De nieuwe wet op de private opsporing

Dhr. Bart De Bie (i-Force) en mr. Stijn De Meulenaer (Everest)

Webinar op donderdag 17 oktober 2024


Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

De AI Policy: Onmisbaar in je bedrijf in tijden van Generatieve AI (Sirius Legal)

Auteur: Bart Van den Brande (Sirius Legal)

Generatieve AI, met tools als ChatGPT en Bard, opent een nieuwe wereld van mogelijkheden voor bedrijven. Denk aan het automatisch genereren van teksten, het beantwoorden van klantenvragen of het creëren van afbeeldingen. Maar met die kracht komen ook gevaren en risico’s op vlak van bijvoorbeeld intellectuele eigendom, bescherming van bedrijfsgeheimen en bescherming van persoonsgegevens.

Voorzichtige bedrijven kiezen er daarom voor om een interne AI-policy op te stellen, waarin ze regels opleggen aan hun personeel en medewerkers over wat wel en niet kan met generatieve AI binnen de onderneming.  Hoe belangrijk dat is, werd een tijdje geleden al onderstreept door de Europese Commissie zelf, die ook voor haar eigen medewerkers richtlijnen voor het gebruik van AI heeft uitgevaardigd.

Juridische risico’s bij het gebruik van AI-tools

Bedrijven die Generatieve AI gebruiken, lopen vaak zonder het zelf te beseffen aanzienlijke risico’s op juridisch vlak.  Wat betreft intellectuele eigendom bijvoorbeeld bestaat het reële gevaar dat door generatieve AI gegenereerde beelden, de IP van derden schenden. AI-modellen kunnen immers teksten, afbeeldingen of code genereren die lijken op bestaande, beschermde werken. Een hele reeks lopende rechtszaken waarin grote mediabedrijven zoals Getty Images of The New York Times zich keren tegen Google, Open AI en andere AI-spelers maakt duidelijk dat dit geen puur hypothetisch risico is.  Omgekeerd beseffen veel bedrijven niet dat de door generatieve AI gegenereerde beelden en teksten op hun beurt niet beschermd zijn door auteursrecht en dat iedereen ze dus vrij kan kopiëren, wat ernstige afbreuk kan doen aan de uitstraling en communicatie van een bedrijf.

Bovendien bestaat het risico dat knowhow of bedrijfsgeheimen onthuld worden bij het gebruik van AI-tools. AI-modellen kunnen immers gevoelige informatie leren uit de data waarop ze getraind worden. Deze informatie kan dan via de gegenereerde outputs gedeeld worden met derden.  Met name Samsung liep al tegen de pijnlijke vaststelling aan dat hoogst vertrouwelijke R&D info publiek beschikbaar raakte via een op basis van die informatie getrainde AI-chatbot.

Voeg daarbij de aanzienlijke risico’s op vlak van gegevensbescherming en GDPR en je begrijpt waarom heel wat bedrijven de nood voelen om het gebruik van AI binnen hun onderneming zo goed mogelijk onder controle te krijgen en te reguleren.

De Europese Commissie als voorbeeld

Zelfs de Europese Commissie nam een tijd geleden al een interne AI Policy aan voor het gebruik van ChatGPT-achtige tools. Ze toont daarmee ook meteen het belang aan van een voorzichtige en doordachte aanpak op het vlak van AI-gebruik binnen organisaties.

De richtlijnen hebben betrekking op tools van derden die publiekelijk online beschikbaar zijn, zoals ChatGPT. Ze zijn bedoeld om het personeel van de Europese Commissie te helpen bij het begrijpen van de risico’s en beperkingen die online beschikbare tools met zich mee kunnen brengen, en om te ondersteunen bij het juiste gebruik van deze tools”, luidt een begeleidende nota bij de EU-richtlijnen.

