Who is Responsible? The Data, Models, Users or Regulations? A Comprehensive Survey on Responsible Generative AI for a Sustainable Future

Deze PRISMA-gestuurde survey analyseert 232 studies over verantwoord generatief AI en biedt een uitgebreid raamwerk met criteria, KPI's en beleidsaanbevelingen om evaluatie, governance en duurzame toepassing in diverse sectoren te harmoniseren.

De kern

Stel je voor dat Generatieve AI (zoals ChatGPT of DALL-E) een pasgeboren super-intelligente baby is. Deze baby leert razendsnel, kan prachtige verhalen vertellen, schilderijen maken en zelfs code schrijven. Maar net als bij een baby die net begint te lopen, is er een groot risico: hij kan struikelen, iets verbrijzelen of per ongeluk iets zeggen dat verdrietig maakt.

Deze wetenschappelijke studie, geschreven door een internationaal team onderzoekers, stelt de vraag: "Wie is er verantwoordelijk als deze baby iets verkeerds doet?" Is het de schuld van de data (de voeding), de modellen (de hersenen), de gebruikers (de ouders) of de regels (de wetten)?

Hier is een samenvatting van hun bevindingen, vertaald naar een simpel verhaal met analogieën.

1. Het Grote Probleem: De "Veiligheids-Checklist" is onvolledig

De onderzoekers hebben 232 studies onderzocht. Ze ontdekten dat we momenteel veel te veel kijken naar de smaak van het eten, maar vergeten te kijken of het gif bevat.

• De Analogie: Stel je voor dat je een restaurant opent. Je hebt een strenge controleur die alleen kijkt of het eten er mooi uitziet en of het lekker smaakt (dit noemen ze "bias" en "toxiciteit"). Maar de controleur kijkt niet of er gif in zit ("privacy"), of dat de kok stiekem de recepten van anderen heeft gestolen ("auteursrecht"), of of de keuken in brand kan vliegen als de robot de gaskraan vasthoudt ("systemische fouten").
• De Bevinding: De huidige tests voor AI zijn goed in het vinden van beledigende taal, maar ze zijn heel slecht in het vinden van diefstal van privacy, nepnieuws (deepfakes) of fouten die ontstaan als de AI zelfstandig acties uitvoert (zoals een robot die een bankoverschrijving doet).

2. De Oplossing: Een Nieuwe "Keurmerk" (De Rubric)

De auteurs zeggen: "We kunnen niet zomaar zeggen 'deze AI is veilig'." Ze hebben een nieuwe 10-stappen-keurmerk ontwikkeld (C1 tot C10).

• De Analogie: Stel je voor dat je een auto koopt. Vroeger keek je alleen of hij mooi was. Nu hebben onderzoekers een checklist gemaakt die kijkt naar:
  1. Is hij eerlijk voor iedereen?
  2. Is hij veilig tegen hackers?
  3. Is hij eerlijk in zijn bronnen?
  4. Past hij bij de verkeersregels?
  5. ...en zo verder tot 10.
• Ze hebben gekeken naar de beste AI-tests die er nu zijn en ze een score gegeven. Het resultaat? De meeste tests halen net geen 50%. Ze missen belangrijke veiligheidscontroles, vooral voor privacy en nepbeelden.

3. De "Audit-Lus": Van Theorie naar Praktijk

Hoe zorgen we dat bedrijven dit echt doen? De auteurs stellen een Audit-Lus voor.

• De Analogie: Stel je voor dat een AI een reistocht maakt.
  • De Ontwikkelaars bouwen de auto.
  • De Gebruikers rijden ermee.
  • De Regels zijn de verkeersborden.
  • De Audit-Lus is de zwarte doos in de auto die elke seconde opschrijft: "Ik heb hier een verkeersbord gezien, ik heb hier een bocht genomen, en ik heb hier een foutje gemaakt."
  • Zonder deze zwarte doos (de audit) kunnen we nooit bewijzen wie er schuldig is als er een ongeluk gebeurt. De auteurs zeggen: "We moeten deze zwarte doos verplicht maken, zodat we kunnen zien of de AI zich aan de regels houdt."

4. Wie is er verantwoordelijk? (Het Symmetrisch Model)

De titel van het artikel vraagt: "Wie is er verantwoordelijk?" Het antwoord is: Iedereen, maar op een andere manier.

