AI-governance is de organisatorische infrastructuur die waarborgt dat het gebruik en de ontwikkeling van AI-systemen door een organisatie in overeenstemming is met haar wettelijke verplichtingen, risicobereidheid en waarden. Het is geen nalevingschecklist of een eenmalige documentatieoefening: het is een systeem van beleidsmaatregelen, procedures, verantwoordelijkheidsstructuren en technische controlemechanismen dat continu functioneert, zich aanpast naarmate het AI-gebruik van de organisatie evolueert, en een gedocumenteerde verslaglegging produceert die regulatorisch toezicht kan doorstaan.
De EU AI Act maakt AI-governance wettelijk verplicht voor organisaties die hoog-risico AI-systemen aanbieden of inzetten. De AI Act vereist risicobeheersystemen, technische documentatie, mechanismen voor menselijk toezicht, postmarktmonitoring en incidentrapportage — dit zijn allemaal governance-functies, niet louter technische kenmerken. Maar goede AI-governance reikt verder dan de minimumvereisten van de AI Act. Een organisatie die haar governancekader uitsluitend opbouwt rond de letter van de AI Act mist de bredere voordelen: betere kwaliteit van AI-outputs, verminderd operationeel risico, beter verdedigbare beslissingen en een sterkere positie in onderhandelingen met AI-leveranciers en toezichthouders.
Een functioneel AI-governancekader heeft vijf kerncomponenten. Ten eerste een AI-inventaris: een gedocumenteerd register van alle AI-systemen die worden gebruikt of ontwikkeld binnen de organisatie, met het doel van het systeem, de gegevens die het verwerkt, de beslissingen die het beïnvloedt, de toepasselijke risicotier onder de AI Act en de provider/deployer-rol voor elk systeem. Zonder zicht op het volledige AI-portfolio is governance onmogelijk.
Ten tweede, risicoklassificatie en effectbeoordeling: voor elk AI-systeem in de inventaris een gedocumenteerde beoordeling van de risicotier onder de AI Act, eventuele toepasselijke GDPR DPIA-verplichtingen en — voor hoog-risico systemen — de Grondrechteneffectbeoordeling die de AI Act vereist voor bepaalde deployers. Deze beoordelingen moeten worden gedocumenteerd, op vaste intervallen worden herzien en worden bijgewerkt wanneer het systeem of het gebruik ervan wezenlijk verandert.
Ten derde, verantwoordelijkheidsstructuren: gedefinieerde rollen en verantwoordelijkheden voor AI-toezicht binnen de organisatie. De AI Act vereist impliciet dat iemand verantwoordelijk is voor de naleving van elk AI-systeem — dit dient te worden geformaliseerd. De AI-geletterdheidsplicht van artikel 4 vereist dat organisaties waarborgen dat medewerkers die met AI werken, voldoende inzicht hebben in de systemen die zij gebruiken en de risico's die daarmee gepaard gaan. Governancekaders moeten definiëren wie verantwoordelijk is voor AI Act-naleving, wie de systeemprestaties monitort en wie beslissingen neemt over het inzetten, wijzigen of opschorten van AI-systemen.
Ten vierde, operationele controlemechanismen: de technische en procedurele controlemechanismen die het governancebeleid in de praktijk implementeren. Voor hoog-risico AI-systemen omvat dit mechanismen voor menselijk toezicht die in het systeem zijn ontworpen, logging- en auditspoorvunctionaliteit, procedures voor incidentdetectie en -rapportage, en prestatiemonitoring aan de hand van gedefinieerde metrieken. Voor GPAI-modellen die binnen de organisatie worden gebruikt, omvat dit beleid voor naleving van auteursrecht bij het gebruik van trainingsdata en procedures voor het omgaan met door deze modellen gegenereerde content.
Ten vijfde, leveranciersbeheer: contracten met AI-leveranciers en dienstverleners moeten de verdeling van verantwoordelijkheden onder de AI Act tussen providers en deployers adresseren. Dit omvat vereisten voor technische documentatie, gebruiksaanwijzingen, ondersteuning bij conformiteitsbeoordelingen, kennisgeving van significante systeemwijzigingen en ondersteuning bij postmarktmonitoring. Leverancierscontracten die vóór de inwerkingtreding van de AI Act zijn gesloten, dienen te worden herzien en bijgewerkt.
