Overslaan en naar de inhoud gaan
Nieuws
Artikel

Beleidsplannen AI schieten veelal tekort

Met de opkomst van generatieve AI toepassingen als ChatGPT, Gemini, Copilot, Claude, Midjourney etc etc hebben diverse organisaties inmiddels een AI beleidsplan opgesteld met daarin richtlijnen voor gebruik. Helaas beperken deze beleidsplannen zich in vrijwel alle gevallen tot de generatieve AI-toepassingen. Dat terwijl er veel meer typen toepassingen zijn die vaak ook al in gebruik zijn. Mede gegeven de eisen vanuit de AI Act heeft een beleidsplan AI dan ook een bredere scope nodig. 

Categorieën AI

Om inzicht te krijgen in de verschillende typen AI is de AI Act op zich een goed uitgangspunt. Binnen deze Europese wet, die een risico-gebaseerde indeling hanteert, wordt een onderscheid gemaakt naar verboden AI-toepassingen, AI toepassingen met een hoog risico, generieke AI-modellen en AI toepassingen met een transparantierisico (laag risico). 

Verboden AI-systemen zijn systemen die worden gebruikt in of voor (bron: autoriteitpersoonsgegevens.nl):

  • 'social scoring' op basis van van bepaald sociaal gedrag of persoonlijke kenmerken; 
  • 'predictive policing' om strafbare feiten bij mensen te beoordelen of te voorspellen;
  • het creëren of (via scraping) uitbreiden van databanken voor gezichtsherkenning;
  • manipuleren of misleiden van mensen; 
  • emotieherkenning in de werkomgeving en het onderwijs; 
  • biometrische identificatie op afstand voor rechtshandhaving. Hier zijn wel enkele uitzonderingen van toepassing; 
  • biometrische categorisering, waarbij mensen op basis van biometrische gegevens in bepaalde gevoelige categorieën worden ingedeeld.
    NB Voor een volledige opsomming en duidelijke omschrijving van bijvoorbeeld de uitzonderingen: zie artikel 5 van de AI act. 

Bij hoog risico-systemen moet je denken aan systemen die worden gebruikt in of voor (bron is wederom: autoriteitpersoonsgegevens.nl):

  • onderwijs of beroepsopleiding, waarbij het systeem de toegang tot het onderwijs en de loop van iemands beroepsleven kan bepalen. Bijvoorbeeld het beoordelen van examens;
  • werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid, onder andere vanwege de aanzienlijke risico’s voor toekomstige carrièrekansen en het levensonderhoud van mensen. Bijvoorbeeld een AI-systeem dat automatisch cv’s selecteert voor de volgende ronde in een wervingsprocedure; 
  • essentiële particuliere en openbare diensten. Zulke systemen kunnen grote effecten hebben op bijvoorbeeld het levensonderhoud van mensen. Bijvoorbeeld software die bepaalt wanneer iemand wel of geen uitkering of lening krijgt; 
  • rechtshandhaving, omdat dit afbreuk kan doen aan de grondrechten van mensen. Bijvoorbeeld een AI-systeem dat wordt gebruikt voor de beoordeling van de betrouwbaarheid van bewijsmateriaal;
  • migratie, asiel en grenzen. Bijvoorbeeld geautomatiseerde behandeling van asielaanvragen;
  • rechtsbedeling en democratische processen, omdat het gebruik hiervan risico’s kent voor de democratie en de rechtsstaat. Bijvoorbeeld een AI-systeem dat ondersteunt bij rechterlijke uitspraken.

Heb je ChatGPT, Gemini en andere generatieve AI-toepassingen al kunnen koppelen aan genoemde voorbeelden? Niet hè? dat klopt. De generatieve toepassingen vallen in principe namelijk onder de toepassingen met een transparantie-risico. Daarmee worden deze systemen gezien als systemen met een laag risico Voor deze categorie toepassingen stelt de AI-act dat altijd duidelijk moet zijn dat de met deze toepassingen gegenereerde content als zodanig herkenbaar moet zijn. Deze verplichting geldt overigens pas vanaf einde 2026.

De achterliggende Large Language Models (LLM’s) zoals die van OpenAI vallen onder de categorie generieke modellen en zijn in dit kader minder relevant. Deze categorie toepassingen stelt eisen aan de aanbieder maar niet aan de organisaties die gebruik maken van de laag risico systemen die op deze modellen gebaseerd zijn. 

NB  Een generatieve toepassingen als ChatGPT wordt een hoog risico systeem op het moment dat er activiteiten mee worden ontplooid met een hoog risicio. Denk hierbij bijvoorbeeld aan een docent die ChatGPT gebruikt om het werk van leerlingen/studenten te beoordelen.

Impact voor een beleidsplan AI

In een beleidsplan AI zul je gegeven voorgaande in ieder geval iets moeten opnemen in het verlengde van de AI Act. 

