Implementation Artificial Intelligence

Dit betekent de nieuwe EU AI-verordening voor jouw bedrijf

Wat is het, wat verbiedt het en wat kan niet zomaar meer? Stephan van Hugten informeert je over de impact van de AI-verordening op jouw bedrijfsvoering en te realiseren businessplannen. 

Ontwerp zonder titel (2)

2023 was het jaar van de definitieve doorbraak van allerlei AI-tools. Tegelijkertijd was het een jaar waarin de gemoederen hoog opliepen in de discussie over wat AI allemaal wel en niet mag doen. Moet het in staat zijn om alle data maar op te slurpen die het kan krijgen om vervolgens resultaten uit te spugen als een modern orakel van Delphi? Iedereen wist eigenlijk dat het antwoord "nee" zou zijn, maar de meeste mensen wisten niet wat er na die "nee" zou moeten komen. 

In een verbijsterend snel tempo (voor een regeringsorgaan) is de EU de eerste grote overheid die uitgebreide regelgeving heeft gepresenteerd over hoe bedrijven binnen de EU AI moeten en kunnen gebruiken in hun producten en diensten. Eigenlijk werden de eerste stappen naar de nieuwe  AI-verordening al in 2021 genomen, maar ik ben er stellig van overtuigd dat het afgelopen jaar het bewustzijn heeft versterkt dat er dringend behoefte was aan duidelijkheid over het onderwerp. Kunstenaars, acteurs en privacy-activisten kwamen de afgelopen maanden in opstand. Met miljarden aan investeringen op het spel kon de EU niet langer wachten. 

Wat is de AI verordening?

De AI-verordening (verder AI Act genoemd) is een reeks van regels die EU-leden in staat moeten stellen om veilig investeringen te kunnen doen in AI-ondersteunde hulpmiddelen en algoritmen. Het ethisch ontwikkelen en toepassen van zgn. AI systemen worden hiermee gewaarborgd.

Als EU-verordening is de wet meteen van kracht geworden vanaf de acceptatie in december 2023. Het vertelt bedrijven niet zozeer wat ze wel en niet kunnen doen met AI, maar stelt regels voor de risico's die gepaard gaan met het gebruik van AI. Door risicocategorieën toe te wijzen aan AI-systemen creëert het een kader van wat de lidstaten van de EU onaanvaardbaar, hoog risico of anders gebruik van AI vinden. Hiermee hoopt de EU een robuust investeringsklimaat voor hightech te creëren, terwijl deze technologie niet in de knoei gaat komen met fundamentele mensenrechten. 

Wat verbiedt de AI Act?

Er zijn verschillende onaanvaardbare toepassingen van AI zoals bepaald in paragraaf 5.2.2 (Titel II) van de wet. Kort gezegd kan AI niet worden gebruikt om: 

  • mensenrechten of bestaande wetten te schenden (gegevens-, privacy-, consumentenrechten, enz.). 
  • toegang tot kritieke diensten te ontzeggen op basis van sociale scoring (gewenst belonen en ongewenst gedrag straffen met punten). 
  • de mening en gedachten van mensen te manipuleren (nepnieuws creëren, oppositie neutraliseren, nieuws- en entertainment-algoritmes manipuleren).
  • real-time surveillance en biometrische scannen van burgers door opsporingsdiensten (misdaad en risicogedrag voorspellen).

Door dit te doen, hebben de EU-lidstaten zich ertoe verbonden hun landen niet te laten veranderen in een Black Mirror-aflevering (bijv. Nosedive), hoewel er enkele uitzonderingen mogelijk zijn zoals voor het opsporen en arresteren van enkele, gerichte personen die verdacht worden van ernstige misdaden zoals terrorisme. 

Wat kan vanaf nu niet meer?

De meest interessante risicocategorie voor bedrijven is die van hoogrisicotoepassingen van AI. Hoewel paragraaf 5.2.3 (Titel III) hierop ingaat, geeft Bijlage III (verwijzend naar artikel 6) een (voorlopig) complete lijst van wat hoogrisico AI-toepassingen zijn. Ongeveer de helft hiervan is meer van toepassing op lagere overheden en gaat over gelijke toegang tot openbare diensten en infrastructuur. De andere helft is waar het interessant wordt. 

Vanaf nu kunt je AI niet zomaar gebruiken om: 

  • studenten en/of werknemers te beoordelen tijdens examens of sollicitatieprocedures. 
  • promoties of ontslagen toe te kennen op basis van prestatie-indicatoren. 
  • de kredietwaardigheid van natuurlijke personen te bepalen.
  • een profiel te creëren en daarmee toegang tot diensten aan een natuurlijk persoon te verlenen, te handhaven of in te trekken.

Als jouw bedrijf een systeem ontwikkelt of gebruikt een van de bovenstaande zaken raakt, moet jouw bedrijf voldoen aan een lijst met aanvullende eisen die besproken worden in Bijlage IV tot VI (zie ook artikel 11). Dit artikel kan helaas niet verder ingaan op de complete lijst (maar zie de laatste paragraaf). 

Beoordelen of je voldoet aan AI-regelgeving

Er zijn verschillende stappen die jouw bedrijf kan ondernemen om te zien of het voldoet aan de nieuwe AI-verordening. Zelfs als je er zeker van bent dat jouw bedrijf geen hoogrisicotoepassingen heeft, moet je dit kunnen bewijzen als dit ooit wordt gecontroleerd. Hiervoor zou je, ongeacht of je al AI gebruikt of niet, altijd de volgende stappen moeten willen ondernemen in het kader van een solide IT-strategie: 

  • Risicobeheer: Men moet binnen jouw bedrijf bewust zijn van de potentiële risico's van AI, zoals gegevensveiligheid, vooringenomenheid en privacy 
  • Gegevensbeheer: Als jouw bedrijf slechte kwaliteit gegevens heeft, niet weet welke gegevens het genereert, of niet weet welke gegevens waardevol kunnen zijn, is het cruciaal om jouw gegevensbeheer opnieuw te beoordelen om zo toekomstbestendig te zijn 
  • Training en Bewustwording: Help jouw medewerkers potentiële gebruiksscenario's voor AI te herkennen en maak hen ervan bewust dat ze niet zomaar willekeurige software moeten kopen zonder verder naar de impact te kijken 

Als jouw bedrijf al AI-systemen gebruikt, kun je nog een paar extra stappen nemen. 

