AI veilig gebruiken: Juridische uitdagingen

Met de introductie van ChatGPT, Google Gemini en andere GenAI-toepassingen begeven organisaties zich niet alleen op nieuw technisch terrein. Ze opereren ook op een gebied dat nieuwe verantwoordelijkheden vereist en juridische uitdagingen met zich meebrengt voor zowel besluitvormers als medewerkers.

Verschillende media hebben gemeld dat Samsung onlangs het interne gebruik van ChatGPT heeft opgeschort. De reden: technici hadden geheime broncode voor debugging en vertrouwelijke vergadernotities in het chatvenster ingevoerd. zij realiseerde zich niet dat OpenAI de vrijgegeven informatie zou gebruiken om de software te trainen en aan iedereen door te geven. 

Deze zaak laat zien hoe snel organisaties ervan beschuldigd kunnen worden dat ze niet de juiste maatregelen hebben genomen. Dit komt doordat de gebruiksvoorwaarden GenAI-aanbieders uitsluiten als overtreders. In plaats daarvan zijn medewerkers, managers en directie verantwoordelijk. En dit geldt ook als ze onbedoeld geheimen, vertrouwelijke klant- of persoonlijke gegevens onthullen. Afhankelijk van de omvang van de schade en de mate van de overtreding variëren de gevolgen van een waarschuwing van ontslag tot schadevergoeding en gevangenisstraf. 

Het is mogelijk om de informatie vervolgens te laten verwijderen door de AI-operator. Maar zelfs met API-beveiligde AI-toepassingen is de beste bescherming om vertrouwelijke informatie niet te gebruiken in prompts. In het geval van gevoelige informatie van klanten, leveranciers en andere belanghebbenden moeten contracten en geheimhoudingsbedingen worden gebruikt om te controleren of en welke gegevens mogen worden gebruikt in GenAI-tools.

De General Data Protection Regulation (GDPR) stelt hoge eisen aan de omgang met persoonsgegevens. Daarom zijn organisaties ook verplicht om ervoor te zorgen dat hun gebruik van AI-systemen voldoet aan de GDPR-eisen. 

Er moet bijvoorbeeld voor worden gezorgd dat de gebruikte trainingsgegevens en AI-algoritmen niet leiden tot discriminatie of vooringenomenheid waardoor medewerkers, klanten of sollicitanten onrechtmatig worden benadeeld. Als de genomen tegenmaatregelen niet voldoende zijn, moet de organisatie zich verantwoorden in het geval van een rechtszaak en een schadevergoeding betalen als het verliest.

Een bijkomend risico is dat de verwerking van persoonsgegevens met GenAI-toepassingen ook buiten de EU kan plaatsvinden. Als dit proces niet GDPR-conform is, bestaat het risico op hoge boetes.

Met de EU AI Act wil de Europese Unie het gebruik van AI-gebaseerde toepassingen in een veilige richting sturen. Eind 2023 werden het Europees Parlement en de EU-lidstaten het eens over een versie die een voorproefje geeft van de wet, die in 2026 van kracht moet worden. Het deelt AI-toepassingen in drie risicocategorieën in:

Onaanvaardbaar hoog risico

AI-toepassingen die worden gezien als een bedreiging voor de grondrechten en veiligheid van EU-burgers en verboden zijn voor organisaties, zoals bewakingssystemen of social scoring.

Hoog risico: 

AI-toepassingen die niet expliciet verboden zijn, maar wel tot nadelen kunnen leiden, bijvoorbeeld AI-toepassingen om de selectie van sollicitanten te ondersteunen. 

Laag risico:

Alle andere AI-systemen, inclusief chatbots of videogames met AI. 

Om beveiligingsrisico's en inbreuken op gegevensbescherming te voorkomen, moeten organisaties in hun interne beoordelingen nu al oriënteren op de risicogebaseerde aanpak van de EU AI Act. AI-toepassingen met een onaanvaardbaar hoog risico moeten worden gedeactiveerd. In het geval van AI met een hoog risico, zoals people analytics of HR recruiting, moet bijzondere aandacht worden besteed aan de toekomstige vereisten voor het gebruik ervan. Organisaties moeten bijvoorbeeld zorgen voor transparantie en voldoen aan specificaties voor technische documentatie en registratie van gebeurtenissen. Ze moeten ook rekening houden met de toekomstige eisen voor de betrouwbaarheid, robuustheid en cybersecurity van de systemen en hun processen aanpassen aan de eisen van de EU-richtlijn. 

Daarnaast is het verstandig om duidelijke kaders op te stellen voor het gebruik van GenAI op de werkplek. Zo verklein je de risico’s en voorkom je ongewenste situaties. Denk daarbij vooral aan de volgende punten:

• Voer een uitgebreide beoordeling uit van het risicobeheer voor naleving en documenteer de resultaten.
• Stel richtlijnen op voor het gebruik van GenAI-toepassingen.
• Zet een AI-werkgroep op die de richtlijnen stevig verankert in de organisatie- en werkcultuur door middel van communicatie en management.
• Zorg voor end-to-end monitoring van operationele processen en definieer de noodzakelijke rapportage- en escalatieprocessen.  
• Verduidelijk wie welke toegang moet hebben tot GenAI-toepassingen in de organisatie en voor welke medewerkers het gebruik beperkt of verboden moet worden om organisatiegeheimen te beschermen. Pas de richtlijnen en werkinstructies hierop aan.

Organisaties en hun medewerkers moeten zich goed bewust zijn van de risico’s bij het gebruik van GenAI-toepassingen. Die risico’s zijn aanzienlijk en effectief omgaan met die risico’s is niet eenvoudig. Ook de wetgever ziet dit: daarom verplicht de EU AI Act organisaties om hun medewerkers straks te trainen in het verantwoord gebruik van GenAI.

Door de snelle technologische ontwikkelingen, de impact op werkprocessen en de onzekerheden die daarbij horen, zullen traditionele trainingsmethoden al snel tekortschieten. Het is daarom slim om op tijd na te denken over een oplossing die medewerkers direct in hun werk ondersteunt – met heldere uitleg over het juiste, juridisch verantwoorde gebruik van GenAI en de bijbehorende processen, richtlijnen en procedures.

Een Digitaal Adoptie Platform zoals tts performance suite biedt precies deze ondersteuning: het biedt ondersteuning direct in de workflow en zorgt ervoor dat de nieuwe IT-technologieën efficiënt en conform de voorschriften worden gebruikt. De unieke side-by-side benadering van tts performance suite plaatst een helpvenster als een zijbalk naast de AI-toepassing. Gebruikers hebben bijvoorbeeld toegang tot informatie over goedgekeurde AI-tools en voorschriften, evenals hulp bij prompting en voorbeeldprompts - zonder dat ze de AI-tool hoeven te verlaten. Dit zorgt ervoor dat medewerkers het GenAI-programma altijd veilig en vol vertrouwen gebruiken in overeenstemming met de AI-richtlijnen.