De AI Act komt eraan: 5 stappen om je organisatie voor te bereiden

De AI Act komt eraan: 5 stappen om je organisatie voor te bereiden

Redactie WINMAG Pro

De AI Act is een Europese verordening die AI-systemen reguleert op basis van de risico’s die zij met zich meebrengen. Bepaalde systemen met een onaanvaardbaar risico zullen worden verboden omdat deze bijvoorbeeld te intrusief zijn voor fundamentele rechten van individuen. Andere systemen vallen in de ‘hoog-risico’ categorie en moeten op vlak van ontwikkeling en gebruik voldoen aan bepaalde voorwaarden. Nog andere systemen brengen dan weer een transparantie risico waardoor het systeem bepaalde informatie moet bevatten. Indien het AI-systeem geen risico's met zich meebrengt, zijn er ook geen wettelijke verplichtingen.

Aan de hand van de volgende vijf stappen legt Michiel Van Lerbeirghe, Legal Counsel bij ML6 uit hoe een organisatie zich kan voorbereiden op de inwerkingtreding van de AI Act.

Maak een overzicht van de AI systemen

Een nuttige eerste stap is het in kaart brengen van alle AI-systemen die binnen de organisatie worden gebruikt, en van de systemen die de organisatie wil gebruiken of laten ontwikkelen. Het overzicht geeft de context weer en beschrijft bij voorkeur ook het doel, de motivatie, de mogelijkheden, de voordelen en het doelpubliek van het systeem weer.

Daarnaast laat het overzicht ook toe om alle systemen meteen ook te kwalificeren in het licht van de AI Act. Als organisatie krijg je vanuit die optiek bijvoorbeeld meteen zicht op het feit of er al dan niet high risk systemen zijn binnen de organisatie, met alle bijhorende wettelijke verplichtingen.

AI-systemen die onder high risk vallen zijn bijvoorbeeld enerzijds AI-systemen verwerkt in fysieke producten en die dienen als veiligheidscomponent (bijvoorbeeld bij medische apparatuur of auto’s), en anderzijds AI-systemen in specifieke industrieën zoals HR, onderwijs, migratie, rechtshandhaving, justitie en kritieke digitale infrastructuren.

Bij het opstellen van het overzicht is het ook van belang om de hoedanigheid van de organisatie te bepalen (ontwikkelaar, of slechts een gebruiker van het systeem), aangezien afhankelijk van de hoedanigheid andere regels van toepassing zullen zijn.

Breng de risico’s in kaart

De volgende stap is het in kaart van de risico’s, en dit vanuit verschillende dimensies zoals privacy, transparantie, niet-discriminatie, databeheer, menselijk toezicht, nauwkeurigheid of cybersecurity. Voor het in kaart brengen van deze risico’s bestaan reeds sinds enkele jaren verschillende frameworks met bijhorende vragenlijsten (zoals bijvoorbeeld ‘the assessment list for trustworthy artificial intelligence’).

Slechts enkele voorbeelden van de vele vragen zijn:

  • Zijn er procedures om te voorkomen dat eindgebruikers te veel vertrouwen op het AI-systeem?
  • Zou het AI-systeem verwarring kunnen veroorzaken bij sommige of alle eindgebruikers of belanghebbende over of ze in interactie zijn met een mens of AI-systeem?
  • Hoe kwetsbaar is het AI-systeem voor cyberaanvallen?
  • Is jullie AI-systeem getraind of ontwikkeld door gebruik te maken van persoonsgegevens of door persoonsgegevens te verwerken (inclusief bijzondere categorieën van persoonsgegevens)?
  • Hebben jullie maatregelen genomen om continu de kwaliteit van de input gegevens naar het AI-systeem te beoordelen?
  • Hebben jullie diversiteit en representativiteit van de eindgebruikers en/of belanghebbenden in de data overwogen?

Stel een plan op om de geïdentificeerde risico’s te beperken

Als de risico’s zijn geïdentificeerd en geprioriteerd, kunnen maatregelen worden voorgesteld en getroffen om risico’s te beperken.

Denk daarbij aan een non-discriminatiebeleid om ervoor te zorgen dat AI-systemen geen beslissingen maken op basis van ras, geslacht, leeftijd of etniciteit. Maar denk ook aan richtlijnen om de privacy van individuen te waarborgen bij het verzamelen, verwerken en gebruiken van gegevens. Daarnaast helpt het implementeren van een monitoringstool om de AI-systemen doorlopend te controleren. Zo kun je tijdig bijsturen indien nodig.

Bepaal een intern beleid over verantwoord gebruik of verantwoorde ontwikkeling

Het is aangeraden om een intern beleid op te stellen met regels om de verantwoorde ontwikkeling en het gebruik van AI binnen de organisatie te bepalen (in een AI policy bijvoorbeeld).

In een dergelijk document kan ook de aanpak worden beschreven voor de naleving van andere relevante wetgeving (bijvoorbeeld met betrekking tot intellectuele eigendomsrechten van derden, specifieke niet-discriminatie wetgeving, persoonlijkheidsrechten van derden (zoals het recht op naam of stem) of de GDPR).

Werk samen om de AI Act in je organisatie te integreren

Vervolgens moet ook worden samengewerkt om de naleving van de regels op te volgen. Stel bijvoorbeeld een multidisciplinair team samen met (al dan niet externe) experts die periodiek samenkomen om nieuwe risico’s te bespreken of om na te gaan of reeds geïdentificeerde risico’s ook daadwerkelijk worden beperkt.

Verder kan het ook aangeraden worden om trainingen te geven aan werknemers over verantwoord gebruik van AI en hen op de hoogte te brengen van risico’s.

Het is begrijpelijk dat de AI Act vragen oproept binnen jouw organisatie. Daarom is het belangrijk dat je nu al stappen ze om voor te bereiden op de wetgeving. Door in ieder geval alvast te beginnen met het in kaart brengen van de AI-systemen die je gebruikt, kun je vaststellen onder welke risicocategorie je AI-systemen vallen. Hoe eerder deze inventarisatie wordt gemaakt, des te sneller kun je stappen zetten om aan de wetgeving te voldoen.

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie