In de snel evoluerende wereld van kunstmatige intelligentie (AI) springt één ontwikkeling eruit vanwege zijn transformatieve potentieel: de opkomst van generatieve AI-tools. Veel grote technologiebedrijven bouwen de grote taalmodellen (LLM's) die deze tools aandrijven en trainen ze op basis van miljarden inputs. Maar onder zijn concurrenten is ChatGPT van OpenAI naar voren gekomen als een gamechanger; het is het snelste webplatform geworden dat 100 miljoen gebruikers heeft bereikt. Deze mijlpaal is niet alleen een bewijs van de mogelijkheden van de tool, maar ook een duidelijke indicatie dat generatieve AI een blijvertje is.
De verspreiding van ChatGPT op de werkplek
ChatGPT is een LLM die is geoptimaliseerd voor gebruik als algemene chatbot. De huidige basismodellen zijn OpenAI's GPT-3.5 en GPT-4 LLM's. ChatGPT begrijpt en reageert op natuurlijke taalprompts en begint zijn weg te vinden naar verschillende professionele omgevingen. Van kleine start-ups tot multinationals, werknemers in alle sectoren maken gebruik van deze tool om hun productiviteit te verhogen en hun workflows te stroomlijnen.
De toepassingen van generatieve AI-tools op de werkplek zijn divers. Ze worden gebruikt om inhoud op te stellen, documenten te genereren, feiten te controleren en onderzoek te doen, en zelfs om softwarecode te schrijven. Dit wijdverbreide gebruik verhoogt weliswaar de productiviteit, maar brengt ook een hele reeks potentiële risico's met zich mee die organisaties moeten aanpakken. De integratie van AI op de werkplek is geen eenvoudig plug-and-play-scenario; het vereist zorgvuldige afwegingen en strategische planning.
De noodzaak om werknemers begeleiding te bieden
Gezien de mogelijke risico's die gepaard gaan met het gebruik van ChatGPT en soortgelijke tools, is het van cruciaal belang dat bedrijven hun werknemers begeleiding bieden. Deze begeleiding kan de vorm aannemen van een formeel beleid of een meer algemene gids met beste praktijken die voortbouwt op het bestaande informatiebeveiligingsbeleid van het bedrijf.
Hoewel enkele grote bedrijven over de middelen beschikken om hun eigen interne LLM's te bouwen, is dat voor de meeste bedrijven niet het geval. Voor deze bedrijven kan het veilig en onder begeleiding gebruiken van generatieve AI-tools van derden hen helpen om concurrerend te blijven ten opzichte van bedrijven die wel toegang hebben tot hun eigen LLM's. Dit betekent echter niet dat kleinere bedrijven deze tools zonder de nodige zorgvuldigheid moeten gaan gebruiken. De potentiële risico's en uitdagingen die gepaard gaan met het gebruik van AI-tools zoals ChatGPT moeten zorgvuldig worden geëvalueerd en beperkt.
De risico's begrijpen
Het gebruik van ChatGPT en andere LLM's op de werkplek kan verschillende risico's met zich meebrengen, waaronder:
Vertrouwelijkheid: Het delen van vertrouwelijke bedrijfs- of klantinformatie met generatieve AI-systemen kan een schending van contractuele verplichtingen inhouden of bedrijfsgeheimen openbaar maken. Dit is een belangrijk punt van zorg, vooral voor bedrijven die met gevoelige gegevens werken. Werknemers moeten zich bewust zijn van de mogelijke risico's die gepaard gaan met het delen van vertrouwelijke informatie met AI-tools. Bovendien zijn de meeste generatieve AI-tools cloudgebaseerd of software-as-a-service, wat betekent dat gegevens naar een externe dienstverlener worden verzonden. Als bedrijven vertrouwelijke informatie aan deze externe platforms verstrekken en die informatie vervolgens voor trainingsdoeleinden in het model wordt teruggekoppeld, kunnen bedrijven de bescherming van bedrijfsgeheimen voor die informatie verliezen.
