Whitepaper
Fase 2: De Convenant Dialoog
De bestuurlijke grondslag voor het sociale contract van AI
Organisaties beginnen het gesprek over kunstmatige intelligentie vaak bij een concrete toepassing. Een afdeling wil een schrijftool invoeren, de klantenservice wil gesprekken laten samenvatten of HR onderzoekt software voor werving en selectie. De eerste vragen gaan dan over functionaliteit, kosten, privacy, informatiebeveiliging en wettelijke vereisten.
Dat zijn noodzakelijke vragen, maar ze komen relatief laat. Op het moment dat een projectteam een toepassing beoordeelt, zijn veel wezenlijke keuzes al impliciet gemaakt. De organisatie heeft vaak al bepaald welke vormen van automatisering zij aantrekkelijk vindt, hoeveel afhankelijkheid van externe leveranciers zij accepteert, welke menselijke taken zij wil vervangen en welke risico’s zij aan medewerkers, klanten of burgers laat toevallen.
Wanneer die uitgangspunten niet expliciet zijn vastgesteld, krijgt ieder project feitelijk zijn eigen ethiek. Het ene team hecht vooral aan efficiëntie, het andere aan privacy en een derde aan menselijke controle. De uitkomst hangt dan niet alleen af van de toepassing, maar ook van de mensen die toevallig aan tafel zitten, de tijdsdruk en de commerciële overtuigingskracht van een leverancier.
De convenantdialoog voorkomt dat het sociale contract met AI uit losse projectbesluiten gaat bestaan. Het is de fase waarin de organisatie bepaalt waarvoor zij AI wil inzetten, welke waarden zij daarbij beschermt, welke grenzen zij stelt en welke verantwoordelijkheid zij zelf blijft dragen. Het resultaat is geen oordeel over één specifieke tool, maar een organisatiebreed kader waarbinnen afzonderlijke toepassingen later worden beoordeeld.
Van briefing naar bestuurlijke keuze
De convenantdialoog volgt op de briefing. In de briefing wordt het terrein in kaart gebracht: welke vormen van AI gebruikt de organisatie al, waar liggen kansen en risico’s, welke partijen zijn betrokken, welke afhankelijkheden bestaan en welke relevante ontwikkelingen zijn er in wetgeving, technologie en maatschappij?
De dialoog heeft een ander karakter. Zij gaat niet primair over wat technisch mogelijk of juridisch toegestaan is, maar over wat de organisatie wenselijk, verantwoord en verdedigbaar vindt. De briefing levert de feiten en onzekerheden; de convenantdialoog geeft daar bestuurlijke betekenis aan.
Die volgorde sluit aan bij de ontwikkeling van internationale kaders voor beleid en toezicht rond AI. De OECD publiceerde in 2026 specifieke due-diligencerichtlijnen voor organisaties die AI ontwikkelen of gebruiken. Daarin begint verantwoord handelen met het verankeren van uitgangspunten in beleid en managementsystemen. Vervolgens moeten organisaties mogelijke gevolgen identificeren, schade voorkomen of beperken, de werking van maatregelen volgen, daarover communiceren en waar nodig herstel bieden. Ook NIST en ISO behandelen AI-risicoduidingsing als een organisatiebreed en doorlopend managementvraagstuk, niet als een eenmalige technische controle. (OECD)
Ook de Europese AI-verordening verdeelt verantwoordelijkheden over verschillende partijen in de keten. Een organisatie die een systeem gebruikt, kan zich niet volledig achter de leverancier verschuilen. Bij bepaalde hoog-risicosystemen blijven gebruikersorganisaties onder meer verantwoordelijk voor menselijk toezicht en monitoring, terwijl aanbieders verantwoordelijkheden houden voor het systeem en het toezicht na marktintroductie. (Digitale Strategie Europa)
De convenantdialoog bevindt zich daarom tussen strategie en uitvoering. Zij vertaalt de missie en maatschappelijke positie van de organisatie naar blijvende uitgangspunten voor het gebruik van AI. Projecten passen die uitgangspunten vervolgens toe, maar stellen ze niet telkens opnieuw vast.
