Begrippen en definities

ISO 42001  en AI zitten vol met jargon. De EU AI Act  introduceert nog meer termen. Op deze pagina leggen we de belangrijkste begrippen uit in begrijpelijke taal.

A

Adversarial attack

Een aanval waarbij iemand de AI bewust probeert te misleiden door specifieke input te geven. Denk aan een afbeelding die er voor mensen normaal uitziet, maar door de AI verkeerd wordt geclassificeerd.

AI-geletterdheid

De kennis en vaardigheden die nodig zijn om verantwoord met AI te werken. De EU AI Act verplicht dit voor iedereen die AI ontwikkelt, inzet of gebruikt.

Lees meer over AI-geletterdheid.

AI-managementsysteem (AIMS)

Een gestructureerd geheel van beleid, processen en procedures om AI verantwoord te ontwikkelen en gebruiken. Het AIMS is wat ISO 42001 van je vraagt.

AI-systeemimpactanalyse (AISIA)

Een analyse van de gevolgen die een AI-systeem kan hebben voor individuen, groepen en de maatschappij. Kijkt naar zaken als eerlijkheid, privacy, veiligheid en autonomie.

Lees meer over AI impact assessment.

Annex A

Het bijlage-hoofdstuk van ISO 42001 met 38 beheersmaatregelen. Je selecteert welke maatregelen je toepast op basis van je risicobeoordeling.

Lees meer over Annex A beheersmaatregelen.

Audit

Een onafhankelijke beoordeling of je managementsysteem voldoet aan de norm. Er zijn interne audits (door jezelf) en externe audits (door de certificerende instantie).

Lees meer over het auditproces en interne audits.

B

Bias

Systematische vertekening in de output van een AI-systeem. Kan ontstaan door scheefheid in trainingsdata, verkeerde aannames in het model, of meetfouten.

Voorbeeld: Een AI voor kredietbeoordeling die vrouwen systematisch lager scoort omdat historische data dit patroon bevatte.

Lees meer over bias in AI-risicomanagement.

Black box

Een AI-systeem waarvan je niet kunt zien hoe het tot een beslissing komt. Je ziet de input en output, maar niet wat er tussenin gebeurt.

C

Certificerende instantie (CI)

De organisatie die audits uitvoert en certificaten uitreikt. Moet geaccrediteerd zijn door de Raad voor Accreditatie (RvA).

Lees meer over certificerende instanties.

Conformiteitsbeoordeling

Het proces om vast te stellen of iets voldoet aan bepaalde eisen. Voor de EU AI Act moeten hoog-risico AI-systemen een conformiteitsbeoordeling doorlopen.

Context van de organisatie

Het begrijpen van je organisatie, omgeving, belanghebbenden en hun verwachtingen. Hoofdstuk 4 van ISO 42001 gaat hierover.

Correctieve actie

Een maatregel om de oorzaak van een afwijking weg te nemen en herhaling te voorkomen. Niet alleen het symptoom fixen, maar het onderliggende probleem oplossen.

D

Data governance

Het geheel van beleid, processen en verantwoordelijkheden voor het beheer van data. Bij AI cruciaal omdat de kwaliteit van data direct de kwaliteit van de AI bepaalt.

Data lineage

De documentatie van waar data vandaan komt en welke bewerkingen erop zijn uitgevoerd. Belangrijk voor traceerbaarheid en kwaliteitscontrole.

Data poisoning

Het manipuleren van trainingsdata om een AI-model verkeerd te laten leren. Een vorm van aanval op AI-systemen.

Deployer

In de context van de EU AI Act: de organisatie die een AI-systeem inzet. Je hoeft het niet zelf te hebben gebouwd om deployer te zijn.

Due diligence

Grondig onderzoek voordat je een beslissing neemt. Bij leveranciersbeheer betekent dit onderzoek naar de AI-praktijken van je leverancier.

E

Explainability

Het vermogen om uit te leggen hoe een AI tot een beslissing of voorspelling komt. Nederlandse term: uitlegbaarheid.

F

Fairness

Eerlijkheid. Bij AI: het systeem behandelt alle groepen rechtvaardig en discrimineert niet. Er zijn verschillende definities van fairness die niet altijd tegelijk te realiseren zijn.

Feature

Een invoervariabele voor een AI-model. De kenmerken waarop het model zijn voorspellingen baseert.

Voorbeeld: Bij een model dat huizenprijzen voorspelt zijn oppervlakte, locatie en bouwjaar features.

Foundation model

Een groot AI-model dat is getraind op enorme hoeveelheden data en kan worden aangepast voor verschillende toepassingen. GPT-4, Claude en Gemini zijn voorbeelden.

G

Generatieve AI

AI die nieuwe content kan genereren: tekst, afbeeldingen, video, code. ChatGPT en DALL-E zijn bekende voorbeelden.

Governance

Het stelsel van regels, processen en verantwoordelijkheden waarmee een organisatie wordt bestuurd. AI-governance gaat specifiek over het besturen van AI-activiteiten.

H

Hallucination

Wanneer een AI-systeem informatie verzint die niet in de trainingsdata zat en niet klopt. Komt vooral voor bij grote taalmodellen.

Voorbeeld: Een chatbot die overtuigend een fictief onderzoek citeert, compleet met verzonnen auteur en publicatiedatum.

High Level Structure (HLS)

De gemeenschappelijke structuur die alle moderne ISO-managementsysteemnormen delen. Maakt integratie van verschillende certificeringen makkelijker.

Lees meer over integratie met bestaande systemen.

