Veilig omgaan met AI binnen je bedrijf: risico’s beperken in 5 stappen (Sirius Legal)

Risico’s van AI voor ondernemers

Het eerste waar je rekening mee moet houden, zijn de ethische risico’s. De aanstaande AI Act legt grote nadruk op ethiek, transparantie en het beschermen van fundamentele rechten (lees ook dit artikel waar we dieper ingaan op die AI ACT).

Het onoordeelkundig of verkeerd gebruik van AI-toepassingen kan leiden tot discriminatie, (onbedoelde) uitsluiting of ongelijke behandeling. Daarom is het essentieel dat je de besluitvorming van jouw AI-toepassingen begrijpt en dat ze consistent ethische principes volgen.  De AI Act zal hiervoor in de toekomst een reeks verplichtingen opleggen aan bedrijven die AI ontwikkelen of gebruiken.  Zo zal je in heel wat gevallen verplicht een AI Impact Assessment moeten uitvoeren alvorens je met AI aan de slag gaat en in een aantal gevallen zal je AI tools ook vooraf moeten aanmelden bij de (nog op te richten) controlerende autoriteit.

Los van bovenstaande, is gegevensbescherming en GDPR vanzelfsprekend een cruciaal aandachtspunt bij het gebruik van AI tools.  Heel wat AI toepassingen verwerken immers persoonsgegevens en zodra dat het geval is, moet je rekening houden met alle, soms zware, verplichtingen die GDPR met zich mee brengt.  Jammer genoeg houden heel wat AI tools én heel wat bedrijven die die tools gebruiken vandaag hier onvoldoende rekening mee, met als gevolg een ernstig risico op boetes, aansprakelijkheden en reputatieschade.

Ook intellectuele eigendomsrechten zijn een echte challenge voor wie AI in zijn of haar bedrijf binnenhaalt.  We beschreven deze risico’s al in een eerdere blogpost en er zijn voldoende gemediatiseerde gevallen, zoals de Getty-zaak in de VS, die laten zien hoe gemakkelijk intellectuele eigendom kan worden geschonden met behulp van AI.

Niet enkel het gevaar dat je de intellectuele eigendom van anderen schendt bij het gebruik van generatieve AI is reëel, ook je eigen IP en bedrijfsgeheimen kunnen in gevaar zijn bij onoordeelkundig gebruik van tools als ChatGPT door de teams binnen jouw bedrijf.  Zelfs grote multinationals zijn hier niet immuun voor, getuige het erg pijnlijke incident bij Samsung, waarbij vertrouwelijke R&D-informatie werd gelekt nadat een medewerker die hoogst gevoelige data ingevoerd had als onderdeel van een prompt aan ChatGPT.
De bescherming van jouw IP is cruciaal als onderneming.  Je intellectuele eigendom is geld waard en inbreuken op andermans rechten kunnen érg veel geld kosten.  Voorzichtigheid is hier dus geboden.

Bovenop de punten die we al aanhaalden, brengt AI overigens nog heel wat andere juridische risico’s met zich mee.  Een van die andere punten om te overwegen is aansprakelijkheid. Als een AI-systeem een fout maakt, wie draagt dan de verantwoordelijkheid? De juridische wateren rond AI-aansprakelijkheid zijn nog steeds troebel, dus het is belangrijk om dit vooraf te overwegen en jezelf zo goed mogelijk te beschermen.

Bescherm je bedrijf tegen onnodige risico’s in 5 stappen

1. Interne processen en transparantie

Hoe bescherm je jezelf dan tegen deze risico’s? Begin met het opzetten van interne processen en zorgen voor transparantie. Dit helpt iedereen in het bedrijf te begrijpen hoe en waarom AI wordt gebruikt. Zorg dat je een goede inventaris hebt van alle gebruikte AI in je bedrijf en vermijd zogenaamde “shadow AI”, oftewel AI-tools die zonder voorafgaande goedkeuring worden gebruikt.

2. Vendor assessments

Zorg er ook voor dat je een solide vendor assessmentproces hebt. Voordat je met een AI-leverancier in zee gaat, moet je ervoor zorgen dat ze voldoen aan jouw normen op het gebied van veiligheid, ethiek en betrouwbaarheid. Dat doe je door een vast aankoopproces op te zetten en een goede checklist aan te houden met minimale criteria waaraan AI suppliers moeten voldoen op vlak van transparantie, veiligheid, GDPR Compliance, de nodige voorafgaande audits (AI Impact Assessments, Data Protection Impact Assessment) en in de toekomst ook compliance met de AI Act.

Zorg ook voor goede standaard procurementcontracten, die de juiste waarborgen en garanties voorzien vanwege de leverancier en die jouw risico als ondernemer zo veel mogelijk beperken.  Interessant in dat opzicht zijn de standaard AI procurementcontracten voor overheden die vanuit de Europese Commissie opgesteld worden.  Op die standard contract clauses komen we binnenkort in een volgende blog zeker nog terug.

3. Impact Assessments

Daarnaast is het uitvoeren van regelmatige impact assessments essentieel. Dit zorgt ervoor dat je de technische en ethische impact van je AI begrijpt en dat je snel kunt reageren op eventuele problemen.

AI Impact Assessments zijn voorlopig geen verlichting.  Totdat de AI Act in werking treedt, kan je zonder zulke AI Impact Assessment verder, maar hou er rekening mee dat zulke AIIA in de toekomst toch vaak verplicht zal zijn.  De AI Act zal ook, net zoals GDPR, uitgaan van een verantwoordingsplicht voor jouw als ondernemer.  Je zal dus op elk ogenblik moeten kunnen aantonen dat je verantwoord en in overeenstemming met de wettelijke verplichtingen omgaat met AI. Vanuit dat oogpunt is een tijdige AIIA ook vandaag al een verstandige beslissing.

We vernoemden GDPR al in de voorgaande alinea: als je AI tool ook persoonsgegevens verwerkt, is een voorafgaande Data Protection Impact Assessment (DPIA) of Gegevensbeschermingseffectenbeoordeling (GBEB) haast onvermijdelijk.  Het is een wettelijke plicht die rechtstreeks uit de GDPR volgt en waar heel wat bedrijven tot op heden ten onrechte (en vaak onbewust) voorbijgaan; hetgeen enorme juridische en financiële liabilities met zich mee brengt.

4. Interne richtlijnen en policies

Minder dan 10% van de bedrijven die met AI werken hebben vandaag een “AI policy” voor hun personeel.  Nochtans is een goed intern beleid met duidelijke richtlijnen de allereerste stap om veilig om te gaan met AI binnen je bedrijf.   Stel dus duidelijke interne richtlijnen op. Door beleidslijnen en regels op te stellen, weet iedereen binnen het bedrijf hoe ze veilig en effectief met AI moeten omgaan. In zulke richtlijnen kan je opnemen of AI tools gebruikt mogen worden, wat daarvoor de voorwaarden zijn, wie het gebruik moet valideren of toestaan, welke data wel en niet aan AI toevertrouwd mogen worden, welke veiligheidsmaatregelen vereist zijn, of een voorafgaande impact assessment moet gebeuren, etc…

5. Sterke contracten

Tot slot, doe regelmatig een contract audit. Controleer je contracten met AI-providers, maar ook met andere technische partijen zoals je webbouwer en webhoster, je online marketingpartner, de verschillende software tools die je gebruikt intern (CRM, e-mailing, boekhoudpakket, HR management, …) om te checken of de nodige transparantie, garanties en beperkingen rond AI voorzien zijn die jouw juridische en financiële risico’s zoveel als mogelijk contractueel afdekken.

Bron: Sirius Legal