Het van kracht worden van de Europese AI-Act in augustus 2024. De enorme versnelling die AI doormaakt. En het feit dat AI meer en meer wordt toegepast in de dagelijkse werkzaamheden, ook bij verzekeraars, maakt van het Ethisch kader Datagedreven toepassingen een ‘levend document’.
Daar was het Verbond zich terdege van bewust bij de introductie van deze kerncode klantbelang in de zelfregulering nu bijna vijf jaar geleden. Toen zijn de ‘zeven Vereisten voor Trustworthy AI’ van de EU AI-expertgroep vertaald in 30 normen voor de Nederlandse verzekeringssector. Meteen bij de start van haar presentatie benadrukt Ghita Jaques, kwaliteitsmanager bij Achmea, “dat het nu extra van belang is dat we het solidariteitsprincipe blijven bewaken, juist omdat er zoveel in rap tempo verandert.” Jaques was te gast bij een bijeenkomst van de Stichting toetsing verzekeraars (Stv) over de nieuwe toetsronde van het geactualiseerde Ethisch kader die medio dit jaar van start gaat.
Met data en slimme technologie zijn verzekeraars steeds beter in staat klantprofielen op te bouwen en risico’s in te schatten. Om zo verzekeringsoplossingen te ontwikkelen en preventieve maatregelen aan te bieden aan hun klanten. “Maar deze ontwikkeling houdt ook een risico in,” meent Jaques. “Want kunnen klanten met grote(re) risico’s nog wel een verzekering afsluiten? En tegen welke kosten? Ook in een gedigitaliseerde wereld blijft het delen van risico’s, en zoveel mogelijk klanten helpen betaalbare risico’s financieel af te dekken, het solidaire basisprincipe voor ons als verbondsleden.”
"Want kunnen klanten met grote(re) risico’s nog wel een verzekering afsluiten? En tegen welke kosten?"
Maar hoe beschermen wij via het kader de fundamentele rechten van het individu bij de inzet van datagedreven toepassingen? Die vraag beantwoordt de Stv die medio dit jaar het kader opnieuw toetst op drie hoofdthema's: het beleid, de borging van het kader en de praktijk. Het gaat daarbij dus niet alleen om ethisch verantwoord handelen bij de inzet van datagedreven toepassingen. “Maar ook bijvoorbeeld om de beveiliging ervan en of je de datagovernance op orde hebt. Dus hoe je het databeleid hebt ingericht om ervoor te zorgen dat je gegevens nauwkeurig beheert én correct verwerkt terwijl je ze invoert, opslaat en verwerkt.”
Jaques blikt terug op 2023 toen het kader, na twee jaar implementatie, voor de eerste keer werd getoetst door de Stv. “Toen bleek dat redelijk wat verzekeraars toch wel moeite hadden met de uitvoering van het kader. Daarnaast hebben veel verzekeraars een vrijstelling aangevraagd. Zij gaven aan geen datagedreven toepassingen te gebruiken die onder de scope van het Ethisch Kader Datagedreven toepassingen vallen.
Maar de technologische ontwikkelingen gaan (zeer) snel. Ondertussen heeft ChatGPT zijn intrede gedaan en is de Europese AI-act van kracht. De verzekeringssector zet vol in op digitalisering van de kernactiviteiten. De basis voor de aankomende toetsing is de nieuwe versie van het kader dat op 1 januari 2025 is ingegaan. Het kader is op verschillende onderdelen aangepast. “Zo zijn in de scope van het kader de AI-toepassingen, die vallen onder de EU AI-act- definitie, apart opgenomen. Die AI-systemen vielen al onder de scope van het kader als een van de categorieën ‘datagedreven toepassingen’. De scope van het kader is nu dan ook breder dan alleen die AI-systemen”, benadrukt Jaques.
Naast een uitbreiding en verheldering van de scope zijn er drie normen samengevoegd in één norm. “De drie opleidingsnormen (14/17/ 27) zijn samengevoegd in norm 14. Het kader gaat daarmee van 30 naar 28 te toetsen normen. We zijn ook door de tekst gelopen en hebben goed gekeken naar de woordkeuzes.”
Aan de hand van de Achmea-aanpak en voorbeelden geeft Jaques een uitleg hoe je als verzekeraar de normen praktisch kan vertalen naar de werkvloer. Ze staat uitgebreid stil bij norm 1: ‘De datatoepassing moet voldoen aan het kader voordat het in gebruik wordt genomen,’ “omdat deze norm de basis is waarbij je beoordeelt of de datagedreven toepassing binnen de scope van het kader valt en aan alle normen voldoet.”
Veel normen sluiten aan bij al bestaande wet- en regelgeving waar verzekeraars aan moeten voldoen. Die zijn vaak ook al in de werkprocessen van de organisatie opgenomen. Zoals de Privacy Impact Analyse (PIA), de klachtenbehandeling, data governance, de AVG, zorgplicht en ook de Product Approval Review procedure (PARP). Hierdoor voldoe je al aan redelijk wat normen,” geeft Jaques aan. “Kijk daarom voor de uitvoer van de normen naar wat je al doet, waar je in bestaande werkprocessen nog iets moet aanpassen en waar je niet aan voldoet en iets nieuws moet introduceren.” Jaques tipt de aanwezigen om bij deze exercitie ook meteen de AI-act mee te nemen. “Dan heb je een totaal overzicht en weet je welke beheersmaatregelen je moet inzetten en uitvoeren. Voor nieuwe en bestaande verzekeringsproducten is de PARP met een ingevulde Kernpuntennotitie (KPN) verplicht. Die kun je inzetten voor normen als 2,17, 20, 21, 22, 24, 25, 26, 27. We hebben bij Achmea zowel in het sjabloon voor de PIA en de KPN opgenomen dat je aan het kader moet voldoen,” legt Jaques uit.
