Wanneer de ‘kennis’ van AI 50 jaar oud is: het compliance-risico dat u niet kunt negeren

Het probleem van valse AI-inzichten is een dringende uitdaging nu bedrijven hun gebruik van generatieve tools vergroten. Ondanks de wijdverbreide enthousiasme over de adoptie van AI, is er ook een sterke onderstroom van kritiek. Critici wijzen vaak op ogenschijnlijk willekeurige, onvoorspelbare onnauwkeurigheden in de output van AI, die de waarde ervan ondermijnen – en zelfs echt gevaar kunnen opleveren voor mensen, met name in sectoren zoals de gezondheidszorg en het transport, waar valse outputs theoretsch kunnen leiden tot alles, van het verkeerde recept tot treinen op een collision course.

Vaak zijn deze onnauwkeurigheden toegeschreven aan AI-‘hallucinaties‘ – gevallen waarin de AI een ‘beste schatting’ antwoord genereert, met dezelfde zekerheid als een ‘echt’ antwoord, in plaats van de gebruiker te informeren over een lacune in zijn kennis of mogelijkheden. Hallucinaties kunnen moeilijk te herkennen zijn aan eerste oogopslag – maar er is een stiller, even serieus probleem dat nog moeilijker te detecteren is.

Gegevenskwaliteitschuld: de achilleshiel van AI

Wanneer AI-systemen putten uit verouderde, onvolledige of onnauwkeurige gegevens, treden valse outputs op, maar zijn minder onmiddellijk herkenbaar. U kunt bijvoorbeeld een AI vragen om de symptomen van een medische aandoening te identificeren en een antwoord krijgen op basis van een 50 jaar oude publicatie in plaats van actueel onderzoek. Het resultaat is onwaarschijnlijk om meteen, lachwekkend verkeerd te lijken – maar die eerste laag van plausibiliteit vormt een echt risico voor zowel de patiënt in kwestie als de zorgverlener.

Hetzelfde geldt voor alle industrieën – als de gegevens die aan het AI-model worden gevoerd oude, verouderde of gedeeltelijke informatie bevatten, is er een groot risico op valse outputs. En naarmate meer bedrijven AI integreren in bedrijfskritische processen, groeit het risico om verkeerde conclusies te trekken uit slecht beheerde gegevens.

Nauwkeurigheid voor de regulator

Dit is niet alleen een probleem voor de dagelijkse operaties – het is ook een aanzienlijke compliance-uitdaging. Regulatorische vereisten evolueren snel om zorgen over onnauwkeurige AI aan te pakken. Zo hebben enkele vroege regulatorische acties op AI plaatsgevonden; opvallend toen Italië tijdelijk verbod ChatGPT over privacy-bezorgdheden, en de EU Data Protection Board lanceerde een speciale taskforce om potentiële handhavings acties tegen ChatGPT.

Een van de meest sprekende regulatorische veranderingen is de goedkeuring van de EU AI-wet, het eerste omvattende juridische kader voor AI. De wet stelt verplichtingen vast op basis van het risiconiveau van AI-systemen, van ‘onacceptabel risico’-systemen, die verboden zijn, tot ‘hoogrisico’-systemen, die strikte vereisten hebben rond transparantie, gegevenskwaliteit, governance en menselijke toezicht.

De betekenis van de EU AI-wet ligt niet in haar ambitieuze omvang, maar belangrijk in het precedent dat ze schept. Regulators maken duidelijk dat AI onderworpen zal zijn aan bindende, afdwingbare regels en dat organisaties compliance en transparantie rond waar en hoe AI wordt gebruikt als integraal onderdeel van AI-adoptie moeten behandelen, in plaats van als een nasleep.

De wet heeft een brede reikwijdte, met het potentieel om een groot deel van de AI-ontwikkelingen te beïnvloeden. In het hart ervan ligt het maken van AI veilig, terwijl fundamentele rechten en waarden worden gerespecteerd. Binnen dit nieuwe principiële ecosysteem komt de diagnose van potentiële bronnen voor AI-onnauwkeurigheden, waaronder de gegevens en datasets die de modellen voeden, model-opaciteit en toegang, en systeemontwerp en gebruik. AI-oplossingen zijn een construct van alle drie – problemen met een van deze kunnen een negatief resultaat hebben. Niet alleen dat, maar de gegevens die worden gebruikt voor het ontwerp, modelontwikkeling, implementatie en exploitatie van AI, zullen waarschijnlijk voornamelijk bestaan uit bedrijfsrecords die zelf onderworpen zijn aan verschillende compliance-eisen.

