ISO 42001: De volgende stap in AI-management

Bijna elke week iets nieuws, verbluffends en zelfs baanbrekends over AI! Na de eerste paar weken begonnen de eerste kritieken binnen te druppelen. Wat als je de gegevens van jouw bedrijf in ChatGPT invoert? Kun je afbeeldingen gebruiken die zijn gegenereerd door Midjourney? Wat is de kwaliteit en betrouwbaarheid van de uitvoer? Dit vraagt ​​om een ​​gestructureerde en strategische aanpak. Een van die benaderingen is ISO 42001, een norm die officieel werd gepubliceerd op 18 december 2023. 

ISO 42001 introduceert het concept van een AI Management System (AIMS), dat ook genoemd wordt in de recente EU A-verordening. Een AIMS is bedoeld als raamwerk om ​​AI-beleid binnen een bedrijf te implementeren en te onderhouden, zodat het gebruik van AI in lijn is met de bredere strategie van het bedrijf. Dit soort technologie is niet alleen een verantwoordelijkheid van de IT-afdeling, maar ook die van de juridische en information security teams. Dit moet ervoor zorgen dat het AI-beleid aansluit bij al jouw andere beleid. 

Hoewel je zou kunnen stellen dat AI kan worden beheerd met een combinatie van de kwaliteitsmanagementsystemen geïntroduceerd in ISO 9001 en 27001, voegt de AI-specifieke standaard verschillende waardevolle aandachtspunten toe, zoals: 

• De introductie van risicofactoren die uniek zijn voor AI, zoals non-transparantie, niet-deterministisch gedrag, gebrek aan verklaarbaarheid en vooringenomenheid 
• Het nadenken over ethisch en verantwoord gebruik van AI. Wie is verantwoordelijk en heeft voldoende kennis om zo'n complex systeem te beheren? Wanneer kan je AI inzetten en wanneer moet je voorzichtig zijn? 
• Het uitbreiden van gegevensbeheer. Je moet de gegevens controleren die worden gebruikt bij het trainen van een AI-model. Is de kwaliteit goed en heb je daadwerkelijk de juiste toestemming om deze gegevens te gebruiken? Wat is de kwaliteit van de gegenereerde output? 
• Een raamwerk voor voortdurende verbetering. Hoe zorg je ervoor dat de prestaties van het systeem consistent blijven in nieuwe versies? Valt het model niet in duigen als het doorgaat met het trainen op zijn eigen gegevens? 
• Het beheer van de AI-levenscyclus. Vooral bij het werken met een AI-systeem dat een ethische impact kan hebben (ook wel een hoog risico systeem genoemd), zijn er extra vereisten om de procedures en uitvoering rond ontwikkeling, ontwerp, implementatie, het gebruik en monitoring goed te documenteren. 

Alles bij elkaar levert dit een noodzakelijke aanvulling op de bestaande standaarden zodat organisaties deze kunnen aanpassen aan hun specifieke behoeften en contexten. Dit zorgt ervoor dat AI-technologieën worden gebruikt op een manier die ethisch, veilig en bruikbaar is voor de samenleving. 

De eerste stap bij het implementeren van een nieuwe ISO-norm is altijd het doen van een scan van jouw organisatie om te zien waar de impact op jouw bedrijf ligt. Factoren waarmee je rekening moet houden, zijn: 

• Zijn er strategische doelen op hoog niveau die het gebruik van AI noodzakelijk maken?
• Welke afdelingen worden of zullen getroffen worden door het gebruik van AI? Denk ook aan de rest van de business, b.v. marketing of verkoop.
• Wie zijn de grootste belanghebbenden bij de transformatie naar het gebruik van AI? 
• Heb je voldoende middelen om een ​​AI-managementsysteem te implementeren? Dit omvat zowel technische & cybersecurity experts, als deskundige afdelingsmanagers die AI-initiatieven sponsoren.
• Zijn er bestaande systemen die al gebruik maken van AI of worden beïnvloed door het gebruik van AI? 
• Zijn er bestaande procedures die al gebruik maken van AI of die worden beïnvloed door het gebruik van AI? Ontwikkel je AI-systemen of bent je van plan dit in de toekomst te doen? 

Deze vragen zullen al snel de enorme impact onthullen die AI op jouw bedrijf zal hebben. Gelukkig kan deze impact worden aangepakt door een succesvolle implementatie van deze en andere ISO-normen. 

Hoewel de ISO een raamwerk op hoog niveau biedt voor het managen van AI, biedt het geen kant-en-klare documenten of checklists voor implementatie. De implementatie van een ISO-standaard kan een lang proces zijn waarbij het moeilijk kan zijn om overzicht te houden over de voortgang. Maar als je niets doet, stel je jouw ​​bedrijf ook bloot aan vele risico's en aansprakelijkheden.

Als je na het lezen van dit artikel eens wilt praten over dit onderwerp, neem dan gerust contact met ons op.