De AI Act: wat je moet weten én wat je moet doen

Artificial Intelligence is sinds 2023 definitief onmisbaar geworden in onze bedrijfsprocessen. Met de inwerkingtreding van de AI Act in de Europese Unie (naar verwachting begin 2024), breekt er een nieuwe fase aan. Een fase waarin vergaande aandacht voor privacy, security én ethiek wettelijke vereisten worden voor het gebruik van AI. Tijd dus om in de belangrijkste aspecten van deze regelgeving te duiken, te duiden wat daarvan de implicaties zijn voor jouw organisatie én te kijken hoe je zelf een effectief AI-beleid vormgeeft.

De belangrijkste aspecten van de AI Act

De AI Act is ontworpen om op gecontroleerde wijze de ontwikkeling en implementatie van AI-systemen in de EU-lidstaten te waarborgen. Het beleid kent een sterke nadruk op veiligheid, transparantie en fundamentele mensenrechten.  

De AI-act maakt een onderscheid tussen onaanvaardbaar risico, hoog risico, beperkt risico en laag/minimaal risico. De verordening vereist dat AI-toepassingen moeten voldoen aan vergaande transparantie, voorzien moet zijn van menselijk toezicht en dat er uitgebreide documentatie beschikbaar moet zijn. Alles om maar de ethiek van de besluitvorming te kunnen toetsen én waarborgen.

Voor AI-systemen die als 'hoog risico' worden beschouwd - zoals processen met invloed op kritieke infrastructuur, onderwijs, en belangrijke persoonlijke beslissingen (leningen, werkgelegenheid, enz.) - zijn de eisen nog veel stringenter. Deze eisen omvatten uitgebreide risicobeoordelingen, hogere normen voor transparantie en nóg verder gedetailleerde documentatie over de werking van de specifieke AI toepassing. Deze hoogrisico toepassingen worden vastgelegd in een Europese databank, om centraal toegankelijke informatie rondom deze systemen mogelijk te maken. Allemaal met het doel om menselijke controle te houden en zo autonome schadelijke praktijken te voorkomen. We zijn de toeslagenaffaire vast nog niet vergeten…

Wat betekent dat voor jouw organisatie?

Organisaties die AI gebruiken, moeten zich aanpassen aan deze nieuwe vereisten, door hun systemen te ontwerpen en beheren met maximale transparantie als doel. Over de besluitvormingsprocessen. Over de gebruikte gegevens. En over de bescherming van individuele rechten van gebruikers en/of klanten. 

Daarmee hand in hand, komt de verhoogde verantwoordelijkheid voor je organisatie om maatregelen te nemen om AI-systemen continu te controleren en afwijkingen of risico's te corrigeren. Om dat goed te kunnen doen, betekent dat waarschijnlijk dat je in gespecialiseerde middelen moet investeren. Denk aan aanvullende tools voor gegevensbescherming, software auditing of backup. Denk ook aan een investering in de kundigheid van je medewerkers op dit vlak. Dat kan zijn omdat je experts moet gaan aannemen of inhuren, of omdat je je bestaande team gaat opleiden op het gebied van AI, ethiek en compliance.

Bovendien schrijft de AI Act voor, dat je als organisatie verantwoordelijk bent voor de acties en beslissingen die door je AI-processen worden genomen. Dat betekent dat je moet controleren én aantonen hoe deze systemen werken, om eventuele afwijkingen of risico's te identificeren, en om corrigerende maatregelen te nemen waar nodig. Dat gaat dus verder dan de technische werking alleen: je moet ook transparant zijn over op welke beslissingen AI effect heeft.

Wacht even: en de GDPR / AVG dan?

Terecht moment om daar even bij stil te staan. Want is het niet zo dat je met AVG compliant handelen al voldoende aandacht besteedt aan het beschermen van persoonsgegevens, of die gegevens nou door AI-toepassingen heenlopen of niet? In het kort: neen. De AI-act gaat over meer dan privacy alleen.

