Snel bewegen, maar niets breken: hoe verantwoorde AI-adoptie en innovatie in balans te brengen

Volgens een recente wereldwijde enquête van McKinsey, gebruiken 78% van de organisaties AI in tenminste één bedrijfsfunctie, maar slechts 13% hebben AI-compliancespecialisten in dienst en een magere 6% heeft AI-ethicsspecialisten in dienst.

Dit is, eerlijk gezegd, roekeloos gedrag.

Hoewel ik in mijn niet al te verre verleden een grote voorstander was van de “snel bewegen en dingen breken”-ethos van Silicon Valley, kunnen we ons niet zo zorgeloos gedragen met AI – een technologie die krachtiger is dan alles wat we eerder hebben gezien en met lichtsnelheid groeit.

AI adopteren zonder enige betekenisvolle beveiliging is precies het soort snel bewegen en hoeken afsnijden dat uiteindelijk zal terugvallen en het risico loopt om alles te breken. Het hoeft maar één incident van AI-vooringenomenheid of misbruik te zijn om jaren van reputatieopbouw van een merk ongedaan te maken.

En hoewel veel CIO’s en CTO’s zich bewust zijn van deze risico’s, lijken ze te opereren onder de veronderstelling dat regulators uiteindelijk zullen ingrijpen en hen zullen redden van het opzetten van hun eigen kaders, met als resultaat een heleboel praten over risico’s met heel weinig daadwerkelijke toezicht.

Hoewel ik geen twijfel heb dat regelgeving uiteindelijk zal komen, ben ik minder vertrouwen dat deze zal worden ingesteld binnenkort. ChatGPT werd ongeveer drie jaar geleden geïntroduceerd en we zien pas nu dingen als de Senate Judiciary Meeting over chatbots en veiligheidsrisico’s plaatsvinden. De realiteit is dat het jaren kan duren voordat we enige betekenisvolle regelgeving zien.

In plaats van dit als excuus te gebruiken om te treuzelen met interne governance, zou dit bedrijven moeten aanzetten om een meer proactieve aanpak te nemen. Vooral omdat, wanneer regelgeving uiteindelijk arriveert, bedrijven zonder hun eigen kaders zullen worstelen om compliance te retrofitten. Dit was precies wat gebeurde toen GDPR en CCPA werden ingesteld.

Net zoals de scrappy startups van het begin van de eenentwintigste eeuw nu hogere standaarden worden gehouden als de corporate tech-giganten waarin ze zijn gegroeid, moeten we collectief volwassen worden in onze aanpak van verantwoorde AI-adoptie.

Er is geen “nu kopen, later betalen” met verantwoorde AI-implementaties – begin nu

De eerste stap in een meer verantwoorde aanpak van AI is om te stoppen met wachten op regulators en uw eigen regels op te stellen. Wat voor voorsprong u denkt te behalen door vandaag veiligheidsmaatregelen te vermijden, zal uiteindelijk alleen maar terugvallen in de toekomst wanneer u wordt geconfronteerd met het extreem dure en disruptieve proces van retrofitten.

Natuurlijk is voor velen het probleem dat ze niet weten waar ze moeten beginnen. Mijn bedrijf heeft onlangs een enquête gehouden onder 500 CIO’s en CTO’s bij grote ondernemingen en bijna de helft (48%) noemde “bepalen wat verantwoorde gebruik of implementatie van AI is” als een uitdaging om ethisch AI-gebruik te garanderen.

Een makkelijke plek om te beginnen is om uw focus te verbreden voorbij alleen de functies die mogelijk worden gemaakt door AI en de mogelijke risico’s te overwegen. Bijvoorbeeld, hoewel AI-gebruik tijd kan besparen voor werknemers, opent het ook de mogelijkheid van het delen van grote hoeveelheden persoonlijk identificeerbare informatie (PII) of bedrijfsgeheimen met ongeautoriseerde en niet-goedgekeurde LLM’s.

Elk digitaal bedrijf van vandaag is vertrouwd met de Software Development Life Cycle (SDLC), die een kader biedt voor het bouwen van kwaliteitsproducten. AI-governancebest practices moeten worden geïntegreerd in deze dagelijkse workflow om ervoor te zorgen dat verantwoorde besluitvorming onderdeel wordt van de routine, in plaats van een nasleep.

Een regulerende instantie, zoals een ethisch comité of governanceboard, moet worden ingesteld die de standaarden bepaalt voor de toepassingen van AI binnen de organisatie en ook de metrics bepaalt voor het monitoren en handhaven van die standaard. Functioneel gezien ziet dit eruit als AI-tooling en modelgovernance, oplossingsgoodkeuringen, risicobeheer, regelgevings- en standaardalignering en transparante communicatie. Hoewel dit technisch gezien een “nieuw” proces is, is het niet zo verschillend van databest practices en cybersecurity en kan het worden geautomatiseerd om vroegtijdige detectie van problemen te garanderen.

Natuurlijk vereisen niet alle risico’s hetzelfde niveau van aandacht, dus is het ook belangrijk om een gestructureerd risicobeheerproces te ontwikkelen zodat uw team zich kan concentreren op wat is gedefinieerd als hoog prioriteit.

Tenslotte, en het meest cruciaal, is duidelijke en transparante communicatie over governancepraktijken zowel intern als extern van het grootste belang. Dit omvat het onderhouden van levende documenten voor governance-standaarden en het bieden van voortdurende training om teams up-to-date te houden.

