Beste boardroom, leid AI met een moreel kompas
Met de komst van generatieve AI beschikt de zakenwereld plotseling over een heel scala aan nieuwe mogelijkheden. Maar met de explosie van het gebruik van deze AI-tools, wordt ook de roep om veilig gebruik steeds luider. Waar zit het gevaar en hoe voorkom je schade en onverantwoord gebruik?

Reinier van Leuken is director of product management bij Salesforce én expert op het gebied van AI. Hij heeft de opkomst van AI nauwlettend in de gaten gehouden en ziet duidelijk de voordelen, maar ook de risico’s. ‘De inzet van generatieve AI in een bedrijfscontext moet bewust en verantwoordelijk gebeuren’, stelt hij. ‘Het is cruciaal dat de gegevens binnen je organisatie veilig blijven. Je wilt geen competitief voordeel verliezen of reputatieschade oplopen, doordat anderen gegevens van jouw bedrijf die wellicht onbedoeld in taalmodellen terecht zijn gekomen, kunnen gebruiken.’ Daarnaast is het belangrijk om AI op een verantwoorde en inclusieve manier in te zetten in de organisatie, op zo’n manier dat geborgd wordt dat uitkomsten niemand benadelen.
Geen limiet
Op een verantwoorde en inclusieve manier met AI omgaan, heeft consequenties voor bestuurders. Dat zegt Jan Veldsink, expert en spreker op het gebied van AI en cybersecurity en bij Nyenrode University verantwoordelijk voor de MBA modules AI en Digital Security. ‘Voorheen werd er een vraagstelling bepaald, een analyse gemaakt, een consulting- of IT-organisatie in de arm genomen die een product of dienst ging maken en een klein jaar later lag er een eindproduct dat de organisatie kon gaan inzetten. Met de komst van genAI kunnen afdelingen ineens heel veel zelf, zonder dat ze daar van tevoren een helder doel voor formuleren. Daar ligt een risico, zeker voor organisaties in gereguleerde industrieën, die met regelgeving en compliance te maken hebben. Met genAI zit er geen limiet meer aan wat je kunt vragen, maar de beoordeling of een uitkomst valide of wenselijk is, ligt nu bij medewerkers. Het gezonde verstand en morele kompas dat wij als mensen hebben, zit nog niet in de meeste, huidige AI-systemen.’
Moreel kompas
‘De AI-systemen van Salesforce hebben wel degelijk een moreel kompas’, countert Van Leuken. ‘Wij bouwen juist veel componenten in die dat kompas aanbrengen. Dat betekent bijvoorbeeld dat je heel goed kunt beheersen welke gebruiker welke informatie mag benutten voor AI-toepassingen en niet iemand per ongeluk een stukje tekst kan genereren waarin het salaris van de directeur staat. Maar denk bijvoorbeeld ook aan toxicity detection. Hiermee wordt geverifieerd of een antwoord van het AI-systeem wel veilig en onschadelijk is én het zorgt ervoor dat privacygevoelige data in het systeem direct geanonimiseerd wordt en het systeem nooit verlaat. Daarnaast implementeren we ook beveiligingen die tegengaan dat het AI-systeem om de tuin wordt geleid door kwaadwillende gebruikers die proberen het AI-systeem alsnog ongeoorloofde antwoorden te laten produceren. Zo zitten er wel degelijk morele kompassen en validatieslagen in de huidige AI-systemen. Tegelijkertijd blijft het inderdaad belangrijk altijd een mens in the loop te houden om de output van generatieve AI te valideren.’
