Responsible AI by Design: hoe Rituals een voorsprong pakt door AI verantwoord in te zetten

Compliance is geen rem op innovatie, het is de brandstof. Terwijl veel bedrijven nog wachten op duidelijkheid over de AI Act, bewijst Rituals het al in de praktijk. Carmen Hermes is global head of Legal IT bij Rituals en werkt als het om compliance bij AI gaat, samen met Annika Sponselee, partner en Digital Regulations & Responsible AI Lead bij Deloitte. Beiden zijn het erover eens: wie verantwoorde AI inzet vanaf dag één, bouwt een voorsprong op de rest. 

Europa heeft de meest ingrijpende techregulering ooit ingevoerd: de AI Act, de Cyber Resilience Act, DORA en NIS2. Die regels drukken inmiddels rechtstreeks op strategie, investeringsbeslissingen en de agenda van de raad van bestuur. Toch klinkt in veel bestuurskamers nog steeds hetzelfde: we wachten tot de stofwolken optrekken. Carmen Hermes en Annika Sponselee kennen dat geluid — en stellen een andere route voor. Bij Rituals, actief in ruim 33 landen met miljoenen klanten, kozen ze bewust een andere weg. Niet omdat het moest, maar omdat het financieel en strategisch eenvoudigweg verstandiger is. 

De AI Act – een Europese wet die regels stelt voor het verantwoord ontwikkelen en gebruiken van kunstmatige intelligentie – is de eerste brede AI-wet ter wereld. Historisch moment of vooral extra gedoe? 

Hermes: ‘Het is vooral een ontwikkeling die te verwachten was. AI grijpt steeds dieper in op hoe mensen leven, werken en beslissingen nemen. Bij elke grote technologische omwenteling volgt op een gegeven moment regulering. De AI Act is er nu. De vraag die telt, is niet hoe je eraan ontkomt, maar wat je er als organisatie mee doet.’ 

Sponselee: ‘Eerlijk gezegd ben ik er trots op. Europa kiest er bewust voor om technologie niet alleen als economische kans te zien, maar als een vraagstuk van vrijheid, gelijkheid en menselijke waardigheid. Kijk naar de Verenigde Staten, waar deregulering de boventoon voert. Of naar China, waar staatscontrole centraal staat. Europa kiest een derde weg: spelregels die voortkomen uit grondrechten. Hoe groter de invloed van AI op ons dagelijks leven, hoe belangrijker het wordt dat wíj bepalen welke invloed dat is.’ 

Jullie noemen vrijheid, gelijkheid en waardigheid als fundament. Maar wie bepaalt in de praktijk hoe AI die waarden invult? 

Sponselee: ‘Op dit moment zijn dat voornamelijk mannen. Minder dan 25% van de mensen die AI ontwikkelt is vrouw. Dat is geen onschuldig statistiekje – het heeft directe gevolgen. Algoritmes die vrouwen discrimineren op de arbeidsmarkt, zorgmodellen die worden getraind op data die slechts de helft van de bevolking vertegenwoordigt, en AI-systemen die de markt op gaan zonder rekening te houden met de mensen die er het meest door worden benadeeld. Dit zijn geen hypothetische risico’s; dit gebeurt nu. Wie AI bouwt met een team dat de helft van de mensheid structureel ondervertegenwoordigt, bakt de ongelijkheid die de wet probeert te voorkomen er zelf in.’ 

Hermes: ‘Voor Rituals is dat allesbehalve abstract. Wij hebben, naast het aantal groeiende mannelijke klanten, overwegend vrouwelijke klanten. Als AI-systemen vrouwen slechter bedienen, merken wij dat direct. Het is dus niet alleen een ethisch, maar ook gewoon een zakelijk argument.’ 

Sponselee: ‘Precies daarom is FLAICC opgericht: Female Leaders in AI and AI Compliance Community. Niet alleen als strategie, maar ook als activisme. Want de verantwoordelijkheid ligt aan twee kanten: vrouwen moeten nú hun plek opeisen, maar organisaties moeten die plek ook creëren. Dit is niet wéér een probleem dat vrouwen zelf moeten oplossen, maar iets wat vraagt om bewuste keuzes van iedereen die AI ontwikkelt, inkoopt of aanstuurt. Wie nu handelt, voorkomt dat ook deze technologiegolf een nieuwe genderkloof achterlaat.’ 

Veel organisaties denken: wij voldoen aan de AVG, dus we zitten goed. Klopt dat? 

Hermes: ‘De AVG dekt lang niet alles wat Rituals doet met AI. Wij maken campagnes waarbij geen enkel persoonsgegeven aan te pas komt, maar waarbij we wél AI inzetten, bijvoorbeeld voor creatieve concepten, beeldselectie en het realtime optimaliseren van campagnes. Buiten de AVG, maar absoluut niet buiten onze verantwoordelijkheid. Die verantwoordelijkheid geldt altijd, niet pas als de wet erop wijst.’ 

Sponselee: ‘Klopt, het is een duur misverstand door er op deze manier naar te kijken. De AVG regelt de omgang met persoonsgegevens, terwijl AI veel bredere terreinen raakt dan alleen persoonsgegevens en daardoor ook meer wetgeving: discriminatiewetgeving, consumentenrecht, arbeidsrecht, aansprakelijkheid. En al die wetgeving geldt nú al. De AI Act komt daar bovenop als een extra laag: de wet ordent risico’s, scherpt verplichtingen aan en maakt verantwoordelijkheden explicieter. Maar alles wat je zonder AI niet mocht doen, mag je ook niet mét AI. Bedrijven die wachten op “duidelijkheid” lopen dus achter op verplichtingen die vandaag al gelden.’ 

