Meer dan de helft van de organisaties is nog niet klaar voor AI Act
Meer dan de helft van de Nederlandse organisaties is nog niet klaar voor de AI Act. Dat blijkt uit onderzoek van Highberg. Met de eerste vereisten al van kracht en nog zo’n twee jaar tot de volledige wetgeving geldt, is er nog volop werk aan de winkel.
Met de Artificial Intelligence Act (AI Act) wil de Europese Unie burgers en bedrijven beter beschermen tegen onverantwoord gebruik van AI. Potentiële risico’s die gepaard gaan met het gebruik van AI-systemen worden zoveel mogelijk gemitigeerd.
De wetgeving trad op 1 augustus 2024 in werking en inmiddels zijn de eerste regels van kracht. Die verbannen systemen die in de hoogste AI-risicocategorie vallen en verplichten organisaties om te zorgen dat hun medewerkers AI-geletterd zijn.
De komende twee jaar worden verschillende andere verplichtingen van de AI Act in fases uitgerold, met augustus 2027 als einddatum. De impact op organisaties is aanzienlijk omdat de AI Act strikte nalevings-, transparantie- en risicobeheervereisten oplegt voor het gebruik van kunstmatige intelligentie.
Volgens het onderzoek van Highberg, dat gehouden werd onder publieke en private organisaties in Nederland, maakt vandaag de dag maar liefst 95% van hen gebruik van AI.
Gevraagd hoe goed organisaties voorbereid zijn, geeft ongeveer een derde aan nog niet scherp te hebben wat de impact is van de nieuwe wetgeving. Wat opvalt is dat drie van de tien organisaties die al wel bezig zijn met de AI Act de wetgeving puur als ‘moetje’ zien – zij richten zich op het compliant zijn en niet op het ontsluiten van strategische voordelen.
Implementatieaanpak loopt uiteen
De manier waarop organisaties aan de slag gaan met AI Act-implementatie blijkt aardig te verschillen.
Het begint bij de aansturing. De eindverantwoordelijkheid voor AI-compliance is versnipperd, bij een derde van de organisaties is nog geen formele verantwoordelijke aangewezen. En bij meer dan de helft van de bedrijven (57%) is onduidelijk welke afdeling verantwoordelijk is voor AI-compliance: juridische zaken, IT of de compliance-afdeling. En als deze wel is belegd, blijkt de verdeling van verantwoordelijkheden sterk te variëren.
Ook de uitdagingen waar organisaties mee worstelen tijdens de implementatie lopen uiteen. Meer dan een derde heeft onvoldoende kennis om de AI Act zelfstandig te implementeren, terwijl iets meer dan een kwart wel de juiste kennis in huis heeft (in de eigen perceptie), maar worstelt met de complexiteit van het traject. Veel organisaties zien de kosten van de implementatie niet als een struikelblok, bij zo’n 15% is dit wel het geval.
De risicocategorieën
Een uitdaging die bijna alle organisaties herkennen is hoe om te gaan met het vaststellen in welke AI-categorieën verschillende systemen en algoritmes vallen. De AI Act maakt onderscheid tussen vier categorieën: minimaal of geen risico, beperkt risico, hoog risico en onacceptabel risico.
Sinds februari dit jaar zijn AI-systemen die een ‘onacceptabel risico’ vormen verbannen. Maar veel organisaties geven tegenover Highberg aan dat de exacte criteria aan duidelijkheid te wensen overlaten. Slechts 15% beschikt over een volledige inventarisatie van hun hoog-risico AI-systemen.
“Hoewel toezichthouders richtlijnen bieden, blijft het voor de deelnemers een complex vraagstuk om te bepalen wanneer een AI-systeem als ‘hoog risico’ wordt gekwalificeerd”, zegt Frank van Vonderen, partner bij Highberg.
“Er is onduidelijkheid over de definitie van een AI-systeem en de reikwijdte ervan, evenals over de vraag of de risicobeoordeling moet plaatsvinden op basis van de functie van het systeem zelf of de bredere context van gegevensverwerking”, schetst hij.
Anticiperen op strategische voordelen
Het onderzoek laat zien dat risicomanagement, impactassessments en transparantie bij bijna de helft van de organisaties nog veel aandacht vereisen en bovenaan de prioriteitenlijst staan. “De implementatie van de AI Act vereist een grondige herziening van de interne processen en compliancestructuren binnen organisaties”, aldus Van Vonderen.
Juist in dit kader is het volgens Highberg onverstandig om slechts te mikken op compliant zijn. Als je als organisatie toch al je processen en structuren moet herzien, is het zonde om dit niet aan te grijpen om meer waarde te ontsluiten.
“De AI Act is niet alleen een juridische verplichting, maar biedt ook een kans om strategisch na te denken over de manier waarop AI-systemen worden ontworpen, gebruikt en hoe erover wordt gecommuniceerd”, aldus het rapport. “Organisaties die niet alleen voldoen aan de wet, maar ook anticiperen op de strategische voordelen van transparantie en risicomanagement, kunnen een concurrentievoordeel behalen.”