Persoonsgegevens en schendingen van de privacy: Het delen van persoonlijke informatie over klanten, cliënten of werknemers met generatieve AI-systemen kan privacyrisico's met zich meebrengen. Dit is met name relevant in de context van strenge regelgeving op het gebied van gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie en het toenemende aantal staatswetten inzake gegevensprivacy in de Verenigde Staten, waaronder de California Consumer Privacy Act (CCPA). Bovendien is het mogelijk dat een kwaadwillende actor de privé-informatie uit het model kan halen als deze ooit in de trainingsgegevens van een LLM terechtkomt, bijvoorbeeld als de informatie uit een datalek wordt gehaald.
Kwaliteitscontrole: Generatieve AI-tools zijn weliswaar opmerkelijk in hun mogelijkheden, maar zijn gevoelig voor het produceren van foutieve outputs, wat kan leiden tot mogelijke kwaliteitscontroleproblemen. Deze neiging tot onnauwkeurigheden kan nog worden versterkt door het fenomeen dat bekend staat als automatiseringsbias, waarbij gebruikers te veel vertrouwen op de outputs van deze AI-tools, vaak zonder de nauwkeurigheid ervan in twijfel te trekken. Ondanks de aanzienlijke productiviteitsverbetering die AI-tools bieden, zijn ze niet immuun voor fouten. Het gevaarlijke aspect is dat generatieve AI-tools op zeer overtuigende wijze onjuiste resultaten kunnen produceren, waarbij ze menselijke generatie nabootsen en gebruikers doen vertrouwen in hun authenticiteit.
Naarmate deze generatieve AI-tools zich in de loop van de tijd verder ontwikkelen, zullen ze waarschijnlijk nauwkeuriger worden en minder 'hallucinaties' of valse creaties vertonen, waardoor het steeds moeilijker wordt om onjuiste informatie op te sporen. Laat u niet misleiden – het gebruik van de term 'hallucinaties' is gewoon een eufemisme voor 'fouten'. Deze verminderde detecteerbaarheid, in combinatie met automatiseringsbias, vergroot de kans dat mensen geneigd zijn om output zonder grondig onderzoek te accepteren, waardoor de kans toeneemt dat verkeerde informatie wordt verspreid of dat er verkeerde beslissingen worden genomen. Met name bedrijven (en bij uitbreiding hun werknemers) moeten waakzaam zijn en kunnen zich niet onttrekken aan hun verantwoordelijkheden en aansprakelijkheid door uitsluitend te vertrouwen op het gebruik van generatieve AI-tools. Het is hun plicht om ervoor te zorgen dat alle gegenereerde informatie en alle acties die op basis daarvan worden ondernomen, zo nauwkeurig en betrouwbaar mogelijk zijn.
Vooringenomenheid en discriminatie: Generatieve AI-systemen kunnen vooringenomenen discriminerenderesultaten opleveren. Aangezien LLM's worden getraind op basis van gegevens die op het internet beschikbaar zijn, kunnen ze de vooringenomenheid die daar wordt aangetroffen, herhalen. Als bedrijven gebruikmaken van generatieve AI-tools, moeten ze ervoor zorgen dat ze zich niet schuldig maken aan vooringenomen of discriminerende handelingen op basis van het gebruik van deze tools. Deze risico's zijn met name aanwezig en acuut in verband met het werven, screenen en aannemen van werknemers.
Productaansprakelijkheid: Generatieve AI-tools kunnen worden gebruikt in de onderzoeks-, ontwerp-, ontwikkelings- en productiefasen van producten. Producten kunnen fysiek zijn (bijvoorbeeld bouwproducten) of op software gebaseerd (zoals technologie voor autonoom rijden). Als een door AI aangestuurd product of systeem een beslissing neemt die een gebruiker schade berokkent, kan dit leiden tot claims en aansprakelijkheid voor alle actoren en organisaties in de 'keten' van de ontwikkeling en het gebruik van AI.
