Voldoende transparantie met algoritmeregister?
In een tijdperk waarin algoritmen steeds meer invloed uitoefenen op ons dagelijks leven, is in controle blijven van de nieuwste ontwikkelingen en hier transparant over zijn meer dan ooit belangrijk. Zeker met de aanstaande verplichtingen uit de AI verordening. Hiermee staan we voor een cruciale vraag: wanneer is de openheid en transparantie rondom deze algoritmen voldoende? Het antwoord is niet eenvoudig, want transparantie gaat verder dan alleen de registratie van algoritme. In dit artikel duiken we dieper in op de stappen die nodig zijn om nu aan de slag te gaan met transparant en verantwoord gebruik van algoritmen op 5 volwassenheidsniveaus.
Transparantie: Meer dan alleen beschikbaar stellen van informatie.
Om te beginnen moeten we het begrip transparantie verkennen. Het is niet simpelweg een algoritmeregister bijhouden en deze informatie beschikbaar stellen. Transparantie gaat verder dan dat; het draait om begrijpelijkheid, verantwoording, impactsafweging en de kwaliteit van informatie.
Het gaat allereerst om het goed kunnen uitleggen van de context waarin algoritmen worden gebruikt en waarom (begrijpelijkheid). Daarnaast om aan te kunnen tonen dat het algoritme doet waarvoor het is ontwikkeld (verantwoording). Maar ook ervoor zorgen dat de afweging voor gebruik duidelijk is (impactsafweging) en alle facetten controleerbaar (kwaliteit van informatie).
Dit is niet een one-time job: het draait ook om periodieke evaluatie en monitoring om ervoor te zorgen dat algoritmen nog steeds doen wat ze horen te doen en de informatie hierover volledig, actueel en correct is.
Kortom, het draait om "doen wat je zegt en zeggen wat je doet."
Niveau 1: Inventarisatie en risicoclassificatie
De basis om transparant te kunnen zijn ligt in het kennen van de algoritmen die binnen je organisatie worden gebruikt en wie verantwoordelijk is voor de processen waarin deze worden ingezet. Dit betekent een duidelijke definitie van algoritmen (scope) om een grondige inventarisatie van alle algoritmen in gebruik en ontwikkeling te kunnen doen.
Vanuit de AI Act volgen striktere regels voor ‘hoog risico’ AI-toepassingen. Met een grondige inventarisatie kun je namelijk adequaat inschatten waar sprake is van AI en wat het risiconiveau is. Zo verklein je de kans dat je ‘hoog risico’-toepassingen misloopt.
In de inventarisatie kom je al veel te weten over de processen waar het wordt ingezet en wat het algoritme ‘berekent’. Met de verzamelde informatie ontstaat de basis voor een registratie en het uitvoeren van een risicoclassificatie. De risicoclassificatie geeft de mogelijkheid om de focus te leggen op transparantie over AI-toepassingen met ‘hoog risico’ en helpt bij het treffen van passende maatregelen waar nodig, zoals het verzamelen van aanvullende informatie en het creëren van inzicht.
Overheid.algoritmes.nl over het doel van het landelijke algoritmeregister
“De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Dat doet de overheid door algoritmes voor het gebruik te controleren op hoe ze werken en op eventuele discriminatie en willekeur daarbij. Wanneer de overheid open is over algoritmes en hun toepassing, kunnen burgers, organisaties en media haar kritisch volgen en controleren of ze de wet en de regels volgt”
Niveau 2: Inzicht houden
Met de informatie over o.a. de context, doel, impact de risicoclassificatie en bijbehorende maatregelen in een algoritmeregister ben je aangekomen op niveau 1 - de basis. Echter, transparantie is een continu proces. Periodieke controle op en monitoring van algoritmen zijn van essentieel belang om te zorgen dat algoritmen blijven voldoen aan de gestelde eisen.
Om dit niveau 2 – inzicht – te behalen is het nodig om periodieke controle en monitoring in te richten. Periodieke controle op de correctheid van informatie, gemaakte aannames en de passendheid van de werkwijze helpt om continu te verbeteren en bij te sturen waar nodig. Ook is het aan te raden vast te stellen welke prestaties per toepassing minimaal verwacht worden en wanneer het algoritme onvoldoende presteert. De prestatie-eisen moeten continue gemonitord worden zodat bij afwijkingen van de norm snel over te gaan is tot actie, ook het stoppen van een algoritme. Je doet er goed aan de prestatie-eisen zelf ook periodiek te controleren – kloppen deze nog met onze waarden.
