AI veilig gebruiken: Juridische uitdagingen

Met de introductie van ChatGPT, Google Gemini en andere GenAI-toepassingen begeven organisaties zich niet alleen op nieuw technisch terrein. Ze opereren ook op een gebied dat nieuwe verantwoordelijkheden vereist en juridische uitdagingen met zich meebrengt voor zowel besluitvormers als medewerkers.

Verschillende media hebben gemeld dat Samsung onlangs het interne gebruik van ChatGPT heeft opgeschort. De reden: technici hadden geheime broncode voor debugging en vertrouwelijke vergadernotities in het chatvenster ingevoerd. zij realiseerde zich niet dat OpenAI de vrijgegeven informatie zou gebruiken om de software te trainen en aan iedereen door te geven. 

Deze zaak laat zien hoe snel organisaties ervan beschuldigd kunnen worden dat ze niet de juiste maatregelen hebben genomen. Dit komt doordat de gebruiksvoorwaarden GenAI-aanbieders uitsluiten als overtreders. In plaats daarvan zijn medewerkers, managers en directie verantwoordelijk. En dit geldt ook als ze onbedoeld geheimen, vertrouwelijke klant- of persoonlijke gegevens onthullen. Afhankelijk van de omvang van de schade en de mate van de overtreding variëren de gevolgen van een waarschuwing van ontslag tot schadevergoeding en gevangenisstraf. 

Het is mogelijk om de informatie vervolgens te laten verwijderen door de AI-operator. Maar zelfs met API-beveiligde AI-toepassingen is de beste bescherming om vertrouwelijke informatie niet te gebruiken in prompts. In het geval van gevoelige informatie van klanten, leveranciers en andere belanghebbenden moeten contracten en geheimhoudingsbedingen worden gebruikt om te controleren of en welke gegevens mogen worden gebruikt in GenAI-tools.

De General Data Protection Regulation (GDPR) stelt hoge eisen aan de omgang met persoonsgegevens. Daarom zijn organisaties ook verplicht om ervoor te zorgen dat hun gebruik van AI-systemen voldoet aan de GDPR-eisen. 

Er moet bijvoorbeeld voor worden gezorgd dat de gebruikte trainingsgegevens en AI-algoritmen niet leiden tot discriminatie of vooringenomenheid waardoor medewerkers, klanten of sollicitanten onrechtmatig worden benadeeld. Als de genomen tegenmaatregelen niet voldoende zijn, moet de organisatie zich verantwoorden in het geval van een rechtszaak en een schadevergoeding betalen als het verliest.

Een bijkomend risico is dat de verwerking van persoonsgegevens met GenAI-toepassingen ook buiten de EU kan plaatsvinden. Als dit proces niet GDPR-conform is, bestaat het risico op hoge boetes.

Met de EU AI Act wil de Europese Unie het gebruik van AI-gebaseerde toepassingen in een veilige richting sturen. Eind 2023 werden het Europees Parlement en de EU-lidstaten het eens over een versie die een voorproefje geeft van de wet, die in 2026 van kracht moet worden. Het deelt AI-toepassingen in drie risicocategorieën in:

Onaanvaardbaar hoog risico

AI-toepassingen die worden gezien als een bedreiging voor de grondrechten en veiligheid van EU-burgers en verboden zijn voor organisaties, zoals bewakingssystemen of social scoring.

Hoog risico: 

AI-toepassingen die niet expliciet verboden zijn, maar wel tot nadelen kunnen leiden, bijvoorbeeld AI-toepassingen om de selectie van sollicitanten te ondersteunen. 

Laag risico:

Alle andere AI-systemen, inclusief chatbots of videogames met AI. 

Om beveiligingsrisico's en inbreuken op gegevensbescherming te voorkomen, moeten organisaties in hun interne beoordelingen nu al oriënteren op de risicogebaseerde aanpak van de EU AI Act. AI-toepassingen met een onaanvaardbaar hoog risico moeten worden gedeactiveerd. In het geval van AI met een hoog risico, zoals people analytics of HR recruiting, moet bijzondere aandacht worden besteed aan de toekomstige vereisten voor het gebruik ervan. Organisaties moeten bijvoorbeeld zorgen voor transparantie en voldoen aan specificaties voor technische documentatie en registratie van gebeurtenissen. Ze moeten ook rekening houden met de toekomstige eisen voor de betrouwbaarheid, robuustheid en cybersecurity van de systemen en hun processen aanpassen aan de eisen van de EU-richtlijn. 

Los daarvan is het raadzaam om voor het gebruik van GenAI-toepassingen op de werkplek kaders te ontwikkelen die risico's tot een minimum beperken en ongewenste ontwikkelingen voorkomen. Dit omvat met name de volgende punten:

• Voer een uitgebreide beoordeling uit van het risicobeheer voor naleving en documenteer de resultaten.
• Stel richtlijnen op voor het gebruik van GenAI-toepassingen.
• Zet een AI-werkgroep op die de richtlijnen stevig verankert in de organisatie- en werkcultuur door middel van communicatie en management.
• Zorg voor end-to-end monitoring van operationele processen en definieer de noodzakelijke rapportage- en escalatieprocessen.  
• Verduidelijk wie welke toegang moet hebben tot GenAI-toepassingen in de organisatie en voor welke medewerkers het gebruik beperkt of verboden moet worden om organisatiegeheimen te beschermen. Pas de richtlijnen en werkinstructies hierop aan.

Opgemerkt moet worden dat organisaties en hun medewerkers zich bewust moeten zijn van een aantal zaken bij het gebruik van GenAI-toepassingen. De risico's zijn aanzienlijk en het effectief beheersen ervan is een moeilijke onderneming. De wetgever erkent dit ook. Daarom verplicht de EU AI Act organisaties om hun medewerkers in de toekomst te trainen in het gebruik van GenAI.  

Gezien de dynamische technologische ontwikkeling, de ingrijpende impact op werkroutines en de daarmee gepaard gaande onzekerheden, zullen traditionele trainingsmethoden hier waarschijnlijk snel hun grenzen bereiken. Organisaties zouden daarom in een vroeg stadium een oplossing moeten overwegen die hun medewerkers ondersteunt bij vragen over het juiste, wettelijk conforme gebruik van GenAI-toepassingen en de bijbehorende processen, richtlijnen en procedures direct in de workflow.

Een Digitaal Adoptie Platform zoals tts performance suite biedt precies deze ondersteuning: het biedt ondersteuning direct in de workflow en zorgt ervoor dat de nieuwe IT-technologieën efficiënt en conform de voorschriften worden gebruikt. De unieke side-by-side benadering van tts performance suite plaatst een helpvenster als een zijbalk naast de AI-toepassing. Gebruikers hebben bijvoorbeeld toegang tot informatie over goedgekeurde AI-tools en voorschriften, evenals hulp bij prompting en voorbeeldprompts - zonder dat ze de AI-tool hoeven te verlaten. Dit zorgt ervoor dat medewerkers het GenAI-programma altijd veilig en vol vertrouwen gebruiken in overeenstemming met de AI-richtlijnen.