In vrijwel elke organisatie die met AI aan de slag gaat, zie je hetzelfde patroon terugkomen: het initiatief loopt niet vast op de techniek, maar op iets anders. Meestal is dat één van drie dingen en het is zelden dezelfde persoon die alle drie kan oplossen.
Indien een organisatie een AI-gedreven oplossing wil gebruiken, komt de vraag vaak bij compliance of legal terecht: mag dit? Het is echter niet altijd eenvoudig om vast te stellen of er sprake is van een AI-systeem en welke compliance-vereisten er van toepassing te zijn. Dat is niet alleen een juridisch risico, het ondermijnt ook het vertrouwen van de mensen over wie wordt besloten.
Een reguliere DPIA vangt dit niet altijd op. Bias, modeldrift en black-box-problematiek vragen om een ander soort risicoanalyse dan een klassieke gegevensbeschermingsbeoordeling. Dit is het domein van CAICO®: leren classificeren onder de AI Act, werken met instrumenten als de Fundamental Rights Impact Assessment en vaststellen welke vorm van menselijk toezicht bij welke situatie past. Niet als theorie, maar als iets dat je toepast op een concreet AI-systeem in je eigen organisatie.
Compliance heeft groen licht gegeven, de techniek werkt en toch komt het project niet volledig van de grond. Dit is misschien wel het meest onderschatte probleem: in de pilot werkt het perfect maar het komt niet tot productie. Vaak ontbreekt een onderbouwd afwegingskader om uit meerdere tools de juiste te kiezen, de keuze valt op de leverancier die toevallig het eerst langskwam of met de meest enthousiaste salesmedewerker. Of de uitrol wordt behandeld als een puur technisch project, terwijl het vooral een veranderopgave is: medewerkers vertrouwen de tool niet, gebruiken hem niet, of gebruiken hem verkeerd, omdat niemand heeft nagedacht over stakeholders, weerstand en communicatie.
En zelfs als de uitrol lukt is het geen garantie voor succes: wie is eigenaar ná livegang? Wie houdt het beleid actueel, monitort de risico's, en rapporteert over de impact? Dit is het domein van CAILI®: van een businessprobleem naar een onderbouwde AI use case, met een selectiekader dat verder gaat dan functionaliteit alleen, en met een concreet plan voor verandermanagement en borging.
Een moderne jurist herkent inmiddels repetitieve processen en wil deze utomatiseren: contractreview, datalek-triage, een eerste screening van een privacybeleid. Met configureerbare tools en vibecoding kunnen juristen inmiddels zelf best het een en ander bouwen. Maar zonder testprotocol en zonder aandacht voor promptinjectie, datalekken via koppelingen of gebruikte open source code is onduidelijk waar de risico’s zitten.
Dit is het domein van CLEA®: zelf een werkende juridische AI-assistent bouwen, instructies schrijven, kennisbestanden inrichten, testen met concrete scenario's. Dit in combinatie met iets meer begrip van de technische en informatiebeveiligingskant. Niet om de IT-afdeling te vervangen, maar om een juridische behoefte direct te kunnen vertalen naar een werkend prototype dat je zelf begrijpt en kunt verdedigen.

Een compliance officer die een AI-systeem foutloos classificeert, heeft daarmee nog geen implementatieplan. Een implementatiemanager die een uitstekend uitrolplan schrijft voor een tool die niet door de juridische toets komt, moet alsnog terug naar de tekentafel. Een jurist die zelf een DPIA-assistent bouwt zonder te weten dat de onderliggende gegevensverwerking al een probleem is, heeft een technisch prima werkend systeem gebouwd dat niet gebruikt zou moeten worden.
De praktijk is dat deze drie problemen in dezelfde organisatie voorkomen, vaak in dezelfde week en soms bij dezelfde persoon. De vraag is dan niet zozeer welk probleem het belangrijkst is, maar welk probleem bij jouw organisatie op dit moment het hardst knelt en of de andere twee daar niet vroeg of laat achteraan komen.
Twijfel je welke rol het beste bij jouw organisatie past? Laat het ons weten! We helpen je graag op weg.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.