Een organisatiebrede aanpak voor de invoering van de EU AI Act, waar regelgeving, innovatie en dagelijkse praktijk samenkomen
Klant
Entiteit Vlaamse Overheid
Rol
Organisatieontwikkelaar - AI-governance, organisatieontwikkeling en implementatiestrategie
Artificiële intelligentie was binnen de organisatie al volop aanwezig. Een gespecialiseerd AI-team ontwikkelde eigen toepassingen, medewerkers experimenteerden met generatieve AI en ook aangekochte software bevatte steeds vaker AI-componenten. Er bestond al een sterk technisch kader voor AI-governance, maar de komst van de Europese AI Act maakte duidelijk dat verantwoord AI-gebruik niet uitsluitend binnen een technisch expertiseteam kon worden georganiseerd. De centrale vraag werd: hoe maken we van complexe regelgeving een werkbare organisatiepraktijk die innovatie mogelijk blijft maken?
Bij de start waren verschillende bouwstenen aanwezig, maar nog niet geïntegreerd tot één organisatiebrede werking. Er was onvoldoende volledig zicht op alle gebruikte AI-toepassingen, geen eenduidig eigenaarschap voor AI-governance, onduidelijkheid over de rollen van business owners, juristen, privacy, security en systeemverantwoordelijken, geen uniforme aanpak voor AI buiten het centrale AI-team, een aankoopproces dat nog onvoldoende rekening hield met AI-componenten, en beperkte praktische vertaling van juridische vereisten naar uitvoerbare processen.
De regelgeving moest worden vertaald naar duidelijke verantwoordelijkheden, werkbare processen, juridische en ethische toetsing, registratie en risicoclassificatie, afspraken voor ontwikkeling, aankoop en gebruik, bewustwording en AI-geletterdheid, en organisatiebrede besluitvorming. De AI Act mocht geen losstaand juridisch complianceproject worden: de invoering moest aansluiten op bestaande processen, governancefora en verantwoordelijkheden, zodat verantwoord AI-gebruik ook na afloop van het project duurzaam geborgd blijft.
We bouwden de opdracht op rond drie sporen: onderzoek en juridische interpretatie, ontwerp van het Target Operating Model, en implementatie en structurele opvolging. De mogelijke aanpakken werden vertaald naar verschillende ambitieniveaus - van minimale naleving tot volledige implementatie - en getoetst op juridische risico's, beschikbare capaciteit, organisatorische haalbaarheid, businesswaarde, impact op bestaande processen, reputatie en vertrouwen, en het verandervermogen van de organisatie. Dit leidde tot een pragmatische, gefaseerde aanpak: de belangrijkste risico's en wettelijke verplichtingen eerst, gecombineerd met een groeipad naar verdere volwassenheid.
Samen met de betrokken experten werd een Target Operating Model uitgewerkt waarin rollen en verantwoordelijkheden werden verduidelijkt voor AI-leiding en AI-governance, AI-project- en systeemeigenaarschap, business owners, AI-ambassadeurs, data-eigenaarschap, juridische ondersteuning, privacy en security, aankoop en contractbeheer, systeem- en applicatiebeheer, en de adviserende en beslissende governancefora. Daarnaast ontwierpen we processen voor de volledige levenscyclus van AI: identificeren en registreren, risicoclassificatie, risico-opvolging, beoordeling van aangekochte oplossingen met een AI-component, voorwaarden voor ingebruikname en periodieke herbeoordeling.
Een belangrijk aandachtspunt was de praktische bruikbaarheid. Juridische checklists en classificatiemodellen werden vertaald naar instrumenten waarmee ook projectleiders, product owners en medewerkers aan de slag kunnen. Niet iedereen die een AI-toepassing initieert of een generatieve-AI-assistent bouwt is immers jurist of AI-specialist. We zetten daarom in op een centrale AI-inventaris, een eenvoudige intake en triage, heldere rollen en escalatielijnen, concrete beslisvragen, kwaliteits- en risicobeheersmaatregelen, praktische richtlijnen voor generatieve AI, communicatie en AI-geletterdheid, en herbruikbare governanceprocessen.
Het kantelmoment kwam zodra de governanceprincipes voor het eerst werden toegepast op een echte AI-toepassing. Een organisatiebrede generatieve-AI-oplossing die medewerkers ondersteunt bij de voorbereiding van transmissieverslagen werd omgevormd van een experiment naar een gecontroleerde, goedgekeurde werkwijze met duidelijke gebruiksvoorwaarden, menselijke eindverantwoordelijkheid, juridische, privacy- en ethische toetsing, transparante communicatie, opleiding en begeleiding, centrale opvolging en afspraken over verdere uitrol en beheer.
Daarmee verschoof het programma van een papieren operating model naar een werkende praktijk. De toepassing werd niet alleen een operationeel hulpmiddel, maar ook de eerste tastbare demonstratie van hoe verantwoord AI-gebruik in de praktijk kan worden georganiseerd.
De opdracht legde de basis voor een geïntegreerde AI-governancewerking waarin regelgeving, innovatie en dagelijkse praktijk met elkaar verbonden zijn: een gedragen, gefaseerde implementatiestrategie, een organisatiebreed Target Operating Model, duidelijkere rollen en beslissingsfora, processen voor registratie, classificatie en risicobeheer, aandacht voor zowel intern ontwikkelde als aangekochte AI, een brug tussen juristen, AI-experten, business en ondersteunende diensten, praktische instrumenten voor medewerkers en projecteigenaars, en een basis voor structurele AI-geletterdheid en verantwoord gebruik.
Verantwoorde AI-governance gaat over meer dan juridische risico's vermijden. Het gaat over de voorwaarden waaronder een organisatie AI duurzaam kan inzetten: met behoud van menselijke verantwoordelijkheid, bescherming van burgers en medewerkers, voldoende transparantie, ruimte voor innovatie en vertrouwen als fundament. Zo werd de AI Act geen rem op innovatie, maar een aanleiding om AI professioneler, bewuster en organisatiebreed te verankeren.