Bedrijven die hun datastrategie goed op orde hebben, kunnen sneller bewegen dan bedrijven die hebben liggen slapen op dit gebied
Data is fundament van AI
Het vergt voor bestuurders meer kennis en inzicht in AI en de ontwikkelingen op dat gebied. ‘Je moet van board tot basement nadenken en bewuste keuzes maken over hoe de organisatie hiermee moet omgaan. Dat vergt een dieper inzicht in wat er daadwerkelijk gebeurt, welke data betrokken is en hoe juridische, ethische en andere implicaties worden bezien’, zegt Veldsink. Datakwaliteit wordt het belangrijkste asset voor organisaties als het gaat om AI. ‘Bedrijven die hun datastrategie goed op orde hebben, kunnen sneller bewegen dan bedrijven die hebben liggen slapen op dit gebied’, stelt Van Leuken. ‘AI kan helpen bij het opschonen van data, maar uiteindelijk is de AI zo goed als de gegevens waarop het gebaseerd is. En wanneer dat fundament niet voldoende stevig is, kun je er dus ook niet op bouwen.’
Data als grondstof
Veldsink wijst erop dat AI-modellen zichzelf steeds ontwikkelen doordat ze leren van de data waarop ze getraind zijn, maar ook de content die ze genereren. ‘Dat maakt je datastrategie de sleutel voor succes’, stelt de Nyenrode-docent in overeenstemming met de Salesforce-expert. ‘Data worden de grondstof voor nieuwe functionaliteit. Zitten daar vuile gegevens tussen, en de uitkomsten worden door het AI-model gebruikt om zelf verder te leren, kun je je voorstellen dat het uiteindelijk van kwaad tot erger gaat. Dat is een belangrijk risico.’
Authenticiteit van data
Veldsink wijst erop dat het belangrijk is dat organisaties de authenticiteit van data kunnen borgen en aantonen. ‘De waarde gaat straks waarschijnlijk zitten in data die door mensen is gegenereerd, omdat je daarvan zekerder kunt weten hoe het tot stand is gekomen.’ Zo heeft fototoestellenfabrikant Leica al een toestel op de markt gebracht dat iedere foto die met het apparaat wordt gemaakt op pixel-niveau oormerkt om fotografen te beschermen tegen manipulaties van hun intellectuele eigendommen. ‘De beelden die een AI-model maakt, zijn namelijk gebaseerd op foto’s die door een mens zijn gemaakt’, zegt Veldsink.
Je moet als bestuur positie innemen en bepalen hoe je organisatie zich verhoudt tot AI
Ethiek en privacy
Transparantie en kennis in de organisatie zijn dus essentieel voor het beheersen van de risico’s die AI met zich meebrengt. ‘Zelfs al in de experimentele fase van AI moeten organisaties bedenken hoe ze veilig met hun gegevens omgaan, maar ook bepalen hoe ze de technologie op een ethische en verantwoorde manier inrichten in hun organisatie’, zegt Van Leuken. Veldsink onderschrijft dat: ‘Je moet als bestuur positie innemen en bepalen hoe je organisatie zich verhoudt tot AI. Dat kan niet langer case-by-case, maar moet een vooraf bepaalde strategie zijn. Ethiek en privacy worden startpunten van de ontwikkeling van functionaliteit in plaats van een achteraf-discussie, omdat het cruciaal is om in het proces te borgen dat deze zaken goed blijven gaan.’ Doordat steeds meer gestandaardiseerd wordt en van buiten wordt betrokken – denk aan cloudapplicaties, platformen en taalmodellen – is het voor een organisatie niet altijd mogelijk om in de bron van de toepassing wijzigingen door te voeren. Daarom is het zo belangrijk om vooraf architectuur te bepalen en hoe de organisatie wil handelen.
Sommige organisaties stellen een Chief AI Officer aan die tussen IT, business en legal/compliance staat
Veelkoppig wezen
AI is een vakgebied dat alle facetten van de bedrijfsvoering raakt. Waar binnen een boardroom traditioneel iemand verantwoordelijk is voor operations, een ander voor risk management en weer een ander voor bijvoorbeeld finance, raakt AI aan al die gebieden en dat maakt het complex, stelt Veldsink. ‘AI is een veelkoppig wezen dat raakt aan privacy, security, reputatie, operationeel risico, effectiviteit van de business, ethische implicaties en noem maar op. Wie legt er straks verantwoording af tegenover autoriteiten en toezichthouders? Is dat de business manager, de operations manager, de compliance officer? Je hebt een functie nodig die daartussenin zit en dat zie ik her en der in de markt wel ontstaan. Sommige organisaties stellen een Chief AI Officer aan die tussen IT, business en legal/compliance staat en die binnen het bestuur verantwoordelijk is voor de inzet en verantwoording van AI.’
