Masterclass ai: ‘Een enorme impact op het bedrijfsleven’
Artifical intelligence (ai) is binnen het bedrijfsleven in opkomst. Op dit moment gebruiken online klantenservices vaak een chatbot die eenvoudige, terugkerende vragen van klanten beantwoordt. Maar als de vragen complexer worden, word je nu doorverwezen naar een medewerker. Het gebruik van ai stelt de chatbot in staat om ook meer ingewikkelde vragen te beantwoorden. Een tweede voorbeeld: door de toepassing van ai binnen marketing, kan een klant nog beter – persoonlijker – benaderd worden. Zeker sinds ChatGPT op de markt is, openen zich nieuwe wegen, en bedrijven broeden op hoe ze deze mogelijkheden kunnen benutten. Maar wat zijn de haken en ogen bij de toepassing van ai? Mogen medewerkers ai wel of niet gebruiken in de uitvoering van hun taken? Waar ging het al mis? En met welke regels moeten bedrijven binnenkort rekening houden als de Europese AI Act van toepassing wordt? Deze vragen kwamen aan de orde tijdens een masterclass over ai voor company secretaries, georganiseerd door A&O Shearman en Management Scope.
Ook in het dagelijkse werk van company secretaries kan het gebruik van ai nuttig zijn. Zo kan een company secretary tijd besparen als het notuleren en samenvatten van bestuursvergaderingen geautomatiseerd zou kunnen gebeuren. Een mogelijke oplossing daarvoor is Boards, een ai-oplossing die onlangs door A&O Shearman is geïntroduceerd. Het gezelschap kreeg een demonstratie van Stephen Beattie, head of corporate client solutions van A&O Shearman. Daar had het publiek wel oren naar: het notuleren gebeurt nog altijd handmatig. ‘Maar ook in het bestuur kunnen ai-tools meerwaarde opleveren’, aldus Beattie. ‘Ai kan zelfs als een extra bestuurder of commissaris fungeren, omdat de robot inzichten kan genereren die kunnen helpen bij de besluitvorming.’
Een allesomvattend regelgevend kader
Ai is niet nieuw, maar de introductie van ChatGPT in november 2022 heeft veel bedrijven stof tot nadenken gegeven. ChatGPT heeft aangetoond dat grote hoeveelheden informatie op een gebruiksvriendelijke manier toegankelijk kunnen worden gemaakt. Zo ontwikkelde A&O Shearman haar eigen ai-tool ContractMatrix die gekoppeld is aan Harvey, de juridische variant van ChatGPT.
ContractMatrix stroomlijnt het opstellen en herzien van contracten en bespaart daarmee veel tijd. Harvey kan ook helpen bij het beoordelen of herschrijven van het contract. Welke ai-toepassingen bedrijven ook gebruiken, binnenkort moeten zij rekening houden met regels die voortvloeien uit de Europese AI Act. In december 2023 bereikte Europa een politiek akkoord over de tekst van de AI Act. Wat opvalt in vergelijking met een eerder tekstvoorstel, is dat ai-toepassingen als ChatGPT niet gereguleerd werden. Met de komst van ChatGPT bogen de Europese beleidsmakers zich opnieuw over de tekst. In de uiteindelijke tekst van de AI Act is een apart hoofdstuk gewijd aan general purpose ai-models. De AI Act wordt wereldwijd het eerste allesomvattend regelgevend kader van toepassing op ai.
De AI Act kan dan ook grote impact hebben op het bedrijfsleven, stelt Nicole Wolters Ruckert, expert data, privacy & ai van A&O Shearman. ‘De wet heeft een risico- gebaseerde aanpak en deelt ai-systemen in op risico’s. Die kunnen variëren van onacceptabel, hoog, beperkt tot minimaal. Hoe hoger de risico’s aan de toepassing van een ai-systeem, hoe strenger de eisen. Zo is het gebruik verboden van een ai-systeem dat de vrije besluitvorming van een individu zodanig manipuleert, dat het individu een besluit neemt dat hij zonder de manipulatie niet zou hebben genomen. De regels zijn van toepassing op de partijen die ai-systemen in de EU op de markt brengen, EU-partijen die gebruikmaken van ai-systemen alsook op niet-EU-partijen waarvan de output van ai-systemen een effect genereert binnen de EU.’
Meer transparantie
Opmerkelijk is dat de AI Act de term ‘generatieve ai’ niet gebruikt, maar koos voor de term ‘general purpose ai’. De AI Act maakt vervolgens een verschil tussen een ‘general purpose ai model’ en een ‘general purpose ai system’. Ter verduidelijking: bij ChatGPT is GPT het large language model en dus het ‘general purpose ai model’ en is Chat – de zoekfunctie – het ‘general purpose ai system’.
‘De meeste regels uit de AI Act hebben betrekking op het model en niet zozeer op het systeem’, aldus Wolters Ruckert. Volgens de AI Act zijn er, als het gaat om general purpose ai, twee risicogroepen. Dat zijn allereerst modellen met een hoog risico, deze hebben een enorme computerkracht en gebruiken gigantische hoeveelheden data, waardoor het gevaar op systemic risks bestaat. De tweede risicogroep betreft modellen met een beperkt risico: alles wat niet onder de eerste categorie valt. Daarbij moeten de leveranciers de IP-rechten (het intellectuele eigendom) van auteurs, artiesten of uitgevers respecteren. Ook moeten leveranciers inzicht gaan geven in welke data ze hebben gebruikt om het model te trainen. ‘Dat betekent nogal wat’, aldus Wolters Ruckert. ‘Niet zo lang geleden had niemand enig idee welke informatie ChatGPT gebruikt, maar daar gaat verandering in komen.’ Naast het specifieke hoofdstuk dat gaat over general purpose ai, is er ook een apart hoofdstuk dat de regels uiteenzet van toepassing op ai-systemen met een beperkt risico. Leveranciers van ai-systemen die geluid, beeld, video of tekst genereren, zullen ervoor moeten zorgen dat het duidelijk is dat de output is gegenereerd door middel van ai.