Een convenant is geen verzameling algemene waarden
Veel organisaties beschikken al over kernwaarden, gedragscodes of principes voor verantwoord ondernemen. Begrippen als mensgerichtheid, transparantie, inclusiviteit en veiligheid zijn daarin doorgaans terug te vinden. Het probleem is zelden dat waarden geheel ontbreken. Het probleem is dat zij weinig richting geven wanneer zij met elkaar botsen.
Een AI-systeem kan bijvoorbeeld de dienstverlening sneller maken en tegelijkertijd de ruimte voor professionele afweging verkleinen. Meer transparantie kan op gespannen voet staan met bedrijfsvertrouwelijkheid. Een zeer nauwkeurig systeem kan afhankelijkheid creëren van een leverancier die onvoldoende inzicht geeft in zijn model, aandeelhouders of dataketen. Een toepassing kan juridisch geoorloofd zijn, maar toch niet passen bij de maatschappelijke rol van de organisatie.
Een convenant moet zulke spanningen niet verhullen. Het moet duidelijk maken welke waarden in kritieke situaties voorrang krijgen, welke afwegingen aanvaardbaar zijn en waar de organisatie een grens trekt.
In deze benadering is het convenant een bestuurlijke belofte. Het bevat niet alleen beginselen, maar ook grenzen, verantwoordelijkheden en voorwaarden voor handelen. Het geeft medewerkers, bestuurders, leveranciers en betrokken buitenstaanders een basis om besluiten te begrijpen, te toetsen en zo nodig ter discussie te stellen.
De dialoog die eraan voorafgaat is daarom geen sessie waarin deelnemers zo snel mogelijk overeenstemming zoeken. Goede dialoog maakt verschillen zichtbaar. Zij onderzoekt waarom mensen een risico anders wegen, welke belangen onvoldoende vertegenwoordigd zijn en welke onzekerheden niet kunnen worden opgelost met meer technische informatie.
De OECD benadrukt dat betekenisvolle betrokkenheid van belanghebbenden tweezijdig, tijdig en doorlopend moet zijn. Mensen die mogelijk door AI worden geraakt, moeten niet pas worden geïnformeerd nadat belangrijke beslissingen zijn genomen. Hun ervaringen en belangen moeten kunnen doorwerken in de keuze zelf. (OECD)
De zeven vragen van de convenantdialoog
De volgende zeven vragen vormen de kern van de dialoog. Zij zijn geen technische checklist. Samen dwingen zij de organisatie om zich uit te spreken over bedoeling, macht, verantwoordelijkheid en toetsbaarheid.
1. Welke menselijke en maatschappelijke waarden wil onze organisatie met AI dienen?
De eerste vraag gaat niet over de mogelijkheden van AI, maar over het doel van de organisatie. Welke menselijke, professionele of maatschappelijke waarde moet door het gebruik van AI worden versterkt? Gaat het om betere toegang tot dienstverlening, ondersteuning van vakmanschap, vermindering van administratieve belasting, veiligheid, kennisontwikkeling of een andere publieke of commerciële waarde?
Het antwoord moet specifieker zijn dan de constatering dat AI efficiëntie of innovatie moet opleveren. Efficiëntie zegt nog niet voor wie de organisatie beter gaat functioneren. Een proces kan sneller worden voor de organisatie en tegelijkertijd ingewikkelder of afstandelijker voor de klant. Een medewerker kan productiever worden, maar minder autonomie en ontwikkelingsruimte ervaren.
Internationale AI-principes plaatsen menselijke waardigheid, mensenrechten, autonomie, privacy, inclusiviteit, duurzaamheid en democratische waarden centraal. Dat biedt een normatieve basis, maar iedere organisatie moet deze begrippen verbinden aan haar eigen missie, belanghebbenden en verantwoordelijkheden. (OECD)
De vraag is uiteindelijk welke vorm van vooruitgang de organisatie nastreeft en welke uitkomsten zij niet als vooruitgang zal beschouwen, zelfs wanneer de financiële of operationele cijfers verbeteren.
2. Welke menselijke verantwoordelijkheid, autonomie en zeggenschap willen wij principieel behouden?
De tweede vraag bepaalt welke rol mensen houden wanneer AI een taak ondersteunt of overneemt. Daarbij is het onvoldoende om vast te leggen dat er altijd een mens “in de lus” blijft. Menselijk toezicht heeft alleen betekenis wanneer die persoon begrijpt wat het systeem doet, toegang heeft tot relevante informatie, voldoende tijd krijgt om een oordeel te vormen en de feitelijke bevoegdheid heeft om van het systeem af te wijken.