Hoe heeft Rituals die verantwoordelijkheid vertaald naar de dagelijkse praktijk? 

Hermes: ‘We zijn er bewust vroeg bij geweest. Toen AI serieus inzetbaar werd, zijn we meteen gaan kijken hoe we dat verantwoord konden doen. Dat past bij wie we zijn: B Corp gecertificeerd, een global wellbeing brand dat jaar in jaar uit wordt bekroond als klantvriendelijkste retailer van Nederland. Die reputatie kun je simpelweg niet riskeren door onzorgvuldig met technologie om te gaan.’ 

Sponselee: ‘Wat Rituals hier goed in doet, noemen wij Responsible AI by Design: zorg dat compliance geen eindcheck is, maar een bouwsteen vanaf dag één. Carmen zit letterlijk náást het AI- en Datateam. Niet als legal bewaker die achteraf nee verkoopt, maar als meedenkend partner op het moment dat er keuzes worden gemaakt. Hand in hand samenwerken dus. Want wie de juridische afdeling pas inschakelt als een project al zes maanden loopt, moet terugdraaien, herontwerpen, heronderhandelen. Neem je dit vanaf het begin mee, dan is compliance geen last, maar een solide bouwsteen.’ 

Kun je een voorbeeld geven? 

Hermes: ‘Zeker. Bijvoorbeeld onze customerservice-agent: AI die klantvragen beantwoordt over bestellingen, openingstijden en producten. Dat klinkt eenvoudig, maar voor Rituals stond er veel op het spel. Wij hadden jarenlang prijzen gewonnen voor klantvriendelijkheid en nu laat je een AI met je klanten praten? Wij zijn daarom al in de contractfase met de leverancier gaan nadenken over hoe we het verantwoord konden inrichten. We hebben afgesproken dat de agent zich kenbaar maakt als AI, dat klantdata niet wordt gebruikt voor modeltraining en we hebben het systeem vooraf intensief getest door het bewust te provoceren met lastige en onverwachte vragen, ook wel red teaming genoemd. Het resultaat was verrassend positief. In de periode Black Friday tot Kerstmis krijgen we normaal 9.000 klantvragen per dag, wat vrijwel altijd een grote backlog opleverde. Maar afgelopen jaar niet. De AI-agent beantwoordde de eenvoudige vragen direct, waardoor het team zich kon richten op de complexere gevallen. Klanten kregen sneller antwoord dan ooit en in plaats van klachten kwamen er complimenten.’ 

Sponselee: ‘Responsible AI by Design levert op twee fronten winst op. Wie compliance vanaf dag één meeneemt, loopt geen vertraging op – die ontstaat juist als je het achteraf moet repareren. En het bouwt zowel intern bij medewerkers als extern bij klanten vertrouwen op. Wij zien bijvoorbeeld dat medewerkers die weten dat een systeem zorgvuldig is ingericht, het sneller omarmen. Wie dat vertrouwen niet wint, verliest uiteindelijk ook de waarde van zo’n AI-investering.’ 

Hoe houd je grip op de keten als externe leveranciers zelf ook AI inzetten en toegang hebben tot jullie data? 

Hermes: ‘Door de juiste vragen te stellen vóórdat je een contract tekent. Wat doen jullie met onze data? Wordt ons model apart gehouden van dat van andere klanten? Kunnen we auditen? Die antwoorden leggen we contractueel vast, inclusief het recht om te weten hoe de AI functioneert. De geest van de wet is daarbij minstens zo belangrijk als de letter: de vraag is altijd welke schade je wilt voorkomen en welke mensen je wilt beschermen, niet welke complianceverplichting je moet afvinken.’ 

Sponselee: ‘En die vragen hebben effect, ook buiten de eigen organisatie. Europese regelgeving dwingt Amerikaanse techbedrijven richting onze standaarden te bewegen. Niet altijd met enthousiasme, maar de Europese markt is te groot om te negeren. Europa exporteert zo feitelijk zijn waarden en vergroot daarmee zijn eigen invloed op hoe AI wereldwijd wordt ontwikkeld.’ 

Wat is jullie belangrijkste advies aan organisaties die nu worstelen met deze transitie? 

Hermes: ‘Begin vroeg en maak er een positief gesprek van. De juridische afdeling hoort vanaf dag één aan tafel te zitten, niet als rem maar als sparringpartner. Als je er zo instapt, wordt compliance vanzelf iets waar iedereen energie van krijgt in plaats van iets waar iedereen omheen loopt.’ 

Sponselee: ‘Bepaal eerst je brede AI-ambitie: wat wil je bereiken, wat is je doel met AI? Zet vervolgens goede governance neer, investeer in de kennis van je mensen en pak de waardekant en de Responsible AI-kant altijd samen op. Ook weer hand in hand. Dan hoef je straks geen complianceverplichtingen af te gaan vinken – dan ben je er al. Want de bedrijven die straks echt de vruchten van AI plukken, zijn niet de bedrijven die het langst hebben gewacht op duidelijkheid. Het zijn de bedrijven die nú al verantwoordelijkheid nemen, die het goed inrichten en daardoor het vertrouwen winnen, van klanten, van medewerkers, van de markt. Zij worden straks niet ingehaald, maar zetten juist de standaard. Want de wereld wacht niet. Over vijf jaar is de vraag niet meer óf je AI verantwoord inzet, maar of je het vroeg genoeg hebt gedaan om nog mee te tellen.’