• De Ontwikkelaars (De Bouwers): Zij moeten zorgen dat de auto veilig is gebouwd (geen losse bouten, goede remmen). Ze moeten de "zwarte doos" installeren.
• De Gebruikers (De Bestuurders): Zij moeten niet blind vertrouwen op de auto. Ze moeten weten dat de auto soms hallucineert (dromen die niet waar zijn) en dat ze zelf verantwoordelijk zijn voor wat ze ermee doen.
• De Regels (De Wetgever): Zij moeten de verkeersborden duidelijk maken en zorgen dat er boetes zijn als iemand te hard rijdt.

De belangrijkste les: Als de bestuurder (de gebruiker) niet weet hoe de auto werkt, kan de beste auto ter wereld toch een ongeluk veroorzaken. Daarom is "digitale geletterdheid" (weten hoe AI werkt) net zo belangrijk als de technologie zelf.

5. Specifieke Risico's in de Wereld

De auteurs kijken ook naar specifieke plekken waar AI wordt gebruikt:

• Zorg: Als een AI een diagnose stelt, mag hij niet "hallucineren" (dromen dat je ziek bent als je gezond bent). Dat is levensgevaarlijk.
• Financiën: Als een AI een lening weigert, mag hij niet discrimineren op basis van je achternaam of wijk.
• Verdediging: Als een AI een wapen bestuurt, moet er altijd een mens de knop kunnen indrukken om te stoppen.
• Kunst: Als een AI een schilderij maakt, wie is dan de eigenaar? De AI? De kunstenaar die de prompt schreef? Of de mensen wiens werk de AI heeft geleerd?

Conclusie: De Weg Vooruit

De boodschap van dit paper is helder: We kunnen niet wachten tot het te laat is.

We moeten stoppen met alleen kijken of de AI "leuke dingen" maakt. We moeten kijken of de AI veilig, eerlijk en transparant is. De onderzoekers roepen op tot:

1. Beter testen: Niet alleen statische tests, maar tests waarbij hackers proberen de AI te omzeilen (rood-teamen).
2. Privacy bewaken: Zorg dat de AI niet stiekem geheime gegevens onthult.
3. Duurzaamheid: AI verbruikt veel stroom; we moeten ook kijken naar de ecologische voetafdruk.

Kortom: AI is een krachtige motor, maar we hebben nu een goede stuurman, een degelijk dashboard en duidelijke verkeersregels nodig om veilig aan te komen.

Technische samenvatting

Probleemstelling

Generatieve AI (GenAI) systemen, waaronder Large Language Models (LLM's), Vision-Language Models (VLM's), diffusiemodellen en opkomende agentische pijplijnen, schakelen snel over van onderzoek naar productie-implementatie. Deze versnelde adoptie heeft echter een kritiek tekort aan verantwoorde ontwikkelingspraktijken blootgelegd.

De kernproblemen zijn:

• Nieuwe Risico's: GenAI introduceert kwalitatief nieuwe uitdagingingen ten opzichte van voorspellende systemen, zoals hallucinaties (factuele onjuistheden), prompt-injectie, data-memorizatie, deepfakes en systeemfouten in tool-gebruikende omgevingen.
• Implementatiekloof: Hoewel 74% van de organisaties GenAI gebruikt, heeft slechts 26% een uitgebreide strategie voor Verantwoordelijke AI (RAI). Er is een grote discrepantie tussen theoretische beleidskaders (zoals de EU AI Act en NIST AI RMF) en praktische engineeringcontroles.
• Evaluatiekloof: Bestaande veiligheidsbenchmarks zijn vaak statisch, lokaal beperkt tot specifieke taken en dekken belangrijke risicogebieden zoals privacy, herkomst (provenance) en systeemfouten in agentische settings onvoldoende. Dit leidt tot "safetywashing", waarbij modellen hoge scores behalen op benchmarks maar in de praktijk falen.

Methodologie

De auteurs hebben een systematische literatuurstudie uitgevoerd volgens de PRISMA-richtlijnen (Preferred Reporting Items for Systematic Reviews and Meta-Analyses).

• Dataverzameling: Er is gezocht in vijf academische databases (Scopus, Web of Science, IEEE Xplore, ACM Digital Library, arXiv) voor publicaties tussen november 2022 en december 2025.
• Selectie: Uit een initiële set van 5.313 records is na screening en toepassing van strikte in- en uitsluitingscriteria (peer-reviewed, technisch onderbouwd, focus op GenAI-risico's) een definitieve set van 232 studies geselecteerd.
• Analyse: De studies zijn geanalyseerd op thema's, risico's, evaluatiemethoden en domeinspecifieke toepassingen. De auteurs hebben een nieuwe taxonomie ontwikkeld om de complexe interacties tussen data, modellen, gebruikers en regelgeving te structureren.

