Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data-analyse, klantenservice en zelfs softwareontwikkeling. Bedrijven die traag zijn met het adopteren van AI riskeren enorme concurrentienadelen. Maar de implementatie van AI-technologie is niet zonder risico.

Bijvoorbeeld tekortkomingen in een AI-systeem bedoeld om fraude met kinderopvangtoeslagen aan te pakken, heeft gezinnen in Nederland in financiële nood gebracht. Amazon moest een AI-rekruteringstool schrappen die vooringenomenheid jegens vrouwelijke kandidaten vertoonde.

Het gebruik van AI voor het verzamelen en analyseren van gegevens leidt ook tot privacyproblemen en de kans op datalekken, vooral in gevoelige sectoren van de economie. Bijvoorbeeld, veel banken hebben hun personeel verboden tools zoals ChatGPT en andere virtuele AI-assistenten te gebruiken vanwege de bezorgdheid dat de aard van de zoekopdrachten informatie zou kunnen lekken over bedrijfsgeheimen zoals geplande overnames of fusies.

Een recent rapport van de Centre for Long-Term Resilience (CLTR) riep Groot-Brittannië op om een ​​systeem op te zetten om AI-misbruik of -storingen te registreren incidenten. De denktank stelt dat problemen met AI-technologie op dezelfde manier moeten worden behandeld als de Air Accidents Investigation Branch vliegtuigcrashes onderzoekt.

Een incidentrapportagesysteem voor AI-problemen biedt volgens de CLTR de mogelijkheid om best practices te ontwikkelen op gebieden als risicomanagement, lessen te trekken en regelgeving vorm te geven.

Vooruitgang op regelgevingsgebied

Hoewel de regelgeving het gebruik van AI binnen bedrijven nog steeds inhaalt, is een afwachtende houding ten aanzien van de naleving verre van verstandig.

David Corlette, VP productmanagement bij VIPRE Security Group, vertelde ISMS.online dat AI-regulering (bijna) gelijktijdig evolueert met de technologie zelf.

“Hoewel we nog geen alomvattend raamwerk voor AI hebben gezien, wordt er opmerkelijke vooruitgang geboekt”, aldus Corlette. “Er is het NIST AI Risk Management Framework (AI RMF), en natuurlijk de ISO 42001, die een veelbelovende benadering biedt voor AI-beheer. De ISO 42001 zal een niveau van consistentie en betrouwbaarheid over de grenzen heen brengen.”

Een fundament leggen

Kaders zoals ISO 42001 kan helpen bij het leggen van een stevige basis en het verlichten van de last van het naleven van de regels wanneer nieuwe regelgeving wordt geïntroduceerd.

ISO 42001 schetst hoe bedrijven een raamwerk kunnen opzetten voor het opzetten en onderhouden van een managementsysteem voor kunstmatige intelligentie binnen hun organisatie. Risicomanagement is een van de kerncomponenten van het raamwerk.

Volgens Glenn Chisholm, mede-oprichter en CEO van Obsidian Security: “De ISO 42001-standaard legt de nadruk op risicobeheer en kan worden toegepast om de risico’s in verband met AI te omvatten, waaronder ethische overwegingen, risico- en impactbeoordelingen, gegevensprivacy, vooringenomenheid en voortdurende verbetering. .”

Chisholm voegde hieraan toe: “Hoewel ISO 42001 niet automatisch de naleving van andere normen garandeert, deelt het veel kenmerken met normen als de EU AI Act, NIST AI RMF en andere.”

Peter Wood, Chief Technical Officer bij Spectrum Search, voegde hieraan toe: “Door ISO 42001 te adopteren, kunnen organisaties de naleving van komende regelgeving vereenvoudigen door middel van een proactieve in plaats van reactieve aanpak. Hierdoor kunnen organisaties zich moeiteloos aanpassen aan veranderende regelgevingslandschappen, waardoor het risico en de mogelijke boetes bij niet-naleving worden geminimaliseerd.”

Wereldwijde initiatieven

Internationale normen evolueren snel en meerdere landen, zoals de Verenigde Staten, China, India en Australië, zijn allemaal bezig met het vaststellen van hun regelgeving.

Volgens Chisholm: “Veel van deze standaarden zullen waarschijnlijk van elkaar lenen, dus het voordeel van het afstemmen op de ene zal waarschijnlijk in de andere overvloeien.”

