Deniz Kilic – Business Consultant
Stel je voor: je bent IT-manager bij een middelgroot bedrijf en je krijgt een telefoontje van een collega uit de zorgafdeling. Ze zijn enthousiast over een nieuwe AI-tool die administratieve taken kan verlichten en de zorgverlening kan verbeteren. Maar dan komt de vraag: “Valt deze tool onder de nieuwe AI-verordening van de EU?”
Het gebruik van AI-systemen in ons dagelijkse (werk)leven neemt snel toe. Generatieve AI-tools zoals ChatGPT zijn bijna onmisbaar geworden. In de zorg bijvoorbeeld, waar men steeds vaker AI-toepassingen inzet voor betere zorgverlening en het ondersteunen van administratieve lasten van zorgmedewerkers.
De snelle ontwikkelingen met AI gaan hand in hand met nieuwe wet- en regelgeving. Sinds 1 augustus dit jaar is wellicht ook voor uw organisatie de AI-verordening van de Europese Unie van kracht. Deze verordening is uniek omdat het de eerste uitgebreide wet over AI ter wereld is. Wat is het doel van deze wet? Het bevat regels voor het verantwoord ontwikkelen en gebruiken van AI door alle type organisaties: van eenmanszaak tot aan grote bedrijven en van stichtingen tot aan overheden.
De wet stelt verschillende eisen aan aanbieders en gebruikers van artificiële intelligentie (AI). Deze eisen zullen de komende jaren gefaseerd gelden voor organisaties die AI-systemen ontwikkelen of gebruiken in hun processen. Zo legt de AI Act strenge verplichtingen op voor AI-systemen met een hoog risico, die vanaf februari 2025 van kracht worden. Deze systemen moeten voldoen aan uitgebreide eisen op het gebied van:
Dit omvat onder andere het uitvoeren van risicobeoordelingen, het waarborgen van de privacy en beveiliging van gegevens, en het implementeren van maatregelen om discriminatie, vooroordelen en stereotypering te voorkomen. Organisaties moeten ook zorgen voor gedegen documentatie en monitoring van deze systemen om compliance aan te tonen.
Vraagt u zich af of de AI-verordening van toepassing is binnen uw organisatie? Gebruikt uw organisatie überhaupt AI-systemen, en zo ja, wat zijn de risico’s? Er is nog voldoende tijd om uw organisatie voor te bereiden op deze nieuwe AI-wet, maar stel het niet langer uit! Hoe zorg je ervoor dat de organisatie straks voldoet aan de eisen van de AI-verordening? Hieronder geven we een aantal aandachtspunten die hierbij kunnen helpen.
Wanneer kan een systeem, zoals software of een apparaat, beschouwd worden als een AI-systeem?
De AI Act definieert AI als een autonoom systeem dat op basis van data-input een output genereert. Deze output kan een besluit, aanbeveling, advies, tekst of afbeelding zijn. De gegenereerde output wordt vervolgens ingezet om een fysieke of virtuele omgeving te beïnvloeden. Voorbeelden van AI-systemen zijn:
De definitie van een AI-systeem volgens de AI Act is techniekneutraal en abstract beschreven. Dit kan het soms moeilijk maken om te bepalen of een systeem, zoals software, AI bevat. Het vereist een zorgvuldige analyse om te bepalen of een systeem voldoet aan de criteria van de AI Act.
Inventariseer welke AI-systemen binnen de organisatie worden gebruikt. Denk hierbij aan tools zoals ChatGPT van OpenAI of Copilot van Microsoft, maar ook aan de software die uw bedrijf ontwikkelt. Maakt een AI-systeem daar een onderdeel van uit of gaat dat in de nabije toekomst gebeuren?
Met de inventarisatie in de hand is het goed om te evalueren onder welke risicoclassificatie de AI-systemen vallen volgens de AI-verordening. De AI-verordening identificeert drie risicocategorieën:
Breng daarna ook de privacy- en securityrisico’s van AI-systemen in kaart. Zo handelt de organisatie altijd op basis van risico en zorgt u ervoor dat u compliant blijft met de AI-verordening.
Vervolgens kan een plan worden opgesteld om de integriteit en vertrouwelijkheid van informatie te waarborgen en risico’s te minimaliseren. Een manier om dit gestructureerd te doen en continu te blijven verbeteren, is door een norm te implementeren, zoals ISO/IEC 27001 en ISO 27701 voor informatiebeveiliging en privacy management.
Wie zijn de gebruikers van de AI-systemen binnen uw organisatie? Welke medewerkers betreft het? Vanaf februari 2025 moeten organisaties die AI-systemen gebruiken ervoor zorgen dat hun medewerkers voldoende kennis hebben over AI. Het kennisniveau moet passen bij de context waarin de AI-systemen worden gebruikt en de impact die deze systemen kunnen hebben op personen of groepen.
De AI-kennisplicht houdt bijvoorbeeld in dat een HR-medewerker moet begrijpen dat een AI-systeem vooroordelen kan bevatten of essentiële informatie kan negeren, waardoor een sollicitant onterecht wel of niet wordt aanbevolen. Kennis hebben van AI vraagt om een risicogestuurde benadering, kennis van ethiek en publieke waarden binnen de samenleving.
Met behulp van een managementsysteem draag je zorg voor regelmatige bewustwording van medewerkers door het verzorgen van trainingen en het aanbieden van richtlijnen.
Het implementeren van de AI-verordening zal een aanzienlijke impact hebben op de organisatie bij gebruik van AI-systemen in bedrijfsprocessen of dienstverlening. Een managementsysteem biedt dan meer houvast voor de voorbereiding en naleving van de AI-verordening.
BMGRIP helpt u graag. Als u vragen heeft over het implementeren van deze processen en andere zaken rondom de AI-verordening, staan de professionals van BMGRIP altijd voor u klaar! Neem contact met ons op.
