Policy as Code: Toezichthouder 2.0
De ene helft van de maatschappij houdt toezicht op de andere helft, zo verzuchten politici of bestuurders nogal eens. Op zich begrijpelijk, want het lijkt al vele jaren een wetmatigheid dat zowel de hoeveelheid als de complexiteit van wet- en regelgeving maar blijft groeien. En dat levert onvermijdelijk veel toezichtswerk op.
Er valt echter ook wel wat af te dingen op deze verzuchting. Want toezichthouders zijn vaak onderbemand. De echte werkelijkheid is dus dat die toezichthouders zich door hun beperkte capaciteit noodgedwongen beperken tot steekproeven. Niet zelden is er eerst aandacht in de pers nodig voordat er misstanden worden geïdentificeerd. Al met al is het vaak erg onbevredigend.
Kan dat niet anders?
Al decennia proberen politieke partijen de hoeveelheid wet- en regelgeving te temmen. Met weinig duurzaam resultaat. Maar er komt hoop uit een heel andere hoek. Een (deel van de) oplossing komt mogelijk voort uit het concept Policy as Code, kortweg PaC. In essentie gaat het hier om het kunnen programmeren van toezicht in software. Zo ontstaat dan een 100 procent controle – het zondigen tegen een regel wordt onvermijdelijk gesignaleerd en zo mogelijk voorkomen.
Dit is niet nieuw. Er wordt momenteel echter wel een intrigerend nieuw hoofdstuk op dit onderzoeksterrein geschreven. Tot nu toe was PaC alleen mogelijk voor relatief simpele harde normen – bijvoorbeeld of bepaalde data al dan niet mag worden gebruikt door een bepaald persoon. Maar in de praktijk gaat het bij toezicht vaak om normen waar interpretatie van een complex aantal factoren voor nodig is. En dat is precies waar onderzoekers zich nu op richten. Recente ontwikkelingen op het vlak van AI maken het mogelijk om een dergelijke interpretatie in te bouwen in software.
Met name de schaalbaarheid van zo’n concept is veelbelovend. Toezicht kan oneindig veel efficiënter en effectiever worden doordat overtredingen automatisch worden geïdentificeerd. Om echt tot een schaalbare oplossing te komen is het nodig om die ontwikkelingen te vangen in breed geaccepteerde protocollen en standaarden. Zoals die ook aan de basis hebben gestaan van bijvoorbeeld het Internet en het World Wide Web.
Als het lukt, dan ontstaat er een toezichthouder 2.0. Waarin de mens alleen nog nodig is voor het bepalen van de sancties op overtredingen. En wie weet kan zelfs dat straks wel worden ingeprogrammeerd en wordt alleen het in beroep gaan tegen een sanctie nog mensenwerk…
Ik heb jarenlang gewerkt bij de Autoriteit Persoonsgegevens (die toen nog niet zo heette), dus ik weet uit ervaring hoe het is om als toezichthouder vele handen tekort te komen. En misschien kan “Policy as Code” inderdaad wel een deel(tje) van het probleem oplossen. Maar als het aan mij ligt dan komt die oplossing toch liever niet van technosolutionisten die menen dat met “het vangen in protocollen en standaarden” de klus geklaard is. Zonder er heel hard over na te denken kan ik al wel een paar fundamentele kanttekeningen plaatsen:
– Hoe frustrerend het ook moge zijn dat veel organisaties het met de wet niet altijd even nauw nemen, willen we echt toe naar een samenleving waar ze (altijd en overal) wel móeten? Trouwens, ervan uitgaande dat de AI ook een indicatie geeft van de ernst van de overtreding, zou dit (zeker in combinatie met het SCHUFA-arrest) in veel gevallen kunnen leiden tot een onder de AI-verordening verboden sociaal kredietsysteem.
– Hoe zorg je voor betekenisvolle menselijke tussenkomst? (En nee: daarvan is geen sprake bij een mens die alleen de sanctie bepaalt.) En hoe hou je oog voor de menselijke maat? Want geautomatiseerd toezicht op bedrijfsprocessen (ik neem aan dat dat vooral is waar we het hier over hebben) leidt onvermijdelijk ook tot geautomatiseerde besluitvorming die mensen significant kan raken, zeker bij de overheid en in bv. de zorg en de financiële sector.
– Hoe zorg je voor gelijkheid en voorkom je discriminatie? Net als bij bijna alle AI zal dat ook hier een stevige uitdaging zijn. Gaat de AI bijvoorbeeld voldoende oog hebben voor afwijkende praktijken bij leden van gemarginaliseerde groepen, of zal het hun manier om zich aan de regels te houden niet erkennen?
– Hoe kunnen organisaties zich verweren tegen in hun ogen onjuiste beslissingen van de AI? Kan die überhaupt duidelijk uitleggen waarom een bepaalde regel overtreden zou zijn?
– Als op software beter (want automatisch) toezicht kan worden gehouden dan op andere processen, dan zal er grote druk ontstaan om alles in software te vangen, wat de bovenstaande risico’s nog verergert. Bovendien komt er zo nóg minder ruimte dan er nu al is voor zaken die niet of moeilijk te datificeren zijn.