Hoog-risico AI

Categorie in de EU AI Act voor AI-systemen met significante impact op mensen. Denk aan AI in werving, kredietbeoordeling, onderwijs, rechtshandhaving. Strenge eisen.

I

Impactanalyse

Zie AI-systeemimpactanalyse.

Inference

Het proces waarbij een getraind AI-model voorspellingen doet op nieuwe data. Het “gebruiken” van het model na training.

Interne audit

Een audit die je zelf uitvoert om te controleren of je systeem werkt. Verplicht onderdeel van ISO 42001.

Lees meer over interne audits.

K

Kritiekheid

De mate waarin een AI-systeem belangrijk is voor je organisatie of impact heeft op mensen. Kritieke systemen vragen om meer controle.

L

Levenscyclus

De fasen die een AI-systeem doorloopt: van ontwerp via ontwikkeling en deployment tot uitfasering. ISO 42001 vraagt aandacht voor de hele levenscyclus.

Leveranciersbeheer

Het proces van selecteren, beoordelen en monitoren van leveranciers. Voor AI belangrijk omdat je ook verantwoordelijk bent voor ingekochte AI.

Lees meer over leveranciersbeheer.

M

Machine learning (ML)

Een tak van AI waarbij systemen leren van data in plaats van expliciet geprogrammeerd te worden. Het model ontdekt patronen in de trainingsdata.

Management review

Een periodieke beoordeling door het topmanagement van het managementsysteem. Verplicht onderdeel van ISO 42001.

Model card

Een document dat een AI-model beschrijft: wat het doet, hoe het is getraind, wat de beperkingen zijn, voor wie het bedoeld is.

Model drift

Het fenomeen waarbij een AI-model slechter presteert over tijd omdat de werkelijkheid verandert maar het model niet.

Voorbeeld: Een fraudedetectiesysteem getraind voor COVID mist nieuwe fraudepatronen na COVID.

N

Non-conformity

Een afwijking van de norm. Kan minor zijn (klein probleem) of major (ernstig probleem). Bij audits worden non-conformities gedocumenteerd.

O

Overfitting

Wanneer een model te specifiek is getraind op de trainingsdata en daardoor slecht presteert op nieuwe data. Het model heeft de trainingsdata “onthouden” in plaats van te generaliseren.

P

PDCA-cyclus

Plan-Do-Check-Act. Een methode voor continue verbetering die in alle ISO-managementsystemen terugkomt.

Provider

In de context van de EU AI Act: de ontwikkelaar of leverancier van een AI-systeem. Heeft andere verplichtingen dan de deployer.

Proxy-discriminatie

Discriminatie via omwegen. Het model discrimineert niet direct op beschermde kenmerken, maar via kenmerken die ermee correleren.

Voorbeeld: Postcode gebruiken als feature terwijl postcode correleert met etniciteit.

R

Restrisico

Het risico dat overblijft nadat je beheersmaatregelen hebt genomen. Moet bewust worden geaccepteerd door management.

Risicobereidheid

De mate waarin je organisatie bereid is risico’s te accepteren. Bepaalt welke risico’s behandeling nodig hebben.

Risicobeoordeling

Het proces van risico’s identificeren, analyseren en evalueren. Kern van ISO 42001.

Lees meer over AI-risicomanagement.

S

Scope

De reikwijdte van je AIMS. Welke AI-systemen, locaties en processen vallen eronder?

Statement of Applicability (SoA)

Verklaring van Toepasselijkheid. Een document waarin je per Annex A maatregel aangeeft of je hem toepast en waarom wel of niet.

Lees meer over de vereiste documentatie.

Supervised learning

Een vorm van machine learning waarbij het model leert van gelabelde data. Je geeft voorbeelden met het “juiste” antwoord.

T

Training

Bij AI: het proces waarbij een model patronen leert uit data. Niet te verwarren met training van mensen.

Trainingsdata

De data waarop een AI-model leert. De kwaliteit en representativiteit van trainingsdata bepalen grotendeels de kwaliteit van het model.

Transparantie

Openheid over het gebruik van AI. Laten weten dat AI wordt gebruikt, hoe het werkt, en hoe beslissingen tot stand komen.

U

Uitlegbaarheid

Zie explainability.

Unsupervised learning

Een vorm van machine learning waarbij het model patronen ontdekt in data zonder vooraf gegeven labels.

V

Validatie

Controleren of het AI-systeem geschikt is voor het beoogde doel. Doet het wat het moet doen?

Verificatie

Controleren of het AI-systeem correct is gebouwd. Is het juist gemaakt volgens de specificaties?

Verklaring van Toepasselijkheid

Zie Statement of Applicability.

Terms uit de EU AI Act

Verboden AI-praktijken

AI-toepassingen die de EU AI Act verbiedt. Bijvoorbeeld: sociale scoring door overheden, real-time biometrische identificatie op publieke plekken (met uitzonderingen).

Hoog-risico AI-systemen

AI-systemen met significante impact. Annex III van de AI Act geeft de lijst: biometrie, kritieke infrastructuur, onderwijs, werkgelegenheid, krediet, rechtshandhaving, etc.

Beperkt-risico AI-systemen

AI-systemen met transparantieverplichtingen. Bijvoorbeeld: chatbots moeten melden dat je met AI praat.

Minimaal-risico AI-systemen

De meeste AI-systemen. Geen specifieke verplichtingen onder de AI Act, maar wel onder ISO 42001 als je gecertificeerd wilt worden.

Afkortingen

Meer lezen

• Eisen van de norm - Alle hoofdstukken uitgelegd
• Annex A beheersmaatregelen - De 38 controls
• EU AI Act - De Europese wetgeving
• Veelgestelde vragen - Antwoorden op praktische vragen