De organisatie moet daarom bepalen welke beslissingen nooit uitsluitend op een AI-uitkomst mogen berusten. Zij moet ook vaststellen wie verantwoordelijk blijft voor de kwaliteit en gevolgen van een besluit. Een medewerker die geacht wordt een geautomatiseerde aanbeveling te controleren, maar daar in de praktijk geen tijd, kennis of mandaat voor heeft, vormt geen werkelijke waarborg.
De AI-verordening verlangt van aanbieders en gebruikersorganisaties dat zij zorgen voor een passend niveau van AI-geletterdheid bij medewerkers en anderen die namens hen met AI-systemen werken. Daarbij moeten onder meer de kennis van betrokkenen, het gebruiksdoel, de context en de mogelijke gevolgen voor getroffen personen worden meegewogen. (Digitale Strategie Europa)
Deze convenantvraag gaat verder dan opleiding. Zij gaat over de plaats van professioneel oordeel in de organisatie. Welke expertise mag niet worden uitgehold? Wanneer moet iemand kunnen ingrijpen? Wie kan een toepassing stilleggen? En hoe voorkomt de organisatie dat menselijke verantwoordelijkheid slechts formeel blijft bestaan terwijl de feitelijke beslissingsmacht naar het systeem of de leverancier verschuift?
3. Welke toepassingen en handelwijzen sluiten wij uit, ook wanneer zij juridisch toegestaan of bedrijfseconomisch aantrekkelijk zijn?
Een organisatie die alleen vastlegt wat zij nastreeft, laat veel ruimte voor toepassingen die weliswaar voordelen bieden, maar niet passen bij haar waarden. Een convenant heeft daarom ook grenzen nodig.
Die grenzen kunnen betrekking hebben op gebruiksdoelen, gegevens, methoden en gevolgen. Een organisatie kan bijvoorbeeld besluiten geen AI te gebruiken voor heimelijke gedragsbeïnvloeding, voor ongerechtvaardigde profilering, voor beslissingen met ernstige gevolgen zonder reële menselijke beoordeling of voor intensieve monitoring die de professionele autonomie onevenredig aantast.
Niet iedere grens hoeft absoluut te zijn. Sommige toepassingen kunnen alleen onder bijzondere voorwaarden worden toegestaan, bijvoorbeeld na een onafhankelijke beoordeling, een expliciet bestuursbesluit of aantoonbare betrokkenheid van getroffen groepen. Andere grenzen moeten juist geen uitzonderingsprocedure krijgen, omdat een uitzondering de betekenis van het convenant zou ondermijnen.
De waarde van deze vraag ligt in het feit dat zij de organisatie verplicht om vooraf positie te kiezen. Zonder vooraf bepaalde grenzen wordt iedere omstreden toepassing afzonderlijk verdedigd met de voordelen van dat moment. Commerciële druk, urgentie of investeringen die al zijn gedaan, krijgen dan gemakkelijk meer gewicht dan de oorspronkelijke uitgangspunten.
4. Voor wie creëren wij waarde, wie kan nadeel ondervinden en wiens perspectief ontbreekt?
AI creëert zelden voor iedereen dezelfde voordelen en risico’s. De organisatie kan tijd of kosten besparen, terwijl medewerkers extra controlewerk krijgen. De gemiddelde kwaliteit van een dienst kan verbeteren, terwijl een kleinere groep structureel slechter wordt bediend. Een systeem kan gebruiksvriendelijk zijn voor de directe gebruiker, maar negatieve gevolgen hebben voor mensen wier gegevens voor training of beoordeling worden gebruikt.
