AI Ethische Code van de LEGIER en "SANDIC by LEGIER" Groep

 
 

Inhoudsopgave

 

Opmerking: Als de automatische map leeg is, klik dan met de rechtermuisknop in Word → "Veld bijwerken".

 

 
 
 

1. preambule & toepassingsgebied

Deze Gedragscode beschrijft bindende principes, processen en controles voor de ontwikkeling, inkoop, werking en het gebruik van AI binnen de LEGIER Groep. Hij geldt voor de hele LEGIER Groep voor medewerkers, managers, contractverwerkers, leveranciers en partners.

Het integreert bestaande richtlijnen van de Groep (gegevensbescherming, digitale serviceprocessen, corporate governance, duurzaamheid, mensenrechtenbeleid, verklaring over moderne slavernij) en breidt deze uit met AI-specifieke vereisten.

 

Doel is om voordelen en innovatie mogelijk te maken, risico's beheersbaar te maken en de rechten van gebruikers, klanten en het algemene publiek te beschermen.

 

2. basiswaarden en leidende principes

 

  • Menselijke waardigheid en grondrechten boven economische efficiëntie staan. AI dient mensen - nooit andersom.
  • Wettelijke conformiteit: Naleving van EU AI-wetGDPRDSA en sectorspecifieke normen. Geen gebruik van verboden praktijken.
  • Verantwoordelijkheid en verantwoording: Voor elk AI-systeem wordt een verantwoordelijke eigenaar aangesteld; beslissingen zijn traceerbaar en betwistbaar.
  • Evenredigheid: Evenwicht tussen doel, risico, intensiteit van interventie en sociale impact.
  • Transparantie en uitlegbaarheid: Adequate informatie, documentatie en communicatiekanalen over functionaliteit, gegevenssituaties en beperkingen.
  • Eerlijkheid en inclusie: Systematisch testen op vooroordelen, bescherming van kwetsbare groepen, toegankelijkheid en meertaligheid.
  • Veiligheid en veerkracht: Security-by-design, defence-in-depth, continue hardening en monitoring.
  • Duurzaamheid: Efficiëntie van modellen en datacenters (energie, PUE/CFE), levenscyclus van gegevens/modellen.
 
 

3. bestuur en verantwoordelijkheden (AI Ethics Board, RACI)

 

AI Ethische Raad (AIEB): Interdisciplinair (techniek, juridisch/compliance, gegevensbescherming, beveiliging, redactie/product, mensen). Taken: Beleid bijwerken, goedkeuringen afgeven (vooral risicovol), beslissen over conflicten, rapporten controleren.

Rollen: Use Case-eigenaar, modeleigenaar, databeheerder, DPO, beveiligingsverantwoordelijke, verantwoordelijke redacteur, service-eigenaar, inkoopverantwoordelijke.

Commissies en gateways: AIIA-goedkeuring voor go-live; change advisory board voor materiële wijzigingen; jaarlijkse managementevaluaties.

RACI-principe: Duidelijke toewijzing van verantwoordelijkheid voor elke activiteit (Responsible, Accountable, Consulted, Informed).

 

4. wettelijk en standaardiseringskader (EU AI-wet, GDPR, DSA, auteursrecht, handelsrecht)

 
  • EU-AI-Act: Risicogebaseerd kader met verbodsbepalingen, verplichtingen voor risicovolle systemen, documentatie, registratie, governance, transparantieverplichtingen; gespreide toepassing vanaf 2025/2026.
  • GDPR: Rechtsgrondslagen (art. 6/9), rechten van betrokkenen, privacy by design/default, effectbeoordeling gegevensbescherming (DPIA), doorgifte derde landen (art. 44 e.v.).
  • DSA: Platformprocessen voor meldingen, klachten, transparantierapporten, risicobeoordelingen van grote platforms.
  • Auteursrecht & naburige rechten / persoonlijke rechten: Duidelijke licentieketens, beeld-/naamrechten, domicilierechten van derden.
  • Branchespecifieke vereisten (bijv. luchtvaart/maritieme wetgeving/gezondheid) moeten ook worden nageleefd.
 

