Naar beheersingsmaatregelen
Om zich te kunnen onderscheiden door middel van AI is het wel van belang dat medewerkers verstand van zaken hebben en het gebruiken. Het eerdergenoemde gebrek aan uitlegbaarheid wat betreft GenAI is de voornaamste reden dat er zoveel risico’s voortkomen uit onopzettelijke toepassing van AI. Voorlichting en training liggen voordehand als beheersingsmaatregelen voor deze risico’s. Idealiter gebeurt er niets onopzettelijk als iedereen met verstand van zaken te werk gaat.
Het met opzet gebruiken of creëren van AI-content voor illegale of onethische doeleinden is een complexer verhaal. De risico’s binnen dit segment schuilen in de grijze gebieden van ethiek en wetgeving, wanneer medewerkers die met AI werken weten wat er gebeurt maar niet dat het niet zou mogen gebeuren. Om dat te voorkomen is het zaak voor organisaties om de grenzen binnen die grijze gebieden intern scherp te stellen, deze grenzen noemen wij in het kader van risicobereidheid ook wel de stoepranden. Het gaat om afspraken over wat er absoluut niet kan gebeuren, deze moeten voor iedereen binnen een organisatie glashelder zijn.
Voor aanbieders van AI-systemen is daarnaast het risico altijd aanwezig dat hun producten door cliënten worden ingezet op manieren die buiten die grenzen treden. Zoals ook in de EU AI Act wordt opgelegd hebben verschillende grote aanbieders van AI-systemen uitgesproken dat hun AI-content zal worden voorzien van een watermerk waarmee het als AI-gegenereerd kan worden herkend. Hiermee wordt het risico voor consumenten aanzienlijk kleiner. Door als aanbieder dit initiatief te nemen beschermen zij hun reputatie en beperken zij hun aansprakelijkheid.
Gebruik en Intentie
Een recent gepubliceerd artikel in de Harvard Business Review maakt de risico’s van GenAI inzichtelijker door te onderzoeken waar deze ontstaan bij de gebruiker. In een simpel maar effectief diagram wordt een verdeling gemaakt tussen aan de ene kant het type gebruik en aan de andere kant de intentie van een GenAI gebruiker. Het diagram kan als volgt in één zin worden samengevat: AI-output kan opzettelijk of onopzettelijk worden gecreëerd of geconsumeerd. Hiermee onderscheid je vier verschillende situaties die ieder hun eigen risico’s kennen.
De ernstigste ethische risico’s vind je bij de opzettelijke creatie van AI-output met onethische of illegale doeleinden, denk bijvoorbeeld aan deepfakes die gebruikt worden voor disinformatie, oplichting of identiteitsdiefstal. Het moedwillig verspreiden van deze output door het te delen op sociale media of te publiceren valt dan onder het opzettelijk consumeren van AI-content. Als iemand door onwetendheid of onoplettendheid deze malicieuze content voor waarheid aanziet vallen ze ten prooi aan de risico’s van onopzettelijke consumptie van AI-output. Onopzettelijke creatie van dergelijke output gebeurt eveneens door een gebrek aan voorlichting of onoplettendheid van gebruikers, generatieve AI-systemen hebben immers nog regelmatig de neiging te ‘hallucineren’ oftewel volkomen onjuiste informatie te geven.
Oorsprong en gevolg
Het artikel uit de Harvard Business Review biedt inzicht in de mogelijke oorsprong van AI-risico’s. In de EU AI Act worden aan de andere kant risico’s allereerst geclassificeerd door te kijken naar de ernst van mogelijke gevolgen. Hiermee wordt een laag of minimaal risiconiveau tot aan een onacceptabel risiconiveau vastgesteld. In de verordening wordt dit een risico-gebaseerde aanpak genoemd. Deze aanpak verschilt van de methode zoals deze wordt beschreven in de AethiQs handreiking voor de EU AI Act en het e-book over risicobereidheid. Het wetgevers- en toezichthoudersperspectief heeft zoals te verwachten de neiging zich te concentreren op de impact. Met als hoofddoel het beschermen van inwoners bekommert de verordening zich vrijwel uitsluitend over de mogelijke gevolgen van een gebrek aan adequate risicobeheersing in hun beoordeling van de risiconiveau’s.
Het HBR-artikel is daarentegen bedoeld om de oorsprong van AI-risico’s inzichtelijk te maken. Daarbij gaat het minder om de risiconiveau’s en de mogelijke impact van incidenten en meer om waar en hoe de risico’s in de kiem gesmoord kan worden. Als onderzoekers gaan de schrijvers van het artikel terug naar de bron om de risico’s te begrijpen. Voor een risicomanager zijn beide het academische en het legislatieve perspectief van belang om tot efficiënte en toereikende risicobeheersing te komen.
De kans én de impact
In risicomanagement onderscheiden we ten eerste een menskant en een systeemkant. Aan de menskant hebben we het over risicostrategie en risicobewustzijn. Voldoende risicobewustzijn zorgt ervoor dat iedereen binnen een organisatie genoeg kennis heeft over de systemen waarmee ze werken, zodat geïnformeerde beslissingen worden gemaakt die altijd onderbouwd kunnen worden. De risico’s die voortkomen uit onopzettelijke creatie of consumptie van AI-output worden hiermee afgedekt. Risicostrategie is aan de andere kant juist heel belangrijk om opzettelijke creatie en consumptie van schadelijke of illegale AI-output te voorkomen door het uitdragen van doelstellingen en stoepranden wat betreft het gebruik van AI.
Aan de systeemkant liggen de concrete beheersingsmaatregelen zoals gereedschappen die AI-gegenereerde content kunnen herkennen, deze worden in de risicoprocessen geïnstalleerd. Daarnaast behoren ook de organisatorische systemen binnen de samenwerking oftewel de risicogovernance tot de systeemkant van risicomanagement. Dit omvat de verdeling van taken en verantwoordelijkheden en het toewijzen van een eigenaar binnen de organisatie voor ieder risico en iedere beheersingsmaatregel. Deze systemen dienen te werken als een filter waarmee vele risico’s in de normale gang van zaken al voldoende zijn gereduceerd. Idealiter weet eenieder niet alleen waar ze zelf verantwoordelijk voor zijn maar ook waar de verantwoordelijkheden voor anderen liggen, zo kan er snel worden gehandeld mocht er toch een incident plaatsvinden.
Tot slot
In het HBR artikel worden risico’s gecategoriseerd om inzicht te krijgen in mogelijke beheersingsmaatregelen waarbij gekeken wordt naar de bron van risico’s. Voor toezichthouders is het met name belangrijk te kijken naar de ernst van mogelijke incidenten, zij zijn er immers om de maatschappij te beschermen tegen de gevaren van onverantwoord gebruik van AI. Risicomanagers moeten beide perspectieven zien te balanceren, met oog voor zowel de oorzaak als de positieve of negatieve gevolgen ofwel de kans en de impact. Waar ontstaat een risico of een belangrijke kans, waar wordt het beheerst, en waar wordt het zo nodig gemitigeerd? Hoe dichter bij de bron een maatregel kan worden toegepast, hoe efficiënter deze zijn werk kan doen, en hoe scherper en relevanter risicomanagement is geïntegreerd in een organisatie.
Bron: (foto) Pexels, https://www.mckinsey.com/capabilities/strategy-and-corporate-finance/our-insights/managing-the-risks-around-generative-ai, https://www.london.edu/think/is-generative-ai-worth-the-hype?, https://hbr.org/2024/05/4-types-of-gen-ai-risk-and-how-to-mitigate-them