‘Toezichthouder zbo speelt belangrijke rol in succes AI’

Ook zelfstandige bestuursorganen experimenteren steeds meer met kunstmatige intelligentie (AI). Tegelijkertijd komt er nieuwe wetgeving en wordt het toezicht op AI verscherpt. Hoe houden raden van toezicht overzicht in dit razendsnel evoluerende speelveld? En hebben we in de publieke sector vooral oog voor de risico’s of toch ook voor de kansen?

Opeens is kunstmatige intelligentie (AI) niet meer uit het nieuws en uit de boardroom weg te slaan. De opkomst van ChatGPT heeft de acceptatie van AI in een stroomversnelling gebracht. Dat betekent niet dat AI een nieuw fenomeen is.

De term kunstmatige intelligentie werd al halverwege de jaren vijftig voor het eerst gebezigd. De technologie achter AI is de afgelopen jaren niet noemenswaardig veranderd. Wat vooral is veranderd, zijn de technieken aan de voorkant. Met ChatGPT heeft het grote publiek opeens toegang gekregen tot de onderliggende modellen. Ook is de hoeveelheid parameters waarmee ChatGPT werkt, exponentieel toegenomen tot inmiddels 1,8 triljoen. Ter vergelijking: de vorige versie van ChatGPT had toegang tot ‘slechts’ 175 miljard parameters.

De voordelen van AI zijn evident. Kunstmatige intelligentie kan razendsnel data interpreteren en taken automatiseren, wat organisaties tijd, geld en fouten bespaart. Met de mogelijkheden nemen ook de risico’s toe. Omdat AI werkt met informatie die afkomstig is van onszelf, kan de techniek ook misleidende of foutieve informatie uitspuwen of bestaande ongelijkheid versterken.

Moeten overheidsorganen daarom terughoudend zijn met AI? Terughoudendheid impliceert dat de risico’s niet zouden opwegen tegen de kansen. Zorgvuldigheid is echter wel op z’n plaats. In de ‘Richtlijnen voor het toepassen van algoritmen door overheden’ staat het ministerie van Justitie en Veiligheid bijvoorbeeld uitgebreid stil bij het belang van technische transparantie en uitlegbaarheid.

Als het gaat om besluitvorming, mag AI niet blind worden gevolgd. Uber moest zich voor de rechter verantwoorden omdat chauffeurs claimden te zijn ontslagen door het algoritme. Hoewel de rechter oordeelde dat er ‘geen sprake [was] van uitsluitend op geautomatiseerde verwerking gebaseerde besluiten’, was de strekking duidelijk: besluiten ‘uitsluitend’ bij AI beleggen is onwettelijk. Bedrijven kunnen zich niet verschuilen achter algoritmes, zij blijven zelf verantwoordelijk én aansprakelijk voor hun (AI-)beleid. Er moet een menselijke toets zijn, en besluiten moeten individueel uitlegbaar zijn.

De komende jaren zullen de wettelijke kaders van AI steeds duidelijker worden. Het Witte Huis wil binnen een jaar met wetgeving komen die een balans verzekert tussen innovatie en veiligheid. Leiders van de G7 hebben de International Guiding Principles on Artificial Intelligence vastgelegd. En de Europese Unie werkt intussen hard aan de AI Act, ’s werelds eerste alomvattende AI-wet.

Onder de Europese AI Act worden de AI-activiteiten van alle organisaties ingedeeld in vier risicocategorieën: beperkt risico, generatieve AI, hoog risico en onacceptabel risico. Organisaties die onder ‘hoog risico’ vallen, krijgen te maken met verplichtingen omtrent technische documentatie, cybersecurity, risicomanagementsystemen, conformiteitsassessments en transparantie. 

Deze wet komt bovenop toenemende regelgeving over privacy, duurzaamheid en data. Toezichthouders doen er daarom goed aan kennis over AI binnen de rvt te borgen. Dit kan op verschillende manieren: een data- en AI-specialist in de rvt, bijscholing voor alle leden of een subcommissie. Duidelijk is wel dat een commissaris geen specialist kan zijn en alle details kan kennen van alle onderwerpen die in een rvt aan bod komen. Hij/zij moet het speelveld overzien, en belangrijker: erop toezien dat de noodzakelijke kennis over het onderwerp in de raad van bestuur aanwezig is.

Daarnaast moet de toezichthouder de juiste vragen blijven stellen: weten we welke AI-toepassingen in de organisatie worden gebruikt? Als het antwoord op die vraag ja is, zal er moeten worden doorgevraagd over de impact, en of er een beheersingsraamwerk is. Weet de rvb niet of er AI-toepassingen worden toegepast, dan heb je direct een ‘smoking gun’ te pakken: waarom weten we dit niet? En als we AI niet gebruiken, laten we dan geen kansen liggen? 

Ook moet de rvt erop toezien dat het kennisniveau binnen de organisatie op peil blijft. Alleen met die kennis kunnen organisaties goede afwegingen maken over de risico’s en kansen. Ten slotte mag er geen onduidelijkheid bestaan over de rollen en verantwoordelijkheden van externe partijen waarmee wordt samengewerkt.

Verlies daarbij ook het grote plaatje niet uit het oog. Want dé vraag die elke rvt in het kader van AI zou moeten stellen is: hoe ziet onze organisatie er over vijf jaar uit? Blijven we dezelfde organisatie, met dezelfde afdelingen en verantwoordelijkheden, of zijn we over vijf jaar een AI-gedreven organisatie en hebben we daar hele andere structuren en mensen voor nodig? Zo beweeg je van een reactieve organisatie naar een anticiperende of zelfs proactieve organisatie, die risico’s scherp in beeld heeft en daarnaast vooral een wereld vol nieuwe kansen ziet.