5. risicoclassificatie en AI-impactbeoordeling (AIIA)

 
 

Classificatie:

  1. Verboden praktijken (niet toegestaan)
  2. Systemen met hoog risico (strenge verplichtingen)
  3. Beperkt risico (transparantie)
  4. Minimaal risico

AIIA-procedure: Beschrijving Doel/reikwijdte, belanghebbenden, rechtsgrondslag, gegevensbronnen; risicoanalyse (juridisch, ethisch, veiligheid, vooringenomenheid, milieueffect); risicobeperkingsplan; besluit (goedkeuring AIEB).

Herbeoordelingen: Voor materiële wijzigingen, jaarlijks voor hoog risico; documentatie in het centrale register.

 

6. gegevensethiek & gegevensbescherming (rechtsgrondslag, DPIA, cookies, derde land)

 
  • Gegevensminimalisatie & doelbeperking; Bij voorkeur pseudonimisering/anonimisering.
  • Transparantie: Informatie over gegevensbescherming, informatie- en verwijderingskanalen; overdraagbaarheid; bezwaarmogelijkheden.
  • Cookies/Tracking: Toestemmingsbeheer; intrekking; IP-anonimisering; alleen goedgekeurde tools.
  • Overdrachten naar derde landen: Alleen met passende garanties (VCA/toereikendheid); regelmatige tests van de subverwerkers.
  • DPIA: Verplicht voor verwerking met hoog risico; documenteer technische/organisatorische maatregelen (TOM's).
 
 

7. model- en gegevenslevenscyclus (ML-levenscyclus, gegevenskaarten, modelkaarten)

 

Levenscyclus van gegevens: Acquisitie → Curation → Labelling → Quality gates → Versioning → Retention/Deletion.

Levenscyclus van het model: Probleemdefinitie → Architectuurselectie → Training/finetuning → Evaluatie (offline/online) → Vrijgave → Werking → Monitoring → Retraining/pensionering.

Datakaarten: Oorsprong, representativiteit, kwaliteit, bevindingen met betrekking tot vertekeningen, gebruiksbeperkingen.

Modelkaarten: Doel, trainingsgegevens, benchmarks, metriek, beperkingen, verwachte foutpatronen, do's/don'ts.

Herkomst en reproduceerbaarheid: Hashes, gegevens/modelversies, pijplijnverificaties.

 

8. transparantie, uitleg & gebruikersinstructies

 
  • Labelen voor AI-interactie en AI-gegenereerde inhoud.
  • Verklaarbaarheid: Gebruik casusgerichte, lekenvriendelijke uitleg (lokaal/globaal).
  • Gebruiksaanwijzing: Doel, belangrijkste beïnvloedende factoren, grenzen; feedback- en correctiemethoden.
 

9. mens-in-de-lus & toezichthoudende taken

 
  • Menselijk toezicht als standaard voor relevante beslissingen (met name hoge risico's).
  • Vierogenprincipe voor redactioneel/sociaal gevoelige opdrachten.
  • Overschrijven/annuleren van functies; escalatiepaden; documentatie.
 

10. beveiliging, robuustheid & red-teaming (prompt injection, jailbreaks)

 
  • Dreigingsmodellering (STRIDE + AI-specifiek): Prompt injection, training data poisoning, modeldiefstal, lekken van gegevensbescherming.
  • Red teaming & adversarial tests; jailbreakpreventie; rate limiting; outputfiltering; secret scanning.
  • Robuustheid: Fallback-prompts, vangrails, rollback-plannen; canary releases; chaostests voor veiligheid.
 

11. toeleveringsketen, mensenrechten & eerlijke arbeid (moderne slavernij, LkSG-analoog)

 
  • Zorgvuldigheid op het gebied van mensenrechten: Risicoanalyse, gedragscode voor leveranciers, contractuele verplichtingen, audits, corrigerende maatregelen.
  • Moderne slavernij: Jaarlijkse verklaring, bewustmaking, rapportagekanalen.
  • Arbeidsnormen: Eerlijke beloning, werktijden, bescherming van de gezondheid; bescherming van klokkenluiders.
 

