Generatieve AI is booming. Iedereen praat erover, iedereen schrijft erover. Het biedt oneindig veel nieuwe mogelijkheden en kansen, zeker voor bedrijven. Maar inmiddels is ook duidelijk het niet alleen goud is wat blinkt in de generatieve goudmijn. Er zijn ook risico’s, en dat komt voornamelijk doordat de ontwikkelingen vele malen sneller gaan dan de regulering. Hoe ga je daar als bedrijf verantwoordelijk mee om?
In het voorjaar van 2021 is op Europees niveau een eerste voorstel gedaan voor de Artificial Intelligence Act (AI Act): wetgeving om kunstmatige intelligentie te reguleren. Deze wet moet ervoor zorgen dat die in de EU worden verkocht en gebruikt, veilig en in overeenstemming zijn met de bestaande wetgeving. Daarmee liep de EU voorop, want de Europese Commissie was de eerste die met een dergelijk voorstel voor wet- en regelgeving kwam. De invoering van deze wet nadert. In juni dit jaar werd met grote meerderheid de laatste versie van deze wet inhoudelijk goedgekeurd door het Europees Parlement.
Risicogebaseerde aanpak
De Europese AI Act is risico-gebaseerd. Dat wil zeggen dat de verplichtingen van aanbieders en gebruikers van AI-systemen afhankelijk zijn van het risiconiveau dat een AI-toepassing oplevert. AI-systemen met een zeer groot risico voor de veiligheid van mensen worden verboden. Dat geldt bijvoorbeeld voor sociale scoring, het indelen of profileren van mensen op basis van hun sociale gedrag of persoonlijke kenmerken. Maar ook realtime publieke biometrische identificatiesystemen, biometrische categorisering op basis van gevoelige kenmerken (geslacht, ras, etniciteit, burgerschap, religie) is daar onderdeel van.
Recente toevoegingen
Daar zijn nu ook voorspellende opsporingssystemen op basis van profilering, locatie of eerdere criminele gedragingen aan toegevoegd. En emotie-herkenning bij bijvoorbeeld rechtshandhaving en op de werkplek. Uiteraard zijn er uitzonderingen, bijvoorbeeld als het gaat om (wetenschappelijk) onderzoek in een sandbox-omgeving waar grotere risico’s zijn toegestaan.
Extra regels voor Generatieve AI
Generatieve AI (zoals bijvoorbeeld ChatGPT) kent nog heel andere aspecten. In de laatste versie van de AI Act zijn daarom ook specifieke regels voor Generatieve AI opgenomen. Aanbieders moeten risico’s op het gebied van gezondheid, veiligheid, fundamentele/democratische rechten beoordelen en beperken. Dit moet overigens nog verder genuanceerd worden door de Europese Commissie.
En er komt een registratieplicht in een Europese database, alvorens de toepassing in Europa op de markt mag worden gebracht. Ook moet duidelijk zijn dat content is gegenereerd door AI. En het wordt verplicht om alle auteursrechtelijk beschermde gegevens die zijn gebruikt voor het trainen van AI-systemen vast te leggen en openbaar te maken.
Ogenschijnlijk is het snel in gebruik nemen van AI heel intuïtief. Maar bij de daadwerkelijke inzet komt aanzienlijk meer kijken.
Tussen hoop en vrees
Voor bedrijven is het een lastige periode. Er is (nog) geen duidelijke regulering waar je je aan kunt vasthouden zolang de AI Act nog niet definitief is aangenomen. En zelfs als de wet is aangenomen, dan blijft de vraag hoe dit nationaal geïmplementeerd wordt. Wat doe je met toezicht en handhaving bijvoorbeeld? Wie gaat dit allemaal doen? Komt er een centraal (of juist decentraal) governance orgaan? Voordat het allemaal goed en wel functioneert blijft er dus nog een exploitatiegat bestaan.
