Met de AI Act wil Europa voor veiligere en betrouwbare AI-technologie zorgen. Maar zijn kmo’s wel voldoende uitgerust om aan de wetgeving te kunnen voldoen? Experten uit de Belgische IT-industrie reageren verdeeld op deze vraag.
De AI Act hangt als een heet hangijzer boven de IT-industrie. Tijdens een rondetafelgesprek over AI, georganiseerd door ITdaily, komt de wetgeving voortdurend ter sprake. De vijf panelleden lijken het wel unaniem eens te zijn met de beoogde doelstellingen van de AI Act, maar het praktische luik roept vragen op.
“Ik denk dat de wet vooral een impact zal hebben op kleine bedrijven”, zegt Antoine Smets, medeoprichter en CEO van Klassif.ai. “Grote spelers kunnen vrij snel een team opzetten om zich met de verplichtingen van de AI Act bezig te houden, maar voor kmo’s vormen de richtlijnen een flinke horde.”
Ik denk dat de wet vooral een impact zal hebben op kleine bedrijven.
Antoine Smets, medeoprichter en CEO, Klassif.ai.
Bias: een vicieuze cirkel?
De AI Act is er natuurlijk niet zonder reden gekomen. De adoptie van AI is de voorbije jaren in een stroomversnelling geraakt, maar er bestaan nog veel twijfels over de veiligheid van die systemen. Véronique Van Vlasselaer, Analytics & AI Lead South West & East Europe bij SAS, legt de vinger op de zere wonde. “Experts weten zelf ook niet altijd wat hun systemen precies doen. Dat is zeker bij generatieve AI het geval, dat dingen kan waar het niet voor getraind is. Er zijn veel onbekende factoren in de maatschappij. Op bepaalde zaken wordt getest, maar vertekeningen in output kunnen pas na enkele jaren aan de oppervlakte komen.”
Experts weten zelf ook niet altijd wat hun systemen precies doen.
Véronique Van Vlasselaer, Analytics & AI Lead South West & East Europe, SAS
Frank Callewaert, CTO BeLux & EU Institutions voor Microsoft, beaamt. “AI werkt binnen een context van de data waar je het op traint. Je moet in de eerste plaats dus kijken of er geen bias in je bedrijfsdata zit. Bias is zeer gevaarlijk als je het op grote schaal uitrolt. Mensen onderschatten dit risico nog te vaak.”
Eens bias in de trainingsdata sluipt, kan dit een negatieve feedback cycle in gang zetten, waarschuwt Smets. “AI gebruikt zijn eigen output ook om bij te trainen. Bias aan het begin van het proces kan inderdaad een groot probleem worden, omdat dit in de output versterkt en versterkt wordt. Zo ontstaat een moeilijk te breken vicieuze cirkel.”
“Er moeten nieuwe rollen gecreëerd worden om bias te controleren” vindt Gregory Verlinden, Associate VP Analytics & AI bij Cognizant. “We gaan AI misschien nooit voor honderd procent begrijpen, waar we moeten wel frameworks opstellen om risico’s te observeren en te beheersen. Observability wordt de controlekamer voor AI-systemen.”
Zwarte doos
Gebrek aan transparantie over hoe AI-modellen werken en getraind zijn, is voor Koen De Maere, Board member & Director Marketing and Communications, Government Relations and Advocacy bij Isaca, waar het schoentje nu knelt. “We moeten afstappen van black box-modellen waarbij de correlaties tussen parameters niet duidelijk zijn. Modellen met minder parameters zouden dit al eenvoudiger maken. Correlaties leggen geen causale verbanden bloot. Daar bestaan nog veel verkeerde interpretaties over. Het moet voor mensen duidelijker worden wanneer AI een beslissing neemt en waarom het A of B zegt.”
We moeten afstappen van black box–modellen waarbij de correlaties tussen parameters niet duidelijk zijn.
Koen De Maere, Board member & Director Marketing and Communications, Government Relations and Advocacy, Isaca
Van Vlasselaer stemt in. “Kan je honderd procent garanderen dat AI betrouwbaar is? Misschien niet, maar er zijn wel controles die je kan doen, te beginnen op de data die je gebruikt. Dit wordt des te belangrijker wanneer AI-systemen impact hebben op mensen. Als mensen hebben we een impliciete bias, AI maakt die expliciet zichtbaar. We gaan een afweging moeten maken tussen accuraatheid en interpreteerbaarheid: whitebox-modellen zijn niet zoveel minder accuraat.”
Ethiek: niet langer een magje, maar een moetje
Onder druk van de AI Act zullen AI en ethiek onlosmakelijk met elkaar verbonden worden. Verlinden: “Het startschot is nu officieel gegeven. Bedrijven met een top-down strategie zullen hier eerst mee moeten beginnen. Bij traditionele bedrijven zal dit proces later gebeuren.”
“Er wordt al vele jaren gediscussieerd over data governance, maar het ontbreekt veel organisaties nog aan concrete implementaties”, pikt Van Vlasselaer in. “Bij SAS hebben we onszelf ethische normen opgelegd waaraan alles dat we beschikbaar stellen, moet voldoen. Nederland heeft hier al grote stappen gezet met strenge documentatievereisten rond AI-systemen: een mooi voorbeeld van hoe het in Europa kan evolueren.”