Stop met het behandelen van governance als een bedreiging voor innovatie

Het is heel goed mogelijk dat de echte bedreiging voor verantwoorde AI het geloof is dat governance en innovatie elkaars tegenpolen zijn. Onze enquêtedata wezen uit dat 87% van de CIO’s en CTO’s vonden dat te veel regelgeving innovatie zou beperken.

Maar governance moet worden behandeld als een strategische partner, niet als een soort innovatie-rem.

Een reden waarom governance wordt gezien als een kracht die frictie veroorzaakt en momentum vertraagt, is dat het vaak wordt overgelaten aan het einde van productontwikkeling, maar beveiligingsmaatregelen moeten deel uitmaken van het proces. Zoals hierboven vermeld, kan governance worden geïntegreerd in sprint-cycles zodat een productteam snel kan bewegen, terwijl geautomatiseerde controles voor eerlijkheid, vooringenomenheid en compliance parallel lopen. Op lange termijn betaalt dit zich uit, omdat klanten, werknemers en regulators meer vertrouwen hebben wanneer ze zien dat verantwoordelijkheid vanaf het begin is ingebouwd.

En dit is bewezen om financiële voordelen op te leveren. Onderzoek heeft aangetoond dat organisaties met goed geïmplementeerde data- en AI-governancekaders een verbetering van 21-49% in financiële prestaties ervaren. Een falen om deze kaders te vestigen, heeft echter ook zijn eigen gevolgen. Volgens datzelfde onderzoek zal een meerderheid van de organisaties (60%) tegen 2027 “niet in staat zijn om de verwachte waarde van hun AI-gevallen te realiseren vanwege onsamengevoegde ethische governancekaders.”

Een voorbehoud bij het argument dat governance niet ten koste van innovatie hoeft te gaan, is dat juridische teams die betrokken raken bij deze gesprekken, dingen vertragen. In mijn ervaring gaat het instellen van een Governance, Risk en Compliance (GRC)-team echter een lange weg in het soepel en snel houden van dingen door te dienen als een brug tussen de juridische en productteams.

Wanneer goed beheerd, bouwt het GRC-team positieve relaties op met het juridische team, dient als hun ogen en oren en krijgt hen de rapporten die ze nodig hebben, terwijl het ook samenwerkt met het ontwikkelteam om toekomstige risico’s van rechtszaken en boetes te mitigeren. Uiteindelijk versterkt dit nogmaals dat investeren in governance vanaf het begin de beste manier is om ervoor te zorgen dat het geen invloed heeft op innovatie.

Maak toezicht- en governance-systemen die kunnen schalen

Ondanks dat veel van de ondervraagde CIO’s en CTO’s voelden dat regelgeving innovatie zou beperken, verwachtte een vergelijkbaar groot percentage (84%) dat hun bedrijf de AI-toezicht in de komende 12 maanden zou verhogen. Gezien de waarschijnlijkheid dat AI-integraties in de loop van de tijd blijven uitbreiden en schalen, is het even belangrijk dat governance-systemen kunnen schalen met hen.

Iets wat ik vaak zie in de vroege stadia van AI-implementaties binnen ondernemingen, is dat verschillende eenheden binnen het bedrijf in silo’s werken, zodat ze verschillende implementaties tegelijk uitvoeren en met verschillende visies op wat “verantwoorde AI” inhoudt. Om deze inconsistenties te vermijden, zouden bedrijven verstandig zijn om een gewijd AI Center of Excellence in te stellen dat technische, compliance- en bedrijfsdeskundigheid combineert.

Het AI Center of Excellence zou zowel bedrijfsbrede standaarden als gestructureerde goedkeuringsprocessen moeten vaststellen, waarbij een glide path is voor laagrisicogebruiksgevallen. Dit houdt de snelheid in stand, terwijl het ook garandeert dat hoogrisico-implementaties meer formele veiligheidscontroles ondergaan. Bovendien zou het Center of Excellence AI-veiligheids-KPI’s voor topexecutives moeten vaststellen, zodat verantwoordelijkheid niet verloren gaat in de dagelijkse bedrijfsfuncties.

Maar om dit tot werkelijkheid te maken, hebben executives verbeterde zichtbaarheid nodig in governance-indicatortracking. Dashboards die real-time gegevens over deze indicatoren leveren, zouden veel effectiever zijn dan de huidige norm van statische compliance-rapporten die onmiddellijk verouderd zijn en vaak ongelezen blijven. Idealiter zouden bedrijven ook AI-risicoregisters moeten opbouwen, op dezelfde manier als ze al cybersecurity-risico’s volgen, evenals audit-trails die weerspiegelen wie een ML/AI-implementatie heeft gebouwd, hoe het is getest en hoe het presteert in de loop van de tijd.

Het belangrijkste om hier uit te halen, is dat verantwoorde AI governance vereist als een voortdurend proces. Het gaat niet alleen om goedkeuringen bij lancering, maar om continue monitoring gedurende de levensduur van het model. Aangezien ontwikkelaars, technologists en business leaders moeten worden getraind in verantwoorde AI-praktijken, zodat ze problemen vroeg kunnen signaleren en hoge governance-standaarden kunnen handhaven naarmate systemen evolueren. Op deze manier zijn AI-implementaties veel betrouwbaarder, effectiever en winstgevender – zonder dat er iets hoeft te worden gebroken in het proces.