Belangrijkste Bijdragen

Het artikel biedt vier fundamentele bijdragen aan het veld van Verantwoordelijke GenAI:

1. Eerste Geïntegreerde Survey: Het is de eerste studie die beleidsprincipes, technische evaluatie en domein-implementatie verbindt voor alle vier de GenAI-systemen (LLM, VLM, diffusie, agenten).
2. Evaluatie Rubric (C1–C10) en Policy Crosswalk:
   • Ontwikkeling van een tien-criteria rubric om bestaande AI-veiligheidsbenchmarks te scoren op risicodekkingsgebied (o.a. bias, toxiciteit, privacy, deepfakes, systeemfouten).
   • Een beleidskruisverwijzing die benchmarks koppelt aan specifieke regelgevingseisen (bijv. EU AI Act, NIST AI RMF), zodat duidelijk wordt welke benchmarks welk juridisch bewijs kunnen leveren.
3. Levenscyclus KPI's en Testbeds:
   • Definities van 12 meetbare Key Performance Indicators (KPI's) voor de volledige levenscyclus van AI, waaronder datakwaliteit, privacy-compliance, bias-metingen (SPD, DI), robuustheid, uitlegbaarheid en duurzaamheid (energie/CO2).
   • Een catalogus van AI-klaar testbeds en toolkit voor continue evaluatie.
4. Domeinspecifieke Analyse: Een diepgaande analyse van de toepassing van Verantwoordelijke GenAI in zes sectoren: gezondheidszorg, financiën, onderwijs, kunst, landbouw en defensie, met specifieke aandacht voor de unieke risico's en vereisten per sector.

Resultaten en Bevindingen

De analyse van de 232 studies leidt tot drie cruciale bevindingen:

1. Ongelijke Dekking van Risico's: Benchmarks zijn dicht bevolkt voor bias en toxiciteit, maar zeer schaars voor privacy, herkomst (provenance), deepfakes en systeemfouten in agentische omgevingen. Slechts een klein aantal benchmarks (zoals Rainbow Teaming en ALERT) adresseert adaptieve tegenstanders of multi-stap fouten.
2. Statische Evaluatie: De meeste evaluaties zijn statisch en lokaal beperkt, wat de portabiliteit van audits beperkt. Modellen kunnen "leren" om benchmarks te omzeilen (bijv. door afwijzingsscripts te leren) zonder echt veiliger te worden.
3. Inconsistent Documentatie: Gebrek aan gestandaardiseerde documentatie (zoals modelcards en datasheets) maakt het moeilijk om prestaties tussen verschillende releases te vergelijken of bewijs te leveren voor toezichthouders.

Domeinspecifieke inzichten:

• Gezondheidszorg: Hallucinaties in medische adviezen en de noodzaak van menselijke controle (HITL) zijn kritiek.
• Financiën: Risico's van discriminatoire leningverlening en de noodzaak van audit-frequentie die aansluit bij toezichthouders (SEC/OCC).
• Defensie: Het ontbreekt volledig aan benchmarks voor multi-agent systeemfouten en de noodzaak van "betekenisvolle menselijke controle" bij dodelijke kracht.
• Onderwijs & Kunst: Problemen rond auteursrechten, dieptepersoonlijkheidsvervalsing (deepfakes) en het ondermijnen van kritisch denken bij studenten.

Betekenis en Conclusie

De studie concludeert dat de verantwoordelijkheid voor Verantwoordelijke GenAI niet alleen bij ontwikkelaars ligt, maar een symmetrisch verantwoordheidsmodel vereist waarbij gebruikers ook verantwoordelijk zijn voor operationele integriteit en digitale geletterdheid.

De belangrijkste implicaties zijn:

• Van Principes naar Praktijk: Er is een dringende behoefte om regelgevende verplichtingen om te zetten in concrete engineeringcontroles en meetbare KPI's.
• Adaptieve Evaluatie: Het veld moet verschuiven van statische benchmarks naar adaptieve evaluaties met onbekende items, red-teaming en testen onder distributieveranderingen.
• Audit-ready Bewijs: Om vertrouwen en naleving te garanderen, moeten technische resultaten worden verpakt in gestandaardiseerde audit-artefacten (zoals modelcards, red-teaming logs en KPI-dashboards) die direct bruikbaar zijn voor toezichthouders.

Dit artikel biedt een gestructureerd pad om de evaluatie van GenAI af te stemmen op de governance-behoeften voor een veilige, transparante en duurzame implementatie in de maatschappij.