Met hulp van ChatGPT
Het zijn niet alleen de grote techbedrijven die zullen moeten voldoen aan de eisen in de AI Act. ‘Ook organisaties die hun eigen ChatGPT-tool hebben gebouwd, kunnen door de AI Act als aanbieder worden bestempeld en zullen zich aan de regels moeten houden.’
Een ander verstrekkend gevolg: bedrijven die ai in hun producten incorporeren, zullen daar in de nabije toekomst ook open over moeten zijn naar klanten. Binnen A&O Shearman leidt dat al tot discussies, deelt Wolters Ruckert. ‘Collega's die een advies schrijven, vertellen daar nu niet bij dat het advies deels tot stand kwam dankzij onze eigen ai-tool. Straks moet zo’n advies wellicht van een disclaimer worden voorzien.’
Wolters Ruckert heeft drie aanbevelingen voor bedrijven die onder de AI Act vallen:
- Zorg voor controle
Veel bedrijven hebben op dit moment weinig zicht op welke ai-tools er door HR, customer service en marketingafdelingen worden aangeschaft. Medewerkers kunnen enthousiast zijn over het potentieel van ai en daarbij de risico’s uit het oog verliezen. - Zorg voor duidelijke regels
Stel duidelijke regels op rond het gebruik van ai. Welke tools mogen er worden gebruikt binnen het bedrijf of welke overweegt het bedrijf te gebruiken? Welke medewerkers mogen daar gebruik van maken en hoe laat je ze er verantwoord mee omgaan? Formuleer regels, maar maak het niet te ingewikkeld. Beter tien korte regels dan een dik document dat niemand leest. - Bereid je voor op de EU AI Act
Elk bedrijf moet bepalen of het alleen een ‘gebruiker’ wordt onder de AI Act, of dat het misschien ook ‘ontwikkelaar/ leverancier’ wordt. Veel bedrijven lijken plannen te hebben om een eigen ChatGPT-achtige ai-tool – met eigen content die is afgesloten van het internet – te bouwen. Belangrijk is te analyseren wat dan je rol wordt onder de AI Act en welke eisen er gelden.
Neem ook contracten met leveranciers van ai-tools onder de loep. Leveranciers worden op basis van de AI Act verplicht om veel meer informatie te verschaffen aan gebruikers over hun product dan zij momenteel doen. Maar op dit moment wil je al weten of een leverancier ai gebruikt, wat voor ai en welke data er worden gebruikt om het ai-model te trainen.
De toekomstige AI Act zou ook een thema moeten zijn bij fusies, overnames of samenwerkingsverbanden. De vraag is dan ook hoe bedrijven omgaan met de komende AI Act, welke rol zij hebben, welke ai-systemen zij gebruiken, welke data ze gebruiken, waar die data vandaan komen en hoe ze die gebruiken, hoe ze (cyber)veiligheid hebben geborgd en hoe hun interne beleid eruitziet.
Forse boetes
De termijn waarin bedrijven moeten voldoen aan de regels, is afhankelijk van de categorie waarin een ai-systeem valt. Bedrijven die verboden ai-systemen aanbieden of gebruiken, moeten al binnen zes maanden voldoen en dus stoppen met dit gebruik. Voor de overige risicoklassen geldt in het algemeen een periode van een tot twee jaar voor de regels van toepassing worden. Belangrijk is om op te merken dat de regels waarschijnlijk eind juli of begin augustus van kracht worden.
Wolters Ruckert verwacht dat het toezicht op naleving van de AI Act ingewikkeld zal worden. De Europese Commissie en in het bijzonder de AI Office wordt verantwoordelijk voor toezicht op ‘general purpose ai-models’. Het toezicht op hoog risico ai-systemen is dan weer nationaal belegd. ‘Er lijkt niet één ai-toezichthouder te komen: het toezicht vereist samenwerking tussen verschillende toezichthouders.
Alleen al in Nederland zijn er al 36 toezichthouders en inspecties geïdentificeerd die zich met het toezicht op de AI Act moeten gaan bezighouden.’ Toch raadt de jurist elke organisatie aan om nu al voorbereidingen te treffen op de komende EU AI Act. Niet op de laatste plaats omdat de hoogte van boetes bij niet-naleving aanzienlijk is, tot maximaal 35 miljoen euro per overtreding of 7 procent van de wereldwijde omzet.
Een volwassen ai-beleid
Dat er genoeg werk aan de winkel is, werd kortom wel duidelijk tijdens deze drukbezochte masterclass. De grote vraag is bij wie deze verantwoordelijkheid het best kan worden neergelegd. Volgens Wolters Ruckert kiezen veel bedrijven ervoor om die aan de portefeuille van de data privacy officer of de data protection officer toe te voegen. ‘Maar dat is te simpel’, meent ze. ‘Ai vereist toch weer heel andere kennis. Het is beter om te kijken waar de expertise over ai binnen de organisatie het grootst is, en de verantwoordelijkheid bij een van deze experts neer te leggen.’ Gezien de complexiteit die ai met zich meebrengt, is het zinvol als bedrijven zich allereerst over deze kwestie buigen. Dat zou een belangrijke stap richting een volwassen ai-beleid zijn.
Dit artikel is gepubliceerd in Management Scope 06 2024.