Site Search Site Search

Menu

Diensten

Menu

Audit & Assurance

Featured

Be transformative: human-led, tech-powered

Belastingplan 2025

Doing Business in the Netherlands 2025

Menu

Marktsectoren

Menu

Asset & Wealth Management

Menu

Energie, Utilities & Resources

Menu

Pharma & Life Sciences

Menu

Retail & consumer

Featured

Be transformative: human-led, tech-powered

Rijksbegroting 2025: de hoofdpunten per ministerie

ESG-reporting: een noodzakelijk middel voor het grotere doel

Menu

Onze organisatie

Menu

Gedragscodes en Meldings- & Klokkenluidersregeling

Menu

Line of Service-boards (LoS-boards)

Menu

Public & Regulatory Affairs

Featured

Be transformative: human-led, tech-powered

Jaarbericht 2023/2024

Kantoren in Nederland

Loading Results

AI-regelgeving is aanstaande: kansen voor de datafunctie

Succesvolle datafuncties binnen organisaties denken vanuit hun externe impact. Dat is niet alleen de juiste mindset voor innovatie, maar ook de rode draad in nieuwe AI-regelgeving en (aanstaande) praktijkstandaarden voor de werkwijze van de datafunctie. Hoe kunnen datafuncties dit momentum optimaal benutten?

Grootste economieën ter wereld introduceren (voorstellen voor) AI-regelgeving

De maatschappelijke uitdagingen die de toepassing van AI in de afgelopen jaren stelde met betrekking tot de fundamentele rechten van natuurlijke personen, zijn recentelijk wereldwijd door wetgevers beantwoord met (hernieuwde) voorstellen voor AI-regelgeving. Zo zag onder meer het voorstel voor de ‘Artificial Intelligence Act’ van de Europese Commissie (EU AIA) in april 2021 het daglicht, herintroduceerde de VS in februari 2022 zijn ‘Algorithmic Accountability Act’ uit 2019, en verscheen in maart 2022 regelgeving in China die zich toespitst op deze socio-technische systemen. Op hoofdlijnen hebben de voorstellen tot doel om ‘veiligheidseisen’ aan de totstandkoming en het gebruik van AI-systemen te stellen waarmee fundamentele rechten en waarden in de samenleving worden beschermd, zonder de innovatieve ontwikkelmogelijkheden voor de technologie te veel in te perken. De belangrijkste uitdaging voor wetgevers op dit gebied is om de cultureel sterk verschillende werelden van innovatie (‘fail fast, fail often’; ‘ship it and fix it later’) en van regelgeving (‘slow down and reflect’) met elkaar in harmonie te brengen. Over die balans is het laatste nog niet gezegd, getuige onder andere de stortvloed aan internationale reacties op de wetsvoorstellen. Desondanks kunnen organisaties die nu vanuit kansen in plaats van compliance naar de conceptregelgeving kijken, bij de (door)ontwikkeling van hun datafunctie hun voordeel doen met de door wetgevers geformuleerde veiligheidseisen. Dit vereist wel de juiste voedingsbodem binnen de organisatie en in het specifiek de datafunctie. Dit artikel gaat hier verder op in aan de hand van de EU AIA.

AI-regelgeving brengt een AI-standaardisatiegolf op gang

Een van de belangrijkste bijdragen van de EU AIA is de introductie van een risicoclassificatie voor AI-systemen, dat wil zeggen: het wetsvoorstel classificeert en reguleert AI-systemen op basis van hun risico. Daarbij wordt onderscheid gemaakt in de volgende risicocategorieën:

  1. Toepassingen met onaanvaardbare risico’s
    AI-systemen die een duidelijke bedreiging vormen voor de veiligheid, het welzijn en de rechten van natuurlijke personen worden verboden.
  2. Toepassingen met een hoog risico
    AI-systemen met een hoog risico vereisen een verplichte zelfevaluatie voordat ze op de markt worden gebracht of in gebruik worden genomen, en voor sommige bijzonder kritieke toepassingen is een onafhankelijke beoordeling door derden vereist. Bovendien moeten dergelijke systemen gedurende hun hele levensduur voortdurend voldoen aan de vereisten voor betrouwbare AI zoals gedefinieerd in de verordening.
  3. Toepassingen met een beperkt risico
    AI-systemen die (i) interactie hebben met mensen, (ii) worden gebruikt om emoties te detecteren of associaties met (sociale) categorieën te bepalen op basis van biometrische gegevens, of (iii) inhoud genereren of manipuleren, zijn onderworpen aan minimale transparantieverplichtingen.
  4. Toepassingen met een minimaal risico
    AI-systemen met een minimaal risico zijn niet gereguleerd, maar vrijwillige zelfevaluatie door de applicatieaanbieder wordt aangemoedigd.
Figuur 1: De EU AIA’s risicoclassificatie voor AI-systemen

