AI-compliance staat niet los van de praktijk

Van abstract beleid naar werkbare richtlijnen

De eerste vraag op tafel is hoe je de AI Act vertaalt naar werkbare richtlijnen voor teams in plaats van abstract beleid. Frank van Vonderen is daar duidelijk over: "We moeten niet bij de wetsartikelen beginnen, maar bij de concrete use case. Denk aan toepassingen zoals een chatbot, beslissingsondersteuning of fraudedetectie. Voor elk type toepassing maak je een concrete 'doe-en-laat-lijst' die naadloos aansluit op het dagelijkse werk. Zo worden de stappen herkenbaar vanuit hun eigen proces, in plaats van een verplichting die van buitenaf is opgelegd. Die lijst koppel je vervolgens heel expliciet aan rollen. Maak daarin helder wat de product owner doet, wat bij de ontwikkelaar ligt en waar de business-owner verantwoordelijk voor is."

Van Vonderen benadrukt dat organisaties dit niet als extra toets bovenop bestaande processen moeten plakken, maar moeten inweven in bestaande toetsinstrumenten. Denk aan bestaande momenten in de keten zoals intake, sprintreview en de ontwikkel-, test-, acceptatie- en productieprocessen (OTAP). Hij zegt: "De toets aan de AI Act verschuift daarmee van een abstracte naar een concrete beoordeling. Niet langer staat de vraag centraal of een organisatie ‘voldoet aan artikel 9’. De kern is of de juiste persoon op het juiste moment de juiste maatregel heeft genomen. Daarmee wordt de wetgeving geen papieren exercitie, maar een vast onderdeel van hoe je verantwoord oplevert."

Compliance als versneller

De tweede vraag is hoe je voorkomt dat compliance een rem op innovatie wordt. Volgens Van Vonderen doe je dat door compliance vroeg in te bouwen, in plaats van als laatste horde voor productie. Dat vraagt om drie concrete verschuivingen.

Allereerst is een risico-gebaseerde aanpak nodig, waarbij lage risico’s een lichtere route krijgen en alleen zware casussen volledige behandeling. Daarnaast helpen vooraf goedgekeurde referentiearchitecturen. Dit zijn vaste en herbruikbare blauwdrukken voor de inrichting van AI-systemen.

Ook kun je werken met voorkeurscomponenten, zoals vooraf geselecteerde data-oplossingen of taalmodellen (LLM’s). Dit zijn systemen die AI gebruiken om tekst te begrijpen en te genereren. Verder helpen minimale eisen voor bijvoorbeeld logging en datakwaliteit. Logging betekent dat je vastlegt wat een systeem doet. Datakwaliteit gaat over hoe betrouwbaar en consistent data is. Zo kunnen teams direct binnen duidelijke en veilige kaders aan de slag, zonder alles zelf te hoeven uitzoeken.

Tot slot is het belangrijk processen parallel te organiseren in plaats van na elkaar. Laat een privacyrisicoanalyse (DPIA) meebewegen met de ontwikkeling, in plaats van die achteraf uit te voeren. Doe hetzelfde met een impactbeoordeling op mensenrechten bij algoritmes (IAMA). Zo worden risico-inschattingen en ontwerpkeuzes continu meegenomen in het ontwikkelproces, niet pas achteraf.

Van Vonderen: "Onze ervaring is dat goed georganiseerde compliance processen juist versnelt. Teams weten zo vanaf dag één waar ze aan toe zijn en hoeven niet maandenlang in onzekerheid op een uitspraak te wachten. De standaarden helpen hen om meteen stappen in de juiste richting te zetten."

Maatschappelijke en ethische grenzen

De derde vraag die bestuurders zichzelf moeten stellen is misschien wel de meest prangende kwestie. Hoe ga je om met toepassingen die juridisch zijn toegestaan, maar maatschappelijk of ethisch gevoelig liggen? Voor menig overheidsorganisatie is dit de absolute kernvraag, want je moet een keuze politiek, bestuurlijk en aan de burgers kunnen uitleggen.

Wanneer een toepassing schuurt, adviseert Van Vonderen een heldere aanpak. "Wanneer een toepassing schuurt, werk dan met een ethisch panel van interne of externe leden aan wie je casussen en afwegingen voorlegt. Hanteer daarnaast een simpele toets waarbij je jezelf afvraagt of je dit kunt uitleggen aan een journalist en de Tweede Kamer zonder dat het een hoorzitting wordt. Omdat ‘mogen’ niet betekent dat je het ‘moet willen’, is het cruciaal afwegingen goed vast te leggen zodat je keuzes later kunt reproduceren of heroverwegen als de situatie verandert."