Waarom is de AI Act in het leven geroepen?
AI wordt wereldwijd steeds belangrijker. Daarom klonk er vanuit de samenleving de roep om meer en betere regelgeving en controle. De EU lanceerde in 2024 de AI Act, die nu in stappen wordt geïmplementeerd met als eindpunt augustus 2026.
Deze Europese verordening is bedoeld om de ontwikkeling en het gebruik van mensgerichte en betrouwbare AI te stimuleren, met in het achterhoofd bevordering van de werking van de interne Europese markt. Centraal staat het beschermen van de grondrechten en veiligheid van burgers, door onveilige en onethische toepassingen van AI te voorkomen. Maar het gaat nog verder, de AI Act wil ook de democratie, de rechtsstaat en het milieu beschermen tegen mogelijk schadelijke invloeden van AI systemen. Last but not least wil men hiermee ook de ontwikkeling van innovatie ondersteunen.
Wat houdt deze AI Act in praktijk in voor organisaties?
Ze moeten helder zijn over hoe hun AI-systemen werken, welke data ze gebruiken en hoe deze systemen tot beslissingen en acties komen. Bovendien moeten ze risicoanalyses uitvoeren en AI-systemen testen om ervoor te zorgen dat ze voldoen aan de vereisten voor veiligheid en ethiek. Zodat er voldoende waarborgen zijn om de schadelijke gevolgen van AI-systemen tegen te gaan. Om dit te bereiken is er de noodzaak dat je als organisatie een AI-visie ontwikkelt, waarmee je richting en ambitie geeft aan AI in de organisatie. Doe je dat niet, dan kan dat leiden tot een angstige ‘nee-cultuur’, goed bedoelde hobbytrajecten van medewerkers of andere activiteiten die buiten het zicht van de directie worden gehouden. Denk bij zo’n AI-visie aan zaken als: wat is de mate van datagedrevenheid in de processen? In welke domeinen willen we AI inzetten? Wat voor type AI zetten we in, en wat niet? Gaan we inkopen of ook zelf ontwikkelen? Welk niveau van volwassenheid streven we na?
Bewustwording is dus cruciaal. Worden organisaties daarom verplicht te werken aan ‘AI-geletterdheid’?
Ja. Formeel verplicht de AI Act aanbieders en gebruiksverantwoordelijken om de AI-geletterdheid te bevorderen. Dat geldt al vanaf februari 2025; al zijn er nog geen keiharde sancties aan verbonden als je dat niet op orde hebt. In die zin kan je de AI Act vooral zien als een ethische gedragscode. Overigens hoeft niet iedereen in dezelfde mate AI-geletterd te zijn; wij maken in Grip op de AI Act onderscheid naar de verschillende rollen binnen een organisatie. Je stelt immers andere eisen aan leidinggevenden die over AI-toepassingen beslissen, dan aan ontwikkelaars of gebruikers van AI-toepassingen. Afhankelijk van hun rol, plus de kennis en ervaring van werknemers kan je hen gerichte training geven.
Heeft de AI Act een relatie met de Algemene Verordening Gegevensbescherming, beter bekend als de AVG?
Ze vullen elkaar in feite aan. Waar de AI Act zorg draagt voor kwalitatief goede AI-systemen, biedt de AVG het kader voor de verwerking van persoonsgegevens. Regel is dat als in een AI-systeem persoonsgegevens worden verwerkt, de AVG als de hoogste norm geldt. De AI Act moet dan worden gelezen als aanvullende norm.
Jullie waarschuwen uitgebreid voor de risico’s van het gebruik van AI.
Zeker. Kijk, vooruitgang binnen technologie heeft vaker een ontregelend karakter. Maar er zijn eigenschappen aan de recente opkomst van AI die dit op een unieke wijze versterken. Denk aan de globale reikwijdte van AI, en de combinatie van brede toegankelijkheid en complexiteit, die voor de meeste mensen nogal ondoorgrondelijk is. Plus de grote impact dankzij groeiende technische mogelijkheden en de afwezigheid van bewezen en geteste oplossingen. Organisaties moeten duidelijk voor ogen hebben wat de strategische rol van AI voor hen kan zijn. Daarbij is bijvoorbeeld datamanagement van groot belang: hoe ga je met data om, hoe zorg je dat ze betrouwbaar zijn, et cetera. Medewerkers zijn zich vaak niet bewust van de mogelijke risico’s van het werken met AI. Bijvoorbeeld dat AI-systemen soms onzin uitkramen of dat data ongezien in de buitenwereld terechtkomen.
Is niet het lastige dat je in het werken met AI risico’s hebt in alle soorten en maten?
Ja, daarom is een belangrijk risico-element in de AI Act, of eigenlijk de expliciete basis daarvan, een zogenaamde ‘piramide’ van risicocategorieën. Volgens deze categorisering zijn hele onethische toepassingen van AI verboden. Daar waar hoge risico’s te verwachten zijn, bestaan er grondige eisen aan compliance; zo verplicht de AI Act organisaties dat ze voor bepaalde hoogrisico-AI-systemen een Fundamental Rights Impact Assessment uitvoeren. En voor bepaalde situaties is dan weer een Data Protection Impact Assessment vereist. Voor beperkte risico’s is vooral het principe van transparantie belangrijk. Je kunt AI-risico’s overigens ook indelen aan de hand van wie het risico treft. En dan moet je niet alleen denken aan mensen of organisaties, maar bijvoorbeeld ook aan abstractere categorieën zoals het milieu c.q. ecologie.
Jullie eindigen met een hoofdstuk ‘Aan de slag’, met daarin onder andere een drielijnenmodel. Wat houdt dit in?
Om goed op AI te kunnen sturen, moet je eerst een heldere structuur opzetten. Hierbij zijn verschillende organen en rollen van belang. Om te beginnen is het raadzaam om in het bestuur een portefeuillehouder AI te hebben. En benoem een stuurgroep die primair de besluiten neemt rond de ontwikkeling en toepassing van AI in de organisatie. Organisaties kunnen een drielijnenmodel gebruiken om structuur aan te brengen in hun risicobeheersing. In het kort: de eerste lijn voert de primaire taken uit van de organisatie en is verantwoordelijk voor juist gebruik, afweging van risico’s en de beheersmaatregelen rond het gebruik van de AI-systemen. De tweede lijn is verantwoordelijk voor de AI-kaders binnen de organisatie en denkt kritisch mee bij de uitdagingen van de eerste lijn. De derde lijn tot slot is de onafhankelijke auditor die toetst of het programma werkt zoals het bedoeld is.
Wat willen jullie met dit boek bereiken?
Dit boek is voor iedereen die een verantwoordelijkheid draagt voor de implementatie van AI in de organisatie. Het is belangrijk dat zij de context van de AI Act snappen, hoe er naar rollen en risico’s wordt gekeken en wat de verplichtingen zijn. Daarmee kunnen zij de goede vragen stellen en de juiste acties ondernemen om de organisatie klaar te maken voor een goed gebruik van de AI. Waarvoor wij in dit boek de nodige handvatten bieden.