De AI Policy: Onmisbaar in je bedrijf in tijden van Generatieve AI (Sirius Legal)

Juridische risico’s bij het gebruik van AI-tools

Bedrijven die Generatieve AI gebruiken, lopen vaak zonder het zelf te beseffen aanzienlijke risico’s op juridisch vlak.  Wat betreft intellectuele eigendom bijvoorbeeld bestaat het reële gevaar dat door generatieve AI gegenereerde beelden, de IP van derden schenden. AI-modellen kunnen immers teksten, afbeeldingen of code genereren die lijken op bestaande, beschermde werken. Een hele reeks lopende rechtszaken waarin grote mediabedrijven zoals Getty Images of The New York Times zich keren tegen Google, Open AI en andere AI-spelers maakt duidelijk dat dit geen puur hypothetisch risico is.  Omgekeerd beseffen veel bedrijven niet dat de door generatieve AI gegenereerde beelden en teksten op hun beurt niet beschermd zijn door auteursrecht en dat iedereen ze dus vrij kan kopiëren, wat ernstige afbreuk kan doen aan de uitstraling en communicatie van een bedrijf.

Bovendien bestaat het risico dat knowhow of bedrijfsgeheimen onthuld worden bij het gebruik van AI-tools. AI-modellen kunnen immers gevoelige informatie leren uit de data waarop ze getraind worden. Deze informatie kan dan via de gegenereerde outputs gedeeld worden met derden.  Met name Samsung liep al tegen de pijnlijke vaststelling aan dat hoogst vertrouwelijke R&D info publiek beschikbaar raakte via een op basis van die informatie getrainde AI-chatbot.

Voeg daarbij de aanzienlijke risico’s op vlak van gegevensbescherming en GDPR en je begrijpt waarom heel wat bedrijven de nood voelen om het gebruik van AI binnen hun onderneming zo goed mogelijk onder controle te krijgen en te reguleren.

De Europese Commissie als voorbeeld

Zelfs de Europese Commissie nam een tijd geleden al een interne AI Policy aan voor het gebruik van ChatGPT-achtige tools. Ze toont daarmee ook meteen het belang aan van een voorzichtige en doordachte aanpak op het vlak van AI-gebruik binnen organisaties.

“De richtlijnen hebben betrekking op tools van derden die publiekelijk online beschikbaar zijn, zoals ChatGPT. Ze zijn bedoeld om het personeel van de Europese Commissie te helpen bij het begrijpen van de risico’s en beperkingen die online beschikbare tools met zich mee kunnen brengen, en om te ondersteunen bij het juiste gebruik van deze tools”, luidt een begeleidende nota bij de EU-richtlijnen.

De EU-policy regelt precies de risico’s die we hierboven al aanhaalden: het gevaar voor het publiek raken van vertrouwelijke informatie, het risico op issues rond intellectuele eigendom en gegevensbescherming en ook, specifiek voor een overheid als de Europese Commissie, het gevaar op het genereren van verkeerde of bevooroordeelde antwoorden.  Reden genoeg voor de EC om alles in een AI-policy te gieten.

Wat is een AI Policy?

Een AI Policy is niet meer dan een intern beleidsdocument waarin ten aanzien van je personeel en medewerkers enkele cruciale vragen die relevant zijn voor de risicobeheersing binnen je bedrijf bij het gebruik van AI-tools geregeld zijn:

• Welke tools mogen je medewerkers gebruiken? ChatGPT, Bard, of andere tools die op de markt komen?
• Welke data mag gevoed worden in prompts? Persoonsgegevens, gevoelige bedrijfsinformatie, data van derden?
• Hoe garanderen we ethiek en veiligheid in AI-toepassingen? Vermijden we bias en discriminatie? Beschermen we de privacy van onze klanten?
• Wie is aansprakelijk bij fouten of schade? Wie draagt de verantwoordelijkheid als er iets misloopt?

Basiselementen van een goede AI-policy

Elke goede AI-policy moet minstens volgende aspecten omvatten:

• Toegelaten tools: Bepaal welke tools je medewerkers mogen gebruiken. Maak een lijst van goedgekeurde tools op basis van veiligheid, betrouwbaarheid en ethische criteria. Evalueer nieuwe tools die op de markt komen en voeg ze toe aan de lijst indien ze voldoen aan de criteria.
• Datagebruik: Bepaal welke data gebruikt mag worden in prompts. Bescherm persoonsgegevens en gevoelige informatie. Zorg voor transparantie over de datastromen die gebruikt worden in AI-modellen. Implementeer procedures voor databeheer en databescherming.
• Ethiek en veiligheid: Implementeer ethische principes in je AI-gebruik. Vermijd bias en discriminatie in AI-modellen. Zorg voor naleving van wet- en regelgeving die relevant is voor AI-toepassingen. Ontwikkel processen voor toezicht en controle op naleving van de ethische principes.
• Aansprakelijkheid: Bepaal wie aansprakelijk is bij fouten of schade. Leg vast wie de verantwoordelijkheid draagt voor de verschillende aspecten van AI-toepassingen. Implementeer procedures voor klachtenbehandeling en geschillenbeslechting. Zorg voor verzekeringen om risico’s te dekken die verbonden zijn aan het gebruik van AI.

Wat betekent dat in de praktijk?

Gebruik je bijvoorbeeld ChatGPT voor je klantenservice? Leg dan vooraf vast welke vragen medewerkers via ChatGPT mogen beantwoorden. Beperk het gebruik tot eenvoudige vragen en vermijd gevoelige of complexe onderwerpen.

Wie teksten genereert voor marketingdoeleinden zorgt er best voor dat de gegenereerde teksten geen auteursrechtelijk beschermd materiaal bevatten, geen valse claims maken en voldoen aan alle regels van consumentenbescherming en reclamerecht.

Ook binnen HR wordt AI ingezet.  Gebruik jij AI voor HR-processen? Beslis dan vooraf hoe AI gebruikt mag worden om bijvoorbeeld sollicitaties te beoordelen. Zorg ervoor dat AI geen discriminerende beslissingen neemt en dat de privacy van sollicitanten gewaarborgd wordt.

Een AI Policy: jouw antwoord op AI-risico’s

Een AI Policy is met andere woorden geen overbodige luxe. Het is een essentieel instrument om je bedrijf veilig doorheen de nog nieuwe en wondere wereld van Generatieve AI te loodsen. Zorg daarbij voor een policy die past bij jouw organisatie en waarborgt dat je AI op een verantwoorde en ethische manier inzet.

Bron: Sirius Legal