12. vooroordelenbeheer, eerlijkheid & inclusie (kwetsbare klanten, toegankelijkheid)

 
  • Vooringenomenheid controleren: Analyses van datasets, balancering, verschillende testgroepen, eerlijkheidsmetriek; gedocumenteerde beperking.
  • Klanten in gevaar: Beschermingsdoelen, alternatieve kanalen, duidelijke taal; geen uitbuiting van cognitieve zwaktes.
  • Toegankelijkheid: WCAG-Conformiteit; meertaligheid; inclusieve benadering.
 

13. generatieve AI, bewijs van oorsprong & labeling (C2PA, watermerk)

 
  • Etikettering: Zichtbare labels/metagegevens voor AI-inhoud; hint voor interacties.
  • Garanties van oorsprong: C2PA-context, handtekeningen/watermerken voor zover technisch mogelijk.
  • Auteursrechten/bescherming van diensten: Licenties verduidelijken; compliance met gegevens trainen; rechtenketen documenteren.
 

14. inhoud, moderatie & DSA-processen (rapportage, klachten, transparantie)

 
  • Rapportagekanalen: Laagdrempelige gebruikersrapportage; verwerking van illegale inhoud met prioriteit.
  • Klachtenprocedures: Transparante rechtvaardiging, bezwaar, escalatie.
  • Transparantieverslagen: Periodieke publicatie van relevante kerncijfers en maatregelen.
 

15. domeinspecifiek gebruik (nieuws, data, gezondheid, luchtvaart, jachten, landgoed, betaal/handel/trust/coin, auto's)

 
  • Nieuws/Publicaties: Hulp bij onderzoek, vertaling, moderatie; duidelijke etikettering van generatieve inhoud.
  • SCANDISCHE GEGEVENS: Veilige AI/HPC-infrastructuur, scheiding van clients, HSM/KMS, observeerbaarheid, compliance-artefacten.
  • Gezondheid: Evidence-based gebruik, menselijke eindbeslissing, geen ongeteste diagnoses.
  • Luchtvaart/Jachten: Veiligheidsprocessen, menselijk toezicht, noodprocedures.
  • Landgoed: Waarderingsmodellen met fairness checks; ESG-integratie.
  • Betalen/verhandelen/vertrouwen/penning: Fraudepreventie, KYC/AML, markttoezicht, verklaarbare beslissingen.
  • Auto's: Persoonlijke services met strikte gegevensbescherming.
 

16. Risicobeheer van derden, inkoop en leveranciers

 
  • Due diligence vóór onboarding: Beveiligings-/gegevensbeschermingsniveau, gegevenslocaties, subverwerkers, certificaten.
  • Contracten: Auditrechten, transparantie- en herstelclausules, SLA/OLA-metriek.
  • Bewaking: Prestatie-KPI's, uitwisseling van bevindingen/incidenten, exitplannen.
 

17. werking, waarneembaarheid, nood- en herstartplannen

 
  • Bediening: Waarneembaarheid (logs, metrics, traces), SLO/SLI-beheer, capaciteitsplanning.
  • Noodgeval: Runbooks, DR-tests, hersteltijden, communicatieplannen.
  • Configuratie/geheim beheer: Minst bevoorrechte, rotaties, verharding.
 

18. incidenten en oplossingen (ethiek, gegevensbescherming, beveiliging)

 
  • Ethische incidenten: Ongewenste discriminatie, desinformatie, onduidelijke herkomst - onmiddellijke maatregelen en herziening door AIEB.
  • Incidenten met gegevensbescherming: Rapportageprocessen aan DPO/toezicht; informatie voor betrokken partijen; analyse van de hoofdoorzaak.
  • Beveiligingsincidenten: CSIRT-procedures, forensisch onderzoek, geleerde lessen, preventieve maatregelen.
 