Minder kort: de AI Act werkt complementair aan de AVG / GDPR, door specifieke eisen te stellen aan de AI-toepassingen die persoonsgegevens verwerken. Dat betekent dat je je huidige gegevensbeschermingsbeleid moet herzien, om te kunnen voldoen aan beide regelgevende kaders. Principes als gegevensminimalisatie, doelbinding en transparantie, die in de GDPR zijn vastgesteld, moet je dus blijven handhaven, terwijl ze ook moet voldoen aan de risicobeoordelingen en documentatie-eisen die door de AI Act worden geïntroduceerd.

In de praktijk versterkt de naleving van beide wetten elkaar, waarbij kort samengevat de GDPR de bescherming van persoonlijke gegevens verzekert en de AI Act zorgt voor de veilige, transparante en verantwoordelijke inzet van AI.

Zelf een doeltreffend AI-beleid schrijven

Het hart van AI Act compliant handelen, ligt in het formuleren van een gedegen AI-beleid. Om tot een compliant beleid te komen, doorloop je voor jouw organisatie de volgende stappen:

1. Begrijp de AI Act: Flauw misschien, maar voordat je een beleid schrijft, is het vooral essentieel om een diepgaand begrip te hebben van wat de AI Act vereist. Dit omvat de verschillende categorieën van AI-systemen, de specifieke eisen voor elk van die categorieën, en de reikwijdte van aansprakelijkheid en transparantie. Je raadpleegt daarvoor de informatie rechtstreeks bij de bron. Let op: het is een complex verhaal. De juiste expert kan je helpen om de eisen in perspectief te plaatsen. 

2. Bepalen van de risicocategorie:  De AI-act maakt onderscheid tussen onaanvaardbaar risico, hoog risico , beperkt risico en  laag/minimaal risico. Bepaal voor je AI-toepassingen in welke categorie deze zich bevindt.

3. Risicobeoordeling: Voer een uitgebreide risicobeoordeling uit van je bestaande (en toekomstige!) AI-systemen om te identificeren waar je mogelijk de AI Act (nog) niet naleeft én om potentiële risico's voor gegevensprivacy en veiligheid te spotten.

4. Stel een multidisciplinair team samen: Vorm een team van experts uit verschillende hoeken van je organisatie, zoals juridische medewerkers, IT’ers en Privacy Officers. Hoe breder, hoe sneller je een divers perspectief ontwikkelt, waarmee je zinvol richting geeft aan je beleid.

5. Formuleer je beleid: Begin met het schrijven van het beleid, waarbij je duidelijke richtlijnen geeft over elk aspect van het gebruik van AI binnen je organisatie. Denk daarbij aan je procedures voor accountability, gegevensbeheer, transparantie, monitoring, en herstelmaatregelen in geval van fouten of beveiligingsincidenten.

6. Integreer ethiek en heb oog voor mensenrechten: Zorg ervoor dat je beleid een sterke nadruk legt op ethisch gebruik van AI en de bescherming van fundamentele mensenrechten. Dit betekent het opnemen van expliciete maatregelen om discriminatie te voorkomen, eerlijkheid te bevorderen, en persoonlijke gegevens te beschermen.

7. Training en bewustwording: Ontwikkel trainingsprogramma's om ervoor te zorgen dat alle relevante medewerkers de beleidsregels begrijpen, het belang ervan inzien, en weten hoe ze de regels moeten toepassen in hun dagelijkse werkzaamheden. Op die manier kom je los van een papieren exercitie, waarbij je alleen een beleid verspreidt en maar hoopt dat je team ernaar handelt..

8. Voortdurende evaluatie en herziening: Richt mechanismen in voor regelmatige controle en herziening van je AI-beleid. Zo houd je ruimte om aan te passen aan nieuwe technologische ontwikkelingen, wettelijke veranderingen, of interne bedrijfsveranderingen.

Door deze stappen te volgen, zorg je voor een veerkrachtig én compliant AI-beleid. Je borgt niet alleen de integriteit van je bedrijfsprocessen, maar laat ook je toewijding zien om een verantwoordelijk en ethisch gebruik van AI te realiseren in jouw organisatie. Want die ethiek, dat is terecht een steeds heter wordend hangijzer in de maatschappij. 

Eenmaal goed geregeld, blijf jij vervolgens met je organisatie profiteren van de innovatieve slagkracht die AI je te bieden heeft. En dat helpt je uiteindelijk natuurlijk om het voor je klanten steeds weer beter te (blijven) doen.