Dit artikel is het derde deel van onze AI-serie, waarin we je door de belangrijkste ontwikkelingen in AI gidsen. De komende tijd verschijnt er elke 2 weken een artikel in deze serie. In dit introductieblog lees je meer over wat deze serie inhoudt en vind je links naar de tot nu toe verschenen artikelen.
AI kan schade aanrichten. In het nieuws hebben we daar helaas al genoeg voorbeelden van voorbij zien komen. Ga je gebruik maken van een AI-toepassing, dan wil je incidenten voorkomen. Maar hoe zorg je voor een betrouwbaar systeem en hoe ga je om met onopzettelijke of opzettelijke verstoringen? In dit artikel gaan we dieper in op de safety en security van AI.
Start met een assessment
Een veilige inzet van AI start met een assessment. Daarmee wordt duidelijk wat de mogelijke risico’s zijn van de toepassing, waardoor die risico’s kunnen ontstaan en voor wie dat gevolgen heeft. Op basis daarvan kun je het ontwerp, de techniek en de organisatie achter de toepassing vormgeven.
Onderzoek wie negatieve impact van de toepassing ondervindt
Als eerste wil je onderzoeken wie negatieve impact ondervindt of kan ondervinden van de toepassing:
- Wat voor personen of groepen ondervinden negatieve impact?
- Gaat het om een beperkt aantal personen of om een grote groep?
- Heeft de toepassing impact op een groter geheel, zoals het milieu of de rechtsstaat?
- Om wat voor impact gaat het? Denk hierbij bijvoorbeeld ook aan mogelijkheden van discriminatie of een negatieve machtsbalans in informatiepositie tussen actoren.
Bepaal de ‘Schaal van erg’
Vervolgens is het belangrijk om een inschatting te maken van de grootte van die negatieve impact. Wij gebruiken hiervoor de ‘Schaal van Erg’ (we schreven hier eerder al een artikel over). Bij een grote negatieve impact moet er meer aandacht besteed worden aan safety en security.
Breng de bedreigende actoren in kaart
Breng ook de bedreigende actoren in kaart. Een bedreigende actor kan een crimineel motief hebben, maar het kan ook een organisatie zijn die een eigen belang heeft om gegevens te verkrijgen. En denk ook aan personen of partijen die baat hebben bij een andere uitkomst van een AI-verwerking.
Wie hebben er belang bij om gegevens te verkrijgen en voor ongewenste doeleinden te gebruiken? Wie willen gegevens misschien manipuleren om een andere uitkomst te creëren? Wat voor kennis en middelen hebben zij en hoe makkelijk kunnen ze toegang krijgen tot het systeem en de gegevens?
Denk na over wat er mis kan gaan in je proces
Bij de ontwikkeling van een AI-systeem ga je uit van een bepaald procesverloop. Maar wat zijn de onverwachte situaties?
- Wat kan er in de aangeleverde data allemaal mis gaan?
- Wat kan er mis gaan in de verdere verwerking?
- Wat als het systeem of netwerk uitvalt?
- Wat kan er organisatorisch of technisch misgaan en moet dus ingeregeld zijn?
Gebruik de gangbare beoordelingen uit bijvoorbeeld de ISO 27000 hoek voor het beoordelen van je processen.
Neem maatregelen om de bedreiging te minimaliseren
Je weet nu wat de bedreigingen en de potentiële impact zijn. Dan is het vervolgens natuurlijk van belang om incidenten zoveel mogelijk te voorkomen en om, als ze tóch plaatsvinden, de impact voor betrokkenen te verkleinen.
Ontwerp, test en monitor
Het uitgangspunt moet altijd een security-by-design aanpak zijn. In het ontwerp moeten safety en security al gedegen zijn ingebakken. Test een AI-toepassing altijd uitgebreid voor je hem gaat inzetten. Test daarbij ook de consistente reproduceerbaarheid van de werking. Tijdens de tests, maar ook in de gebruiksfase kunnen situaties naar voren komen die in het ontwerp nog niet exact waren voorzien. Door goede monitoring kun je daar op tijd op bijsturen.
Bereid je voor op onverwachte situaties en zorg voor fall-back
Zorg dat je organisatie en technologie zijn ingericht om snel en adequaat om te gaan met onverwachte situaties. Houd daarbij het belang van de betrokkenen voor ogen. Zorg ervoor dat je een fall-back hebt om ook weer zonder het AI-systeem het proces uit te voeren.
Leg uit en maak aantoonbaar
Het is belangrijk dat je de werking van het model en de verwerking goed kunt uitleggen aan betrokkenen. Zorg ook voor een aanspreekpunt voor betrokkenen, zodat ze om uitleg kunnen vragen en zo nodig gegevens of uitkomsten kunnen laten corrigeren.
Algoritme Effect Beoordeling (AEB)
Wil jij de safety en security van jouw AI-toepassing direct goed waarborgen of verbeteren? Wij kunnen je helpen in de vorm van een Algoritme Effect Beoordeling. De Algoritme Effect Beoordeling is bedoeld voor managers die willen sturen op de risico’s die verbonden zijn aan een algoritmisch werkproces. Hiermee wordt richting gegeven aan een duurzaam werkproces ten dienste van de mens en de organisatie. De AEB kan in het ontwikkelproces worden uitgevoerd om te bepalen welke maatregelen nodig zijn. De AEB kan ook op een al bestaand proces worden uitgevoerd. Als onderdeel van de verantwoording en om eventuele verbeteringen zichtbaar te maken.
Meer weten? Neem dan contact op met Joris Hutter via joris.hutter@pmpartners.nl of 085 401 38 66.
Dit artikel is onderdeel van onze AI-serie, waarin we je door de belangrijkste ontwikkelingen in AI gidsen. De volgende artikelen zijn in deze serie verschenen:
1. AI en het onvermijdelijke debat over privacy
2. AI verantwoord inzetten kan alleen als iemand accountable is
3. Zo voorkom je dat je AI-toepassing schade aanricht
4. AI en transparantie: geef gebruikers een kijkje in de keuken
5. Hoe voorkom je dat AI gaat discrimineren?
6. Waarom we de controle op AI nog lang niet kwijt zijn
7. Zo neem je je verantwoordelijkheid bij het ontwerpen, ontwikkelen en toepassen van AI
8. Hoe zorgen we ervoor dat AI zich houdt aan onze (publieke) waarden?