  • Classificeer jouw AI-systemen: Documenteer waarom jouw AI-systemen niet als hoog risico worden aangemerkt 
  • Training en Monitoring: Jouw medewerkers moeten zich bewust zijn van wat hoogrisicogebruik inhoudt, zodat nieuwe toepassingen die mogelijk naleving vereisen vroegtijdig worden opgemerkt 
  • Technische Documentatie: Als je uitbreidingen op bestaande frameworks (bijv. ChatGPT API) of jouw eigen algoritmen hebt ontwikkeld, moet je ervoor zorgen dat alle technische documentatie in orde is bij een eventueel onderzoek. Deze documentatie moet de levenscyclus van het AI-systeem in detail beschrijven, inclusief ontwikkelings-, trainings-, implementatie en onderhoudsprocessen 
  • Transparantie: De documentatie van het AI-systeem moet ervoor zorgen dat gebruikers een duidelijk begrip hebben van de mogelijkheden, het doel en de beperkingen (vooringenomenheid) 
  • Menselijk Toezicht: Jouw bedrijf moet ervoor zorgen dat interne, menselijke experts toezicht hebben op de AI-systemen, om het risico op onverwachte, negatieve gevolgen te minimaliseren 
  • Naleving van andere Wetten: Ondanks dat jouw systemen niet hoogrisico zijn, is het nog steeds van groot belang dat jouw AI-systemen voldoen aan de bestaande wetgeving. De AVG is een veelvoorkomend voorbeeld dat vaak moet worden meegenomen bij het verwerken van gegevens binnen een AI-systeem 

Als ik een hoogrisicotoepassing beheer, hoe voldoe ik dan?

Hoewel de AI-verordening niet precies aangeeft HOE te voldoen, roept het wel op tot de implementatie van een "robuust kwaliteitsmanagementsysteem" om de juiste toepassing en ontwikkeling van AI-systemen te waarborgen. Er bestaan een aantal ISO-normen die jouw bedrijf kunnen helpen bij het creëren van zo'n robuust managementsysteem, met specifieke richtlijnen voor de technologische sector. Hieronder volgt een lijst van toepasselijke ISO-normen: 

  • ISO 9001: ISO 9001 stelt de criteria vast voor een kwaliteitsmanagementsysteem en is gebaseerd op een aantal kwaliteitsmanagementprincipes, waaronder een sterke klantgerichtheid, de betrokkenheid van het topmanagement, een procesbenadering en continue verbetering. 
  • ISO 27001: Een wereldwijde standaard voor informatiebeveiligingsbeheer. Het helpt bedrijven bij het beheren van de beveiliging van gegevens zoals financiële informatie, intellectueel eigendom, werknemersgegevens of informatie die door derden is toevertrouwd. In de context van AI is deze norm met name relevant voor het waarborgen van de veiligheid en vertrouwelijkheid van gegevens die door AI-systemen worden gebruikt. 
  • ISO 38500: Deze norm biedt richtlijnen voor effectief IT-beheer om degenen op het hoogste niveau van organisaties te helpen hun wettelijke, regelgevende en ethische verplichtingen bij het gebruik van IT te begrijpen en na te komen. Dit creëert een kader voor het toezicht op AI-systemen en zorgt ervoor dat ze voldoen aan wettelijke en ethische normen. 
  • ISO 42001: Deze norm is recentelijk in december 2023 afgerond en gaat specifiek in op het beheer van AI-systemen, waar ISO 38500 meer over het gehele IT-beleid gaat. Ik zou het onderwerp tekort doen door hier nu slechts een paar zinnen aan te wijden en zal hier later met een eigen deep-dive op terugkomen.

Kan ik extra hulp krijgen bij het implementeren van de AI-verordening?

Ondanks dat dit nu officiële regelgeving is, zijn er geen kant-en-klare oplossingen om te implementeren. Net als bij de AVG kan de implementatie verwarrend zijn en veel bedrijven zullen tot op het laatst wachten met implementeren als de toezichthouder handhaving aankondigt. Laat dit niet zover komen.  

Als jouw bedrijf voorop wil lopen in het beheer en implementatie van AI, neem dan gerust contact met mij op via stephan@boltit.nl om te bespreken hoe we jou vanuit de kennis en expertise in ons Bolt brein het beste kunnen helpen. 

Over Stephan van Hugten

Na meer dan tien jaar als ontwikkelaar werkzaam te zijn geweest, wilde Stephan mensen en organisaties laten zien hoe gigantisch de mogelijkheden van nieuwe technologie zijn. Hij werd product owner. Als schakel tussen het ontwikkelteam en de klant kan hij op een toegankelijke manier laten zien wat technologie voor een organisatie kan betekenen en welke keuzes daarmee gepaard gaan. Over het algemeen beschouwt hij zichzelf als een tech-optimist en ziet hij de nieuwste AI/ML-trends als een kans om workflows te verbeteren. 

This website uses cookies

This website uses cookies and collects information about the use of the website to analyze it and to ensure that you see relevant information and advertisements. By clicking on agree here, you agree to the use of cookies and the collection of information based on them by us and by third parties.

Agree
Disagree