Algoritmes worden veelvuldig binnen de overheid en het bedrijfsleven gebruikt. Over en voor dit gebruik zijn de afgelopen maanden diverse onderzoeksresultaten, adviezen en kaders gepubliceerd. Voorbeelden hiervan zijn het onderzoek van de Algemene Rekenkamer naar het gebruik van algoritmes binnen de rijksoverheid, de visie van de Ombudsman omtrent dit gebruik en het toetsingskader van de Autoriteit Persoonsgegevens voor het toezicht op algoritmes. Deze publicaties benadrukken de noodzaak voor toezicht dan wel het beheersen van algoritmes.

Interessante publicaties en adviezen die u zeker niet links kunt laten liggen, maar waar begint u? In de serie ‘De burger en de klant centraal bij het gebruik van algoritmes’ worden de zes belangrijkste thema’s besproken. Samen leiden ze tot een juist gebruik van algoritmes, waarin de burger centraal staat. Thema’s die zich richten op de burger, maar voor het bedrijfsleven net zo relevant zijn. Daarbij zullen onder andere de volgende onderwerpen de revue passeren: Het tot stand komen van transparante besluitvorming, de noodzaak om continu te blijven leren en het algoritme te trainen en het in kaart brengen van traditionele en nieuwe risico’s bij het gebruiken van algoritmes door publieke en private organisaties.

De eerste stap in het centraal stellen van de burger of uw klant is weten welke algoritmes u gebruikt. In het eerste deel ‘Het belang van een goede inventarisatie’ van de zesdelige serie ‘ De burger en klant centraal bij het gebruik van algoritmes’ draait het dan ook om dit thema. In het volgende deel bespreken we het belang van IT Controls voor deze analytische oplossingen.

De essentie van inventariseren

Weet u welke algoritmen uw organisatie gebruikt en wat het doel ervan is? Kunt u uitleggen welke relevant zijn voor de burger of uw klant? Duidelijkheid over het gebruik van algoritmen is één van de pilaren in het centraal stellen van de burger. Om deze vragen te beantwoorden dient u een inventarisatie te hebben van alle relevante analytische oplossingen, maar wat zijn dit? Gaat het hierbij om algoritmes, kunstmatige intelligentie, machine learning of ook om complexe rekenregels? Wat is relevant en wat niet?

Om deze vragen te beantwoorden draait het niet om het type technologie, maar juist om het principe ‘’geautomatiseerde besluitvorming’’. Geautomatiseerde besluitvorming houdt in dat bij het komen tot een besluit gebruik gemaakt wordt van één of meerdere analytische oplossingen. Dat kan verschillen van analyses die automatisch worden uitgevoerd waarna een medewerker besluit tot een volledig geautomatiseerd proces waarin geen medewerker is betrokken. Essentieel daarbij is de (in)directe impact op de burger of klant. Zo is een algoritme dat de lift in een openbaar gebouw bedient niet hetzelfde als een fraudedetectie algoritme.

Om inzichtelijk te hebben welke analytische oplossingen in de geautomatiseerde besluitvorming relevant zijn voor de burger of klant, is het van belang om te denken aan de impact van deze oplossingen. De volgende stappen kunnen u hierbij helpen:

  1. Bepaal het risicoprofiel van elke analytische oplossing in de (deels) geautomatiseerde besluitvorming.
  2. Identificeer op basis van het risicoprofiel de relevante analytische oplossingen, potentiële risico’s en pas uw (risico-) management daar effectief op aan.

Wat is het risicoprofiel van het proces?

Na het identificeren van de (deels) geautomatiseerde besluitvormingsprocessen dient het risicoprofiel bepaald te worden. Het risicoprofiel en dus de impact is een combinatie van drie componenten: autonomie, invloed en complexiteit.

Autonomie
De autonomie wordt bepaald door de mate waarin een mens betrokken is bij de besluitvorming. Een lage autonomie is van toepassing als een medewerker dezelfde informatie tot zijn beschikking heeft, tot dezelfde conclusie kan komen en het eindoordeel geeft. Dit gaat gepaard met een laag risico omtrent autonomie. Hoe moeilijker de uitkomst van een algoritme te reconstrueren is en zelfstandiger het algoritme het eindoordeel geeft, hoe hoger de autonomie en hoe hoger het risico.

Invloed
De tweede component is de invloed die het proces heeft op de rechten, plichten en welzijn van een individu, groep of organisatie. Een algoritme dat de lift bedient heeft bijvoorbeeld weinig invloed en dus een laag risico vergeleken met een algoritme dat fraudegevallen detecteert.

Complexiteit
Tot slot speelt de complexiteit van de analytische oplossing een rol. Een simpel regelsysteem is eenvoudig op te stellen, controleren en uit te leggen. Het risico dat de oplossing niet goed functioneert omdat de oplossing complex is, is minimaal. Bij meer geavanceerde analytische oplossingen vormt complexiteit echter wel een risico. Een zelflerend algoritme getraind met behulp gecompliceerde datasets is niet eenvoudig op te stellen, te controleren /en uit te leggen. Door de hoge mate van complexiteit neemt de kans op onjuiste of ongewenste uitkomsten toe.

Het resultaat van deze analyse is een overzicht van alle (deels) geautomatiseerde besluitvormingsprocessen waarin analytische oplossingen worden gebruikt die impact hebben op de burger of klant. Deze impact gaat gepaard met risico’s, door bijvoorbeeld fouten in de uitkomst, discriminatie of een mogelijk oneerlijke behandeling. Als vervolgstap kunt u daar uw (risico-) management effectief op aanpassen. Hoe dat vorm kan worden gegeven, komt in de volgende blogs aan bod.

Wat kan KPMG voor u betekenen?

Het identificeren van analytische oplossingen binnen uw besluitvormingsproces of bedrijfsvoering kan een lastige uitdaging zijn. Om u hierbij te helpen heeft KPMG de Analytics-Risk Index ontwikkeld. Met behulp van een workshop en eenvoudige vragenlijsten helpen wij u inzicht te krijgen in het gebruik van analytische oplossingen en de potentiële risico’s die u loopt.

Analytics Risk Index: Sample Output

Contact

Wilt u meer informatie over dit onderwerp of over onze AI-services? Neem dan contact op met Frank van Praat, Director Trusted Analytics.

Auteur van dit artikel is Mourad Fakirou, manager Trusted Analytics.