In andere woorden, de regulatorische omgeving rond AI wordt steeds strenger – en dat is net zo waar voor gegevensinvoer als voor gegevensuitvoer, ook al krijgt laatstgenoemde meer aandacht in de media.

Vijf stappen om AI compliant, actuele, relevante gegevens te voeden

Om deze dubbele uitdaging te overwinnen – zowel compliant gegevensbeheer als hoogwaardige invoer die hoogwaardige output mogelijk maakt – hebben bedrijven controle nodig over trainings- en inferentiegegevens. Helaas ontbreekt dit bij veel ondernemingen nog.

Ten minste moeten organisaties hun bredere compliance- en governanceprogramma’s op AI-initiatieven toepassen. Ze moeten beginnen met het vastleggen en onderhouden van passende records over de gegevens die ze aan AI-modellen voeren, hoe modellen en systemen zijn ontworpen, evenals de beslissingen en inhoud gegenereerd via AI.

Het is echter ook kritiek belangrijk voor organisaties om een stap verder te gaan en ervoor te zorgen dat ze volledige controle hebben over alle gegevens die in AI-implementaties kunnen worden gebruikt, of het nu gaat om initiële training of ‘live’ werk. Dit vereist een strategie van hoge kwaliteit voor gegevensbeheer en -opslag, waarbij alle relevante gegevens intelligent worden verzameld, schoongemaakt, opgeslagen, geclassificeerd en geautoriseerd. Om dit te bereiken, moeten organisaties vier sleutelstappen overwegen:

1. Gegevensafkomst en -herkomst

Dit omvat het onderhouden van een record van de bron van de gegevens, hun oorsprong, eigendom en eventuele wijzigingen in metadata (indien toegestaan) gedurende hun levenscyclus. Het omvat ook het onderhouden van rijke metadata en alle onderliggende documenten of artefacten waaruit het is afgeleid.

2. Gegevensauthenticiteit

Dit vereist het onderhouden van een duidelijke keten van bewaring voor alle gegevens, het opslaan van objecten in hun native vorm en het hashen van ontvangen objecten om aan te tonen dat de gegevens ongewijzigd blijven. Bovendien moeten organisaties een volledige auditgeschiedenis onderhouden voor elk object en voor alle acties en gebeurtenissen met betrekking tot wijzigingen.

3. Gegevensclassificatie

Het vaststellen van de aard van een set of type gegevens is belangrijk. Organisaties moeten in staat zijn om gestructureerde gegevens, semi-gestructureerde gegevens en gestructureerde sets van gegevens te beheren. Het geven van een unieke schema aan elke klasse kan organisaties in staat stellen om diverse sets van gegevens te beheren zonder een eenheidsworst-ontwerp – zonder de gegevens onnodig te manipuleren om ze in een inflexibele gegevensstructuur te dwingen.

4. Gegevensnormalisatie

Het vaststellen van gemeenschappelijke definities en formaten van metadata is belangrijk voor gebruik in analytics en AI-oplossingen. Duidelijk gedefinieerde schema’s zijn een belangrijk element, evenals tools die gegevens kunnen transformeren of in kaart brengen om consistent, genormaliseerde weergaven van verwante gegevens te behouden.

5. Gegevensautoriteit

Ondernemingen hebben granulaire autorisatiecontroles nodig, inclusief op object- of veldniveau, op basis van gebruikers- of systeemprofielen. Dit betekent dat de juiste gegevens beschikbaar zijn voor gebruikers en systemen die zijn geautoriseerd om toegang te krijgen, terwijl toegang wordt beperkt of beperkt voor gebruikers die dat niet zijn.

Met deze cruciale elementen op hun plaats, zullen bedrijven het best geplaatst zijn om ervoor te zorgen dat de gegevens die aan AI-modellen worden verstrekt, zowel van hoge kwaliteit als compliant zijn. AI zal verbeteringen en efficiëntie brengen in verschillende industrieën – maar hiervoor is een solide gegevensbasis essentieel.