Kunstmatige intelligentie (AI) is in korte tijd een onmisbare technologie geworden binnen het moderne bedrijfsleven. Of het nu gaat om het stroomlijnen van processen, het verbeteren van klantinteractie of het ondersteunen van besluitvorming: AI is niet meer weg te denken. Maar met deze opmars komt ook een nieuwe verantwoordelijkheid voor organisaties.
In deze blog kijken we vanuit twee perspectieven naar AI binnen het vakgebied van governance, risk en compliance (GRC):
- Hoe kan AI-compliance professionals helpen om efficiënter en effectiever te werken?
- Welke nieuwe verplichtingen brengt het gebruik van AI met zich mee, in het licht van wetgeving zoals de EU AI Act?
Deze dubbele insteek is belangrijk, want terwijl AI je werk kan verlichten, stelt het ook nieuwe eisen aan je organisatie. Juist door deze twee kanten samen te bekijken, kun je als compliance officer of innovatiemanager een toekomstbestendige strategie ontwikkelen.
AI in de praktijk: meer dan alleen een hype
AI is al lang geen ver-van-je-bed-show meer. Denk aan systemen die automatisch documenten classificeren, afwijkingen in processen detecteren of dreigingen signaleren voordat ze echt een risico vormen. Veel organisaties gebruiken deze technologie al, bewust of onbewust.
Toch is het gebruik van AI binnen compliance functies vaak nog beperkt. En dat is zonde, want juist hier kan AI veel waarde toevoegen. Niet als vervanging van menselijke expertise, maar als versterking ervan.
AI als versterking van de compliance functie
Stel je voor: je bent verantwoordelijk voor het compliance beleid binnen een snelgroeiende organisatie. De complexiteit van wet- en regelgeving neemt toe, audits volgen elkaar in hoog tempo op en je team is beperkt. Hier biedt AI uitkomst. Niet als ‘black box’ die alles van je overneemt, maar als slimme assistent die je werk verlicht én verbetert.
1. Sneller inzicht in risico’s
AI kan grote hoeveelheden gegevens analyseren om risico’s te signaleren die anders onder de radar blijven. Bijvoorbeeld bij het screenen van leveranciers of het analyseren van auditresultaten. In plaats van dagenlang handmatig data doorspitten, krijg je binnen enkele minuten een overzicht van potentiële risico’s.
2. Efficiëntere interne audits
AI-systemen kunnen helpen bij het voorbereiden en uitvoeren van interne audits. Ze herkennen afwijkingen in processen of documentatie, en geven suggesties voor verbetering. Hierdoor kun je je als auditor meer richten op de interpretatie en opvolging.
3. Automatische rapportages en procesondersteuning
Veel GRC-processen bestaan uit repeterende taken: risicoanalyses bijwerken, beleid controleren, rapportages genereren. AI kan deze processen versnellen en structureren, zonder dat je de controle kwijtraakt. Jij blijft aan het roer, maar hebt betere tools tot je beschikking.
Kortom: AI maakt compliancewerk niet alleen lichter, maar ook slimmer. Maar dat is slechts één kant van het verhaal.
AI zelf is óók een compliancevraagstuk
Terwijl AI je helpt bij compliance, roept het ook nieuwe vragen op. Want zodra je AI inzet in je organisatie, ben je niet alleen gebruiker, maar ook deels verantwoordelijk voor het ethisch en juridisch verantwoord gebruik ervan. Die verantwoordelijkheid is niet vrijblijvend – zeker niet sinds de komst van de EU AI Act.
Wat is de EU AI Act?
De EU AI Act is een Europese verordening die eind 2024 formeel is vastgesteld en vanaf 2025 gefaseerd van kracht wordt. Het is de eerste uitgebreide wetgeving ter wereld die het gebruik van kunstmatige intelligentie reguleert, met als doel: veiligheid, transparantie en mensenrechten waarborgen binnen de toepassing van AI.
De wet is gebaseerd op een risicogebaseerde benadering en deelt AI-systemen in vier categorieën in:
1. Verboden AI-systemen
Dit zijn toepassingen die fundamentele rechten schenden, zoals AI voor sociale scoring (zoals in China), manipulatie van gedrag op onethische wijze, of systemen die kwetsbare groepen uitbuiten. Deze systemen zijn onder de AI Act volledig verboden.
2. Hoog-risico AI-systemen
Denk hierbij aan AI die wordt ingezet bij:
- Werving en personeelsselectie,
- Kredietbeoordelingen,
- Toegang tot scholing of overheidsdiensten,
- Kritische infrastructuur (bijv. water- of energievoorziening),
- Gezondheidszorg of justitie.
