Wat betekent IAMA voor uw bedrijf?

Schrijver: Sherie Lee Leinse, Adviseur Informatiebeveiliging & Privacy

 Wat betekent IAMA voor uw bedrijf?

IAMA? Waar staat het voor? Is dat weer iets nieuws? Dit is de reactie die ik momenteel nog (steeds) krijg als ik dit bij de klant onder de aandacht breng. IAMA staat voor Impact Assessment Mensenrechten en Algoritme maar dat zegt veel mensen nog niks. Wat moet ik er mee? Is het verplicht? Dit onderwerp zorgt vandaag de dag nog voor veel vragen bij de klant. Reden om dit onderwerp nogmaals te belichten.

Laat ik beginnen met de komst van de (goedgekeurde) AI Act. Een wetgeving die in de EU strenge regels stelt aan alle autonoom handelde computersystemen en algoritmes die beslissingen nemen, content generen of mensen assisteren. Deze nieuwe wetgeving, vergelijkbaar met de AVG, is een Europese verordening. Het doel van de AVG is het beschermen van de privacy van individuen en het reguleren van de verwerking van persoonsgegevens. De AI Act daarentegen, heeft als doel de ontwikkeling en het gebruik van kunstmatige intelligentie in de EU te reguleren. Dit zorgt ervoor dat mensen en bedrijven in de EU kunnen vertrouwen op veilige, non-discriminatoire, transparante en traceerbare AI-systemen, die onder menselijk toezicht staan. Beide wetten hebben een verschillende focus en reikwijdte. Ze hebben echter overlappende aspecten, zoals de gegevensbescherming in AI-systemen. Net als bij de AVG, kunnen er ook hoge boetes opgelegd worden aan overtreders van de wet. De bedragen en percentages die momenteel genoemd worden zijn zelfs hoger dan die gelden bij de AVG, namelijk tot 35 miljoen euro per overtreding of 7% van de wereldwijde omzet van een bedrijf.

De komst van de AI Act heeft er in 2021 al toe geleid dat de Rijksoverheid het IAMA-model heeft laten ontwikkelen. Het model is openbaar en te gebruiken door alle bedrijven en overheidsorganen die gebruik (willen) maken van algoritmes. Het uitvoeren van een IAMA helpt organisaties om op een verantwoorde manier bepaalde algoritmes te ontwikkelen en te implementeren. Met het uitvoeren van een IAMA worden de nodige potentiële risico’s en impact van algoritmes geïdentificeerd en beoordeeld en kan een organisatie een weloverwogen afweging maken over de ontwikkeling en het gebruik van algoritmes. In de basis dus een vergelijkbaar evaluatief proces als de welbekende DPIA (Data Protection Impact Assessment) alleen verschillen ze in hun focus, doel en toepassingsgebied. Idealiter zou je beide processen in de praktijk willen combineren indien mogelijk. En na het volgen van de IAMA-cursus ben ik ervan overtuigd dat dat ook mogelijk moet zijn. Twee vliegen in 1 klap!

Alhoewel het uitvoeren van een IAMA momenteel nog niet verplicht is, wordt het wel sterk aangeraden om hier al mee aan de slag te gaan als je gebruik wilt gaan maken van een algoritme. Daarnaast heeft het Europees Parlement een voorstel ingediend om dit voor iedereen die met AI werkt te gaan verplichten. Dit zal naar verwachting vanaf 2026 zijn. Een goede reden om hier tijdig op te anticiperen als bedrijf of overheidsinstantie.

Kortom, IAMA biedt bedrijven een waardevol kader voor het beoordelen en aanpakken van de impact van hun algoritmen op mensenrechten. Door dit onderwerp nu direct goed aan te pakken en te gaan implementeren in je huidige bedrijfsvoering, kun je als bedrijf juridische risico’s verminderen, reputatieschade voorkomen en een concurrentievoordeel behalen in een steeds meer data gestuurde besluitvorming en ethisch bedrijfsvoering.

Heeft jouw bedrijf hulp en advies nodig bij dit vraagstuk?

Neem dan vrijblijvend contact met ons op en wij helpen je veilig vooruit.