Waarom is een gestructureerde aanpak van governance noodzakelijk voor elk AI-project?

Voor bijna alle organisaties is kunstmatige intelligentie (AI) momenteel het meest besproken onderwerp. Veel bedrijven zijn dan ook benieuwd naar de mogelijke voordelen. AI brengt echter ook mogelijke uitdagingen en risico’s met zich mee. Deze moeten worden beheerst om veilige, verantwoorde, betrouwbare en ethische ontwikkeling, implementatie en toepassing van AI-systemen mogelijk te maken. De ISO/IEC 42001-norm voor AI-managementsystemen speelt een cruciale rol als raamwerk dat richting geeft aan de ontwikkeling van AI en de levering van betrouwbare AI-oplossingen waarborgt.

Hoewel AI al een tijdje bestaat, werd het tot voor kort nog niet enthousiast omarmd. Uit een recent ViewPoint-onderzoek van DNV bleek dat een aanzienlijk deel van de organisaties (58%) nog helemaal geen AI-technologie heeft geïmplementeerd en dat in totaal meer dan 70% van de organisaties nog aan het begin van een AI-traject staat. Uit de cijfers blijkt dat AI voor de meeste organisaties nog geen strategische prioriteit is.

Veel organisaties die op de enquête hebben gereageerd, zijn misschien nog starters op het gebied van AI. Maar het zijn geen start-ups in de gebruikelijke zin van het woord, en ze zijn ook niet onbekend met de noodzaak of de voordelen van governance. Ze hebben al een managementsysteem geïmplementeerd dat voldoet aan een of meer normen, bijvoorbeeld ISO 9001 (kwaliteit), ISO 14001 (milieu) of ISO/IEC 27001 (informatiebeveiliging). Maar vooral organisaties die in een zeer vroege fase van hun AI-traject verkeren, zien vaak nog niet de noodzaak om dezelfde aanpak toe te passen op het gebied van AI. .

De groeiende behoefte aan governance

Organisaties die we in deze context ‘starters’ zouden kunnen noemen, willen AI vooral inzetten om intern de efficiëntie te verbeteren en processen te optimaliseren. Dit is vaak de eerste stap, omdat oplossingen zoals Copilot en ChatGPT relatief eenvoudig geïmplementeerd en toegepast kunnen worden. Naarmate organisaties volwassener worden, ontstaat een verschuiving naar externe, meer complexe AI-systemen die zijn gericht op het genereren van omzet en het verkennen van nieuwe zakelijke kansen. Deze vooruitgang leidt tot een groeiende behoefte aan gestructureerde aanpak om de risico’s zo goed mogelijk te beheersen en te zorgen voor veilige, betrouwbare en ethische ontwikkeling, implementatie en toepassing van AI.

Er komt in hoog tempo steeds meer regelgeving rond AI en organisaties zullen moeten aantonen dat ze de regels naleven. Bovendien hebben gebruikers een inherent sceptische houding, waardoor een vertrouwenskloof moet worden overbrugd. Om een technologie te kunnen vertrouwen en benutten, moeten we begrijpen hoe deze werkt en moeten we de veiligheid, betrouwbaarheid en transparantie van de technologie kunnen beoordelen. Dit probleem wordt uitgewerkt in een rapport uit maart 2024 van de AI Assurance Club: AI Governance and Assurance Global Trends 2023-24. Het rapport beschrijft wereldwijde trends en ontwikkelingen op het gebied van regelgeving. Over het onderwerp ‘vertrouwen’ staat in het rapport: “De kwestie van vertrouwen staat centraal in de puzzel rond AI-governance. Naarmate AI-systemen meer in ons leven worden geïntegreerd, bijvoorbeeld in infrastructuren, bedrijfsprocessen, openbare diensten of consumentengoederen, moeten gebruikers erop kunnen vertrouwen dat deze systemen consistent blijven werken zoals ze zijn bedoeld, zonder schade te veroorzaken.”

De kloof overbruggen

Met de ‘vertrouwenskloof’ bedoelen we het potentiële gebrek aan vertrouwen en transparantie met betrekking tot de AI-gebaseerde producten en/of diensten van een organisatie. Als een ziekenhuis bijvoorbeeld diagnostiek met AI-ondersteuning toepast, kan ik er als patiënt dan op vertrouwen dat de diagnose net zo goed of zelfs beter is dan een beoordeling die door alleen de arts wordt gemaakt? Om de vertrouwenskloof te kunnen overbruggen, vóórdat AI-systemen te complex en autonoom worden, is krachtige governance een must.