Figuur 1: De EU AIA’s risicoclassificatie voor AI-systemen

Op aanbieders van systemen met een hoog risico (categorie 2) rust de verplichting om ervoor te zorgen dat de betreffende systemen aan de veiligheidseisen van de EU AIA voldoen. Deze eisen hebben betrekking op de zeven in figuur 2 genoemde domeinen.

Hoewel de tekst van de verordening nog niet op alle punten voldoende duidelijk en uitgewerkt is, komt het er grofweg op neer dat er eisen worden gesteld aan:

  • de AI-levenscyclus: het proces van ontwerpen, ontwikkelen, implementeren, gebruiken, monitoren en beheersen van (de performance en risico’s van) AI-systemen;
  • de input (data) voor de totstandkoming van AI-systemen;
  • transparantie en accountability(-informatie) van AI-systemen;
  • de performance, robuustheid en beveiliging van AI-systemen.

Deze eisen staan in dienst van het voorkomen van ongewenste individuele en maatschappelijke effecten van de output van AI-systemen.

Aanbieders van categorie 2 AI-systemen moeten op twee momenten – al dan niet met de betrokkenheid van een onafhankelijke derde – de naleving van deze vereisten aantonen, namelijk:

  • voorafgaand aan het op de markt brengen of in gebruik nemen van het hoogrisicosysteem, door middel van een zogenaamde conformity assessment (naleving ex-ante);
  • nadat het hoogrisicosysteem op de markt is gebracht of in gebruik is genomen, door middel van post-market monitoring (voortdurende naleving ex-post).

Deze verplichting tot (zelf)evaluatie van AI-systemen met een hoog risico heeft begrijpelijkerwijs geen enkele waarde als er geen passende norm is die weerspiegelt hoe ‘goed’ eruit zou moeten zien. De EU AIA geeft daarvoor op dit moment geen concrete (dat wil zeggen voor de dagelijkse praktijk werkbare) handvaten. In het kielzog van de voorstellen voor AI-regelgeving is daarom ook een internationale standaardisatiegolf op gang gekomen die dit gat moet opvullen. Tabel 1 geeft een aantal van de belangrijke internationale standaardisatie-initiatieven van dit moment weer.

Figuur 2: De EU AIA’s domeinen van veiligheidseisen voor AI

Figuur 2: De EU AIA’s domeinen van veiligheidseisen voor AI

Tabel 1: Belangrijke internationale AI-standaardisatie-initiatieven

Uitgevende instantie

Standaard(en)/raamwerk

Doel standaard(en)/raamwerk

International Organization for Standardization (ISO) / International Electrotechnical Commission (IEC)

 Reeks standaarden (in ontwikkeling):
  • 13 standaarden gepubliceerd
  • 25 standaarden in ontwikkeling

Standaardisatie gericht op het gehele AI-ecosysteem: fundamentele AI-normen, Big Data, AI-betrouwbaarheid, use cases, toepassingen, governance-implicaties van AI, computationele benaderingen van AI, testen, ethische en maatschappelijke zorgen

Institute of Electrical and Electronics Engineers Standards Association (IEEE SA)

Reeks standaarden (in ontwikkeling)

Standaardisatie gericht op het mogelijk maken van de governance en de praktische toepassing van AI met betrekking tot computationele benaderingen van machine learning, algoritmen en gerelateerd datagebruik

European Committee for Standardization (CEN) / European Committee for Electrotechnical Standardization (CENELEC)

Reeks standaardisatieproducten op het gebied van AI en het daarmee verband houdende gebruik van data om in te spelen op de Europese markt en maatschappelijke behoeften

Standaardisatie gericht op de ontwikkeling van betrouwbare AI-systemen die de in Europa erkende fundamentele waarden en mensenrechten respecteren

European Telecommunications Standards Institute (ETSI)

Reeks standaarden (in ontwikkeling)

Standaardisatie gericht op het behoud en de verbetering van de beveiliging van nieuwe AI-technologieën

US National Institute of Standards and Technology (NIST)

AI Risk Management Framework (concept maart 2022)

Verstrekken van richtlijnen ten aanzien van resultaten en activiteiten om het AI-risicomanagementproces uit te voeren, om de voordelen van AI te maximaliseren en de risico’s ervan te minimaliseren.

