80% van de organisaties heeft geen duidelijk beeld van het gebruik van AI door hun teams
Shadow AI, een nieuw blinde vlek op het gebied van compliance. En een fundamentele vraag over het beheer ervan. Aan wie moet dit worden toevertrouwd? Aan de CIO? Aan de CDO? Of aan de DPO? Een interessant Frans onderzoek schetst een eerste aanzet.
AI is overal, maar vaak onzichtbaar of in ieder geval weinig of niet gereguleerd. Dat is de belangrijkste conclusie van de 7e editie van de Baromètre Privacy. Voor EQS Group, de promotor ervan, betekent dit een keerpunt voor de gegevensbescherming en het beheer van AI in organisaties. Terwijl de invoering van AI in een ongekend tempo versnelt, hebben governancekaders en de zichtbaarheid van risico’s moeite om gelijke tred te houden, waardoor er belangrijke grijze zones ontstaan.
Concreet geeft 48 % van de organisaties toe dat ze niet weten welke AI-systemen binnen hun organisatie worden gebruikt, noch waar deze zich bevinden. Nog eens 32% heeft slechts gedeeltelijk inzicht, zonder passende risicoanalyse. In totaal heeft 80% van de organisaties geen duidelijk beeld van de risico’s van AI, waardoor naleving van de AI Act en de AVG steeds moeilijker wordt.
Een vals gevoel van controle
“Het is onmogelijk om te besturen of te reguleren wat je niet kunt zien”, herinnert Thomas Vini Pires, expert op het gebied van gegevensprivacy en AI-governance bij EQS Group, ons. AI wordt sneller ingezet dan organisaties het kunnen documenteren, evalueren en controleren…”
Deze kloof is des te significanter omdat organisaties steeds meer vertrouwen hebben in hun algehele volwassenheid op het gebied van naleving: 76% van de respondenten geeft aan dat hun niveau van naleving op het gebied van gegevensbescherming het afgelopen jaar is verbeterd.
Volgens Thomas Vini Pires suggereert dit contrast dat de traditionele volwassenheid op het gebied van GDPR een vals gevoel van controle zou kunnen creëren in het tijdperk van AI, waarin de gevestigde basis voor compliance geen zichtbaarheid meer garandeert op opkomende risico’s.
De zaak van de DPO… als hij over de middelen beschikt
Dit vormt een kritiek risico, aangezien toezichthouders nu volledige en nauwkeurige inventarissen van AI-systemen, gedocumenteerde risicobeoordelingen, duidelijke verantwoordelijkheid en menselijk toezicht eisen. Volgens de Privacy Barometer identificeert 31% van de organisaties de DPO nu als verantwoordelijke voor de naleving van de AI Act, een stijging van 10 punten in één jaar, vóór de CIO of CDO. Shadow AI zou dus een zaak zijn voor de DPO, nog een onderwerp erbij!
In bedrijven heerst onduidelijkheid. 40% van de organisaties ziet nog steeds geen verband tussen AI-governance en gegevensbescherming, ondanks de aanzienlijke overlap tussen risico’s, documentatie en vereisten op het gebied van gegevensgovernance. Deze discrepantie verhoogt het risico op fragmentatie van de nalevingsinspanningen en blootstelling aan regelgeving.
“De voordelen van AI zijn duidelijk, zoals blijkt uit het aantal organisaties dat het enthousiast omarmt.
“De volgende uitdaging is dan ook om zowel aan de regelgeving inzake gegevensbescherming als aan de AI Act te voldoen. Deze verantwoordelijkheid toevertrouwen aan de DPO – of hem op zijn minst een leidende rol geven – kan een belangrijke eerste stap zijn, maar moet gepaard gaan met extra en specifieke middelen en een transversale visie”, voegt Thomas Vini Pires toe.
Nog steeds grotendeels gematigd bestuur, structurele naleving blijft achter
Met het oog op de aanstaande inwerkingtreding van de nieuwe vereisten van de AI Act zijn organisaties begonnen met maatregelen, maar voornamelijk in de vorm van algemeen bestuur. 44% heeft een charter voor het gebruik van AI opgesteld, 42% heeft bewustmakingsinitiatieven gelanceerd, maar slechts 14% heeft gestructureerde documentatie opgesteld, zoals registers van AI-systemen of kaders voor kwaliteitsbeheer.
Dit bevestigt een algemenere trend: gegevensbescherming is een fase van operationele volwassenheid ingegaan, maar AI test de grenzen van de bestaande kaders.
“De DPO is niet langer alleen de bewaker van persoonsgegevens; hij moet zich ontwikkelen tot een echte ‘Digital Ethics Officer’, die in staat is te anticiperen op de impact van de nieuwe Europese wetgeving”, concludeert Thomas Vini Pires. In veel organisaties wordt hij de steunpilaar van het AI-beheer, op het snijvlak van ethiek, regelgeving, data en bedrijfsvoering.
