Het CPDP 2025-panel “Toezicht op AI versterken: de cruciale rol van regelgevende sandboxes en bevoegde autoriteiten onder de AI Act” besprak de praktische aspecten en uitdagingen bij de implementatie van AI-sandboxes binnen het kader van de Europese AI Act.

Het panel onderzocht hoe lidstaten zulke regelgevende sandboxes kunnen opzetten in lijn met hun nationale toezichtsstructuren, hoe effectieve samenwerking tot stand kan worden gebracht tussen markttoezichtinstanties en gegevensbeschermingsautoriteiten, en hoe een evenwicht kan worden gevonden tussen innovatie en stevig toezicht — zodat sandboxes AI-ontwikkeling ondersteunen binnen de grenzen van de AI Act.

1. Welke bevoegde autoriteiten moeten toezicht houden op sandboxes, en welke rol is weggelegd voor markttoezichtinstanties?
2. Hoe kunnen gegevensbeschermingsautoriteiten effectief worden geïntegreerd wanneer er persoonsgegevens worden verwerkt?
3. Hoe kan worden omgegaan met zorgen van bedrijven over bijvoorbeeld intellectuele eigendom en vertrouwelijkheid, zodat er vertrouwen ontstaat tussen hen en de toezichthouders?
4. Hoe kan het maatschappelijk middenveld op een zinvolle manier worden betrokken, en welke rol zou het daarin moeten spelen?

De discussie benadrukte de noodzaak van duidelijkheid, vertrouwen en effectieve samenwerking tussen alle betrokken partijen.

Bedrijfsperspectieven

Sensoren voor automatische navigatie of chatbots in de geestelijke gezondheidszorg zijn slechts enkele voorbeelden van technologieën die een regulerend kader vereisen dat de samenleving beschermt tegen risico’s en consumentenvertrouwen waarborgt. Regelgevende sandboxes bieden bedrijven de kans om duidelijke richtlijnen te verkrijgen en zo het vertrouwen in hun AI-producten te versterken.

Toch, zoals Sam Jungyun Choi (Covington & Burling) uitlegde, zijn er obstakels die bedrijven ervan weerhouden om aan sandboxes deel te nemen. Sommige bedrijven maken zich zorgen over de benodigde tijd en middelen, of over vertrouwelijkheid van gevoelige en gepatenteerde technologie.

Regelgevers kunnen deze zorgen aanpakken door vanaf het begin een duidelijke routekaart en garanties rond vertrouwelijkheid te bieden. Bedrijven zullen meer vertrouwen hebben als er vooraf helderheid is over welke documentatie vereist is, welke resultaten verwacht mogen worden, en welke bescherming er geldt voor informatie die zij delen via de sandbox.

Het panel benadrukte dat praktische richtlijnen vanuit toezichthouders essentieel zijn om bedrijven te helpen bij de toepassing van algemene principes in concrete situaties. Bedrijven willen bijvoorbeeld duidelijke instructies over hoe zij datasets mogen gebruiken voor AI-training of hoe zij menselijke controle moeten inbouwen bij bepaalde AI-toepassingen. Als regelgevende sandboxes zulke op maat gemaakte, contextspecifieke begeleiding kunnen bieden, zal dat de bereidheid van bedrijven vergroten om deel te nemen.

Regulerende competentie en coördinatie

Alex Moltzau van het European AI Office nam deel aan het panel op persoonlijke titel en sprak niet namens de Europese Commissie. Hij onderstreepte de noodzaak van helder omschreven bevoegdheden en verantwoordelijkheden voor de toezichthoudende autoriteiten, zodat duidelijke verwachtingen kunnen worden gesteld. Hij benadrukte het belang van gestroomlijnde communicatie- en productaanpassingsprocessen, met name bij grensoverschrijdende AI-toepassingen. Hij stelde daarbij de bredere vraag: in wat voor samenleving willen we leven? De regelgeving die we opbouwen heeft impact op het dagelijks leven van burgers. Daarom is horizontale coördinatie belangrijk bij de introductie van nieuwe producten en om ervoor te zorgen dat AI-veiligheid in de praktijk begrepen wordt door zowel toezichthouders als deelnemende organisaties. In dat kader noemde hij het recente pilotproject rond de AI Act in Spanje en het voorstel van Nederland zoals uiteengezet in hun whitepaper.

Thiago Moraes (LSTS, VUB) gaf diverse voorbeelden van lopende pilots in Europa, waaronder die uit Nederland. Het Nederlandse voorstel om een centraal aanspreekpunt voor stakeholders in te richten, met samenwerking tussen de nationale bevoegde autoriteit (NBA) en markttoezichthouders (MTA), is een interessant voorbeeld en mogelijk model voor andere lidstaten. Hij riep lidstaten op om in het najaar actief met de Europese Commissie samen te werken rond de implementatie, zodat er effectief geleerd kan worden over de grenzen heen. Het panel onderstreepte het belang van het delen van ervaringen tussen lidstaten, met verwijzingen naar voorbeelden uit Singapore, Latijns-Amerika, een Noorse podcast over sandboxes, en de ervaringen van de Franse CNIL in digitale gezondheidszorg.

Innovatie en toezicht in balans

Sophie Tomlinson van de Datasphere Initiative gaf aan dat regelgevende sandboxes een mentaliteitsverschuiving vertegenwoordigen: innovatie stimuleren in een gecontroleerde omgeving. Sandboxes zijn wendbare instrumenten om regelgeving te testen en te begrijpen hoe deze ontwikkeling in uiteenlopende sectoren ondersteunt of belemmert.
De opname van sandboxes in de EU AI Act werd als een belangrijke stap vooruit gezien, doordat ze een veilige ruimte bieden voor bedrijven en andere actoren om technologie te testen en te begrijpen. De grote uitdaging blijft het vinden van het juiste evenwicht tussen flexibiliteit en verantwoordingsplicht — innovatie bevorderen terwijl stevig toezicht behouden blijft.

Integratie van gegevensbescherming en maatschappij

Het panel stelde meerdere belangrijke vragen over hoe gegevensbeschermingsautoriteiten effectief kunnen worden geïntegreerd in sandboxes, zeker wanneer persoonsgegevens worden verwerkt. Er werd ook besproken hoe de bredere samenleving hierin een rol kan spelen — vooral in het licht van zorgen over intellectuele eigendom en vertrouwelijkheid bij het delen van gevoelige informatie met toezichthouders en eventueel maatschappelijke organisaties.

Technische deskundigheid bij toezichthouders

Een terugkerend thema was het belang van technische deskundigheid onder toezichthouders. Alleen zo kunnen zij de complexe, technische vragen begrijpen en beantwoorden die voortkomen uit AI-ontwikkeling binnen sandboxes. Regulatoren moeten in staat zijn om heel specifieke en praktische vragen van bedrijven te beantwoorden, bijvoorbeeld over hoe bepaalde regels toegepast moeten worden in concrete situaties.

Tot slot benadrukte het panel dat het succes van AI-sandboxes onder de AI Act afhangt van heldere communicatie, duidelijke rolverdeling tussen bevoegde autoriteiten, effectieve samenwerking tussen markttoezicht- en gegevensbeschermingsorganen, en een praktische benadering van bedrijfszorgen — terwijl stevig toezicht behouden blijft. Het doel is een omgeving te creëren waarin innovatie kan bloeien met de juiste waarborgen en onderling vertrouwen.

© Hoofd Foto: LenoirFotography