Juridische en compliance-experts zeggen dat naleving van de onlangs geïntroduceerde EU AI Act een prioriteit zou moeten zijn voor Britse bedrijven, aangezien zij vaak zaken zullen doen met de EU.

“Veel Britse bedrijven zijn actief in of met de EU; Daarom garandeert de afstemming op de EU AI Act voortdurende toegang tot deze belangrijke markt”, vertelde Becky White, senior databeschermings- en privacyadvocaat bij Harper James, aan ISMS.online. “Niet-naleving kan leiden tot toetredingsdrempels of boetes, waardoor de bedrijfsvoering en het concurrentievermogen worden aangetast.”

De EU AI-wet richt zich op risicovolle toepassingen en datasets. De kernprincipes benadrukken transparantie en verantwoordingsplicht.

“De EU AI Act is een goed startpunt, omdat de kernprincipes van transparantie, veiligheid en databeheer waarschijnlijk van fundamenteel belang zullen zijn voor elke AI-regelgeving in welke regio dan ook”, aldus Corlette van VIPRE. “Deze wetgeving is de eerste in zijn soort en legt praktisch het raamwerk vast voor een opkomende industrie die vooraf geen afdwingbare normen kent.”

Corlette concludeerde: “De geschiedenis zou suggereren dat regelgeving die in andere regio’s is ontwikkeld, ook sterk zou lijken op deze ontluikende EU-wetgeving. Een voorbeeld is de AVG van de EU.”

Hoewel de afstemming op de EU AI Act zorgt voor soepele bedrijfsactiviteiten over de grenzen heen en potentiële regelgevingsconflicten kan voorkomen, moeten Britse bedrijven de ontwikkelingen op regelgevingsgebied dichter bij huis nauwlettend in de gaten houden.

Wood van Spectrum Search adviseerde “weddenschappen af ​​te dekken door de Britse specifieke regelgeving nauwlettend in acht te nemen en de flexibiliteit te behouden om zich aan te passen aan zowel de Britse als de EU-vereisten.”

Deskundigen adviseerden dat Britse organisaties zichzelf moeten positioneren om zich snel aan te passen als en wanneer er verschillen ontstaan ​​tussen regelgevingsregimes in verschillende regio’s.

White van Harper James merkte op: “Volledige naleving van meerdere regelgevingsregimes tegelijkertijd kan veel middelen vergen; Daarom stelt dit soort ‘hedging’-strategie bedrijven in staat om middelen effectief toe te wijzen, waarbij de naleving van innovatie en operationele efficiëntie in evenwicht wordt gebracht. Door enige flexibiliteit te behouden, kunnen bedrijven zich aanpassen aan veranderingen in zowel de Britse als de Europese regelgeving wanneer dat nodig is.”

Privacy en bestuur

Bestuurs- en privacykwesties die voortkomen uit het gebruik van AI door ondernemingen gaan verder dan compliance- en regelgevingskwesties.

“De training van Gen AI-modellen en databases zal vaak gepaard gaan met het verwerken van enorme datasets die aanzienlijke hoeveelheden persoonlijke gegevens bevatten, wat kan leiden tot aanzienlijke privacy- en governancerisico’s voor Britse bedrijven”, legt Harper James' White uit. “Deze informatie kan soms gevoelige of speciale gegevens over individuen bevatten, waarvan de verwerking onbedoeld vooroordelen kan bestendigen of zelfs verergeren, wat tot oneerlijke of discriminerende uitkomsten kan leiden. Het misbruik van de gegenereerde inhoud zou de privacyrechten kunnen schenden.”

Algoritmische vooroordelen, waarbij AI-systemen onbedoeld bestaande vooroordelen in de trainingsgegevens kunnen weerspiegelen, kunnen worden verzacht door gereguleerde audits en diverse datasets.

Volgens White kunnen bedrijven deze risico’s helpen beperken door robuuste data governance-praktijken te implementeren en zich te concentreren op de manier waarop hun werknemers AI gebruiken.

“Dit omvat het gebruik van anonimiseringstechnieken, het instellen van strenge toegangscontroles, het regelmatig uitvoeren van bias-monitoring en het garanderen dat de gegevens die worden gebruikt om de AI-modellen te trainen accuraat, volledig en representatief zijn”, adviseert White.