Niveau 3: Aantoonbaar maken
Zowel interne als externe toetsing zijn vereist op zowel algoritme governance als de techniek om niveau 3 – aantoonbaar – te behalen. Op dit niveau ben je in staat om aan te tonen dat jouw organisatie verantwoordelijkheid over algoritmen neemt en dat elke ‘hoog risico’-toepassing gecontroleerd wordt ingezet.
De algoritme governance moet periodiek geëvalueerd worden op de werking in de praktijk, evenals er periodiek getoetst moet worden door een tweede- en zelfs derdelijns of de AI-toepassingen nog steeds uitvoeren wat beoogd is en of de aannames nog correct zijn. Ofwel: Maken we het met onze governance makkelijk om de goede dingen te doen, in gesprek te blijven en transparant te zijn over de algoritmen die we gebruiken? En doen deze algoritmen dat technisch op de beste manier binnen onze randvoorwaarden?
Zo is bijvoorbeeld een Impact Assessment Mensenrechten Algoritme (IAMA) een geadviseerde maatregel om periodiek vanaf de ontwikkeling te monitoren of systemen in lijn zijn met publieke waarden en wet- en regelgeving. Ook zijn er diverse kaders en handvaten om algoritmen te toetsen of conformiteit van beheersing door de organisatie aan te tonen (zoals ISO42001).
Niveau 4: Publieke Toegang tot de code
Het publiceren van de code van gebruikte algoritmen is een cruciale stap richting volledige transparantie, niveau 4 uit 5. Het biedt namelijk de mogelijkheid voor onafhankelijke experts om de werking en wijzigingen in het algoritme te evalueren. Het geeft tevens vertrouwen aan het publiek dat er geen geheimen zijn. Een gepubliceerd algoritmeregister zal de mogelijkheid moeten bevatten om een link naar de code beschikbaar te stellen.
Maar er schuilt hier een extra risico. Het is namelijk niet de bedoeling om bijvoorbeeld onbedoeld persoonsgegevens vrij te geven of gegevens over de servers zodat criminelen een makkelijk achterdeurtje vinden om binnen te komen. Stel dus richtlijnen op over het hoe, wanneer en welke elementen van de code openbaar gemaakt kunnen worden.
Niveau 5: Volledige transparantie
In alle volledigheid transparant zijn - niveau 5 – wordt een volledigere mogelijkheid gegeven om de algoritmen te doorgronden door externen, ook wel publieke controle genoemd. Naast het toegang geven tot (een deel van) de code is hier ook data voor nodig.
Hier liggen een aantal uitdagingen als een algoritme niet op basis van open data is ontwikkeld. De data kan vaak niet openbaar gemaakt te worden, omdat er bijvoorbeeld sprake is van gevoelige informatie en persoonsgegevens of omdat identificatie van personen in een paar stappen mogelijk is.
Alternatief is het genereren van synthetische data onder de voorwaarde dat de AI-toepassing moet hier mee kunnen werken, deze set moet volledig de privacy waarborgen van de oorspronkelijke set en systemen vooralsnog niet blootgeven
Het 5-sterrenmodel voor open algoritmen ziet toe op de mate van transparantie per algoritme.
“Een beschrijving in het algoritmeregister is een goede eerste stap – of ster. Dit geeft inzicht in de context waarin het algoritme gebruikt wordt. Als daarbij ook nog andere gegevens gepubliceerd worden, bijvoorbeeld de resultaten van een audit, of de monitoringsdata van een algoritme, komen er meer sterren bij. Deze extra gegevens bieden experts, journalisten en andere geïnteresseerden de mogelijkheid om echt te onderzoeken hoe het algoritme werkt.” - initiatief Open Algoritmen. Om per algoritme deze sterren te kunnen halen, zul je klaar moeten zijn voor de beschreven volwassenheidsniveaus.
Conclusie
Het nastreven van volledige openheid en transparantie over algoritmegebruik is een nobel doel, maar het vergt inspanning en toewijding van alle betrokkenen. Het begint met het begrijpen van je algoritmen en het regelmatig beoordelen van informatie, hun prestaties en gemaakte aannames. Het inrichten van interne en externe toetsing en tot slot het delen van de code én data.
Bij Highberg begrijpen we de complexiteit van deze uitdaging en staan we klaar om je te ondersteunen bij elke stap van deze reis. We hebben een gestructureerde aanpak om verantwoordelijkheid en transparantie te waarborgen, en we willen graag met jou samenwerken om de impact van algoritmen op jouw organisatie te begrijpen en te beheersen.