Nieuwe koers kunstmatige intelligentie

De laatste jaren investeren grote (technologie)bedrijven veel in nieuwe technologie ten behoeve van kunstmatige intelligentie. Voorbeelden hiervan zijn onder andere de toepassing voor de ontwikkeling van nieuwe medicijnen en optimalisaties in de witwasbestrijding door banken. Ook op kleinere schaal vinden dit soort toepassingen steeds vaker een weg in organisaties. Zo hebben gemeenten en financiële instellingen al verschillende vormen van kunstmatige intelligentie toegepast. Bijvoorbeeld door algoritmes bij het berekenen van gepersonaliseerde premies, uitkeringen en het signaleren van fraude.

Grip op technologie neemt af

Het zelflerende karakter van kunstmatige intelligentie leidt ertoe dat (zelfstandige) digitale besluitvorming uitdagend kan zijn voor de mens om te volgen, te interpreteren en uit te leggen. De onzekerheid rondom de betrouwbaarheid van de uitkomst en het niet kunnen doorgronden van de overwegingen is reden tot zorg. Doet ‘het’ uiteindelijk wel wat we verwachten en waarvoor het bedoeld is? Juist dáár komt de nieuwe wetgeving AI ACT om de hoek kijken.

Artificial Intelligence Act (AI ACT)

Om de onzekerheid weg te nemen die leeft in de maatschappij bij de totstandkoming van digitale besluitvorming heeft de Europese Commissie een voorstel tot regelgeving (verordering) geïntroduceerd rondom het onderwerp kunstmatige intelligentie: de AI ACT.

Onderscheid tussen risico’s van AI-toepassing

De verordening hanteert een risico gedreven aanpak waarbij een onderscheid wordt gemaakt tussen AI-toepassingen die:

• een onaanvaardbaar risico
• een hoog risico, en
• een laag of minimaal risico met zich meebrengen.

Onder onaanvaardbaar risico worden toepassingen geschaard die strijdig zijn met de waarden van de Europese Unie, bijvoorbeeld vanwege een schending van grondrechten. Toepassingen met een onaanvaardbaar risico zijn dan ook niet toegestaan in de Europese Unie.

Voor AI-toepassingen met een hoog risico gelden bepaalde voorschriften waaraan moet worden voldaan. In totaal zijn dit zeven gebieden waarover verantwoording moet worden afgelegd middels een zogeheten conformiteitsbeoordeling, te weten:

1. Systeem voor risicobeheer
2. Data en databeheer
3. Technische documentatie
4. Registratie (van gebeurtenissen)
5. Transparantie en informatieverstrekking aan gebruikers
6. Menselijk toezicht
7. Nauwkeurigheid, robuustheid en cyberbeveiliging.

Ter illustratie: voor onderdeel 4 (registratie) dient in de conformiteitsbeoordeling aangetoond te worden dat het AI-systeem beschikt over loggingsmogelijkheden die de totstandkoming van de besluitvorming inzichtelijk te maken.

Hoog risico AI-toepassingen zijn onder meer operationeel binnen rechtshandhaving, personeelsbeheer en werkgelegenheid, beheer van kritieke infra en toegang tot gebruik van essentiële particuliere diensten. Een praktisch voorbeeld hiervan is een toepassing die bedoeld is om de kredietwaardigheid van natuurlijke personen te beoordelen of hun kredietscore vast te stellen. De lijst met huidige voorbeelden in het voorstel is in de toekomst aanpasbaar door de Europese Commissie en daarom ook niet per definitie limitatief.

Toezichthoudende instanties monitoren en controleren AI-toepassingen

De lidstaten zijn uiteindelijk verantwoordelijk om een toezichthoudende instantie aan te wijzen, die AI-toepassingen in de markt monitoren en controleren. Hiervoor kunnen zij besluiten om dit uit te besteden aan derde partijen die over voldoende deskundigheid beschikken. Deze partijen moeten onafhankelijk, objectief en onpartijdig zijn. De specialisten van BDO helpen organisaties aan deze eisen te voldoen. Dit biedt tevens kansen voor IT-auditors die beschikken over de kennis vanuit zowel het technische en bedrijfskundige perspectief om de relevante (IT) gerelateerde risico’s bij algoritmes te signaleren en te adresseren.

Wees tijdig voorbereid op de AI ACT

Het voorstel voor de AI ACT wordt momenteel besproken in de Europese Raad en er lopen diverse consultaties. Naar verwachting zal de verordening op zijn vroegst eind 2022 in werking treden. BDO volgt de ontwikkelingen omtrent de inhoud, maar ook de mate van handhaving nauwgezet. Het is belangrijk dat organisaties zich hier tijdig op voorbereiden. Maakt u als organisatie gebruik van algoritmes en wil u zekerheid over het al dan niet voldoen aan de AI ACT? Of bent u voornemens om algoritmes te omarmen, maar vraagt u zich af of hoe de toepassing zich verhoudt tot de toekomstige regelgeving? Wij bieden u inzicht in de beheersing van uw AI-toepassing in relatie tot de AI ACT en helpen u graag met het identificeren van gerelateerde risico’s. Neem dan gerust contact op met een van onze specialisten.