De dialoog moet daarom verder kijken dan de formele opdrachtgever en eindgebruiker. Tot de betrokkenen kunnen ook medewerkers, sollicitanten, klanten, burgers, zelfstandigen, ketenpartners, makers van trainingsmateriaal, datalabelaars en lokale gemeenschappen behoren. De OECD wijst erop dat gevolgen zich in verschillende delen van de AI-keten kunnen voordoen: bij de verzameling van gegevens, het verrijken en labelen daarvan, de ontwikkeling van modellen, het gebruik op de werkvloer en de toepassing in dienstverlening of besluitvorming. (OECD)
Deze vraag vraagt niet om een abstracte opsomming van stakeholders, maar om een verdelingsoverzicht. Wie ontvangt de opbrengsten? Wie draagt de onzekerheid? Wie kan bezwaar maken? Wie kan zich aan het systeem onttrekken? En wie heeft nauwelijks invloed op een besluit dat wel gevolgen voor hem of haar heeft?
Betekenisvolle betrokkenheid betekent bovendien niet dat iedere stem automatisch hetzelfde gewicht krijgt. De ervaringen van mensen die rechtstreeks schade kunnen ondervinden, verdienen een andere positie dan de algemene voorkeur van een gebruiker die vooral gemak zoekt. De dialoog moet die verschillen expliciet maken.
5. Van wie is de technologie, onder welke jurisdictie valt zij, welke belangen sturen haar ontwikkeling en welke afhankelijkheden gaan wij ermee aan?
Deze vraag behoort uitdrukkelijk tot de convenantdialoog. De kwaliteit van een AI-tool wordt niet alleen bepaald door de functies die in een demonstratie zichtbaar zijn. Ook de eigendomsstructuur, financiering, rechtsmacht, technische keten en het verdienmodel bepalen welke risico’s een organisatie aanvaardt.
Het land van herkomst is daarbij relevant, maar mag niet als eenvoudig kwaliteits- of betrouwbaarheidslabel worden gebruikt. De juiste vraag is niet of technologie uit een bepaald land per definitie goed of slecht is. De vraag is welk recht van toepassing is, waar de feitelijke controle ligt, welke toezichthouders bevoegd zijn, welke mogelijkheden overheden hebben om toegang tot gegevens te verlangen en welke rechtsbescherming beschikbaar is.
Bij internationale gegevensverwerking is deze juridische context rechtstreeks van belang. De AVG stelt specifieke voorwaarden aan doorgifte van persoonsgegevens buiten de Europese Economische Ruimte. Organisaties moeten onder meer rekening houden met het beschermingsniveau, het recht van het ontvangende land, beschikbare waarborgen en effectieve rechtsmiddelen. (Europese Gegevensbeschermingsautoriteit)
Ook de founder en aandeelhouders kunnen relevant zijn, maar niet als onderwerp van een persoonlijke of politieke karakterbeoordeling. Hun relevantie ligt in zeggenschap en prikkels. Heeft een oprichter bijzondere stemrechten of blijvende invloed op de koers? Is het eigendom sterk geconcentreerd? Welke investeerders kunnen druk uitoefenen op groei, gegevensgebruik, marktpositie of risicobereidheid? Zijn er moedermaatschappijen, staatsbelangen of financiële afhankelijkheden die de continuïteit of strategische richting kunnen beïnvloeden?
De G20/OECD-principes beschrijven ondernemingsbestuur als het geheel van relaties tussen management, bestuur, aandeelhouders en andere belanghebbenden, waarbinnen doelstellingen worden vastgesteld en prestaties worden bewaakt. Daaruit volgt dat materiële eigendoms- en zeggenschapsverhoudingen legitieme onderdelen zijn van de beoordeling van een strategische AI-leverancier. (OECD Juridische Instrumenten)
Daarnaast moet de organisatie de technische herkomst onderzoeken. Veel AI-tools bestaan uit verschillende lagen: een gebruikersinterface, een extern basismodel, cloudinfrastructuur, databronnen, beveiligingscomponenten en onderaannemers. Een leverancier met een Nederlandse vestiging kan volledig afhankelijk zijn van een model en infrastructuur uit andere rechtsgebieden. Omgekeerd kan een buitenlandse leverancier gegevens lokaal verwerken en sterke contractuele, technische en organisatorische waarborgen bieden. De vestigingsplaats van de verkoper vertelt daarom maar een deel van het verhaal.