Callewaert kaart het belang van standaardisatie aan. “De AI Act verplicht bedrijven om een impact assesment op hun technologie uit te voeren, zeker bij systemen die binnen hogere risicocategorieën vallen. Veel grote bedrijven zullen inmiddels wel voor zichzelf ethische richtlijnen hebben opgesteld: de AI Act mag dan nu pas zo goed als finaal zijn, de grote principes waren drie jaar geleden al bekend.”
AI gaat uit van een shared responsibility-model tussen leveranciers en gebruikers.
Frank Callewaert, CTO BeLux & EU Institutions Microsoft
“AI gaat uit van een shared responsibility-model tussen leveranciers en gebruikers”, zet Callewaert zijn betoog verder. “Bij SaaS-oplossingen ligt de verantwoordelijkheid meer bij de leverancier, bij PaaS verschuift die richting de klant. Dat is bij GenAI niet anders, maar het risico is groter. Binnen de industrie is er de consensus dat certificatie en standaardisering nodig is.”
Vallen kmo’s uit de boot?
“Ik maak mij toch zorgen over kmo’s”, zegt De Maere. Voor hem moet ethiek een belangrijke plaats hebben binnen opleidingen. “Sommige universiteiten geven daar nu nog te weinig aandacht aan. Enkele jaren geleden was ik gastspreker aan een universiteit in Dublin voor de opleiding marketing. Ze deden daar helemaal niets rond GDPR en privacy. Het is essentieel om toekomstige managers van in het begin op te leiden rond ethiek.”
“Ethiek wordt nu nog te gemakkelijk onder de noemer ‘ESG’ geduwd. Sustainable AI gaat niet enkel over ESG, maar ook over hoe je verantwoord AI-systemen opzet en continu monitort.”, zegt Van Vlasselaer, al neemt ze wel de handschoen op voor de universiteiten. “Er wordt heel veel onderzoek gedaan rond hoe AI-systemen betrouwbaar en interpreteerbaar gemaakt kunnen worden in België en dat sijpelt door naar de lessen. Studenten krijgen zeker wel daarvan noties mee.”
“Pas op, we moeten onze kmo’s ook niet onderschatten hé”, valt Verlinden in. “Maar het is wel belangrijk om literacy aan te brengen. Dat is ook voor grote bedrijven nodig, ook daar zien we dat AI-tools soms uit angst geblokkeerd worden. Europa trekt hier misschien niet altijd de juiste kaart. Er is budget beschikbaar, maar we zijn te voorzichtig om te investeren in onze gemeenschappelijke toekomst. We doen AI om goede redenen, de AI Act zet een kwaliteitsstempel op modellen. In België zijn er trouwens zeer goede initiatieven om GenAI naar de kmo-markt te brengen.”
Pas op, we moeten onze kmo’s ook niet onderschatten hé.
Gregory Verlinden, Associate VP Analytics & AI Cognizant
“Die initiatieven zouden dan toch nog meer in de verf kunnen gezet worden. Nu hoor ik vooral van kmo’s dat zij vrezen om uit de boot te vallen”, vindt De Maere. Callewaert antwoordt: “Development en finetunen van modellen is voor een doorsnee kmo misschien te moeilijk, maar ‘kant-en-klare’ oplossingen introduceren, kunnen zij zeker. Er ligt veel potentieel om betere, toegankelijkere diensten naar de core business van kmo’s te brengen. België is een kennismaatschappij en in kmo’s zit veel kennis die we moeten ontsluiten.”
Zet je schrap
Ondanks de nobele doelstellingen zal de AI Act organisaties heel wat praktische hoofdpijn bezorgen, erkent ook het panel. “Het is een goede zaak dat er vetrokken is vanuit een risico-gebaseerde aanpak. Dit ontbrak bij de GDPR, waar het vooral om regeltjes ging. Maar er zijn nog veel vragen over de praktische implementatie”, zegt De Maere.
Smets heeft vooral bedenkingen bij de praktische haalbaarheid voor kmo’s. “De wet is duidelijk geschreven met grote bedrijven die modellen ontwikkelen in gedachten, met weinig focus op kleine bedrijven die AI-diensten leveren. Voor hen wordt het veel moeilijker om de richtlijnen te halen. Los daarvan geloof ik wel dat dit een gamechanger kan zijn voor de concurrentiekracht van Europese bedrijven in de sector.”
lees ook
Niet alle AI is generatief en gelukkig maar
“De bouwer, leverancier en de gebruikers worden als afzonderlijke partijen beschouwd”, weet Callewaert. “Net daarom zullen certificeringen zo belangrijk zijn voor gebruikers. Dit biedt kmo’s de informatie om te controleren of een oplossing voldoet aan de normen.”
“Je moet de AI Act als een traject zien. Nu zitten we nog maar op het startpunt. Iedereen zal er uiteindelijk iets mee doen, maar op zijn eigen snelheid”, zegt Verlinden. “De tijd om te conformeren is wel bijzonder kort. Als je ziet dat bedrijven nu nog altijd bezig zijn met de GDPR… De AI Act voorziet slechts twaalf maanden en komt nog eens bovenop andere wetgevingen zoals NIS2 en DORA. Bedrijven zullen zich toch schrap moeten zetten om dat alles operationeel te krijgen”, besluit Callewaert.
Dit artikel is onderdeel van een reeks naar aanleiding van de door ITdaily georganiseerde ronde tafel over AI. Lees hier meer.