Toezichthouders: zet uw AI-antenne aan

Basiskennis, overzicht, verdieping
Interview

Bij EY komen steeds meer vragen binnen, ook van toezichthouders, hoe om te gaan met (kansen en bedreigingen rondom) AI. Bernadette Wesdorp, Responsible AI leader bij EY en Auke de Bos, EY-bestuurslid en professor, over onder meer de AI Act, Responsible AI en een speciale AI ethics board. Boodschap: omarm AI als kans, maar wees waakzaam voor de gevaren. ‘Pas zat er nog ongemerkt een robot aan tafel bij een meeting….’

Is de Europese AI Act al aangenomen? En wat zijn de consequenties ervan?

Bernadette Wesdorp: ‘De AI Act is aangenomen, maar is nog niet in werking getreden. De wet is er vooral om de mens en hun “fundamental rights” te beschermen. Vaak wordt gedacht dat de wet een blokkade op innovatie zal leggen, maar wij zien ook enorme kansen door AI. Je moet vooral goed de modellen achter AI uitleggen en kwalitatief goede data gebruiken zodat er (bijvoorbeeld) geen bias ontstaat.’ Lees hier meer over de AI Act.

En? Zijn toezichthouders voldoende voorbereid op AI en er voldoende mee bezig?

Governance-expert Auke de Bos: ‘Het is complex. Maar heel het toezichthouden is complex geworden. Denk ook aan de rol die ESG gaat vervullen. De discussie is vaak in toezichthoudende organen: moet ik generiek iets weten, of in detail? Ik denk dat het bij AI begint met een gezonde dosis basiskennis. Waar hebben we het eigenlijk over? En daarna verdieping. Vraag als toezichthouder bijvoorbeeld eerst eens aan de board of binnen een organisatie alle AI-processen bekend zijn en in kaart zijn gebracht. Dat biedt al overzicht. Bij EY kloppen steeds vaker bedrijven, en ook toezichthouders, aan om de gevolgen van AI beter te begrijpen. En dan draait het vooral om de balans tussen risico’s en belangen.’

Bij EY hebben jullie een EY Responsible AI-framework ontwikkeld om concreet en verantwoordelijk om te gaan met AI. Wat behelst dat framework?

Bernadette Wesdorp: ‘Op 30 oktober 2023 hebben de G7-leiders een overeenkomst bereikt over “een Code of Conduct omtrent Responsible AI”: The Hiroshima Process International Guiding Principles for Organizations Developing Advanced AI Systems. De ethisch verantwoorde inzet van AI, dat is in een notendop waar Responsible AI over gaat. ChatGPT heeft de noodzaak voor internationale maatstaven omtrent het gebruik van AI een flinke boost gegeven. De hype leidde mede tot de toevoeging van generative AI in de Europese AI Act. Het EY Responsible AI-framework stelt organisaties in staat om AI-risico's te verminderen en tegelijkertijd te voldoen aan de AI Act. We hebben negen principes geformuleerd om op een verantwoorde manier met AI om te gaan. Met het EY Responsible AI-framework maken we het mogelijk om het volledige potentieel van AI te benutten. Dit doen we door het blootleggen van kwetsbaarheden en risico’s waarbij ethiek een centrale rol speelt. Tenslotte draait het bij Responsible AI om het kweken van vertrouwen. Door het volgen van onze negen aandachtspunten kunnen organisaties niet alleen de risico’s minimaliseren, maar ook de deur open zetten voor innovatie. De mogelijkheden van AI zijn eindeloos, zolang we er slim mee omgaan.’ Auke de Bos: ‘Bedrijven worstelen vaak met de vraag: wie is nu verantwoordelijk voor AI.’ Lees hier de negen ingrediënten van het framework.

Jullie pleiten ook voor een speciale AI ethics board binnen organisaties. Wat behelst dat?

