Op een aantal punten schiet de voorbereiding van instellingen en bedrijven op de Europese AI Act, de nieuwe privacyregels eind 2023 ingaan, tekort. Dit constateert Jacintha Walters in haar scriptie en wetenschappelijke paper, die binnenkort verschijnt. Walters studeerde onlangs af aan de HvA-master Applied A.I. “Betere voorbereiding is hard nodig, want dit gaat net zoveel impact hebben als de AVG.”
Walters onderzocht van een aantal grote en kleine bedrijven in hoeverre zij op deze nieuwe privacyregels zijn voorbereid. Uit deze uitgebreide analyse van 15 grote en kleine bedrijven, en aanvullend literatuuronderzoek, blijkt dat de voorbereiding van veel organisaties op de AI Act nog lang niet optimaal is. Het ontbreekt vaak nog aan training op de risico’s van ‘bias’ bij dataverzameling en A.I.-modellen. Ook zijn er vaak nog geen richtlijnen voor technische documentatie, terwjjl die straks aan specifieke punten moet voldoen.
Veel onduidelijk
Walters constateert dat het niet verwonderlijk is dat bedrijven nog onvoldoende zijn voorbereid, want veel is nog onduidelijk rond de Europese regelgeving. “Bedrijven zijn hier al twee jaar mee bezig, want de basis voor de AI Act is al in 2021 vastgesteld. Op bepaalde punten is de Act wel heel concreet; met name als het gaat om heel risicovolle, zoals modellen die bepalen op welke uitkeringen iemand recht heeft. Maar op andere punten is de wet vrij algemeen: zo is het een hoog risico als je A.I. hebt verwerkt in je ‘kritieke infrastructuur’. Het is op die punten nog steeds ambigu wat de wet straks in de praktijk betekent.”
Meer impact dan AVG
Toch is voorbereiding essentieel, want de nieuwe Europese privacyregels gaan verstrekkende gevolgen hebben, denkt Walters. “De impact voor bedrijven gaat minstens zo groot zijn als bij de AVG. De meeste bedrijven maken inmiddels al gebruik van A.I; soms weten zij niet eens hoe het wordt gebruikt. Als je zelf een webshop runt, dan heb je misschien niet eens door dat dit bijvoorbeeld in een aanbevelingssysteem zit.”
Het verschil met de AVG is ook is dat privacy iets is dat bedrijven nog achteraf kunnen toevoegen. Het gaat dan met name heel concreet om het anonimiseren of pseudonimiseren van persoonsgegevens. “Het lastige van de AI ACT is dat bedrijven ook risico-analyses moet uitvoeren rond rechten en discriminatie. En dat je moet aantonen dat je hier goed over hebt nagedacht. Daarvoor moet je bepaalde methodieken gebruiken die bedrijven veelal niet kennen. Dit wordt dus een veel grotere opgave voor organisaties.”
Ruimte voor verbetering
Voor haar onderzoek heeft Walters relevante onderdelen van de AI Act uitgelicht en omgebouwd tot 90 enquêtevragen. Een mix aan organisaties heeft deelgenomen, waarna Walters scores toekende voor hoe vaak een bedrijf of organisatie een bepaalde vereiste actie uitvoert (soms, regelmatig, zelden of altijd). De gemiddelde score was 58 procent. “Er is dus zeker nog ruimte voor verbetering.”
De technische documentatie blijkt een punt waarop men laag scoort. Maar ook de kennis over risico’s van ‘interne A.I.-modellen en data’ schiet nog tekort. De bedrijven scoorden wel goed op het up-to-date houden van hun A.I.-modellen.
“De meeste ondervraagde bedrijven gaven aan dat zij in twee jaar geen risico’s zijn tegengekomen bij het gebruik van hun datasets. Dit is onwaarschijnlijk, want alle datasets en modellen bevatten een risico. Meer training op dit gebied is daarom nodig.”
Lees ook:
- Ondernemers moeten zich voorbereiden op DORA
- Hoe beheers je bedrijfs- en beroepsaansprakelijkheid in het digitale tijdperk?