Intellectueel eigendom: Het gebruik van generatieve AI-systemen roept complexe vragen op over intellectueel eigendom, bijvoorbeeld of documenten of code die door generatieve AI-systemen worden gegenereerd, recht hebben op wettelijke bescherming en of het bedrijf aansprakelijk kan worden gesteld voor het gebruik van de output van generatieve AI-systemen. Het Amerikaanse Copyright Office heeft verklaard dat het "geen werken zal registreren die zijn geproduceerd door een machine of een louter mechanisch proces dat willekeurig of automatisch werkt zonder enige creatieve inbreng of tussenkomst van een menselijke auteur". Dit is een grijs gebied in de wetgevingdat nog niet volledig is opgelost.
Los daarvan bestaat er nog steeds enige onzekerheid over het eigendom van gegevens die door generatieve AI-tools worden gegenereerd. In de gebruiksvoorwaarden van bepaalde tools wordt vermeld dat de gebruiker eigenaar is van de gegevens. Eigenaars van de gegevens die zijn gebruikt om de LLM te trainen, kunnen echter ook bepaalde eigendomsclaims hebben.
Verkeerde voorstelling van zaken: Beweren dat output door mensen is gegenereerd terwijl dat niet het geval is, kan leiden tot claims op het gebied van consumentenbescherming of andere public relations-problemen, afhankelijk van het gebruik ervan. Bedrijven moeten zich ervan bewust zijn dat er een risico bestaat op claims wegens oneerlijke of misleidende praktijken onder staats- of federale wetgeving als ze AI-tools op onjuiste wijze gebruiken. Transparantie is dan ook essentieel bij het gebruik van AI-tools. Bovendien staan sociale media erom bekend dat ze content aan de kaak stellen die is gemaakt met behulp van generatieve AI, maar niet openbaar is gemaakt, wat op zijn minst een smet op de reputatie en geloofwaardigheid van de gebruiker zou zijn.
Verzekeringsdekking: Afhankelijk van de polis biedt de verzekering mogelijk geen dekking voor aansprakelijkheid die voortvloeit uit het gebruik van generatieve AI-tools. Naarmate generatieve AI-tools meer geïntegreerd raken in bedrijfsactiviteiten en meer functies automatiseren, neemt de kans op ongewenste gebeurtenissen toe, waardoor bedrijven extra risico's lopen. Het is mogelijk dat deze tools buiten het bereik van bestaande polissen vallen.
Toekomstige vereisten: Er kunnen in de toekomst vereisten komen om door AI gegenereerde content duidelijk te identificeren als een bedrijf verklaringen moet afleggen in een transactie (zoals een verkoop of financiering) of in verband met een commerciële overeenkomst met een leverancier of een klant. Er zullen waarschijnlijk nog andere voorschriften worden vastgesteld met betrekking tot transparantie, toestemming en kennisgeving.
Potentiële discriminatie op de werkvloer: Het gebruik van generatieve AI-systemen kan een negatieve invloed hebben op de prestaties van personen die er geen gebruik van maken in vergelijking met hun collega's. Dit kan mogelijk leiden tot beslissingen op het gebied van werkgelegenheid die voortvloeien uit het al dan niet gebruiken van AI-tools, wat een discriminerend of negatief effect kan hebben op een beschermde groep personen (bijvoorbeeld personen van 40 jaar en ouder). Bedrijven moeten ervoor zorgen dat het gebruik van AI-tools geen ongelijke kansen op de werkplek of mogelijke vooringenomenheid bij beslissingen op het gebied van werkgelegenheid tot gevolg heeft.
De risico's aanpakken
Bedrijven moeten hun werknemers begeleiding bieden bij het verantwoord gebruik van generatieve AI-tools, inclusief hoe ze de risico's die aan het gebruik ervan verbonden zijn, kunnen vermijden. Deze begeleiding kan de vorm aannemen van een nieuw beleid voor aanvaardbaar gebruik van generatieve AI of iets minder formeels, zoals een gids met beste praktijken. Daarnaast moeten bedrijven aanvullende mechanismen overwegen, waaronder systemen voor het monitoren van intern gebruik en het voorzien in procedures of mechanismen voor het melden van onbedoelde uitwisseling van vertrouwelijke informatie met de generatieve AI-systemen.