Bernadette Wesdorp: ‘Oude bedrijfsmodellen bestonden vaak uit silo’s. In de nieuwe AI-wereld gaat het om multidisciplinaire onderwerpen dwars door organisaties heen. AI beperkt zich niet tot een silo. In een AI ethics board zitten mensen uit diverse disciplines die nadenken over de impact van AI. Iemand van legal, data, IT… Mensen die iets van wetgeving weten, maar ook mensen vanuit de strategie. Wat mij betreft draait het om drie dingen bij AI in organisaties: heb een goed overzicht van wat er allemaal aan AI wordt ontwikkeld en gebruikt, benader AI multidisciplinair en zorg ervoor dat iedere medewerker snapt wat AI is: wat je er mee kunt en wat de gevaren zijn.’ Auke: ‘Het heeft geen zin om AI buiten de deur te houden. De nieuwe generatie werkt er volop mee. Zorg ervoor dat je er als bedrijf goed mee omgaat. Of toezichthouders zich voldoende bewust zijn van de impact van AI? Ik denk dat het wordt onderschat. Je kunt tegenwoordig in een RVC-vergadering niet meer zeggen: AI, daar heb ik geen verstand van. Maar, zoals ik stelde, het is complex. Toezichthouders zouden zich vaker moeten laten bijscholen over dit onderwerp dat zich razendsnel ontwikkelt.’

Kan AI fraude eerder detecteren (belangrijk voor een controlerende organisatie als EY) of zal AI juist zorgen voor meer fraude?

Auke de Bos: ‘Dat was pas het onderwerp tijdens het EY webinar “Focus op Fraude”. Fraude gaat van  eenvoudige AI toepassingen (phishing) tot meer complexe AI toepassingen (deep fake). De algemene opinie tijdens het webinar was dat het risico op fraude door AI groter zal worden. Waarbij de mens de zwakste schakel is. Uiteindelijk is het de mens die fouten (password onveilig,  geen software updates etc.) maakt. Mijn take away op dat webinar was: zet je AI-antenne vaker aan. Zeker ook als toezichthouder. In “normale” situaties ben je wel alert als er iets raars gebeurt. Maar onder hoge druk en stress wordt die alertheid minder. En zeker AI vraagt om hoge alertheid omdat je er nog niet echt aan gewend bent. Tijdens dat webinar kwam een voorbeeld voorbij waarbij een robot aan een bestuurstafel had gezeten (deepfake) zonder dat iemand er erg in had.’ Bernadette over die antenne: ‘Tot voor kort pikte je een phishing-mail er makkelijk uit vanwege de spelfouten. Dat is niet meer zo. En we willen als mensheid dat alles makkelijk gaat: met één knop een bankrekening openen. Snel, snel, snel. Maar soms is een dubbele veiligheid echt beter. Als organisatie moet je zoeken naar een goede balans tussen veilig en makkelijk.’

Werkt EY zelf met AI?

Bernadette Wesdorp: ‘Recent hebben we in onze organisatie een private ChatGPT gelanceerd, EYQ genoemd. Ongeveer alles wat ChatGPT kan, kan EYQ ook. Het is onze virtuele assistent in een beschermde omgeving met zelflerend vermogen. EY gaat deze technologie inzetten voor klanten, bijvoorbeeld om proposals of andere producten te creëren. Maar ook als hulpmiddel bij de controles van jaarrekeningen.  Op zowel de input als de output van EYQ is vanzelfsprekend altijd een review nodig. Menselijke tussenkomst blijft voorlopig altijd nodig.’

Tot slot: welke stappen moeten organisaties nu al zetten?

Bernadette Wesdorp: ‘Breng alle AI-systemen in kaart die een organisatie heeft ontwikkeld (of van plan is te ontwikkelen) of waarvan gebruik wordt gemaakt. Bepaal of een van deze systemen binnen de reikwijdte van de AI Act valt en bepaal vervolgens de risicoclassificatie en daarmee de toepasselijke nalevingseisen. Begrijp de positie van uw organisatie in relevante AI-waardeketens, de bijbehorende complianceverplichtingen en hoe aan deze verplichtingen zal worden voldaan. Compliance moet worden ingebed in alle functies die verantwoordelijk zijn voor de AI-systemen. En stel een plan op om ervoor te zorgen dat de juiste verantwoordingsplicht en governance kaders, risicobeheer- en controlesystemen, kwaliteitsbeheer, monitoring en documentatie aanwezig zijn wanneer de verordening van kracht wordt.’ Lees hier meer (ook over de risico’s binnen de nieuwe AI Act.)

Hier staat veel info van EY over AI samen op één plek.