Interview | Michiel Steltman, directeur Digitale Infrastructuur Nederland
Tientallen wetten, verordeningen en regels die betrekking hebben op digitale activiteiten, komen vanuit Europa op bedrijven en instellingen af. Het European Rulebook omvat inmiddels meer dan honderd onderdelen. Ook de komende EU AI Act is onderdeel van dat regelboek; een belangrijke wet maar zeker niet de laatste. Dat beeld stelt Michiel Steltman, directeur van Stichting DINL (Digitale Infrastructuur Nederland), in het vooruitzicht.
Elke organisatie, ongeacht omvang, bedrijfstak of activiteiten, krijgt met meerdere reguleringen te maken. Want iedereen werkt met data, levert digitale diensten, of is een schakel in een digitale keten. Daarom ontkomt geen enkele organisatie er meer aan om iemand op het hoogste niveau eindverantwoordelijk te maken voor de naleving van die wetten, zegt Steltman.
De ondernemingsleiding moet de risico’s kunnen overzien die de AI Act met zich meebrengt. Net zoals dat geldt voor de kluwen van andere wetten, waaronder de Digital Services Act (DSA), de Digital Markets Act (DMA), de NIS2, de CRA (Cyber Resilience Act), DORA (Digital Operations Resilience Act), de Data Act en niet te vergeten de al langer bestaande Algemene Verordening Gegevensbescherming (AVG).
Dat vereist niet altijd gedetailleerde kennis van al die wetten en regels, maar wel bestuurlijke betrokkenheid. ‘De essentie is dat de beheersing van risico’s van it en data in de breedte ‘chefsache’ moet zijn’, legt Steltman uit. ‘De top kan die verantwoordelijkheid, regie en kennis van zaken niet langer delegeren naar een it-manager ergens diep in de organisatie. In dit opzicht geldt hetzelfde als voor de financiële jaarrekening. It, data en ai verschillen in dezen niet van geld.’
Belast
In elke raad van bestuur is een lid belast met het toezicht daarop. Net als de cfo over de financiën verantwoording moet kunnen afleggen, zo moet er ook een topbestuurder zijn die alle risico’s rond de it gaat managen. Met de nieuwe AI Act in aantocht, wordt die compliance-taak onherroepelijk breder. Denk daar niet te licht over. Want de boetes kunnen zwaar zijn, tot zeven procent van de totale omzet, met een maximum van 35 miljoen euro. En in sommige wetten, zoals de NIS2 ,kunnen nalatige bestuurders persoonlijk aansprakelijk worden gesteld..
Volgens Steltman is digitale compliance niet een eenmalige taak of iets dat er nog even bij kan worden gedaan. Het wordt een kwestie van permanent bijhouden en jaarlijks controleren. De auditor moet dan in een soort boekhoudsysteem kunnen zien welke data worden gebruikt, uit welke informatiesystemen die komen en hoe het met hun kwaliteit is gesteld. Die governance betekent dat er veel op dat gebied moet worden geregeld. Het zou onverstandig zijn daarmee te wachten totdat de EU AI Act van kracht wordt. Want ook andere wetten die al langer van kracht zijn, vereisen dat inzicht alsmede transparantie van data en systemen.
Checks & balances
Steltman vergelijkt de digitale wereld met de luchtvaart waar checks & balances al tientallen jaren gemeengoed zijn. ‘De tijd dat vliegtuigen houtje-touwtje de lucht ingingen, ligt lang achter ons. Zo zullen ook ai-systemen aan wetten en regels moeten voldoen. Digitale wereld gaat regel-wise de luchtvaart achterna.’
Steltman weerspreekt niet dat dit tot een administratieve lastendruk leidt. Accountancy- en adviesbureaus zoals KPMG, E&Y en Deloitte varen hier zeker wel bij. Maar it-control is niet het exclusieve domein van de Big Five. De op risico-management gebaseerde aanpak in onder andere de Ai Act werkt stimulerend op het gebruik van software die it-gerelateerde compliance-kwesties vertaalt in een goed uitvoerbaar strategisch en operationeel model.
‘Je ziet dat er al een markt ontstaat voor ‘digital compliance’-oplossingen. Het Nederlandse CompLions was een voorloper, maar ook grote merken zoals ServiceNow en Microsoft bieden steeds meer compliance-functies in hun platforms. Ook zijn er ontwikkelingen bij de toezichthouders, die samenwerken en zich in toenemende mate gaan richten op de kwaliteit van governance. De adviesbureaus werken samen aan gestandaardiseerde rapportages, zoals de NRI (Norea’s Reporting Initiative).
Met name bij ai-systemen met een hoog risico is een beheersysteem van cruciaal belang voor het waarborgen van de naleving
Compliance omvat het organiseren van risicobeheer en maatregelen voor beheersing van die risico’s. En activiteiten als testen, rapporteren, transparantie en menselijk toezicht. Aanbieders van ai-systemen met een hoog risico moeten een systeem voor kwaliteitsmanagement implementeren dat in verhouding staat tot de omvang van de organisatie van de aanbieder, om de naleving ervan te garanderen. Met name bij ai-systemen met een hoog risico is een beheersysteem van cruciaal belang voor het waarborgen van de naleving.
Steltman staat dan ook positief tegenover de aanpak van de EU die uitgaat van principes in plaats van regels. Belangrijk is dat bedrijven zich straks voor hun ai-systemen kunnen verantwoorden, de risico’s kennen en zich rekenschap geven van de maatschappelijke en ethische risico’s. Certificeringen, accreditaties en standaarden horen daarbij. ‘Dan ben je in control. Want daar gaat het uiteindelijk om.’
Goede zaak. Dit gaat het aantal mensen dat vroegtijdig overlijdt door slechte data met honderdduizenden per jaar terugbrengen. Voor de 20.000 Europese verkeersdoden en die 240.000 doden door fossiele brandstoffen per jaar zit de EC Amerikaanse tech-bedrijven zoveel mogelijk te dwarsbomen. Het aantal gewonden lijkt de EU niet eens bij te houden. Hebben we het nog niet over de kwaliteit van leven van een veelvoud aan zieken en gewonden per jaar. Maar goed, daar valt bij een electoraat op basis van 450 miljoen inwoners misschien minder goed op te scoren. Ik heb nog nooit een EU-politicus horen zeggen dat we big-tech optimaal moeten faciliteren maar dat zou veel meer impact hebben voor de kwaliteit van leven, denk ik. Dit hierboven staande gedoe heeft echt helemaal niemand wat aan.