De AI-keten is ook een beveiligingsketen. ENISA benadrukt dat betrouwbare AI vraagt om aandacht voor alle onderdelen van de toeleveringsketen en voor de verschillende fasen van de levenscyclus. Een zwakke of ondoorzichtige afhankelijkheid bij een modelaanbieder, cloudprovider, databron of softwarecomponent kan doorwerken in de veiligheid van het gehele systeem. (ENISA)
Een adequate herkomstbeoordeling omvat daarom ten minste de contracterende rechtspersoon, de moedermaatschappij en uiteindelijke zeggenschap, de rol van oprichters en belangrijke aandeelhouders, toepasselijke rechtsgebieden, locaties en doorgiften van gegevens, gebruikte modellen en cloudleveranciers, relevante onderaannemers, licentievoorwaarden, het verdienmodel, de omgang met ingevoerde gegevens en de mogelijkheden om gegevens, configuraties en werkprocessen naar een andere aanbieder over te brengen.
Die laatste mogelijkheid is wezenlijk. Afhankelijkheid wordt riskant wanneer een organisatie een systeem niet meer tegen redelijke kosten kan vervangen, gegevens niet kan exporteren of kritieke processen niet kan voortzetten zonder de medewerking van één leverancier. De Europese Data Act bevat mede daarom regels die het overstappen tussen aanbieders van dataverwerkingsdiensten en de interoperabiliteit moeten bevorderen. (Digitale Strategie Europa)
De diepgang van deze beoordeling moet evenredig zijn aan het risico. Voor een niet-kritieke hulpmiddel zonder gevoelige gegevens is geen onderzoek van dezelfde omvang nodig als voor een systeem dat personeelsbesluiten ondersteunt, toegang tot publieke dienstverlening beïnvloedt of onderdeel wordt van de kerninfrastructuur. Maar ook bij een lichte beoordeling moet duidelijk zijn met wie de organisatie zakendoet en van welke partijen zij feitelijk afhankelijk wordt.
De vraag naar herkomst gaat daarmee niet over nationaliteit, maar over macht, controle, rechtsbescherming, continuïteit en handelingsvrijheid.
6. Hoe organiseren wij transparantie, toezicht, verantwoordelijkheid, tegenspraak en herstel?
Waarden en grenzen krijgen pas betekenis wanneer duidelijk is wie erop toeziet. De organisatie moet daarom bepalen waar de bestuurlijke verantwoordelijkheid voor AI ligt, wie toepassingen mag goedkeuren, wie periodiek monitort en wie kan ingrijpen wanneer de praktijk afwijkt van het convenant.
Daarbij moet verantwoordelijkheid niet uitsluitend bij een centrale AI-functionaris, privacy officer of technische afdeling worden neergelegd. De verantwoordelijke voor een bedrijfsproces blijft verantwoordelijk voor de inzet van AI binnen dat proces. Inkoop is verantwoordelijk voor passende leveranciersvoorwaarden, IT voor technische beheersing, juridische en compliancefuncties voor hun domeinen en het bestuur voor de keuzes en risico’s die de organisatie als geheel aangaat.
De OECD-richtlijnen adviseren om AI-due-diligence expliciet bij het senior management en het bestuur te beleggen, verantwoordelijkheden over relevante afdelingen te verdelen en informatiestromen tussen operationele teams en bestuur vast te leggen.
Tegenspraak is daarbij een eigen functie binnen het convenant. Medewerkers moeten twijfel kunnen uiten zonder dat zij eerst technisch bewijs van schade hoeven te leveren. Getroffen personen moeten uitleg kunnen krijgen, fouten kunnen laten onderzoeken en een beslissing kunnen aanvechten. Leveranciers moeten incidenten, materiële systeemwijzigingen en veranderingen in de keten tijdig melden. Het bestuur moet niet alleen vragen of een systeem presteert, maar ook of de toepassing nog steeds binnen de bedoeling en grenzen van het convenant valt.
Wanneer het misgaat, moet herstel mogelijk zijn. Dat kan bestaan uit correctie van een besluit, herstel van gegevens, compensatie, aanpassing of beëindiging van een toepassing en ondersteuning van personen die nadeel hebben ondervonden. De OECD rekent het bieden van of meewerken aan herstel expliciet tot de kern van responsible-AI-due-diligence. (OECD)
7. Welke concrete beloften doen wij, hoe maken wij deze toetsbaar en wanneer herzien wij ze?
Een convenant eindigt niet met een waardenverklaring. Het moet uitspraken bevatten waarvan later kan worden vastgesteld of de organisatie ze nakomt.
