(1) ECP’s moeten het initiatief nemen voor een robuuste AI Governance Policy, of hier in elk geval zeer actief aan bijdragen, en
(2) ECP’s moeten zelf AI beginnen te gebruiken.
- Een AI-beleid nodig? Absoluut.
Laten we beginnen bij het beleid. Ik hoop oprecht dat alle ECP’s inmiddels de AI Act (2024/1689) hebben gelezen en, waar van toepassing, actie hebben ondernomen om binnen hun organisatie bij te dragen aan het opstellen en implementeren van een AI Governance Policy.
Waarom?
Omdat de AI Act organisaties verplicht om de risico’s van het gebruik en de inzet van AI te beheersen. Zodat kunstmatige intelligentie binnen jouw organisatie ethisch, transparant, fair en veilig wordt gebruikt. Het doel van zo’n beleid is dat jouw organisatie exact begrijpt waar AI en algoritmes worden toegepast en dat medewerkers, in welke afdeling dan ook, AI-tools veilig, verantwoord en vertrouwelijk gebruiken. Hopelijk uitsluitend de door jullie toegestane AI tools, niet diegene die ze zelf thuis (of illegaal op kantoor) gebruiken.
Waar dan?
Het beleid moet duidelijk maken aan welke eisen medewerkers zich moeten houden wanneer zij AI willen inzetten: van het beoordelen van cybersecurity- en ethische risico’s tot het beschermen van bedrijfsvertrouwelijke – en persoonsgegevens. Denk aan de R&D-afdeling die AI inmiddels inzet bij productontwikkeling. Denk aan chatbots die met potentiële klanten spreken (kunnen ze dit doen zonder discriminatie of bias, en binnen de GDPR-kaders?). Denk aan AI-gedreven data-analyse of AI-ondersteunde educatieve content, of ondersteuning in medische hulpmiddelen. Natuurlijk niet alleen generatieve AI: ook agentic AI speelt inmiddels een steeds belangrijkere rol.
Risicocategorieën
De AI Act deelt AI-toepassingen in vier risicocategorieën in: onaanvaardbaar, hoog, beperkt en minimaal. Elke AI-gedreven of AI-ondersteunde toepassing in jouw organisatie moet liever vandaag dan morgen worden geanalyseerd (niet per se door ECP’s hoor). Weet jouw organisatie op dit moment wie welke AI gebruikt, en welke algoritmes er worden ingezet in machine-learning of modellering? Sommige algoritmische praktijken zijn inmiddels volledig verboden vanwege hun hoge risico.
Zelfs wanneer je alleen producten importeert of distribueert (en ze dus niet ontwikkelt of toepast) gelden er vergaande verplichtingen onder de AI Act. Denk aan technische én ethische risico-analyses (bijvoorbeeld enig risico op door AI gegenereerde desinformatie), menselijke controle en gedegen documentatie op basis van je interne AI Governance Policy.
Rol van de ECP
Als ECP moet je intern meedoen om zeker te stellen dat risico’s zorgvuldig worden geadresseerd, en de ethische discussie correct wqordt gevoerd. AI-compliance is geen puur technisch of juridisch vraagstuk, het vergt organisatie-breed teamwork. Risk, compliance, audit, GDPR en data science collega’s moeten worden getraind in de structuur en reikwijdte van de AI Act, jullie nieuwe AI-beleid, de nieuwe verantwoordelijkheden rond governance, documentatie en menselijke controle of toezicht. AI blijft en gaat echt niet meer weg; daarom moet AI-governance een vast onderdeel van bedrijfsprocessen en procedures worden.
De aanleiding om dit onderwerp opnieuw scherp onder de aandacht te brengen is een rondvraag die we vorige week uitvoerden tijdens de @Voxius Round Table over AI. Minder dan 15% van de deelnemers had al een AI Governance Policy — terwijl zes maanden geleden al 33% van de Europese bedrijven er één had. Het is dus de hoogste tijd om alle relevante afdelingen en experts samen te brengen in jullie nieuwe AI-commissie.
Volgende maand: deel 2 — moeten ECP’s zelf AI gaan gebruiken?
Bel gerust om te klankborden (is altijd gratis).
ENGLISH VERSION:
Ethics & Compliance Professionals and AI
Artificial intelligence matters for ethics&compliance professionals (ECP’s). In my view in at least two important ways: (1.) ECP’s should initiate or at least contribute to an AI Governance Policy and (2.) start using AI themselves.
- Policy?
Let’s start with the policy. I do hope that all ECP’s have read the AI Act (2024/1689) and (where applicable) taken action to make sure that they contribute to drafting and implementing in their own organization an AI Governance Policy. Why? Because the AI Act requires each organization to manage the risks involved with the use or deployment of AI. To ensure that artificial intelligence is ‘used’ by your own organization ethically, transparently, fairly and safely.
Purpose
The purpose of such a policy is to ensure that your organization understands where exactly AI and algorithms have been and are being deployed; that all employees, in whichever department, use AI tools in a secure, responsible and confidential manner. Hopefully only prescribed or allowed tools, not the ones they picked for themselves. The policy should outline the requirements that employees must follow when they wish to use AI tools, including the evaluation of security and ethical risks and the protection and integrity of company confidential and personal data.
Where?
Think of the research and development department using AI to help develop products or software. Think of using simple chatbots for potential customers to chat with on your website (can your chatbots answer without discrimination or bias, and do they respect GDPR?). Think of AI enhanced data analysis, AI used in edicational materials, or supporting medical devices. Not only generative AI uses but also agentic AI nowadays. The Act classifies AI applications into four risk categories: unacceptable, high, limited, and minimal.
Role of ECP
Any system driven or supported by AI in your orgranization should be analysed rather sooner than later (not necessarily by ECP’s). Does your organization know at present which department is using which AI and how AI is being used? And which algorithms are being deployed in which machine-learning or modelling systems? Certain algorithmic practices are prohibited entirely due to high risks.
Even in case you only import or distribute such products (rather than develop or deploy them) you have far reaching additional obligations based on the AI Act. Risk assesments (both technical and ethical, e.g. any generated misinformation), human oversight and proper documentation based on your internal AI Governance Plicy are required. Participate internally to make sure that risks are being carefully addressed. In my view, ensuring traceability, robustness, and ethics of AI outputs are at present the most important to manage professionally.
AI compliance is not just a technical or legal issue: it’s a cross-functional responsibility. Staff across risk, compliance, audit, GDPR and data science teams must be trained on the structure and scope of the EU AI Act, risk classification of AI systems, new responsibilities for governance, documentation, and human oversight. Because AI is here to stay, this must become a recurring part of the business processes and procedures.
The reason for drawing attention to this important subject matter is a poll we took last week during the @Voxius Round Table discussion on AI. Less than 15% of the participants already had adopted an AI Governanve Policy (as compared to 33% of European companies 6 months ago). So time to get all relevant departments and experts into your new committee!
Next month I will address part 2: should ECP’s use AI themselves?
So feel free to call for a consultation (free of charge)!