Voor dit type AI gelden strikte eisen:
- Je moet kunnen aantonen dat het systeem betrouwbaar is,
- Je moet transparant zijn over hoe het systeem werkt,
- Er moet altijd menselijk toezicht mogelijk zijn,
- En het systeem moet gedocumenteerd en getest zijn op bias en discriminatie.
3. Beperkt-risico AI
Voorbeelden hiervan zijn AI-chatbots of systemen die gebruikers automatisch informeren dat ze met een machine praten. Hier gelden vooral transparantieverplichtingen: de gebruiker moet weten dat hij met AI te maken heeft.
4. Laag-risico AI
Zoals spellingscontrole, aanbevelingssystemen op websites en spamfilters. Deze toepassingen vallen grotendeels buiten de AI Act, al blijft goede documentatie verstandig.
AI-ontwikkelaar vs. AI-gebruiker: wie moet wat doen?
De AI Act maakt duidelijk onderscheid tussen:
- AI-providers (ontwikkelaars) – partijen die AI-systemen bouwen of aanpassen
- AI-deployers (gebruikers) – organisaties die AI in hun eigen processen gebruiken
Als je AI ontwikkelt
Je hebt dan de zwaarste verantwoordelijkheid. Je moet:
- Je systeem aanmelden in een Europese AI-database,
- Risicoanalyses uitvoeren op het model en de data,
- Technische documentatie bijhouden,
- Een conformity assessment (vergelijkbaar met een CE-markering) uitvoeren,
- En periodiek herbeoordelen of je systeem nog aan de wet voldoet.
Dit geldt bijvoorbeeld voor bedrijven die AI-algoritmes op maat bouwen, zoals softwarebedrijven, startups met AI als kernproduct, of leveranciers van AI-gedreven GRC-tools.
Als je AI gebruikt (zoals veel bedrijven)
Dan heb je een andere rol: je moet nagaan of de AI die je gebruikt voldoet aan de eisen van de AI Act – zeker als het gaat om een hoog-risico toepassing. Je bent verplicht om:
- Te controleren of de AI die je inzet legaal is en gecertificeerd,
- Gebruikers te informeren dat ze met AI te maken hebben (indien van toepassing),
- Een passende risicobeoordeling uit te voeren binnen je eigen bedrijfscontext,
- En toezicht in te bouwen (bijvoorbeeld door medewerkers eindbeslissingen te laten nemen bij kritieke processen).
Een voorbeeld: stel je gebruikt een AI-systeem dat sollicitaties sorteert op basis van cv’s. Dan moet je waarborgen dat dit systeem eerlijk werkt, geen bias bevat, en dat er altijd een menselijke controle mogelijk is. Ook moet je dit kunnen aantonen bij een audit.
Wat betekent dit concreet voor jouw organisatie?
De impact van de AI Act hangt dus af van hoe je AI inzet. Maar zelfs als je alleen bestaande tools gebruikt, blijf je verantwoordelijk voor de manier waarop die technologie jouw processen beïnvloedt. Met name binnen compliance, informatiebeveiliging en personeelszaken zijn de risico’s reëel en dus relevant voor ISO-normen zoals:
- ISO 27001 (informatiebeveiliging)
- ISO 27701 (privacy)
- ISO 9001 (kwaliteit)
- en ISO 45001 (veiligheid en welzijn van medewerkers).
Gebruik je AI binnen deze domeinen? Dan is het verstandig om de risicoanalyse van je processen te herzien, je beleid aan te vullen met een AI-paragraaf, en AI mee te nemen in je interne audits.
AI compliance is geen luxe – het is noodzaak
De AI Act maakt duidelijk: AI is geen vrijblijvende innovatie meer. Als je het inzet, moet je kunnen aantonen dat je er zorgvuldig mee omgaat. En hoewel dat voor veel bedrijven een uitdaging is, hoeft het geen onoverkomelijke drempel te zijn.
Met een goede GRC-structuur leg je de basis voor verantwoord AI-gebruik. Je kunt bestaande ISO-processen benutten voor risicobeoordeling, incidentmanagement en documentatie. En tools zoals CompliTrack helpen je om dit gestructureerd en inzichtelijk te doen, ook als je organisatie geen groot compliance-team heeft.
Benieuwd hoe jouw organisatie AI op een verantwoordelijke manier kan inzetten?
Wil je ontdekken hoe je AI effectief én compliant kunt integreren in je organisatie? Of ben je benieuwd hoe CompliTrack je hierbij kan ondersteunen?
Neem contact met ons op – we denken graag met je mee.