Enerzijds wil je de boot niet missen doordat concurrenten sneller met Generatieve AI aan de slag gaan en daardoor goedkoper en sneller hun (nieuwe) diensten leveren. Denk bijvoorbeeld aan Amazon dat al automatisch samenvattingen van reviews geeft; veel Nederlandse webshops hebben deze mogelijkheid nog niet.
Aan de andere kant wil je ook geen grote misser maken, zoals bijvoorbeeld de overhaaste lancering van de chatbot van Snapchat (My AI) die op z’n zachtst gezegd dubieuze resultaten produceerde. Maar juist dat soort missers zijn onoverkomelijk. En nodig, vooral omdat we ervan leren. Er zijn dus twee smaken: ongekende mogelijkheden en ongekende risico’s.
Leg randvoorwaarden gebruik Generatieve AI vast
Bedrijven doen er daarom goed aan om een ‘basishygiëne’ af te spreken voor het gebruik van Generatieve AI door alle medewerkers. Leg daarin duidelijk vast wat wel en niet wenselijk is. Gebruik geen (gratis) diensten die je data delen (zoals bij Samsung gebeurde) of die copyrights niet respecteren (programmeerhulp Copilot van Github produceerde mogelijk auteursrechtelijk beschermde code).
Trainen, trainen en nog eens trainen
Train al je medewerkers zodat ze weten hoe ze verantwoordelijk gebruik moeten maken van nieuwe tools. In Amerika ging een door tijdens een rechtszaak gebruik te maken van niet bestaande, door ChatGPT verzonnen andere zaken. Train zowel de zakelijke als de technische kant van je bedrijf, zodat alle neuzen in je bedrijf dezelfde kant op staan. Dan voorkom je dat de ene kant niet weet van de andere wat hij aan het doen is. Dit ging bijvoorbeeld mis bij DUO toen een woordvoerder stelde dat (migratie)achtergrond geen onderdeel was van het fraude-opsporingsalgoritme, zonder te realiseren dat dit – weliswaar indirect – het geval was. Migratieachtergrond was misschien niet direct ingezet als risico-indicator, maar vanwege andere gerelateerde variabelen werd dit alsnog onderdeel van het algoritme.
Aan de slag
Als je die basishygiëne hebt vastgelegd dan kun je van start gaan met het gebruik van Generatieve AI in je eigen producten en diensten. Het is verstandig is om dat eerst intern te doen en je eigen mensen ermee te leren omgaan voordat je mensen van buiten de organisatie betrekt. Begin ook met simpele zaken die ruimschoots binnen de grenzen van de huidige AI Act vallen. Dan is het straks eenvoudiger om je processen en producten te conformeren aan de regelgeving.
Rol ‘mens’ verschuift van genereren naar cureren
Ook is het goed om altijd een ‘human in the loop’ te houden, zodat AI niet alleen verantwoordelijk is. Laat AI assisteren (tijdens het genereren), maar houdt wel zelf de controle (tijdens het cureren). Daarbij is het ook noodzakelijk om transparant te zijn over wat je doet: het moet altijd duidelijk zijn dat een product of dienst is gegenereerd door een model. En de bron(tekst) die is gebruikt om tot een bepaalde oplossing te komen moet eenvoudig te achterhalen zijn.
Verantwoord Generatieve AI inzetten
Als je er dan ook nog voor zorgt dat het voor de uiteindelijke gebruiker heel eenvoudig is om binnen een AI-systeem toch met een mens in contact te komen als er vragen of problemen zijn, dan heb je aan de belangrijkste basisvoorwaarden om op een verantwoorde manier Generatieve AI in te zetten voldaan.
Dat alles gezegd hebbende moeten wij als professionals in het veld ook zelf de verantwoordelijkheid pakken om voor de ethische, betrouwbare en verantwoorde inzet van AI-systemen te zorgen. In plaats van te wachten op regulering. Dus niet alleen omdat het straks moet, maar ook omdat het gewoon het juiste is om te doen.
Mariam Halfhide, senior data strategist bij Xebia Data