Het opbouwen van vertrouwen is een centraal element in alle ISO-normen voor managementsystemen, dus het is geen verrassing dat dezelfde aanpak kan worden gevolgd als het gaat om AI. Volgens de DNV ViewPoint-enquête overwegen de meeste organisaties die vooroplopen in ontwikkeling en implementatie van AI, inmiddels de invoering van een AI-managementsysteem om hoogwaardige governance te waarborgen. Deze organisaties zijn al bekend met de ISO/IEC 42001-norm.

Er bestaan al diverse AI-raamwerken en aanvullende normen, waaronder het NIST AI Risk Management Framework, ISO/IEC 23894 (AI-richtlijnen voor risicomanagement), ISO/IEC 5338 (levenscyclusproces voor AI-systemen) en ISO/IEC TS 25058. In december 2023 werd de ISO/IEC 42001-norm voor AI-managementsystemen (AIMS) gepubliceerd door ISO. Dit is de eerste certificeerbare AIMS-norm die een robuuste benadering biedt voor het beheer van de vele kansen en risico’s in verband met AI binnen een organisatie. Deze norm helpt organisaties een belangrijke stap te zetten bij het overbruggen van de vertrouwenskloof, aangezien naleving van de norm ertoe kan leiden dat een certificaat wordt afgegeven door een onafhankelijke externe certificatie-instelling zoals DNV. Omdat de norm bovendien is gebaseerd op de ISO High Level Structure (HLS), kan de norm eenvoudig worden geïntegreerd met andere managementsystemen.

ISO/IEC 42001 is ontworpen volgens dezelfde  structuren als andere ISO-managementnormen en voelt daarom vertrouwd aan bij organisaties die al over een ander ISO-managementsysteem beschikken. Aan de hand van de methode ‘Plan-Do-Check-Act’ specificeert ISO/IEC 42001 bepaalde vereisten. De norm is gericht op het ontwikkelen, implementeren, onderhouden en voortdurend verbeteren van een AI-managementsysteem. Aangezien cyberbeveiliging door alle respondenten in de -enquête werd genoemd als een belangrijke dreiging voor hun AI-implementatie, kan het zeer waardevol zijn om een ISO/IEC 27001-conform managementsysteem voor informatiebeveiliging te integreren.

Vertrouwen opbouwen

De ISO/IEC 42001-norm zal ongetwijfeld nog belangrijker worden naarmate meer en meer landen AI-regelgeving gaan invoeren. Er bestaan al regels en beleidsrichtlijnen in de VS en China. In Europa is onlangs de EU AI-verordening, de eerste veelomvattende AI-wetgeving ter wereld, in werking getreden. Deze verordening is bedoeld om veilige, beveiligde, betrouwbare en ethische ontwikkeling van AI-systemen te bevorderen en te waarborgen. De ontwikkeling van corporate governance voor AI komt steeds duidelijker naar voren als een belangrijk element om naleving van wet- en regelgeving te waarborgen en vertrouwen op te bouwen.

Om verzekerd te zijn van goede AI-governance, is het belangrijk om een centrale kernfunctie voor meerdere teams in het leven te roepen die technologieën, toepassingen en leveranciers voor AI herkent en begrijpt. Bovendien zal het, vanwege de voortgaande ontwikkelingen in het AI-veld en de veranderende regelgeving, noodzakelijk zijn dat een specifieke governancecommissie en een aantal stakeholders het programma voor AI-governance regelmatig herzien en bijwerken. Ook dit is een voordeel van het implementeren en laten certificeren van een managementsysteem dat voldoet aan ISO/IEC 42001.

Het volgen van een gestructureerde aanpak voor governance en verantwoord gebruik van AI kan uiteindelijk een concurrentievoordeel opleveren en zal organisaties helpen om interne en externe stakeholders te laten zien dat de organisatie beschikt over een robuuste aanpak om gebruikers te beschermen en voortdurende verbetering door te voeren. Een gecertificeerd managementsysteem laat zien dat de organisatie zich dagelijks inzet en actie onderneemt om te zorgen voor veilige, betrouwbare en ethische ontwikkeling, implementatie en toepassing van AI in haar processen en aanbod van producten en diensten.