De EU-policy regelt precies de risico’s die we hierboven al aanhaalden: het gevaar voor het publiek raken van vertrouwelijke informatie, het risico op issues rond intellectuele eigendom en gegevensbescherming en ook, specifiek voor een overheid als de Europese Commissie, het gevaar op het genereren van verkeerde of bevooroordeelde antwoorden.  Reden genoeg voor de EC om alles in een AI-policy te gieten.

Wat is een AI Policy?

Een AI Policy is niet meer dan een intern beleidsdocument waarin ten aanzien van je personeel en medewerkers enkele cruciale vragen die relevant zijn voor de risicobeheersing binnen je bedrijf bij het gebruik van AI-tools geregeld zijn:

  • Welke tools mogen je medewerkers gebruiken? ChatGPT, Bard, of andere tools die op de markt komen?
  • Welke data mag gevoed worden in prompts? Persoonsgegevens, gevoelige bedrijfsinformatie, data van derden?
  • Hoe garanderen we ethiek en veiligheid in AI-toepassingen? Vermijden we bias en discriminatie? Beschermen we de privacy van onze klanten?
  • Wie is aansprakelijk bij fouten of schade? Wie draagt de verantwoordelijkheid als er iets misloopt?
Basiselementen van een goede AI-policy

Elke goede AI-policy moet minstens volgende aspecten omvatten:

  • Toegelaten tools: Bepaal welke tools je medewerkers mogen gebruiken. Maak een lijst van goedgekeurde tools op basis van veiligheid, betrouwbaarheid en ethische criteria. Evalueer nieuwe tools die op de markt komen en voeg ze toe aan de lijst indien ze voldoen aan de criteria.
  • Datagebruik: Bepaal welke data gebruikt mag worden in prompts. Bescherm persoonsgegevens en gevoelige informatie. Zorg voor transparantie over de datastromen die gebruikt worden in AI-modellen. Implementeer procedures voor databeheer en databescherming.
  • Ethiek en veiligheid: Implementeer ethische principes in je AI-gebruik. Vermijd bias en discriminatie in AI-modellen. Zorg voor naleving van wet- en regelgeving die relevant is voor AI-toepassingen. Ontwikkel processen voor toezicht en controle op naleving van de ethische principes.
  • Aansprakelijkheid: Bepaal wie aansprakelijk is bij fouten of schade. Leg vast wie de verantwoordelijkheid draagt voor de verschillende aspecten van AI-toepassingen. Implementeer procedures voor klachtenbehandeling en geschillenbeslechting. Zorg voor verzekeringen om risico’s te dekken die verbonden zijn aan het gebruik van AI.
Wat betekent dat in de praktijk?

Gebruik je bijvoorbeeld ChatGPT voor je klantenservice? Leg dan vooraf vast welke vragen medewerkers via ChatGPT mogen beantwoorden. Beperk het gebruik tot eenvoudige vragen en vermijd gevoelige of complexe onderwerpen.

Wie teksten genereert voor marketingdoeleinden zorgt er best voor dat de gegenereerde teksten geen auteursrechtelijk beschermd materiaal bevatten, geen valse claims maken en voldoen aan alle regels van consumentenbescherming en reclamerecht.

Ook binnen HR wordt AI ingezet.  Gebruik jij AI voor HR-processen? Beslis dan vooraf hoe AI gebruikt mag worden om bijvoorbeeld sollicitaties te beoordelen. Zorg ervoor dat AI geen discriminerende beslissingen neemt en dat de privacy van sollicitanten gewaarborgd wordt.

Een AI Policy: jouw antwoord op AI-risico’s

Een AI Policy is met andere woorden geen overbodige luxe. Het is een essentieel instrument om je bedrijf veilig doorheen de nog nieuwe en wondere wereld van Generatieve AI te loodsen. Zorg daarbij voor een policy die past bij jouw organisatie en waarborgt dat je AI op een verantwoorde en ethische manier inzet.

Bron: Sirius Legal

» Bekijk alle artikels: IT & IP, Privacy & Gegevensbescherming