Hackaton ChatGPT levert een concreet resultaat op!

Eric Schuiling

Op vrijdag 21 juli organiseerden Michael (Blauwtrust Groep) en Eric (Nederlands Compliance Instituut) een HACKATON. Samen met een club enthousiaste mensen werd de vraag verkend welke impact ChatGPT heeft op het compliance vakgebied. Dit vanuit de gedachte dat je maar beter op tijd kunt nadenken over de manier waarop je als organisatie hiermee wilt omgaan. Stoppen of afremmen van een dergelijke grote ontwikkeling is immers gedoemd te mislukken. En het zou geen hackaton zijn geweest als we geen concrete resultaten zouden hebben bereikt. In dit korte verslag een weergave van deze bijzondere ochtend en natuurlijk ook een beschrijving van het concrete resultaat.

Aanpak

Na een korte ontvangst werd de groep hackers ingedeeld in twee subgroepen. De eerste groep verkend met name de impact van ChatGPT op de business, terwijl de tweede groep zich met name bezig hield met de impact op de compliancefunctie zelf. In beide subgroepen werd veel informatie uitgewisseld om uiteindelijk met een concreet antwoord te komen.

Kansen van ChatGPT

Uit de resultaten van beide groepen viel op te maken dat AI in het algemeen en ChatGPT in het bijzonder veel kansen biedt. Het is een tool die voor inspiratie en nieuwe ideeën kan zorgen. Ook het sneller en simpeler kunnen uitvoeren van werk, bijvoorbeeld bij het opstellen, en verwerken van begrijpelijke productinformatie en contracten biedt enorme kansen. Specifiek voor het compliance vakgebied zou ChatGPT bijvoorbeeld een rol kunnen spelen in het beoordelen van productvoorstellen, het inventariseren van risico’s, het opstellen van adviezen, het vertalen van wet- en regelgeving naar beleid, het monitoren en het schrijven van leesbare rapportages. Kortom: het is goed voorstelbaar dat ChatGPT een rol kan spelen bij de ‘hard core compliance’-taken van de compliance officer.

Zorgen om de risico’s van ChatGPT

De betrouwbaarheid van de tool is iets waar de groepen zich beide zorgen over maakten. ChatGPT voedt zich bijvoorbeeld met beperkte informatie, waardoor de vraag op kwam of het voldoende context en nuance kan bieden. Het gevaar is dat gebruikers de uitkomsten van ChatGPT als zijnde de waarheid kunnen aannemen, terwijl vastgesteld is, dat ChatGPT soms ook nog lijkt te ‘hallucineren’ en dingen ziet die er niet zijn. Je denkt bijvoorbeeld dat de tool bronnen kan vermelden die het heeft gebruikt, maar dan blijkt dat deze bronnen gewoon bij elkaar verzonnen zijn. Een deskundige dubbel-check van de resultaten blijft noodzakelijk.

In aanvulling hierop werden ook issues als de bescherming van vertrouwelijke gegevens, privacy en intellectueel eigendom als zorgpunten naar voren gebracht.

Nader bezien levert ChatGPT op basis van een beperkte set aan informatie behoorlijk generieke antwoorden, waarbij de kans bestaat op het negeren van verdedigbare uitzonderingen. De hackers waren het met elkaar eens dat ChatGPT invloed heeft op het vertrouwen tussen mensen onderling. Het beïnvloedt de cultuur en ethisch gedrag. Een voorbeeld hiervan is de beoordeling van andermans resultaten: heeft deze persoon dit zelf opgesteld of heeft hij/zij hiervoor gebruik gemaakt van generatieve AI?

Compliance en ChatGPT

Aangezien compliance zich richt op het vertrouwen van en in de organisatie is deze ontwikkeling dus iets waar je als compliance officer iets mee moet. AI, generatieve AI en dus ook ChatGPT passen als nieuw onderwerp goed onder de compliance-paraplu. Ondanks dat is duidelijk dat een AI-taalmodel als ChatGPT niet geschikt is voor het kunnen lezen van gedrag en cultuur. Het kunnen observeren en interpreteren van menselijk gedrag is iets waar de compliance officer van vlees en bloed waarde kan toevoegen. Het bewaren van overzicht en het stellen van vragen komen hierbij als sterke menselijke kwaliteiten naar voren.

Maar nu concreet

Concreet werd door de hackers de aanbeveling gedaan om 1. de expertise te vergroten ten aanzien van AI en ChatGPT in het bijzonder en 2. als organisatie minimaal een beleid op te stellen waaruit blijkt hoe de organisatie tegen ChatGPT aankijkt en hoe het ermee wenst om te gaan.

In een dergelijk beleidsstuk zouden minimaal de volgende onderdelen naar voren moeten komen:

• De verantwoordelijkheid van de individuele medewerker. Principe: iedereen in de organisatie is niet alleen verantwoordelijk, maar ook aanspreekbaar op zijn/haar persoonlijke resultaten. Ook al maakt iemand dus gebruik van ChatGPT als tool, iemand is persoonlijk aanspreekbaar op de resultaten van zijn/haar werk;
• Voor welke doelen gebruik je de tool en hoe ga je om met gegevens? Afhankelijk van de software leverancier en de contractuele afspraken kunnen bedrijfsgevoelige, privacygevoelige en/of vertrouwelijke gegevens in meer of mindere mate worden verwerkt. Is er geen zakelijke relatie dan mogen deze gegevens niet als input dienen voor ChatGPT of andere software, aangezien niet duidelijk is hoe deze gegevens worden verwerkt;
• Mocht je als organisatie willen aangeven dat ChatGPT niet mag worden gebruikt, is het verstandig ook het gebruik van ‘shadow-IT’[1] aan banden te leggen. Neem bijvoorbeeld concrete maatregelen door bijvoorbeeld URL’s te blokkeren en automatisch door te verwijzen naar een pagina waar je uitlegt waarom de URL niet beschikbaar is.

Het Nederlandse Compliance Instituut neemt beide stappen!

Dit najaar brengt het Nederlands Compliance Instituut een geheel herziene editie uit van het Handboek Compliance Professional. In dit boek besteden we expliciet aandacht aan kunstmatige intelligentie (AI), zodat de deelnemers van onze leergangen hiermee hun kennis kunnen verbreden en verdiepen. Ook heeft met MT recent een eerste standpunt ten aanzien van de inzet van generatieve AI vastgesteld. Dit standpunt is hier te lezen.

Ten slotte

Deze eerste hackaton smaakt zeker naar meer. Als organisatoren zijn Michael en Eric alle deelnemers zeer dankbaar voor het delen van hun kennis en inzichten.

[1] Dit is een term voor alle IT die niet wordt gerekend tot de bedrijfssystemen, wat allerlei ongewenste effecten met zich mee kan brengen zoals beveiligingsissues, tunnelvisie, etc.