Is je organisatie juridisch klaar voor AI? Enkele handreikingen voor een AI Code of Conduct
Zonder duidelijk beleid voor verantwoordelijk gebruik van AI kunnen de risico's groter zijn dan de voordelen. Advocaten Willemijn Jansma en Robin Verhoeven leggen uit wat werkgevers kunnen regelen zodat AI verantwoord en in lijn met de geldende regelgeving wordt ingezet.
Door: Willemijn Jansma en Robin Verhoeven, advocaten bij HVG Law B.V.
De inzet van AI op de werkvloer biedt voor organisaties kansen. De voordelen zijn duidelijk: AI kan bijdragen aan meer (kosten)efficiënt werken en een verhoogde productiviteit.
Het invoeren van persoonsgegevens in AI-systemen kan leiden tot datalekken of het lekken van bedrijfsgeheimen
Toch zijn er ook risico’s verbonden aan het gebruik van AI. Gevaren waar werkgevers en werknemers zich niet altijd voldoende bewust van zijn. Zo waarschuwde de Autoriteit Persoonsgegevens dat het invoeren van persoonsgegevens in AI-systemen kan leiden tot datalekken of het lekken van bedrijfsgeheimen. Een veelgehoorde zorg is daarnaast het gevaar voor discriminatie, bijvoorbeeld wanneer AI-systemen worden gebruikt in het wervingsproces voor de screening of filteren van sollicitaties, of voor de evaluatie van kandidaten tijdens interviews of tests.
Organisaties doen er goed aan om proactief actie te ondernemen, door beleid op te stellen over het gebruik van AI binnen de organisatie. Niet alleen om de (eerdergenoemde) risico’s te beperken, maar ook omdat werkgevers verplichtingen hebben op grond van nieuwe wetgeving op het gebied van AI in de Europese Unie. In deze blog vind je praktische handvatten om ervoor te zorgen dat AI verantwoord en in lijn met de geldende regelgeving wordt ingezet.
AI Act
Binnen de Europese Unie is op 1 augustus 2024 een verordening aangenomen die ziet op het veilig ontwikkelen en gebruiken van AI (AI Act). De AI Act geldt voor elke organisatie die AI ontwikkelt, inkoopt of gebruikt – ongeacht de sector waarin deze actief is.
De AI Act heeft een zogenaamde risico-gebaseerde aanpak. Dit betekent dat de verplichtingen in strengheid toenemen voor AI-systemen met een hoger risico voor gezondheid, veiligheid en fundamentele rechten. Zo introduceert de AI Act uitgebreide verplichtingen voor werkgevers als gebruikers van zogenoemde ‘hoog risico AI-systemen’.
Vastgelegd kan worden welke AI-systemen binnen de organisatie mogen worden gebruikt (en welke niet) en wat het toegestane gebruik daarvan is
Dit zijn bijvoorbeeld AI-systemen die worden gebruikt voor werving en selectie, of voor de beoordeling van en het toezicht houden op werknemers. Zo is bij het gebruik van hoog risico AI-systemen menselijk toezicht verplicht en mag het AI-systeem slechts worden gebruikt in overeenstemming met de gebruiksaanwijzingen daarvan.
Ook verplicht de AI Act alle werkgevers die AI-systemen inzetten om werknemers die hiervan gebruikmaken te trainen in het verantwoord gebruik van deze AI-systemen. Niet-naleving van de verplichtingen uit de AI Act kan voor werkgevers leiden tot hoge boetes.
Inventarisatie AI-systemen
De eerste stap naar verantwoord gebruik van AI is inzicht krijgen in welke AI-systemen door werknemers worden gebruikt of aan welke AI-systemen zij behoefte hebben. Het is verstandig om een overzicht te maken van alle AI-systemen die binnen de organisatie in gebruik zijn. Dit overzicht vormt ook meteen de basis voor het toepassen van de risicoclassificatie uit de AI Act, zoals hierboven beschreven.
Opstellen beleid
Werkgevers hebben een wettelijk instructierecht. Op grond daarvan kunnen zij het gebruik van AI verbieden, of kunnen zij juist instructies geven over de manier waarop AI wél mag worden ingezet. Belangrijk is dat de afspraken duidelijk worden vastgelegd. Het AI-beleid kan bijvoorbeeld worden opgenomen in het personeelshandboek of in een separaat beleid, zoals in een AI Code of Conduct.
In dit beleid kan worden vastgelegd welke AI-systemen binnen de organisatie mogen worden gebruikt (en welke niet) en wat het toegestane gebruik daarvan is. Daarbij kan gedacht worden aan de volgende aspecten:
- welke werknemers toegang krijgen tot de AI-systemen;
- regels over het gebruik en bescherming van gegevens, zoals welke gegevens in een AI-systemen mogen worden ingevoerd (ook in het kader van de AVG);
- regels over transparantie, zoals wanneer klanten moeten worden geïnformeerd over het gebruik van AI;
- met welke accounts werknemers mogen inloggen in de AI-systemen en hoe toegang tot AI-systemen is beveiligd;
- op welke wijze de door AI gegenereerde informatie mag worden gebruikt; moet deze informatie bijvoorbeeld worden gecontroleerd voor gebruik daarvan?;
- regels over training van AI-systemen en werknemers; en
- duurzaam gebruik van AI-systemen en bewustwording daarvan.
Sancties
Om het beleid te kunnen handhaven, is het verstandig om sancties te verbinden aan overtreding daarvan. De sancties voor werknemers kunnen variëren, ook afhankelijk van de ernst van de overtreding en de gevolgen, van een (officiële) waarschuwing tot schorsing of ontslag. Uiteraard moet het beleid wel kenbaar zijn voor de werknemers willen zij op de niet-naleving kunnen worden aangesproken.
Rol van de OR
Afhankelijk van de inhoud van het beleid kan het zijn dat de OR bij de implementatie moet worden betrokken. Op grond van de Wet op de Ondernemingsraden heeft de OR namelijk een advies- en instemmingsrecht, die ook van invloed kunnen zijn op belangrijke beslissingen rondom AI-gebruik binnen de organisatie. Zo heeft de OR een adviesrecht ten aanzien van de invoering of wijziging van een belangrijke technologische voorziening.
Werkgevers moeten de werknemersvertegenwoordiging (zoals een OR) consulteren vóór een hoog risico AI-systeem in gebruik wordt genomen
Het instemmingsrecht van de OR kan van toepassing zijn wanneer AI-systemen bijvoorbeeld regelingen bevatten of introduceren over werktijden, verwerking van persoonsgegevens of beoordelingssystemen. Ook op grond van de AI Act moeten werkgevers de werknemersvertegenwoordiging (zoals een OR) consulteren vóórdat een hoog risico AI-systeem in gebruik wordt genomen.
Kortom, werk aan de winkel!
AI heeft potentie om organisaties efficiënter en innovatiever te maken, maar het gebruik van AI brengt ook uitdagingen met zich mee. Zonder duidelijk beleid voor verantwoordelijk gebruik kunnen de risico's van AI groter zijn dan de voordelen. En dat is natuurlijk zonde! Duidelijk beleid zorgt voor heldere kaders, beschermt zowel de organisatie als de werknemers, en helpt om AI op een veilige en verantwoorde manier te implementeren. Daarmee kan AI een waardevolle aanwinst worden.