Anticiperen op wetgeving
Voor het beheersen van de risico’s die AI met zich meebrengt, is het noodzakelijk om als bestuurder goed neer te zetten wat de grenzen zijn waarbinnen je het toepast. ‘En vanuit gereguleerde industrieën moet je ook nadenken over wat de gereguleerde grenzen zijn. Zo wordt er op dit moment in Europa gewerkt aan de AI Act, die gevolgen gaat hebben voor Nederlandse organisaties’, waarschuwt Veldsink. Europese beleidsmakers hebben inmiddels overeenstemming bereikt over deze AI Act, maar de wet moet nog worden goedgekeurd door het Europese Parlement en de Europese Commissie.
Hoewel de wetgeving dus nog niet officieel van kracht is, is er al voldoende bekend om op voor te sorteren, stelt Van Leuken: ‘Op hoofdlijnen kun je al anticiperen op wat er komen gaat. Dat helpt je bij het inrichten van een AI-strategie en risk management waar het hele bedrijf achter staat. Ik zie hierin parallellen met duurzaamheid. Dat wordt vaak ook breed gedragen in een organisatie. Datzelfde moeten bedrijven nastreven met AI. Iedereen, van hoog tot laag in de organisatie, moet worden meegenomen in de mogelijkheden, de toepassing en het verantwoord gebruik ervan.’
Verborgen goud
Om de risico’s van AI inzichtelijk te krijgen en ze te kunnen beheersen, is kennis en context cruciaal voor bestuurders. ‘Alleen daarmee kun je de organisatie op een juiste manier bevragen’, zegt Veldsink. ‘Bovendien heb je kennis nodig om de verkregen antwoorden te kunnen waarderen. Zonder die kennis kun je wel vragen stellen, maar leveren de antwoorden je geen controle en bestuurbaarheid op.’ Bovendien benadrukt hij het belang van diversiteit in de board. ‘Zorg dat de kennis niet bij één persoon zit, maar dat alle bestuurders op een hoger kennisniveau komen. Er moet straks besloten worden of een bedrijf genAI gaat inzetten en die beslissing moet afgewogen kunnen worden gemaakt. Natuurlijk hoeven bestuurders technologisch niet van de hoed en de rand te weten, maar ze moeten wel snappen welke ontwikkelingen er gaande zijn en welke impact deze hebben op het bedrijfsmodel. En ze moeten inzien dat data cruciaal is, daar zit het verborgen goud dat de grondstof vormt voor succesvolle AI-toepassingen.’
Trust and safety
Technologiepartners kunnen bedrijven helpen bij het inzichtelijk maken en structureren hiervan. Bovendien kunnen ze platforms en infrastructuren leveren die standaardisering toestaan. ‘Je wilt niet naar een omgeving waarbij je twintig varianten van ChatGPT in huis hebt’, zegt Veldsink. ‘Technologiepartners zullen bedrijven naar een architectuur moeten helpen groeien waarin data centraal staat en daaromheen functionaliteit gebouwd en geboden wordt die helpt om de bedrijfsdoelen te behalen. Dat betekent dat er een heel sterk fundament moet worden gelegd in de organisatie waarin standaarden en structuur de basis vormen, zodat bedrijven flexibel kunnen zijn en kunnen innoveren.’ Trust and safety zijn daarbij belangrijke voorwaarden, zegt de Nyenrode-docent. ‘Als organisatie blijf je altijd zelf verantwoordelijk. Zeker met de komst van de AI Act kun je niet meer naar een ketenpartner wijzen. En AI is een zeer complexe aangelegenheid die niet meer case-by-case behandeld kan worden, waardoor je een technologiepartner nodig hebt die je kan ondersteunen én vertrouwen.’