Ben je veilig met de AI Act? 5 prangende vragen beantwoord

Vorige week is de AI Act weer een stap dichterbij gekomen. Die Europese wet probeert burgers te beschermen tegen de gevaren van kunstmatige intelligentie. Maar voor wie is die wetgeving eigenlijk bedoeld? Wanneer treedt de act in werking? Wat merk jij ervan in je werk? En de belangrijkste vraag: ben je nu veilig met AI?

Raakt de AI Act jullie?

Collega-auteur Tieme Worldman schreef een paar dagen geleden al over de AI Act. Ik hoef daarom niet meer uit te leggen wat die wetgeving precies inhoudt. Het is duidelijk dat de wet vooral bedoeld is voor de ontwikkelaars van AI-applicaties. Als je tools laat bouwen of inrichten, dan geldt de act ook voor jou.

De reikwijdte van de wet hangt er ook vanaf wat je met AI doet, ook al gebruik je standaardtools. De precieze regels en standaarden moeten allemaal nog worden uitgewerkt, maar logischerwijs vallen toepassingen in kritieke en risicovolle sectoren, zoals medische zorg en infrastructuur, eerder in de hoog-risico categorie.

Ook logisch: de wet noemt het gebruik van AI in recruitment en personeelsmanagement specifiek als hoog-risico. Daar kan makkelijk bias insluipen. Die bias is een bekend probleem met alle op large language models gebaseerde kunstmatige intelligentie, zoals ChatGPT. Dat geeft ook direct de schaal van het probleem aan: de ingebakken vooroordelen zijn lastig te bepalen en eruit te filteren. Nog niet duidelijk is of AI-tools voor bijvoorbeeld customer experience management hierdoor ook als hoog-risico zullen worden aangemerkt.

Een acuut probleem?

Als AI-tools of toepassingen in de hoog-risico categorie vallen, dan gelden er onder de AI Act allerlei regels. Of liever gezegd: dan gaan er allerlei regels gelden. Hoewel we in de EU voorlopen, zit er in de ontwikkeling van de wetgeving over AI helaas heel wat minder vaart dan in de ontwikkeling van AI zelf.

Het wetgevingsproces loopt al sinds april 2021, toen behalve een stelletje geeks nog niemand van generatieve AI had gehoord. Via de Europese Commissie en de Europese Raad zijn we nu aangeland bij het Europees Parlement, dat de definitieve versie van de AI Act hopelijk eind dit jaar gaat aannemen. Dan moeten de standaarden worden uitgewerkt en vastgesteld, waarna de wet hopelijk in 2026 in werking kan treden.

Wat moet je er nu mee?

OK, je hebt dus nog zeker twee jaar om je zaakjes op orde te krijgen. Maar nog beter is om dat nu al te doen. Ten eerste wordt de wetgeving als zinvol en redelijk gezien – ook, na enig tegenstribbelen, door de AI-ontwikkelaars zelf. Ten tweede gaat de inzet van AI de komende tijd ongetwijfeld een vlucht nemen. En dan kun je het maar beter in een keer goed doen.

Bij jullie als communicatiespecialisten zal het daarbij vast (ook) om generatieve AI-tools gaan. Daar besteedt de wet specifiek aandacht aan. Als je generatieve AI gebruikt, dan moet je onder de AI Act duidelijk vermelden dat de content AI-gegenereerd is, ook al gaat het om laag-risico gebruik.

Dat begrijp ik als je het over een autonome helpdesk-chatbot hebt. Voor creatieve doeleinden roept dat natuurlijk vragen op: wat als je een draft laat genereren door AI en die zelf aanpast? Wat als je stukken originele content met AI bewerkt of combineert? Tijdens de uitwerking van de act zullen hier antwoorden op moeten komen.

Wel handig is dat generatieve AI-apps openheid moeten gaan geven over auteursrechtelijk-beschermde content die ze gebruiken. Dat gaat jou als zakelijk gebruiker ook duidelijkheid geven. Nu zijn organisaties vaak bang voor eventuele copyright claims als ze AI-content gebruiken.

Ben je nu veilig?

Als een goede consultant zeg ik natuurlijk: dat hangt ervan af. Sowieso treedt de wet dus niet voor 2026 in werking. Als je wil experimenteren met AI, dan hoef je voorlopig dus nog niet bang te zijn dat je de wet overtreedt. Maar belangrijker, je bent als afnemer van AI-diensten en als eindgebruiker daarom ook nog niet wettelijk beschermd.

Er zijn wel een aantal dingen die je nu al kan doen om zo veilig mogelijk gebruik te maken van AI. Dat begint met een goede analyse van de processen waarvoor je AI wil inzetten. De AI Act geeft je nu al een leidraad voor de zaken waar je op moet letten om te bepalen of dat een hoog, midden of laag risico vormt.

Met de explosie van AI-tools die op de markt komen is een deugdelijk toolselectieproces ook erg belangrijk. Je mag ervan uitgaan dat de grote jongens al voorsorteren op de AI Act. Microsoft’s Bing Enterprise Chat en het langverwachte Copilot, dat vanaf 1 november beschikbaar komt, en Google’s Duet AI voor Workspace horen daarbij. Maar van de honderden plugins in ChatGPT en de ontelbare losse appjes voor alle mogelijke toepassingen is dat lang niet altijd duidelijk.

Of veilig genoeg?

Nu al een goede governance inrichten is daarom essentieel. Wie beslist er binnen jullie organisatie over welke tools je wanneer mag gebruiken? Welke criteria gebruik je daarvoor? Welke data mag je wel en niet in AI-tools uploaden? Communicatie en marketing hebben het wellicht relatief makkelijk, want jullie content is grotendeels toch al publiek.

Een ding weet ik zeker: het gebruik van AI verbieden totdat de wet er is werkt averechts. Deze technologie is zo slim en handig dat mensen het toch wel gaan gebruiken voor hun werk. Als hun werkgever dat niet faciliteert, dan doen ze het wel op hun privé-accounts op zelfgekozen, en wellicht onveilige publieke tools.

Wat dat betreft vrees ik voor een herhaling van de revolutie in digitale communicatie zo’n 15 jaar geleden. De vele werkgevers die toen te afwachtend waren zien hun medewerkers nu nog steeds onderling communiceren in ondoorzichtige en oncontroleerbare WhatsApp-groepjes, waar soms zelfs patiëntgegevens worden gedeeld.

Dus sta open voor disruptie en blijf vooruitdenken. Neem een paar premium accounts op veelbelovende tools, zet een sandbox op waarin iedereen naar hartenlust kan experimenteren, maak een set testcontent (met AI?) voor proofs of concept en laat je vooral niet tegenhouden – AI Act of niet.