De adoptie van AI in het bedrijfsleven neemt snel toe en de mogelijkheden die AI biedt lijken eindeloos. De risico’s die het gebruik van AI met zich meebrengt, zijn echter niet te verwaarlozen. Het is daarom van groot belang dat organisaties op een verantwoordelijke en zorgvuldige manier omgaan met het gebruik van AI. Naast ethische overwegingen, zal ook de aankomende AI-verordening (waarbij boetes voor niet-naleving kunnen oplopen tot € 40.000.000 of 7 % van de totale wereldwijde jaaromzet) een drijfveer vormen.
Op 14 juni stemde het Europees Parlement in met het voorstel van de veelbesproken AI-verordening. Naar verwachting wordt de verordening eind dit jaar of begin volgend jaar afgerond, waarna deze stapsgewijs over 2024-2026 in werking treedt. Om ervoor te zorgen dat men tegen die tijd voldoet aan de nieuwe regelgeving, is het van belang dat organisaties zich nu gaan voorbereiden op de implementatie ervan in hun bedrijfsvoering.
AI-verordening in het kort
De AI-verordening is bedoeld om een balans te vinden tussen de bevordering van innovatie en de waarborging van grondrechten. De wet reguleert alle inzet van AI en legt verplichtingen op aan iedereen die AI ontwikkelt, gebruikt of erin handelt. De nadruk ligt hierbij op transparantie en verantwoording.
De aanpak is gebaseerd op risico: de verordening stelt verplichtingen en bevat veiligheidswaarborgen afhankelijk van het risiconiveau van het AI-systeem in kwestie. De AI-verordening onderscheidt de volgende risiconiveaus: onacceptabele risico’s, hoge risico’s en lage risico’s. De classificatierichtlijn in de verordening, bepaalt tot welke risicocategorie een systeem behoort. AI-systemen met onacceptabele risico’s worden met de ingang van de verordening verboden binnen de EU. Systemen met hoge risico’s zijn wel toegestaan, maar onder strenge voorwaarden; het gros van de verplichtingen in de AI-verordeningen geldt dan ook voor deze groep. Aanbieders en gebruikers van zulke ‘high risk’ systemen moeten onder andere een risicomanagementsysteem ontwikkelen, toezien op de transparantie van de werking van het systeem, en ervoor zorgen dat het systeem onder menselijk toezicht staat.
Compliance
Compliance met de AI-verordening gaat de komende jaren een grote rol spelen voor bedrijven. De nieuwe AI-wetgeving is uitgebreid en complex, met een compliance-traject dat volgens sommigen zelfs vergelijkbaar is met dat van de Algemene Verordening Gegevensbescherming (AVG). Aangezien de meeste organisaties niet om het gebruik van AI heen kunnen – of willen – dienen de nodige stappen te worden genomen. Denk daarbij aan het volgende:
- Verken de regelgeving. De AI-verordening is complexe regelgeving. Organisaties moeten goed weten hoe de wet in elkaar steekt en waar het compliance-traject op moet worden ingericht.
- Breng het AI-gebruik binnen de organisatie in kaart. Om te weten welke verplichtingen van toepassing zijn, is het belangrijk om te identificeren op welke manieren en wanneer AI-systemen en -toepassingen binnen de organisatie worden gebruikt.
- Bepaal aan welke compliance-eisen je moet voldoen. Op basis van de inventarisatie van AI-systemen die binnen de organisatie worden gebruikt, kan een inschatting van het risiconiveau worden gemaakt. Dit niveau bepaalt aan welke specifieke eisen moet worden voldaan.
- Stel een team samen. Binnen de organisatie zijn mensen nodig die toezien op verantwoordelijk en compliant AI-gebruik. Multidisciplinariteit is hierbij belangrijk: een team zou moeten bestaan uit experts vanuit verschillende gebieden – juridisch, IT, operationeel – zodat de verschillende compliance-facetten worden gewaarborgd.
- Implementeer risicomanagement-, evaluatie- en monitoringsystemen. Om compliance-problemen te voorkomen moeten organisaties zicht hebben op de eventuele risico’s van de AI-systemen die zij hanteren. Het is daarom van belang dat organisaties regelmatig risicobeoordelingen uitvoeren en, op basis hiervan, risicobeperkende maatregelen invoeren.