Datafuncties kunnen hun voordeel doen met de AI-standaardisatie-initiatieven

Door de toenemende aandacht voor het belang en de businesskansen van data, hebben de meeste organisaties inmiddels een datafunctie. In de praktijk is er nog wel een enorme diversiteit waar te nemen in hoe deze functie zich manifesteert, bijvoorbeeld formeel vs informeel, centraal vs decentraal vs hybride, in ontwikkeling vs nagenoeg volwassen, gericht op research & development vs gericht op automatisering en operationele efficiëntie. Na de opstartfase komt de vraag hoe de functie verder vorm moet krijgen en wat de volgende stap is in het volwassenheidsniveau (vaak van ‘start-up’ naar ‘scale-up’). De AI-regelgeving, en met name de onderliggende, internationale standaardisatiestroom die daarmee op gang is gekomen, geeft organisaties die de ambitie hebben om hun datafunctie verder te professionaliseren een steun in de rug, vooral als het aankomt op de verdere inrichting van de governance van de datafunctie en de operationele processen die onder de functie vallen. De detailvoorschriften uit de verschillende standaarden maken het voor een start-up datafunctie verleidelijk om rechtstreeks vanuit experimentele werkwijzen aan de slag te gaan met de inrichting van volwassen(er) operationele processen. De praktijk leert echter dat dat proces van korte duur is als daar niet een aantal belangrijke stappen aan vooraf is gegaan om de juiste voedingsbodem te creëren. Het gaat daarbij om het volgende:

  • Messcherp inzicht scheppen in de businesskansen en externe impact van data
    Een datafunctie kan haar rol binnen een organisatie alleen effectief invullen als het binnen die organisatie duidelijk is waar de interne datafunctie de meeste externe impact kan maken. Mogelijke vragen om vast te stellen of dat inzicht binnen de organisatie aanwezig is, zijn:
    • Noemen medewerkers van verschillende afdelingen dezelfde (domeinen van) businesskansen voor data?
    • Komen de prioriteitstellingen van de genoemde businesskansen overeen?
    • Hebben medewerkers voldoende inzicht in wat externe eindconsumenten, eindgebruikers etc. (moeten) merken van de inspanningen van de interne datafunctie?

De ervaring leert dat dit benodigde inzicht over het algemeen niet voldoende blijkt uit business- en datastrategieën. Hier ligt dus een belangrijk actiepunt voor de verdere uitwerking van nieuwe en bestaande strategieën.

