Wij spraken Linda Terlouw, docent van dag 3 van de cursus AI Compliance Officer in het Bedrijfsleven. Terlouw combineert een achtergrond in zowel informatica als bedrijfsinformatietechnologie en heeft ruime ervaring als consultant, IT-architect en specialist op het gebied van AI en data science. We vroegen haar naar de belangrijkste thema’s in de cursus, veelvoorkomende misvattingen en hoe organisaties zich nu al kunnen voorbereiden op de AI Act. Ook blikt ze vooruit: hoe ziet het werkveld van AI en compliance er in 2030 uit?
Ik behandel de AI Act en de technische achtergronden van AI. Uiteraard is het belangrijk dat AI Compliance Officers het wettelijk kader kennen, maar dat alleen is onvoldoende om te kunnen bepalen of een AI-systeem in de organisatie daadwerkelijk aan de vereisten voldoet. Je moet ook in voldoende mate de taal van de techneuten spreken om echt te begrijpen wat er gebeurt en of "de papieren werkelijkheid" overeen komt met de praktijk. Ik geef in dag 3 een overzicht van verschillende typen AI-systemen met daarbij ook veel voorbeelden. We willen de AI Compliance Officer opleiden tot iemand die zowel de taal van de jurist als van de techneut spreekt.
Een ander onderwerp waar ik op in ga is de beveiliging van AI-systemen. Het hebben van een goede beveiliging is een vereiste in de AI Act voor hoog-risicosystemen, maar is uiteraard ook van belang voor AI-systemen die buiten de reikwijdte van de AI Act vallen. AI-systemen zijn niet alleen kwetsbaar voor traditionele IT-aanvallen, maar ook voor specifieke, nieuwe aanvalsvormen. Hoewel we in deze cursus niet echt technisch de diepte in gaan qua cybersecurity, behandelen we wel een overzicht van welke nieuwe typen aanvallen mogelijk zijn en hoe deze grofweg werken.
De grootste misvatting die ik in de praktijk zie is dat er door de AI Act "niets meer zou mogen" of dat je voor alle AI-systemen "van alles moet doen". Gelukkig is dit niet het geval. De AI Act kent namelijk een risicogebaseerde aanpak, waarbij sommige soorten AI-systemen verboden zijn vanwege een onacceptabel risico en andere soorten AI-systemen aan extra eisen moeten voldoen vanwege een hoog-risico. Daarnaast kent de AI Act nog enkele verplichtingen op het gebied van transparantie, waarbij duidelijk gemaakt moet worden dat je interactie hebt met een AI-systeem of dat bepaald digitaal materiaal, zoals video's, gemaakt is door AI. Het merendeel van de AI-systemen valt echter niet in deze categorieën, waardoor je in de EU alsnog heel veel vrijheid hebt om AI-systemen te ontwikkelen en te gebruiken.
Op dit moment is nog niet de hele AI Act van toepassing. Aangezien de verboden al wel gelden, is het uiteraard verstandig om, als dit nog niet gedaan is, zo snel mogelijk te controleren of er geen AI-systemen in de organisatie zijn die onder deze verboden vallen. De verplichtingen voor hoog-risicosystemen gaan in 2026 gelden, maar het is goed om al te werken aan de verplichtingen die daarvoor gelden als je dergelijke systemen in de organisatie hebt. Ga dus nu al aan de slag met het inrichten van menselijk toezicht, logging, een risicobeheersysteem etc. Ik raad hierbij aan één concrete use case te selecteren en alle vereisten te doorlopen in een multidisciplinair team.
Ik vind dit erg moeilijk om te voorspellen. De wereld van AI gaat momenteel zo snel dat het nauwelijks bij te houden is. Tot een paar jaar terug was AI een technologie waar alleen experts zich mee bezig hielden, maar met de opkomst van ChatGPT en vergelijkbare modellen werkt zo'n beetje iedereen tegenwoordig met AI, van beleidsmedewerker op kantoor tot scholier op de basisschool. Dit heeft voor enorme maatschappelijke vraagstukken gezorgd, zoals hoe we moeten omgaan met studenten die AI gebruiken voor studieopdrachten, hoe we het verspreiden van desinformatie gegenereerd door AI tegengaan en hoe we voorkomen dat kwetsbare mensen teveel vertrouwen op AI als therapeut of arts. Het is een enorme uitdaging om enerzijds de ontwikkeling van AI binnen Europa te stimuleren, zodat we niet (nog) verder gaan achterlopen op de VS en China en anderzijds ook de risico's op een goede manier mitigeren. We hebben goede Compliance Officers nodig die in staat zijn niet alleen 'nee' te verkopen, maar ook mee te denken hoe we juist innovatie in goede banen leiden. Hopelijk levert deze opleiding daar een bijdrage aan!
