De nieuwe norm ISO/IEC 42001, ‘s werelds eerste standaard voor ‘verantwoorde artificiële intelligentie’ (ai), begint voet aan de grond te krijgen, al is de bekendheid nog laag. Tal van initiatieven van onder meer KPMG en NEN, zijn inmiddels gestart. Ook komt er een NTA (Nederlands Technische Afspraak) om organisaties te helpen bij het zo verantwoord mogelijk ontwikkelen en/of inzetten van risicoprofileringsalgoritmen.
70 procent van het werk voor deze ai-management-standaard kan worden uitgevoerd door gebruik te maken van het bestaande ISO 27001-kader voor informatiebeveiliging. Deze laatste norm is dus allerminst ‘dood’, is nog steeds in ontwikkeling en vormt de basis voor ISO 42001. De toekomst van ai is erop gebouwd. Dit stelt Fabian Weber, ISO-expert bij de Public Cloud Group (PCG).
Weber stelt dat het gemiddeld dertien maanden duurt van ISO 42001-release tot certificering. Het auditwerk neemt 25-30 procent minder tijd in beslag dan een standaard ISO 7001-surveillance audit. Ai-native producten verkopen sneller wanneer ‘verantwoordelijke ai’ in de aanbestedingseisen staat. Dit betekent dat bedrijven die aantonen dat hun ai-systemen ethisch en transparant zijn, minder moeite hoeven te doen om grote klanten binnen te halen. Weber geeft op LinkedIn voorbeelden van organisaties in de Verenigde Staten, Zwitserland en Japan die op basis van ISO 27001 snel konden voldoen aan ISO 42001.
Paraplu
Volgens KPMG biedt ISO 42001 richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een ai-managementsysteem binnen de context van een organisatie. ISO 42001 vormt de basis. De standaard werkt als een soort paraplu. Voor technische details zoals het valideren van ai-modellen zijn meer specifieke standaarden nodig die zich richten op de aparte bouwstenen van een robuust ai-systeem. KPMG stelde een document samen voor bedrijven die producten of diensten leveren of gebruiken waarbij ai-systemen toepassing vinden.
Volgens nationaal normalisatie-instituut NEN helpt een gestructureerde aanpak in de vorm van een managementsysteem om te garanderen dat de ai-oplossingen veilig, betrouwbaar, ethisch en in overeenstemming met de geldende regelgeving zijn. NEN werkt ter ondersteuning van de Europese ai-verordening mee aan een ecoysteem van vertrouwen, zo blijkt uit een position paper van NEN.
Technische afspraak
Er komt ook een NTA (Nederlands Technische Afspraak) om organisaties te helpen bij het zo verantwoord mogelijk ontwikkelen en/of inzetten van risicoprofileringsalgoritmen. Bij NEN is afgelopen april een werkgroep van de normcommissie AI & Big data gestart met de ontwikkeling van deze NTA.
Niet alle algoritmen die impact kunnen hebben op burgers en consumenten vallen onder de Europese AI-verordening vanwege de daarin opgenomen definitie van ai-systemen. Dit geldt voor regel gebaseerde risico-profileringsalgoritmen, terwijl er wel risico’s zijn met betrekking tot vooringenomenheid bij deze toepassingen.
In de NTA zullen toetsingsmethoden worden uitgewerkt die algoritmeontwikkelaars en -beheerders ondersteunen bij het invullen van open juridische normen uit onder meer het non-discriminatierecht. Daarbij wordt zo veel mogelijk gebruik gemaakt van praktijkervaringen met het valideren van profileringsalgoritmen. De NTA zal primair gericht zijn op de Nederlandse publieke sector, maar kan tevens door organisaties uit de private sector worden gebruikt.
Nog weinig bekend
Uit onderzoek van ViewPoint in opdracht van DNV (classificatie) onder startende ai-organisaties in Nederland bleek vorig jaar dat de bekendheid met de internationale norm ISO/IEC 42001 nog laag is. Slechts 11 procent van de respondenten was toen bekend met deze norm. Veel bedrijven worstelen met technische vaardigheden. Iets meer dan een derde van de ondervraagde organisaties overweegt een managementsysteem in te voeren om de verantwoorde inzet en het beheer van ai-technologieën te waarborgen.