Vertrouwelijkheid en privacy: Gezien mogelijke datalekken en de privacyrisico's die gepaard gaan met het delen van persoonsgegevens, moet het beleid of de richtlijnen van het bedrijf inzake aanvaardbaar gebruik van generatieve AI duidelijk definiëren welke gegevens wel en niet met AI-tools mogen worden gedeeld, met bijzondere nadruk op de bescherming van gevoelige bedrijfs-, klant- en werknemersinformatie. Deze aanpak helpt ervoor te zorgen dat contractuele verplichtingen en handelsgeheimen worden nageleefd en dat tegelijkertijd wordt voldaan aan gegevensbeschermingsvoorschriften zoals de AVG. Als bedrijven generatieve AI-tools van externe dienstverleners gebruiken, moeten ze bovendien hun contractuele verplichtingen jegens hun klanten, leveranciers, werknemers enz. nakomen en bevestigen dat ze bevoegd zijn om de informatie met het platform te delen.
Werknemers moeten worden gevraagd om zich af te melden voor het gebruik van gegevens voor machine learning-training, indien een dergelijke optie beschikbaar is. Bij bepaalde dienstverleners kunnen gebruikers zich afmelden door een e-mail te sturen of een formulier in te vullen dat door de leverancier wordt verstrekt.
Bedrijven moeten ook overwegen om een meldingsmechanisme in te voeren waarmee werknemers aan het management kunnen melden als vertrouwelijke of gevoelige gegevens per ongeluk zijn gedeeld met een generatieve AI-tool. Dit meldingsmechanisme kan bestaan uit het informeren van een manager of het sturen van een e-mail naar een speciaal e-mailadres dat wordt beheerd door het informatiebeveiligingsteam.
Kwaliteitscontrole en feitelijke onjuistheden: Vanwege de mogelijke kwaliteitscontroleproblemen die voortvloeien uit onjuistheden in door AI gegenereerde content, moet het beleid of de richtlijnen voor aanvaardbaar gebruik van het bedrijf vereisen dat werknemers alle gegenereerde output controleren op nauwkeurigheid en juistheid. Werknemers moeten hun expertise toepassen en een gezond oordeel vellen over hoe de output het best kan worden gebruikt. Als bedrijven bovendien besluiten om de resultaten van generatieve AI-tools rechtstreeks aan hun klanten en cliënten aan te bieden zonder menselijke controle, moeten ze zich bewust zijn van het hogere risico dat dit met zich meebrengt, aangezien deze tools onjuiste of zelfs aanstootgevende resultaten kunnen opleveren.
Risico's op het gebied van intellectueel eigendom: Omdat auteursrechtwetten per rechtsgebied verschillen, hebben bedrijven mogelijk geen auteursrechtelijke bescherming op de gegevens die door een generatieve AI-oplossing worden geproduceerd. Daardoor kunnen anderen de gegevens kopiëren zonder risico op schending van het auteursrecht. Daarnaast bestaat ook de zorg dat eigenaren van de gegevens die worden gebruikt om een generatieve AI-tool te trainen, bepaalde eigendomsclaims kunnen hebben op de gegenereerde output. Bedrijven moeten zorgvuldig omgaan met het gebruik van dergelijke content en zich ervan bewust zijn dat ze mogelijk geen duidelijke eigendomsrechten of auteursrechtelijke bescherming hebben op de gegenereerde content.
Verkeerde voorstelling van zaken: Om claims wegens verkeerde voorstelling van zaken en mogelijke public relations-problemen te voorkomen, moeten bedrijven transparant zijn over hun gebruik van AI-tools. In een wereld waarin consumenten authenticiteit waarderen, is het niet alleen ethisch verantwoord om te vermelden dat content is gegenereerd met behulp van generatieve AI, maar kan dit ook door het publiek worden gewaardeerd. Bepaalde rechtsgebieden hebben al kennisgevingsbepalingen die vereisen dat consumenten worden geïnformeerd over het gebruik van een chatbot of andere geautomatiseerde bots, en er zullen waarschijnlijk aanvullende voorschriften worden aangenomen die vereisen dat het gebruik van generatieve AI-tools wordt gemeld.
