Vorige week verscheen een persbericht waarin de Algemene Rekenkamer benadrukt dat de overheid Artificial Intelligence (AI) volop inzet, maar vaak zonder voldoende risicobeheersing.
Dat dit in sommige gevallen ook anders is (en kán), bewijst een eerder dit jaar door KPMG uitgevoerde opdracht bij een onderdeel van de (Rijks)overheid, waarbij een risicoanalyse voorafgaand aan en bij de inzet van een specifieke AI-oplossing juist centraal stond.
Holistisch perspectief
Rode draad in de uitvoering van dergelijke opdrachten is dat wij als KPMG een holistisch perspectief bieden op wat relevante risico’s zijn van de inzet van AI, waarbij wij kijken naar risico’s in brede zin én daarbij expertise uit diverse domeinen (en teams) combineren. Dit biedt als waarde voor de organisatie dat zij hiermee vanuit wet- en regelgeving en risicobeheersing meteen pragmatisch hun strategie rondom de inzet van AI kunnen bijsturen indien nodig.
In dergelijke opdrachten hanteren wij verder een gestructureerde aanpak om risico’s in kaart te brengen, mogelijke gevolgen te kunnen inschatten en om mogelijk mitigerende acties te kunnen voorstellen. De uitvoering van dergelijke risicoanalyses zijn overigens ook relevant voor semi-publieke organisaties en het bedrijfsleven.
Vertrekpunt is eerst echter om een helder beeld krijgen van:
· de gebruikte technologie en data: bijvoorbeeld welke AI modellen zijn gebruikt, welke datasets (bronnen), waar(mee) vindt training en verwerking plaats, wat staat het systeem eindgebruikers toe?
· heldere definitie van use cases: waar voorziet het AI-systeem nu in en waar ontwikkelt het systeem zich naar toe? Wie zijn de eindgebruikers nu en in de toekomst?
· door de organisatie reeds uitgevoerde (eerste) onderzoeken naar risico’s.
Toetsingskader
Bovenstaand beeld combineren wij met het door ons opgestelde toetsingskader, die is gericht op inzet van AI binnen een organisatie. Hierin kijken wij naar relevante risico’s uit verschillende (juridische) domeinen, waaronder:
· risico’s uit wet- en regelgeving (waaronder de AI Act, Algemene Verordening Gegevensbescherming, Productaansprakelijkheidswet- en regelgeving);
· risico’s uit het Intellectuele Eigendomsrecht (waaronder auteursrecht en databankenrecht);
· risico’s uit het verbintenissenrecht (zoals contractuele afspraken over gebruik van software, datasets, maar ook rondom aansprakelijkheden);
Maar wij kijken ook naar aanvullende risicogebieden, die bijvoorbeeld ontstaan uit de context waarbinnen een AI-systeem wordt ingezet (denk bijvoorbeeld aan een fraudedetectiesysteem met risico op discriminatie), huidig intern beleid, kaders en procedures of andere risicodomeinen zoals (cyber) security en data governance.
Het toetsingskader is bewust dus breder dan alleen wet- en regelgeving. Het toetsingskader is daarbij namelijk óók relevant voor (mogelijke) inzet van AI-systemen die niet als hoog-risico in de zin van de AI Act worden beschouwd, bijvoorbeeld omdat er risico’s zijn die de reputatie, financiële positie of operatie van de organisatie raken.
Vervolgacties
Dergelijk inzicht in de risico’s, mogelijke gevolgen en maatregelen, kan gebruikt worden in het geïnformeerd beslissen wat daadwerkelijke vervolgacties zijn. Dit zijn bijvoorbeeld:
· het vaststellen van het door de (overheids)organisatie gewenste risico profiel, (rest)risico acceptatie;
· het opstellen van nieuwe policies en procedures;
· het (voorlopig) bewust niet gebruiken van bepaalde toepassingen van de beoogde AI inzet;
· de inzichten als ‘input’ gebruiken in de afweging hoe AI verder in te zetten binnen de organisatie;
· het inrichten van monitoring op de uitkomsten en navolgende besluiten.
Op deze manier kan een tijdige uitvoering van een risicoanalyse bijdragen aan een meer bewuste, verantwoorde en succesvolle inzet van AI binnen de (overheids)organisatie. Het kan organisaties in staat stellen snel te kunnen blijven innoveren met AI, maar dan wel op een wijze waarbij de relevante risico’s inzichtelijk zijn en, indien nodig, goed gemitigeerd kunnen worden