Je zou je dan natuurlijk kunnen beperken tot het statement dat je je als organisatie conformeert aan alle geldende wet- en regelgeving. Maar dat is al snel net zo’n wassen neus als dat iedereen in zijn beleidsplan IBP zet dat hij zich conformeert aan de AVG. Iemand die de details niet kent, beseft niet wat de impact van een dergelijk statement is. 

Het is dan ook goed om zaken te expliciteren en in je beleidsplan aan te geven welke AI toepassingen niet mogen worden gebruikt en welke wel en onder welke voorwaarden. Denk bij dit laatste bijvoorbeeld aan een bepaling dat voor alle hoog risico AI systemen die men in gebruik wil nemen eerst een Fundamental Rights Impact Assessment (FRIA) moet worden uitgevoerd (wettelijk voorgeschreven). En dat wanneer in een dergelijk systeem persoonsgegevens verwerkt gaan worden aanvullend een Data Protection Impact Assessment (DPIA) uitgevoerd moet worden.

Maar dan ben je er nog niet. De AI Act schrijft bijvoorbeeld ook voor dat je - wanneer AI wordt gebruikt door medewerkers in je organisatie - als gebruikersverantwoordelijke passende aandacht moet besteden aan de AI-geletterdheid van de medewerkers. Een bepaling dat medewerkers voorafgaand aan het in gebruik nemen van een AI toepassing eerst geschoold zullen in het gebruik ervan, mag zodoende ook niet ontbreken in een beleidsplan AI.

Opzet voor een compleet beleidsplan

Een compleet beleidsplan AI omvat mijns inziens dan ook aanzienlijk meer dan alleen richtlijnen met betrekking tot het gebruik van generatieve AI, zijnde slechts één type AI-toepassing. In een beleidsplan dient ook aandacht te worden besteed aan eventuele andere typen toepassingen, aan de wettelijke kaders, aan AI geletterdheid en aan de wijze waarop toezicht wordt gehouden om naleving van het beleid en de eventuele noodzaak om het beleid aan te passen.

Maar ook aan de te respecteren normen en waarden op het gebied van pedagogiek, didactiek, sociale veiligheid en ethiek en overige randvoorwaarden. Zo zou je als uitgangspunt kunnen nemen dat iedere AI toepassing die in gebruik wordt genomen getoetst moet zijn aan “THE ASSESSMENT LIST FOR TRUSTWORTHY ARTIFICIAL INTELLIGENCE (ALTAI), een normenkader dat is ontwikkeld door de high level expert group AI welke is ingesteld door de Europese Commissie.

Een volledig beleidsplan ICT kent mijns inziens dan ook minimaal de volgende onderdelen:

  1. Kaders in de vorm van: 
    1. toepasselijke wet- en regelgeving, 
    2. toepasselijke interne normen en waarden op het gebied van pedagogiek, didactiek, sociale veiligheid en ethiek
  2. Toepassingsmogelijkheden en potentiële voordelen (kansen) voor de verschillende gebruikers 
  3. Potentiële bedreigingen (risico’s) voor de verschillende gebruikers 
  4. Richtlijnen voor gebruik door de verschillende gebruikers 
  5. Impactanalyse van te voeren beleid in termen van: 
    1. te ontwikkelen kennis bij medewerkers en leerlingen (digitale geletterdheid); 
    2. eventuele door te voeren wijzigingen ten aanzien van de huidige inzet van AI in het primaire proces en de bedrijfsvoering; 
    3. positionering verantwoordelijkheden voor uitvoering, handhaving en evaluatie van beleid. 

Noodzaak van beleid

Ik kan me voorstellen dat voorgaande de vraag oproept of dit nu allemaal nodig is. Wordt je niet als "remmer in vaste dienst" gezien als je al dit soort regels wilt opstellen? Immers, iedereen roept dat AI de belangrijkste ontwikkeling is sinds de uitvinding van het vuur. Dus moeten we niet vooral op de rijdende trein springen om te voorkomen dat we later concluderen dat we deze gemist hebben?

Ik denk zeker dat we alle mogelijkheden moeten aangrijpen om de kansen die AI biedt te verzilveren. Bijvoorbeeld om op die manier het hoofd te bieden aan de heersende personeelstekorten. Maar gegeven de risico's die aan deze technologie kleven ben ik ervan overtuigd dat we dit ook met beleid moeten doen. De Europese Gemeenschap lijkt eindelijk een keer op tijd te zijn met regelgeving. Laten we daar dan ook op de juiste manier gebruik van maken.

Dossier(s):

Meer weten?

Heb je interesse in mijn artikel Beleidsplannen AI schieten veelal tekort of gerelateerde thema’s? Ik denk graag met je mee. Stuur mij een bericht!

1
Vestiging Utrecht
Orteliuslaan 1000
3528 BD Utrecht
Vestiging Maastricht
Boschstraat 21
6211 AS Maastricht
Alle contactgegevens

Ontvang gratis inspiratie

Meld je aan voor de nieuwsbrief

Door je aan te melden ga je akkoord met onze privacyverklaring.

Klanttevredenheid

d-Media laat het web werken voor Rijnconsult