“Zorg er ook voor dat je alle toepassingen op een centrale plek binnen de organisatie registreert (norm 23 en verplicht in de AI-act). Als je een overzichtelijk aantal toepassingen hebt kan dat ook gewoon in een Excel sheet,” legt ze uit. “Het gaat erom dat je transparant bent, dat je uitlegt waar je mee bezig bent en welke keuzes je daarbij als verzekeraar maakt. Maar ook dat iemand weet dat ze met een datagedreven toepassing te maken hebben zoals een chatbot (norm 2).” Daarom stellen de chatbots van de Achmea-merken zich altijd aan klanten voor als chatbot. “Een ander belangrijk element is dat klanten altijd een klacht kunnen indienen als ze het niet eens zijn met een beoordeling (norm 28). En je hebt als klant altijd recht op een menselijke beoordeling (norm 18)."
De praktische vertaling van de normen naar Achmea-beleid en werkprocessen is vastgelegd in het Achmea handboek voor dit kader. Samen met de hulpmiddelen voor het uitvoeren ervan is dit handboek op een centrale plek voor alle medewerkers beschikbaar.
"Het gaat erom dat je transparant bent, dat je uitlegt waar je mee bezig bent en welke keuzes je daarbij als verzekeraar maakt"
De Stichting toetsing verzekeraars was voor deze bijeenkomst te gast bij De Goudse die vorig jaar 100 jaar bestond. Meer weten? Lees het portret met Geert Bouwmeester, bestuursvoorzitter bij De Goudse, het familiebedrijf dat in 1924 door zijn opa is opgericht.
De grootste uitdaging is volgens Jaques, hoe je de ethische afwegingen bij de inzet van datagedreven toepassingen in het werkproces vastlegt. “Veel verzekeraars gebruiken het kunnen, mogen en willen-principe. Wat mogen we op basis van de regel- en wetgeving? Maar wat willen wij zelf wel of niet?” Achmea heeft als hulpmiddel het zogeheten Ethisch Wiel geïntroduceerd dat op een speciale ethiek-website op het intranet wordt gepresenteerd. Het is bedoeld als een hulpmiddel voor collega’s op de werkvloer om ethische vraagstukken te herkennen, te bespreken en er een besluit over te nemen. “Daarnaast kunnen we de keuzes en onderbouwing ook vastleggen voor later gebruik en om van te leren.”
Op die ethiek-website kunnen alle Achmea-medewerkers ook de informatie en spelregels over het Ethisch Wiel vinden. “Een van die ‘spelregels’ is bijvoorbeeld dat de samenstelling van de gespreksgroep divers moet zijn”, legt Jaques uit. “Zorg ervoor dat er ook kritische collega’s tussen zitten die tegengas kunnen geven. Je neemt aan de hand van een aantal hulpvragen nog een keer goed de ethische afwegingen door. Waarbij je extra acties kan afspreken, zoals advies vragen aan een klantpanel of bij de Achmea Ethiekcommissie. Of afspreken om de klantfeedback in de gaten te houden op specifieke onderwerpen.” Iemand uit de zaal vraagt zich af of je het gebruik van zo’n wiel kan afdwingen? Jaques geeft aan dat het wiel-gesprek is ingebed in de werkprocessen. En dat het Ethisch wiel daarnaast verplicht is bij datagedreven toepassingen met een risicoclassificatie ‘hoog’ en ook is opgenomen in het Achmea PIA- en KPN-sjabloon.
Met name bij AI-toepassingen met een hoog risico uit de AI-act zijn er extra beheersmaatregelen nodig. Het is dus van belang ook te bepalen welke risicoclassificatie van toepassing is. Is er sprake van een onaanvaardbaar risico uit de EU AI-Act? “Stop er dan meteen mee,” waarschuwt Jaques. “Bij een hoog risico uit de AI-act wordt er ook naar je rol in de distributieketen gekeken. Ben je een leverancier of een gebruiksverantwoordelijke? Dat specifieke onderscheid komt niet voor in het kader. Je kunt dan ook met eisen zoals een conformiteitsbeoordeling te maken krijgen.”
"Is er sprake van een onaanvaardbaar risico uit de EU AI-Act? 'Stop er dan meteen mee'"
‘Last but not least’ staat Jaques stil bij de grote vraag wat datagedreven is, ook wat betreft traditionele software. “Bij het bepalen of datagedreven toepassingen onder het kader vallen, kan de door het Verbond ontwikkelde beslisboom helpen. Maar bij twijfel zeg ik altijd: ga er vanuit dat een datagedreven toepassing in de scope van het kader valt. Dan weet je zeker dat je voldoet.”
Ghita Jaques, werkzaam bij Achmea, is specialist wat betreft de uitvoer van de kerncode Ethisch Kader Datagedreven besluitvorming. De dertig normen uit dit kader zijn gebaseerd op de aanbevelingen van de EU Artificial Intelligence- expertgroep. Ze geeft ook trainingen in de ethische afwegingen bij de inzet van data en datagedreven toepassingen.