Regels, governance en compliance rondom data is niet nieuw. Nu het stof een beetje is neergedaald rond de introductie van de AVG, is er iets nieuws in opkomst dat net zo belangrijk is. De Europese Commissie heeft in april 2021 het concept van haar Artificial Intelligence Act (EU AIA) aangekondigd, in het kader van de strategie A Europe Fit for the Digital Age. Doel is om ‘Europa de wereldwijde hub te maken voor betrouwbare kunstmatige intelligentie (AI)’, en in samenwerking met lidstaten het allereerste juridische AI-framework te ontwikkelen.
Op papier ziet het er fantastisch uit; een soort grondwet voor AI, een wereld waarin AI op een verantwoorde en veilige manier wordt gebruikt en gevoed – en een vertrouwde gebruikerservaring biedt. In de praktijk vergt het echter veel aandacht, toewijding en inspanning van data-experts. We moeten over veel zaken nadenken en teams, en systemen, moeten goed voorbereid zijn om de regels na te leven en hoge boetes te vermijden.
Wat betekent het?
Voordat ik inga op de impact van de voorgestelde wetgeving, is het nuttig om te begrijpen wat de Act verstaat onder AI. In de conceptversie van de Act wordt een vrij brede definitie gehanteerd. Hij omvat machine learning-benaderingen, op logica en kennis gebaseerde benaderingen, expertsystemen, statistische benaderingen, Bayesiaanse schattingen, andere statistische methodes en zoek- en optimalisatiemethodes. Het ligt dan voor de hand dat alle modellering die door augmented analytics en data science wordt uitgevoerd, ook onder de Act vallen.
Net als bij de AVG maakt het daarnaast niet uit of een organisatie buiten de EU-grenzen valt. Als er een link is met de EU – bijvoorbeeld als je klanten, leveranciers en personeel in de EU hebt of zelfs producten voor de EU produceert – dan moet je eraan voldoen. Bij het niet naleven van de wet krijgen organisaties te maken met financiële sancties. Als we goed kijken naar het concept, dan wordt daar gesproken over boetes tot maar liefst 30 miljoen euro of 6 procent van de wereldwijde jaaromzet. Voor de organisaties die de wet willen omzeilen: doe het niet. De Act zegt duidelijk dat, als u de regelgevende instanties onjuiste, onvolledige of misleidende informatie geeft, er boetes van 10 miljoen euro of 2 procent van de omzet worden opgelegd.
Waar en wanneer gaat het in?
Het lijkt erop dat we nog wat tijd hebben. Maar als we iets van de AVG hebben geleerd, dan is het dat er niet genoeg tijd is om er echt goed bekend mee te raken. Officieel is de Act toegewezen aan de commissie van het Europees Parlement en vervolgens wordt het gereviewd door de Raad van Ministers. Pas nadat de wet is aangenomen, gaat de tweejarige implementatieperiode in.
Het is belangrijk om te weten dat de voorgestelde wet niet wordt ingevoerd om kritiek te geven op AI. Het moet Europa juist positioneren als een AI centre of excellence. En dat op een moment dat de wereld begint in te zien dat AI potentieel biedt voor diverse markten, zoals gezondheid, transport, energie, landbouw, toerisme en zelfs cyberbeveiliging. De wet zal zich daarom richten op zogenaamde risicovolle AI-systemen.
De systemen waarop dit waarschijnlijk onmiddellijk effect zal hebben, zijn onderdeel van een veiligheidssysteem, kritieke infrastructuur, onderwijs en opleiding, werknemersprogramma’s, financiële diensten, wetshandhaving, grenscontrole en justitie. Zij vallen ook onder de harmonisatiewetgeving van de EU voor de interne markt.
Wat kan ik nu doen?
Het beste zou zijn als je de manier waarop je over AI denkt bijstelt. Als je organisatie op dit moment bezig is met een digitale transformatie of automatisering, dan is de kans groot dat je al gebruikmaakt van AI. Een goed beginpunt is het opstellen van een AI risk mitigation-plan en ervoor zorgen dat executives betrokken zijn.
AI is overal aanwezig en hoewel je directieteam waarschijnlijk niet denkt dat ze Skynet (uit de Terminator-reeks) zijn en robots bouwen om de wereld over te nemen, moeten ze weten wat de organisatie doet met AI in relatie tot data- en automatiseringsprocessen. De regelgevende instanties zullen geen medeleven betuigen als je verklaart: “Ik was niet op de hoogte’.
Als je de manier waarop je over AI denkt bijstelt, zal dat ook helpen om te ontdekken waar je organisatie AI gebruikt. Doorloop al de nieuwe, oude en geplande systemen en stop niet bij wat je kunt zien. Vraag leveranciers wat zij gebruiken, kijk naar je clouddiensten om te zien wat zij namens jouw organisatie aan AI inzetten en documenteer dit allemaal. Alleen als je dit weet, kun je meetbare beslissingen nemen over hoe dit aansluit op de EU-regelgeving en classificaties.
Systemen die nauwkeuriger onder de loep zullen worden genomen, zijn systemen die de volgende dingen bevatten: machine learning voor patroonherkenning, edge anomaly detection en root cause analysis, dynamische prijsstelling, klantbetrokkenheid, digital twins om de opbrengst te verbeteren, productietoezicht en op conditie gebaseerd onderhoud, en fraude- en risicobeheer.
Het kan helpen een zogenaamd decision observer team op te zetten, dat bestaat uit verschillende belanghebbenden – niet alleen datawetenschappers – en dat deel uitmaakt van een interne stuurgroep Artificial Intelligence Act. Deze waarnemers kunnen verschillende taken krijgen in verschillende bedrijfsgebieden en vervolgens hun bevindingen samenbrengen om AI-algoritmerisico’s als groep te beheren.
Doe het nu
Ik kan niet genoeg benadrukken hoe belangrijk het is om nu met dit proces bezig te zijn. Een belangrijk verschil tussen persoonlijk identificeerbare informatie (waar de AVG-regelgeving zich op richt) en AI, is dat AI niet altijd zichtbaar is. Het is vaak zo diep verweven in een systeem dat zakelijke gebruikers zich er niet eens bewust van zijn – ze zijn erg blij met de visuele analyse die de systemen hen maandelijks bieden of met het feit dat ze weten dat hun klanten liever water uit een fles drinken dan zoete frisdrank.
Kortom, zorg dat je je bewust bent van de wet en dat je geïnformeerd blijft. De EU heeft een samengestelde lijst gemaakt voor updates over de AIA. En als het eenmaal begint te lopen, zal het snel gaan…
