De overeenstemming binnen het Europees Parlement over regels om risico’s rondom kunstmatige intelligentie (AI) te beheersen is volgens Mona de Boer een belangrijke stap in de richting van verantwoord gebruik van AI. De expert van PwC ziet nog wel enkele valkuilen op de weg voor ons.
De goedkeuring van ’s werelds eerste AI-regelgeving, de EU Artificial Intelligence Act (AI Act) is een stap dichterbij gekomen. Het Europees Parlement heeft overeenstemming bereikt over wettelijke regels in wording om AI-risico’s te beheersen en het gebruik van AI te bevorderen op een manier die in overeenstemming is met de waarden van de EU, waaronder menselijk toezicht, privacy en non-discriminatie.
Gebouwd op de fundamenten van consumentenbescherming en productintegriteit, classificeert de AI Act toepassingen naar risicogehalte. Organisaties met AI-systemen met een hoog risico moeten voor deze toepassingen voldoen aan een reeks ‘digitale veiligheidseisen’ en dit aantoonbaar (blijven) maken.
AI Act beoogt innovatie zonder scherven
Nadat de ontwikkeling van technologische toepassingen op schaal lange tijd vooral in de ‘move fast and break things’-versnelling stond, geeft een van de grootste economieën ter wereld met de aankomende regels het signaal af geen scherven meer te accepteren. Zonder daarbij overigens de innovatiekracht van organisaties in de weg te willen staan.
Wat gaan wij in het dagelijks leven merken van deze naderende regelgeving? Dat zal voorlopig nog even een onbeantwoorde vraag blijven. Want hoewel het signaal van de EU naar de markt luid en duidelijk is, is de uitwerking van de AI Act in de gevolgen voor het bedrijfsleven en overheden dat op dit moment nog allerminst.
Belangrijkste valkuilen bij de implementatie
Mijn ‘two cents’ met betrekking tot de belangrijkste valkuilen in het kader van de implementatie van de AI Act:
- Organisaties moeten vermijden dat ze de risico’s van hun bedrijfsvoering gaan beheersen in plaats van de risico’s die voortvloeien uit hun bedrijfsvoering. Het eerste bekijkt risico’s namelijk van binnenuit de organisatie, het laatste van buitenaf. Ze leiden niet per definitie tot dezelfde risico-inventarisatie. Van buitenaf is hoe de AI Act ‘digitale veiligheid’ bedoelt.
- Organisaties moeten zich niet blindstaren op het beheersen van de risico’s die ze kennen. Ongewenste effecten van AI op de samenleving zijn namelijk over het algemeen het gevolg van de risico’s die van tevoren niet voorzien waren. De zeven domeinen van ‘digitale veiligheidseisen’ in de AI Act zouden zomaar te veel kunnen uitnodigen tot administratieve naleving daarvan, met als gevolg een vals gevoel van veiligheid.
- ‘Harde maatregelen’ om digitale veiligheid te waarborgen, zoals technische checks en balances in het ontwikkelproces van AI-toepassingen, zijn alleen effectief als ze een ‘zachte voedingsbodem’ hebben in de organisatiecultuur. Dat betekent dat strategische prioriteiten op digitale veiligheid niet hand in hand kunnen gaan met alleen commerciële, financiële KPI’s op de werkvloer. Wie strategisch A zegt, moet operationeel B zeggen.
Ondanks de vele onbeantwoorde vragen rondom de implementatie van de AI Act zullen organisaties al op korte termijn actie moeten gaan nemen. Zonder verdere vertraging treedt de AI Act naar verwachting in 2024 in werking.
Bron: PWC | Auteur: Mona de Boer