  • De data-basishygiëne op orde brengen
    In de start-upfase, waarin ‘proof-of-values’ en ‘minimum viable products’ over het algemeen de boventoon voeren binnen de datafunctie, worden tekortkomingen op het vlak van datakwaliteit en -management, dataprivacy en informatiebeveiliging over het algemeen ad hoc geadresseerd. Zodra een datafunctie echter (in volwassenheid) gaat opschalen, worden deze onderwerpen onderdeel van de basishygiëne. In de praktijk blijkt in dit stadium vaak dat er nog het nodige werk aan de winkel is om dit structureel op orde te krijgen. Het eerdergenoemde messcherpe inzicht in de businesskansen en externe impact van data kan in dat (herstel)proces enorm waardevol zijn als strategisch kader voor het in detail vormgeven van de basishygiëne.
  • Vaststellen van werkprincipes en kaders voor de datafunctie
    Voordat een datafunctie haar operationele processen in detail vormgeeft, is het effectief om werkprincipes te bepalen en daaruit zogenaamde ‘non-negotiables’ af te leiden. Immers, geen datafunctie is hetzelfde en voornoemde stappen zijn onderdeel van het vormgeven van de ‘identiteit’ van de datafunctie binnen de interne en externe context waarin deze opereert en impact maakt. Voor het vaststellen van de werkprincipes kan de datafunctie inspiratie opdoen bij de ethische AI-principes, zoals in 2019 geformuleerd door de High-Level Expert Group van de Europese Commissie (voorbeelden van principes zijn: transparantie, accountability, menselijk toezicht, maatschappelijk en ecologisch welzijn). Deze principes geven op hoofdlijnen richting aan hoe de datafunctie geacht wordt te werken, maar moeten over het algemeen nog verder geoperationaliseerd worden om voor de dagelijkse praktijk werkbaar te zijn. Een belangrijke eerste stap in het operationaliseringsproces is te bepalen wat er (a) altijd moet gebeuren en/of (b) nooit mag gebeuren (met andere woorden de non-negotiables) als het op data aankomt. De basiskaders die hiermee worden gesteld kunnen, waar nodig, verder worden ingevuld. Belangrijk hierbij is om een passende balans te zoeken tussen kaderstelling en het bieden van vrijheid ten behoeve van innovatie binnen de organisatie.
  • Investeren in bewustzijn en competenties van de datafunctie
    Een start-up datafunctie die gewend is binnen een cultuur van ‘fail fast, fail often’ met hoofdzakelijk experimentele aanpakken te werken, kan niet worden geacht van de ene op de andere dag ook de competenties van een scale-up te hebben, waarin structuur prominent aanwezig is. Tegelijkertijd komt het de innovatie over het algemeen niet ten goede als die structuur naast de innovatiekolom wordt opgebouwd. Het is veel effectiever om bewustzijn en competenties te ontwikkelen bij degenen die dagelijks met innovatie bezig zijn. Daarmee wordt de benodigde structuur zoveel mogelijk ‘by design’; risicomanagement op datatoepassingen wordt dan in eerste instantie een eerstelijns aangelegenheid en komt niet pas in de tweede of derde lijn voor het eerst aan de orde.

Conclusie 

Met het steeds verder doordringen van geavanceerde datatechnologie binnen de businessmodellen en dagelijkse activiteiten van organisaties, zien ook steeds meer standaarden het daglicht die organisaties een referentiepunt geven voor een ‘goede’ datafunctie. Hoewel de ontwikkeling van deze standaarden vooral wordt aangejaagd door regelgeving, kunnen organisaties die voorbij compliance kijken, bij het verder professionaliseren van hun datafunctie hun voordeel doen met deze standaarden. Om die voordelen optimaal te benutten is het van belang dat de data-activiteiten van de organisatie strategisch ingebed zijn.

Contact us

Mona de Boer

Mona de Boer

Partner, Data & Artificial Intelligence, PwC Netherlands

Tel: +31 (0)61 088 18 59

Linkedin Follow Email
Volg ons
Onze diensten Audit & Assurance Consulting Corporate Governance Deals Duurzaamheid Forensic Services Landendesks Legal Business Solutions PwC's Academy Tax Workforce
Thema's Cybersecurity Data analytics De toekomst van werk Transformatie Economic Office Economische veerkracht Future of Finance Risk & regulation Sustainability Waardecreatie
Actueel en publicaties Blogs Inzake Belastingnieuws Aanmelden voor PwC nieuwsbrieven Update uw nieuwsbrief voorkeuren
Marktsectoren
AgriFood Asset & Wealth Management Automotive Banken Bouw Chemie Energie en utilities Entertainment en media Familiebedrijven Financiële sector Investment management Maakindustrie
Pensioenen Pharma & Life Sciences Private Equity Publieke Sector Retail & consumer Technologie Telecom Transport en logistiek Vastgoed Verzekeraars Zakelijke dienstverlening
Onze organisatie Raad van Bestuur Raad van Commissarissen Jaarbericht en transparantieverslag Line of Service boards Governance Fiscale strategie PwC Nederland PwC Europe Ons internationale netwerk Purpose en waarden Diversiteit Corporate Sustainability Public & Regulatory Affairs Sponsoring Alumni
Werken bij PwC
Perscentrum
Kantoren
Evenementen
Contact

© 2015 - 2025 PwC. Alle rechten voorbehouden. 'PwC' verwijst naar de juridische entiteiten zoals omschreven in de legal disclaimer. Zie daarvoor onderstaande link.