Veel organisaties staan aanstaande 2 augustus voor een uitdagende deadline. De uitrol van de EU AI Act, die op die dag geïmplementeerd wordt, is voor Workday geen probleem meer. Het stelt dat het ISO 42001-certificaat en compliance met een cruciaal NIST-framework voldoende zekerheid bieden. Vandaag onthult Workday tijdens het Innovation-evenement in Dublin de governance-aanpak die klanten van het platform in staat stelt om ook te voldoen aan de AI-wetgeving.
We spreken tijdens Innovation met Chandler Morse, Chief Corporate Affairs Officer bij Workday. Hij legt uit dat Workday al sinds 2019 actief in gesprek is met EU-beleidsmakers over AI-wetgeving. Het is daarom niet verrassend dat juist deze softwarespeler goed voorbereid is op de nieuwe wet. Workday heeft namelijk voortdurend geholpen met het vinden van de juiste balans tussen innovatie en het inperken van risico.
De tijdsdruk voor de EU AI Act is voelbaar, ook voor de wetgever zelf. Het Europees Parlement stemde in maart in met aanpassingen vanwege tijdsdruk voor de implementatie. Het AI-managementsysteem van Workday is al stevig aan de tand gevoeld om te voldoen aan ISO 42001. Het is de eerste wereldwijde standaard voor het beheer van AI zoals we dit anno 2026 kennen. Door hieraan te voldoen, kan Workday legitiem claimen zich aan de richtlijnen in het NIST AI Risk Management Framework te houden.
Werkelijke impact
Buiten het voldoen aan wetgeving wil je dat de geest van die wetten ook leeft in de softwareproducten die compliant moeten zijn. Morse stelt dat Workday probeert om in technische zin de doelen van soevereiniteit te behalen. Dat komt neer op controle en transparantie over de locatie, het beheer en de verwerking van bedrijfsdata.
Human-in-the-loop is de klassieke term voor de inzet van AI met enige vangrails; ook Workday benoemt dit hardop. Denk aan agents die niet zomaar een actie uitvoeren, maar expliciet om goedkeuring vragen. Dat kan nog steeds om geavanceerde acties gaan met meerdere stappen, maar deze kennen standaard binnen Workday deze beperking. Dat betekent overigens niet dat zelfredzaamheid gelijk dient te staan aan isolatie, aldus Morse.
De basis voor deze veilige aanpak, zo stelt Workday bij monde van Chief Legal Officer Rich Sauer, legt het bedrijf al enkele jaren. Sinds 2022 draait Workday een zogeheten “dedicated responsible AI”-programma. De risicobeoordeling is direct gekoppeld aan de Annex III-categorieën van de EU AI Act. In niet-juridische termen zijn dit de stukken uit de wetgeving die hoog-risico AI uitstippelen, met onder meer de eis dat er aantoonbare menselijke inmenging is voor belangrijke beslissingen in softwaresystemen.
Op basis van die regelgeving past Workday een gelaagd controleraamwerk toe. De intensiteit van maatregelen is afgestemd op de potentiële impact van een AI-systeem, die nogal kan verschillen. Maar Morse wijst op iets dat meer overkoepelend is: “Wij geloven dat slimme AI-beschermingsmaatregelen cruciaal zijn om vertrouwen op te bouwen, en we denken dat die niet inconsistent zijn met het aandrijven van innovatie.”
Menselijk toezicht en traceerbaarheid
Workday heeft ook logging en traceerbaarheid versterkt voor audits, incident response en monitoring. Hoewel het hier gaat om het meten van basale IT-acties, worden deze dus steeds meer door AI-agents uitgevoerd.
Maar ook de mensen zelf worden door Workday bijgehouden, en wel in hun AI-gebruik. Zogeheten ‘champions’ zullen onder het medewerkersbestand de weg wijzen voor best practices. Richting klanten zal er tevens een gemeenschappelijk aspect zitten aan het leren omgaan met AI. AI Fact Sheets, meldingen binnen Workday zelf en AI-disclosures moeten transparantie aanjagen zonder weg te deinzen voor AI-gebruik.
Voor medewerkers heeft Workday het EverydayAI-programma uitgerold, inclusief een netwerk van AI champions. Klanten ontvangen AI Fact Sheets, in-product-meldingen en generatieve AI-disclosures. Verdere ontwikkelingen zullen ongetwijfeld volgen. Workday integreerde begin dit jaar de AI-tool Sana, overgenomen voor 1,1 miljard dollar, in vier maanden tijd in zijn platform.
Workday maakt positie duidelijk
Workday pleit voor betere hulp bij de classificatie van hoog-risico AI. Die kant van de EU AI Act staat ook vast, stelt Morse. Het bedrijf wil één consistente handhaving via het EU AI Office, zonder extra overlappende regelgeving. Dat zal een uitdaging blijven voor Brussel, zeker omdat AI eigenlijk over de gehele linie van IT-systemen draait en zal draaien. Denk aan AVG-overwegingen voor de inzet van persoonlijke data door AI-agents of het gebruik van AI om het securityniveau op te hogen en daarmee te voldoen aan cyberwetgeving.
Zelf stelt Workday dat het platform dus ruimschoots gereed is voor AI-wetgeving. De IT-industrie als geheel lijkt dit niet te zijn, of kan dit niet op dezelfde manier bewijzen met een ISO-certificaat. Morse gaat niet helemaal mee in deze voorstelling van zaken. Eerder wijst hij op het feit dat de mate van gereedheid en compliance een concurrerend voordeel is, een van de “zeldzame manieren om je te onderscheiden”.
Je zou kunnen stellen dat softwarespelers inherent niet gereed konden zijn voor de EU AI Act doordat deze zeer veranderlijk is. Toch is Morse positief over de fundamentele aard van de wetgeving, die volgens hem niet zomaar veranderd is. AI-systemen ontwikkelen zich te snel voor een consistente wetgeving die vooral in 2023 werd uitgestippeld, stellen wij. We zijn drie jaar verder, maar Morse is van mening dat de nadruk op risicobeheersing en daarmee de “valuta van vertrouwen” gelijk is gebleven.