Nu de Europese AI Act strenge eisen stelt aan de ontwikkeling en het gebruik van AI-toepassingen in combinatie met handhaving en mogelijke boetes, neemt het belang van AI Governance in publieke en private organisaties toe. Rein Mertens en Edwin van Unen, beiden AI-Governance-adviseurs bij SAS, helpen organisaties bij het realiseren van een werkbare structuur en organisatiecultuur voor het verantwoord en veilig inzetten van AI.
Eerder dit jaar volgde Rein Mertens, hoofd van het Customer Advisory team van SAS Nederland, de opleiding tot CAICO® bij ICTRecht. De afkorting staat voor Certified AI Compliance Officer. Tijdens de koffiemomenten bleek regelmatig dat andere deelnemers aan de opleiding de verantwoordelijkheid voor AI-Governance en compliance er ‘even bij deden’, zegt Mertens. “Ze waren bijvoorbeeld werkzaam als CISO of Functionaris Gegevensbescherming bij een gemeente. Het illustreert dat die verantwoordelijkheid niet in alle organisaties duidelijk is belegd. Eerder dit jaar bleek uit een onderzoek van Highberg onder 70 organisaties, dat voor 57% van de ondervraagden onduidelijk was wie er verantwoordelijk is voor AI-compliance. Dat is verontrustend.”
Verantwoordelijkheid duidelijk beleggen
Edwin van Unen zegt dat er wel grote verschillen per sector of bedrijfsonderdeel te zien zijn. “In de bancaire sector, waar al tientallen jaren voorspellende AI-modellen worden ingezet voor de beoordeling van leningen op basis van profielen van mensen, is men al een stuk verder. Daar is die verantwoordelijkheid vaak prima belegd. Maar of dat dan ook geldt voor bijvoorbeeld het toepassen van een large language model op de afdeling klantenservice, is niet direct duidelijk. Nieuwe technologieën als generatieve of Agentic AI maken dat de panelen een beetje verschuiven en het onduidelijker wordt wie er verantwoordelijk is.”
In de adviespraktijk van SAS verwijst AI Governance naar het geheel van processen, regels en procedures die ervoor zorgen dat AI op een verantwoorde, ethische en veilige manier wordt ontwikkeld, ingezet en beheerd. Mertens pleit ervoor om AI Governance te beleggen in een expliciete rol of functie. “Afhankelijk van de omvang van de organisatie hoeft dat niet per se één persoon te zijn, maar de verantwoordelijkheid moet wél duidelijk bij iemand liggen.
Die rol omvat onder andere:
- Adviseren over juridische en ethische vraagstukken rondom verantwoorde inzet van AI binnen een organisatie’.
- Helpen bij het naleven van verplichtingen uit de AI Act.
- Samenwerken met privacy- en security-specialisten: om te zorgen dat alle relevante kaders (AVG, AI Act, security-standaarden) worden nageleefd.
- Het vormgeven en coördineren van AI-geletterdheid.
- Het in kaart brengen van alle AI-toepassingen binnen de organisatie.
- Het zorgen voor duidelijkheid over hoe governance wordt ingericht.
Volgens Mertens is de term AI Compliance Officer, zoals gebruikt door ICTRecht, hiervoor goed bruikbaar.
Het inrichten van een duidelijk proces met aandacht voor de verantwoordelijkheden is volgens Van Unen een goed beginpunt. “In dat proces leg je vanaf het begin vast welk AI-systeem nodig is, welke functie het moet vervullen, aan welke vereisten het moet voldoen, en hoe het in productie wordt gebracht, gemonitord en beheerd.”
SAS biedt organisaties een gratis tool om hun volwassenheidsniveau op het gebied van AI Governance te meten: de AI Governance Map. Met een vragenlijst worden de vier dimensies van de AI-volwassenheid in beeld gebracht: Toezicht/controle gaat over het toezicht op en de verantwoordelijkheid voor AI. De tweede dimensie Compliance gaat over de naleving van interne en externe regelgeving. Operatie gaat over de operationele integratie van governance in processen. De laatste dimensie is Cultuur, over het bewustzijn in de organisatie van verantwoord AI-gebruik. Mertens: “Met de tool krijg je als organisatie een idee van wat je ambitieniveau is en welke stappen je kunt zetten om te groeien in de verantwoordelijkheid. De inrichting van AI Governance hangt namelijk ook af van het type organisatie en welke doelen je hebt met het gebruik van AI.”
Governance is onderdeel van cultuur
“Het is belangrijk dat AI Governance breed gedragen wordt in een organisatie,” zegt Van Unen. “Om dat te bereiken moet het onderdeel worden van de organisatiecultuur. Richtlijnen geven aan waaraan je moet voldoen, maar uiteindelijk zijn de waarden van de organisatie bepalend. Je wilt AI inzetten op een manier die eerlijk, transparant en uitlegbaar is. Dat moet leven in de cultuur, niet alleen in beleid. Technologie helpt om aan de regels te voldoen, maar de sleutel ligt bij mensen: zij moeten begrijpen wat AI is, hoe ze het kunnen toepassen en hoe ze het kunnen uitleggen.”
Mertens vult aan: “Het is niet iets wat je bij iemand belegt en daarmee ben je klaar. Nee, iedereen is daar onderdeel van. Het is ook niet eenmalig, je moet blijven monitoren of het systeem goed blijft werken. Via Model Management kun je bepaalde afwijkingen in de uitkomsten van een model via automatische notificaties in de gaten houden. Dan weet je wanneer je actie moet ondernemen. Dat is nog geen gemeengoed in organisaties.”
AI moet innovatie bevorderen
Volgens Mertens moet AI innovatie bevorderen in plaats van belemmeren. “We hebben met data privacy ook gezien dat het belemmerend kan werken. Maar wanneer je de juiste technische en organisatorische maatregelen neemt, kan er best veel, hebben we geleerd. Dat is met de AI Act niet anders. In Nederland en Europa moeten we de innovatieagenda goed in het oog houden. Als je controle hebt op AI, kun je innovatie echt bevorderen.” Van Unen: “Onze AI Governance systemen en oplossingen zijn erop gericht organisaties te helpen AI sneller, eenvoudiger en betrouwbaarder te ontwikkelen. Niet om te controleren, eisen te stellen en blokkades op te werpen.”
Auteurs: Rein Mertens en Edwin van Unen, AI-Governance-adviseurs bij SAS.
