De voorbereiding van bedrijven op de Europese ai-wet (Wet op Kunstmatige Intelligentie) die eind 2023 ingaat, schiet op een aantal punten tekort. Het ontbreekt aan training op de risico’s van bias bij dataverzameling en ai-modellen. Ook zijn er in veel gevallen geen richtlijnen voor technische documentatie, terwijl die straks aan specifieke punten moet voldoen.
Dat stelt masterstudent Jacintha Walters van de Hogeschool van Amsterdam. Zij onderzocht van vijftien grote en kleine Nederlandse bedrijven in hoeverre zij op de nieuwe regelgeving zijn voorbereid. Uit haar analyse en aanvullend literatuuronderzoek blijkt dat de voorbereidingen van veel organisaties op de aanstaande AI Act te wensen over laten.
De bedrijven werden negentig enquêtevragen voorgelegd. De gemiddelde score was 58 procent. ‘Er is dus zeker nog ruimte voor verbetering’, stelt ze.
Walters vindt het opvallend dat de meeste ondervraagde bedrijven aangaven dat zij in twee jaar tijd geen risico’s zijn tegengekomen bij het gebruik van hun datasets. ‘Dit is onwaarschijnlijk, want alle datasets en modellen bevatten een risico. Meer training op dit gebied is daarom nodig.’ De bedrijven scoorden wel goed op het up-to-date houden van hun ai-modellen.
Meer impact dan AVG
Walters constateert dat het niet verwonderlijk is dat bedrijven onvoldoende zijn voorbereid, want veel is nog onduidelijk rond de Europese regelgeving. ‘Bedrijven zijn al twee jaar hiermee bezig, want de basis voor de AI Act is al in 2021 vastgesteld.’ Ze vervolgt: ‘Op bepaalde punten is de Act wel heel concreet; met name als het gaat om heel risicovolle, zoals modellen die bepalen op welke uitkeringen iemand recht heeft. Maar op andere punten is de wet vrij algemeen: zo is het een hoog risico als je ai hebt verwerkt in je ‘kritieke infrastructuur’. Het is op die punten nog steeds ambigu wat de wet straks in de praktijk betekent.’
Toch is voorbereiding volgens de onderzoekster essentieel, omdat de regelgeving verstrekkende gevolgen gaat hebben. ‘De impact voor bedrijven gaat minstens zo groot zijn als bij de AVG. De meeste bedrijven maken soms al onbewust gebruik van ai, bijvoorbeeld bij een webshop. Dan hebben ze misschien niet eens door dat dit in een aanbevelingssysteem zit.’
Risicoanalyse
Het verschil met de AVG is dat bedrijven privacy ook nog achteraf kunnen ‘toevoegen’. Dan gaat het om het anonimiseren of pseudonimiseren van persoonsgegevens. Walters: ‘Het lastige van de ai-wet is dat bedrijven ook risicoanalyses moet uitvoeren rond rechten en discriminatie en dat je moet aantonen dat je hier over hebt nagedacht. Daarvoor moet je bepaalde methodieken gebruiken die bedrijven veelal niet kennen. Dit wordt dus een veel grotere opgave voor organisaties.’
Het hele onderzoek van Jacintha Walters is hier te lezen
