Ai Act compliance: ben je écht in controle, of alleen op papier?
Veel organisaties gaan ervan uit dat ze Ai Act compliant zijn zodra ze werken met tools als Microsoft 365 Copilot, ChatGPT Enterprise of Claude. Op papier klopt dat vaak ook. Maar de vraag die daaronder ligt, wordt zelden gesteld: waar baseer je die compliance eigenlijk op?
In de nieuwste aflevering van onze Whiteboard Wednesday-serie duiken we in die vraag. Bekijk de video hieronder, of lees verder voor de kernpunten.
De Ai Act & AVG vraagt om meer dan regels volgen
De Ai Act vraagt niet alleen of een organisatie netjes met regels omgaat. Hij vraagt of je kunt uitleggen:
- wat er met je data gebeurt;
- waar die data zich bevindt;
- en wie er technisch bij kan.
Deze verplichtingen gelden het zwaarst voor zogeheten hoogrisico AI-systemen (denk aan toepassingen in kredietbeoordeling, personeelsselectie of medische diagnostiek): daarvoor schrijft de Ai Act uitgebreide documentatie- en gegevensbeheerverplichtingen voor. Voor algemene toepassingen zoals een tekst- of e-mailassistent geldt een lichtere transparantieplicht vanuit de Ai Act, maar de vraag “wat gebeurt er met mijn data, waar staat die en wie kan erbij” blijft minstens zo relevant vanuit de AVG/GDPR. Voor de meeste organisaties is dit dus in de praktijk een combinatie van Ai Act- én AVG-verantwoordelijkheid, niet uitsluitend de AI Act.
En precies daar begint het voor veel organisaties te wringen. Want als je eerlijk bent, weet je bij veel Ai-tools niet waar je prompt daadwerkelijk terechtkomt, hoe die wordt verwerkt, wat er wordt opgeslagen, en welke partijen daar nog tussen zitten.
Het voorbeeld: Microsoft 365 Copilot
Neem Microsoft 365 Copilot. Microsoft schrijft inmiddels zelf dat er Ai-subprocessors kunnen worden ingezet binnen de Copilot-functionaliteit. Extra Ai-aanbieders die onder Microsofts framework worden toegevoegd.
Juridisch is dat geregeld. Maar voor een organisatie verandert er iets fundamenteels: er komt een extra partij bij in de verwerkingsketen. Een partij waar je afhankelijk van bent en waar je geen direct zicht op hebt.
Vertrouwen is niet hetzelfde als controle
Je vertrouwt op documentatie. Op contracten. Op verklaringen van de leverancier.
Maar: als je het niet kunt zien, kun je het ook niet controleren. En als je het niet kunt controleren, kun je het ook niet aantonen.
Dus ja, het kan compliant zijn. Volgens de leverancier. Volgens de documentatie. Maar voor jouw organisatie geldt uiteindelijk één ding: je moet het zelf kunnen bewijzen. En dat wordt lastig als je afhankelijk bent van infrastructuur die niet van jou is.
Ai-compliance begint met een keuze
Ai-compliance begint niet met een tool, maar met een keuze: wil je vertrouwen op wat je wordt verteld, of wil je zelf kunnen aantonen wat er gebeurt?
Bij Vindex kiezen we voor dat laatste. De Ai Act vraagt niet om vertrouwen, hij vraagt om controle. En als je die controle niet hebt, ben je misschien compliant op papier, maar niet in de praktijk.
Wil je weten hoe jouw organisatie Ai Act-compliance kan aantonen in plaats van alleen beloven?
Neem contact op om te bespreken hoe wij organisaties helpen grip te krijgen op hun Ai-infrastructuur en data.
Dit artikel is onderdeel van onze Whiteboard Wednesday-serie, waarin we elke week een actueel thema rond Ai, data en compliance uitlichten.
Jouw data. Jouw Ai.