit is logisch, gezien de geschiedenis van de EU met patchwork-regulering. Gedeelde naleving, normen en grensoverschrijdende handel zijn essentieel om de EU te maken tot wat het is. Ze hebben nog steeds regelgevende zandbakken nodig, maar elk lidstaat moet er een operationeel hebben tegen dezelfde datum.

Dit zijn slechts enkele van dergelijke regels, maar waarschijnlijk de meest prominente. Het belangrijkste punt is dat er onsamengehangen kaders zijn die geen gedeelde definities, handhavingsmechanismen en grensoverschrijdende interoperabiliteit hebben. Dit laat gaten over voor aanvallers om te exploiteren.

De politieke aard van protocollen

Geen enkele AI-regulering kan ooit echt neutraal zijn; elke ontwerpkeuze, beveiligingsmaatregel en regulering weerspiegelt onderliggende overheid- of corporate-belangen. AI-regulering is een geopolitiek instrument geworden; landen gebruiken het om economisch of strategisch voordeel te behalen. Chip-exportcontroles zijn een huidig voorbeeld; ze dienen als indirecte AI-governance.

De enige regulering die effectief is ingevoerd, is die om willens en wetens een markt te hinderen. De wereldwijde race naar AI-suprematie houdt governance een mechanisme voor concurrentie in plaats van collaboratieve veiligheid.

Veiligheid zonder grenzen, maar governance met

Het grote, lastige probleem hier is dat AI-geactiveerde bedreigingen grenzen overschrijden, terwijl regulering nog steeds beperkt is tot nationale grenzen. Vandaag de dag omvatten de snel evoluerende bedreigingen zowel aanvallen op AI-systemen als aanvallen die AI-systemen gebruiken. Deze bedreigingen overschrijden rechtsgebieden, maar regulering blijft geïsoleerd. Veiligheid wordt afgeschermd in een hoek, terwijl bedreigingen het hele internet overschrijden.

We beginnen al te zien dat legitieme AI-hulpmiddelen door wereldwijde bedreigingsactoren worden misbruikt door het exploiteren van zwakke veiligheidscontroles. Zo is er bijvoorbeeld sprake geweest van kwaadwillige activiteit met het gebruik van AI-site-creatiehulpmiddelen die meer lijken op site-kloonhulpmiddelen en gemakkelijk kunnen worden misbruikt om phishing-infrastructuur op te zetten. Deze hulpmiddelen zijn gebruikt om in te loggen op alles, van populaire sociale mediaservices tot nationale politiebureaus

Tot governance-kaders de grensoverschrijdende structuur van AI weerspiegelen, zullen verdedigers beperkt blijven door gefragmenteerde wetten.

Van reactieve regulering naar proactieve verdediging

Regulatoire vertraging is onvermijdelijk, maar stagnatie niet. We hebben adaptieve, predictieve governance nodig met kaders die evolueren met de technologie; het is een kwestie van overgaan van reactieve regulering naar proactieve verdediging. Ideaal gezien zou dit er als volgt uitzien:

  • Ontwikkeling van gedeelde internationale standaarden voor AI-risicoclassificatie.
  • Uitgebreide deelname aan standaardinstellingen buiten grote overheden en ondernemingen. Internetgovernance heeft (met gemengd succes) een multistakeholdermodel boven een multilateraal model gezocht. Hoewel onvolmaakt, heeft het een enorme impact gehad op het maken van het internet een instrument voor iedereen en het minimaliseren van censuur en politieke afsluitingen.
  • Bevorderen van diversiteit in governance.
  • Een mechanisme voor incidentenrapportage en transparantie. Een gebrek aan regels zal vaak ook een gebrek aan rapportageverplichtingen betekenen. Het is onwaarschijnlijk dat er een verplichting zal zijn om het publiek te informeren over schade door fouten of ontwerpkeuzes binnen regelgevende zandbakken in de nabije toekomst.

Terwijl de governancekloof nooit zal verdwijnen, kunnen collaboratieve, transparante en inclusieve kaders voorkomen dat het een permanente kwetsbaarheid in de mondiale veiligheid wordt.

mm

Ginny Spicer is een Cyber Threat Analyst bij Netcraft, waar zij opkomende tactieken en campagnes van bedreigingsactoren volgt. Haar achtergrond ligt in netwerkanalyse en onderzoek naar bedreigingen van staten. Zij is de voorzitter van 2026 van de Silicon Valley-afdeling van de HTCIA, een bestuurslid van de Deep Packet Inspection Consortium en een van de Jeugdambassadeurs van de Internet Society van 2025.