Een organisatie kan bijvoorbeeld beloven dat bij ingrijpende beslissingen altijd een benoemde menselijke functionaris verantwoordelijk blijft; dat betrokkenen kunnen vernemen wanneer AI een betekenisvolle rol heeft gespeeld; dat kritieke leveranciers alleen worden gebruikt wanneer eigendom, rechtsmacht, datastromen en uitstapmogelijkheden voldoende bekend zijn; en dat incidenten worden onderzocht en waar nodig hersteld.
Iedere belofte heeft een eigenaar, een toepassingsgebied en een vorm van bewijs nodig. Wie rapporteert erover? Welke gegevens worden verzameld? Welke uitzonderingen zijn toegestaan? Wie beoordeelt die uitzonderingen? Hoe kunnen medewerkers en externe betrokkenen een mogelijke schending melden?
De beloften moeten bovendien periodiek worden herzien. Niet omdat fundamentele waarden ieder jaar veranderen, maar omdat technologie, bedrijfsmodellen, wetgeving en eigendomsstructuren wel veranderen. ISO/IEC 42001 behandelt monitoring, evaluatie en voortdurende verbetering daarom als vaste onderdelen van een AI-managementsysteem. De OECD verlangt eveneens dat organisaties de uitvoering en resultaten van hun maatregelen volgen en daarover communiceren. (ISO)
Naast een vaste evaluatiedatum zijn specifieke herbeoordelingstriggers nodig. Een overname van een leverancier, een nieuwe meerderheidsaandeelhouder, een verandering van basismodel, een gewijzigde verwerkingslocatie, nieuwe contractvoorwaarden of een ernstig incident kan aanleiding zijn om een toepassing of leverancier opnieuw aan het convenant te toetsen.
Wie voert de convenantdialoog?
Omdat het convenant de gehele organisatie betreft, kan de dialoog niet uitsluitend door IT, innovatie of juridische zaken worden gevoerd. Bestuur en directie moeten deelnemen omdat de dialoog gaat over de doelstellingen, grenzen en risicobereidheid van de organisatie. Daarnaast zijn vertegenwoordigers nodig van de belangrijkste bedrijfsprocessen, informatiebeveiliging, privacy, compliance, inkoop, HR en medezeggenschap.
Ook uitvoerende professionals moeten een duidelijke positie krijgen. Zij weten waar geautomatiseerde ondersteuning het werk werkelijk kan verbeteren, maar ook waar context verloren gaat, uitzonderingen veel voorkomen of formeel menselijk toezicht in de praktijk onuitvoerbaar is.
Afhankelijk van de maatschappelijke gevolgen moeten daarnaast klanten, burgers, patiënten, leerlingen, leveranciers, zelfstandigen of andere betrokken groepen worden geraadpleegd. Niet iedereen hoeft tijdens iedere bijeenkomst aanwezig te zijn. De dialoog kan worden opgebouwd uit afzonderlijke gesprekken, interviews en gezamenlijke sessies. Belangrijk is dat relevante perspectieven vóór de uiteindelijke besluitvorming beschikbaar zijn en aantoonbaar zijn meegewogen.
De convenantdialoog moet worden gevoed door controleerbare informatie uit de briefing. Daaronder vallen het bestaande AI-landschap, voorgenomen gebruiksgebieden, gegevensstromen, relevante leveranciers en modellen, contractuele en technische afhankelijkheden, bekende incidenten, wettelijke verplichtingen en een eerste overzicht van getroffen groepen.
Vervolgens kan de dialoog in drie bewegingen verlopen. Eerst worden de belangrijkste spanningen en onzekerheden benoemd. Daarna maakt de organisatie keuzes over waarden, menselijke zeggenschap, grenzen en afhankelijkheden. Ten slotte worden die keuzes omgezet in beloften, verantwoordelijkheden, toetsingscriteria en evaluatiemomenten.
De onderbouwing van keuzes moet worden vastgelegd. Dat geldt ook voor relevante verschillen van inzicht en voor onderwerpen waarover nog onvoldoende informatie bestaat. Een convenant wordt niet geloofwaardiger door onzekerheid weg te schrijven. Het wordt geloofwaardiger wanneer duidelijk is welke onzekerheid wordt geaccepteerd, waarom dat verantwoord wordt gevonden en onder welke omstandigheden een besluit opnieuw wordt bekeken.