Verzekering: Gezien de risico's die gepaard gaan met het gebruik van AI, moeten verzekeringspolissen mee evolueren. Bedrijven moeten in gesprek gaan met verzekeraars en verzekeringsmakelaars om ervoor te zorgen dat de dekking zich uitstrekt tot mogelijke aansprakelijkheden die voortvloeien uit het gebruik van AI.
Regelgeving: Gezien de snelle ontwikkeling van AI-regelgeving is het belangrijk dat bedrijven voorop blijven lopen. Door te anticiperen op mogelijke wijzigingen in de regelgeving en zich daarop voor te bereiden, blijft het bedrijf compliant en worden toekomstige verstoringen beperkt.
Werkgelegenheid: Om eerlijkheid op de werkplek te garanderen, moeten bedrijven het gebruik van AI-tools zoals ChatGPT monitoren. Er moeten maatregelen worden genomen om ervoor te zorgen dat de prestatiebeoordeling van personen die geen AI-tools gebruiken, niet nadelig wordt beïnvloed. Ook moet worden overwogen om trainingen te organiseren voor werknemers die geen early adopters zijn van generatieve AI-tools, om zo mogelijke discriminatie tegen te gaan. Bovendien moet het beleid of de richtlijnen van het bedrijf met betrekking tot het aanvaardbaar gebruik van generatieve AI overwegen om het gebruik van persoonlijke e-mailaccounts door werknemers om in te loggen op AI-tools voor werkgerelateerde activiteiten te beperken.
Meer in het algemeen moet elk bedrijf deze risico's evalueren en beoordelen welke maatregelen het moet nemen bij het implementeren van een beleid voor aanvaardbaar gebruik van generatieve AI. Bedrijven moeten er rekening mee houden dat een zeer conservatieve benadering van het gebruik van generatieve AI-tools kan leiden tot een situatie waarin werknemers deze tools nog steeds gebruiken, maar dan op persoonlijke apparaten en buiten het bereik van het bedrijf. Daarom wordt een meer genuanceerde aanpak aanbevolen, waarbij wordt gekeken naar de gebruikssituaties waarin werknemers generatieve AI kunnen gebruiken en wordt bepaald onder welke voorwaarden en omstandigheden dit is toegestaan.
Het is nu tijd om in actie te komen
De groei van ChatGPT en andere generatieve AI-tools vertraagt niet. Naarmate deze tools steeds meer geïntegreerd raken in ons professionele en persoonlijke leven, wordt het steeds belangrijker om de bijbehorende risico's aan te pakken. Bedrijven moeten proactief zijn in het begrijpen van deze risico's en het implementeren van strategieën om ze te beperken.
Gezien de mogelijke toekomstige regelgeving en de voortdurende ontwikkeling van AI-technologieën is het voor organisaties van essentieel belang om op de hoogte te blijven en zich aan te passen. Bij het navigeren door dit nieuwe landschap ligt de sleutel tot het benutten van de kracht van generatieve AI-tools in het vinden van een evenwicht tussen het benutten van hun potentieel en het beheersen van hun risico's.
De opkomst van ChatGPT en andere generatieve AI-tools biedt zowel kansen als uitdagingen. Door duidelijke richtlijnen te geven aan werknemers, transparant te zijn naar consumenten, de bijbehorende risico's te begrijpen en een robuust beleid te voeren, kunnen bedrijven op een verantwoorde en effectieve manier door dit nieuwe landschap navigeren.
Klik hierom ons spiekbriefje te downloaden met richtlijnen voor het aanpakken van specifieke risicogebieden.
De auteurs zijn Mathew Cha, student aan de UC Berkeley School of Law en zomermedewerker bij Foley & Lardner LLP in 2023, zeer erkentelijk voor zijn bijdrage.