Organisaties die AI-systemen vanaf de grond af opbouwen, hebben het voordeel dat zij governance in de systeemarchitectuur en het ontwikkelingsproces kunnen integreren in plaats van het achteraf toe te voegen. De vereisten van de AI Act voor technische documentatie, logging en menselijk toezicht zijn aanzienlijk eenvoudiger en goedkoper te implementeren tijdens het systeemontwerp dan na inzet. Organisaties die AI-systemen hebben aangeschaft vóór de inwerkingtreding van de AI Act, of die systemen hebben gebouwd zonder de AI Act in gedachten, staan voor een complexere retrofitting-oefening die wijzigingen in systeemarchitectuur, operationele procedures en leverancierscontracten kan vereisen.
De retrofitting-uitdaging wordt vergroot voor organisaties met grote aantallen AI-systemen in gebruik. Een organisatie die de afgelopen vijf jaar tientallen AI-tools heeft ingezet — in HR, financien, klantenservice, fraudedetectie en operationeel beheer — kan tegelijkertijd meerdere Bijlage III-systemen (die volledige conformiteitsbeoordeling en registratie vereisen), beperkt-risico systemen (die transparantie-openbaarmakingen vereisen) en minimaal-risico systemen (zonder verplichte vereisten) exploiteren. Het beheren van dit portfolio zonder een systematisch governancekader creërt lacunes en inconsistenties die moeilijk te detecteren zijn vóórdat ze handhavingsproblemen worden.
Voor hoog-risico AI-systemen vereist de AI Act een risicobeheersysteem dat continu gedurende de levenscyclus van het systeem werkt, kwaliteitsbeheerprocedures, technische documentatie, logfunctionaliteiten, transparantie en gebruiksaanwijzingen, mechanismen voor menselijk toezicht en postmarktmonitoring. Voor deployers specifiek: implementatie van de aanwijzingen van de provider, grondrechteneffectbeoordeling in bepaalde contexten, notificatie van werknemersvertegenwoordigers in arbeidscontexten, menselijk toezicht, incidentrapportage en prestatiemonitoring. Deze vereisten definiëren het minimum; een effectief governancekader dient verder te reiken dan het minimum om het volledige AI-risicoprofiel van de organisatie te adresseren.
Artikel 4 van de AI Act vereist dat providers en deployers maatregelen nemen om adequate AI-geletterdheid te waarborgen bij hun personeel en eventuele andere personen die AI-systemen namens hen bedienen of gebruiken. AI-geletterdheid is geen achtergrondaanbeveling — het is een wettelijke verplichting. Dit omvat technische geletterdheid voor degenen die AI-systemen exploiteren, juridische geletterdheid voor degenen die verantwoordelijk zijn voor naleving, en managementgeletterdheid voor beslissers die afhankelijk zijn van AI-outputs. Governancekaders moeten trainingsprogramma's, competentievereisten en documentatie van de genomen geletterdheidmaatregelen omvatten.
AI-governance dient te worden geïntegreerd met, en niet te worden losgekoppeld van, bestaande risicobeheer-, nalevings-, juridische en gegevensbeschermingsfuncties. Voor veel organisaties is AI-governance een nieuwe verantwoordelijkheid die zich bevindt op het snijvlak van IT, juridische zaken, HR en operationele functies. De DPO — waar aangesteld — heeft een natuurlijke rol in AI-governance gezien de GDPR-AI Act-overlap; de Chief Risk Officer of equivalent heeft een rol in AI-risicobeoordeling; juridisch adviseur heeft een rol in contractuele en regelgevingsnaleving. Een governancekader dat in silo opereert, afgesneden van deze functies, zal minder effectief zijn en werk dupliceren dat die functies al uitvoeren.
Zowel providers als deployers hebben verplichtingen om een hoog-risico AI-systeem op te schorten als zij een risico identificeren dat het systeem vormt voor gezondheid, veiligheid of grondrechten, of als er een ernstig incident plaatsvindt. Governancekaders moeten definiëren: de drempelwaarden die een opschortingsbeoordeling triggeren, de vereiste autorisatieniveaus voor een opschortingsbeslissing, de procedures voor kennisgeving aan de bevoegde markttoezichthouder en de provider van het systeem, en de voorwaarden waaronder een opgeschort systeem opnieuw kan worden ingezet. Opschortingsbeslissingen dienen te worden gedocumenteerd en behandeld als onderdeel van het postmarktmonitoringdossier.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