Sommige informatie over leveranciers, beveiliging of eigendom kan commercieel vertrouwelijk zijn. Dat kan de vorm en openbaarheid van communicatie beperken, maar niet rechtvaardigen dat de organisatie deze informatie intern niet onderzoekt. Ook volgens de OECD moet bij bedrijfsvertrouwelijkheid een redelijke balans worden gezocht: legitieme geheimhouding kan worden gerespecteerd, terwijl organisaties zich nog steeds inspannen om te goeder trouw met belanghebbenden te communiceren.
Wat de convenantdialoog oplevert
Het resultaat van de dialoog is bij voorkeur een compact organisatieconvenant. Dat convenant beschrijft het doel van AI-gebruik, de waarden die de organisatie beschermt, de menselijke verantwoordelijkheden die zij behoudt, de toepassingen en handelwijzen die zij uitsluit, haar criteria voor technologische herkomst en afhankelijkheid, de inrichting van toezicht en herstel en de concrete beloften waarop zij aanspreekbaar wil zijn.
Het convenant hoeft niet ieder technisch detail te bevatten. De uitwerking hoort thuis in onderliggende instrumenten, zoals inkoopvoorwaarden, een leveranciersbeoordeling, een AI-register, impact assessments, informatiebeveiligingsbeleid, opleidingsprogramma’s, incidentprocedures en rapportages aan bestuur en toezicht.
Daar ligt ook het verschil tussen een convenant en een gedragscode die alleen op papier bestaat. Het convenant wordt werkzaam doordat het doorwerkt in budgetten, rollen, contracten, architectuurkeuzes en besluitvormingsprocedures. Wanneer een leverancier onvoldoende informatie geeft over eigendom, modellen of datastromen, moet dat gevolgen kunnen hebben voor de inkoopbeslissing. Wanneer een afdeling geen betekenisvol menselijk toezicht kan organiseren, moet een toepassing kunnen worden aangepast of afgewezen.
Van organisatieconvenant naar afzonderlijke toepassingen
Na vaststelling van het convenant hoeven projecten de fundamentele waarden van de organisatie niet opnieuw te onderhandelen. Zij voeren een toepassingsdialoog: welke convenantprincipes zijn voor deze toepassing relevant, welke bewijzen zijn beschikbaar, waar ontstaan spanningen en welke maatregelen zijn nodig om binnen de afspraken te handelen?
Ook de herkomstvraag krijgt dan een concrete vorm. Voor iedere relevante leverancier of toepassing wordt vastgesteld welke rechtspersoon verantwoordelijk is, welke modellen en infrastructuur worden gebruikt, waar gegevens terechtkomen, wie materiële zeggenschap heeft en hoe de organisatie kan overstappen of stoppen. De intensiteit van het onderzoek wordt afgestemd op de mogelijke gevolgen en de mate van afhankelijkheid.
Een project kan aanleiding geven om het convenant te herzien, bijvoorbeeld omdat een nieuwe vorm van AI een nog niet voorzien dilemma zichtbaar maakt. Maar een projectteam mag een organisatiebreed beginsel niet stilzwijgend buiten werking stellen omdat een toepassing aantrekkelijk, goedkoop of al vergevorderd is. Een afwijking vraagt om dezelfde bestuurlijke legitimiteit als het beginsel waarvan wordt afgeweken.
De convenantdialoog maakt daarmee een einde aan de situatie waarin ieder AI-project een afzonderlijk moreel experiment wordt. De organisatie bepaalt eenmaal, en vervolgens periodiek opnieuw, welke vorm van technologische vooruitgang zij wil dienen, welke menselijke verantwoordelijkheid zij behoudt, welke grenzen zij stelt, van welke partijen zij afhankelijk wil zijn en waarop zij aanspreekbaar is.
Dat is de bestuurlijke functie van het convenant: niet voorspellen welke technologie beschikbaar zal komen, maar vastleggen hoe de organisatie zich wil gedragen wanneer die technologie haar voor nieuwe keuzes stelt.
Delen