19. Metriek, KPI's & zekerheid (intern/extern)

 
  • Verplichte KPI's: 100 % AIIA-dekking van productieve AI-gebruiksgevallen; 95 % trainingspercentage; 0 openstaande kritische auditbevindingen.
  • Metriek van eerlijkheid: Ongelijke invloed, gelijke kansen (gebruik casusspecifiek).
  • Duurzaamheid: Energie/PUE/koolstofcijfers van de datacenters; efficiëntie van de modellen.
 

20. training, bewustzijn & culturele verandering

 
  • Verplichte training (jaarlijks): AI-ethiek, gegevensbescherming, veiligheid, media-ethiek; doelgroepspecifieke modules.
  • Bewustwordingscampagnes: Gidsen, brown-bag sessies, spreekuren; interne praktijkgemeenschappen.
  • Cultuur: Leiderschap als rolmodel, foutencultuur, verantwoordelijk gedrag belonen.
 

21. implementatie & stappenplan (0-6 / 6-12 / 12-24 maanden)

 
  • 0-6 maanden: Inventarisatie van AI-gebruiksgevallen; AIIA-proces; minimale controles; trainingsgolf; leveranciersonderzoek.
  • 6-12 maanden: Uitrol red teaming; eerste transparantierapporten; energieprogramma; afronden RACI.
  • 12-24 maanden: ISO/IEC-42001 aanpassing; beperkte zekerheid; continue verbetering; CSRD/ESRS voorbereiding (indien van toepassing).
 

22. rollen & RACI-matrix

 
  • Use Case-eigenaar (A): Doel, voordelen, KPI's, budget, herbeoordelingen.
  • Model-eigenaar (R): Gegevens/Training/Evaluatie, Modelkaart, Driftbewaking.
  • DPO (C/A voor gegevensbescherming): Rechtsgrondslag, DPIA, rechten van betrokkenen.
  • Leidinggevende beveiliging (C): Dreigingsmodellering, red teaming, TOM's.
  • Verantwoordelijke redacteur (C): Media-ethiek, etikettering, correctieregister.
  • Service-eigenaar (R): Operatie, SLO, incidentmanagement.
  • Inkoopleider (R/C): Derden, contracten, exitplannen.
 

23. checklists (AIIA kort, gegevensvrijgave, go-live gate)

 
  • AIIA snelle controle: Doel? Wettelijke basis? Betrokken partijen? Risico's (juridisch/ethisch/veiligheid/vooroordelen/milieu)? Beperking? HIL controles?
  • Vrijgave van gegevens: Bron rechtmatig? Minimalisatie? Bewaren? Toegang? Derde land?
  • Go-Live-Gate: Artefacten compleet (gegevens/modelkaarten, logboeken)? Red Team resultaten aangepakt? Monitoring/DR opgezet?
 

24. formulieren en sjablonen (modelkaart, gegevenskaart, incidentenrapport)

 
  • Model-Card-Template: Doel, gegevens, training, benchmarks, beperkingen, risico's, verantwoordelijke personen, contactpersonen.
  • Gegevenskaart-sjabloon: Oorsprong, licentie, kwaliteit, representativiteit, biascontroles, gebruiksbeperkingen.
  • Sjabloon voor incidentenrapport: Incident, gevolgen, getroffen personen, onmiddellijke maatregelen, onderliggende oorzaak, remedie, geleerde lessen.
 

25 Woordenlijst en referenties

 

Woordenlijst: AI-systeem, generatieve AI, hoogrisicosysteem, AIIA, HIL, C2PA, red teaming, DPIA, RACI, SLO/SLI.

Referenties:

 
 

Opmerking: Deze AI-code is een aanvulling op bestaande LEGIER-richtlijnen, zoals onder andere: (Gegevensbescherming, Digitale diensten, Mensenrechten/toeleveringsketen, Ondernemingsbestuur, Duurzaamheid, Moderne slavernij). Het is een integraal onderdeel van het nalevingsraamwerk van de LEGIER Groep (LEGIER Beteiligungs mbH).