De ICO onderzoekt verschillende benaderingen voor het auditen van AI-systemen. Eén mogelijke methode is het gebruik van geautomatiseerde tools om te beoordelen of het systeem voldoet aan de relevante regelgeving op het gebied van gegevensbescherming en privacy. Deze tools kunnen de gegevensverwerkingsactiviteiten van het AI-systeem analyseren, potentiële risico’s voor persoonsgegevens identificeren en corrigerende maatregelen voorstellen. Deze aanpak kan met name nuttig zijn in gevallen waarin het AI-systeem complex is en grote hoeveelheden persoonlijke gegevens omvat.

Een andere aanpak is het uitvoeren van een handmatige audit van het AI-systeem. Hierbij onderzoekt een menselijke auditor het ontwerp, de implementatie en de operationele processen van het systeem om gegevensbeschermings- en privacyrisico's te identificeren. Handmatige audits zijn vaak grondiger en kunnen problemen aan het licht brengen die geautomatiseerde tools mogelijk niet kunnen detecteren. Ze kunnen echter ook tijdrovender en duurder zijn.

De ICO overweegt ook een combinatie van geautomatiseerde en handmatige auditmethoden, waardoor organisaties kunnen profiteren van de sterke punten van beide benaderingen. Dit kan worden bereikt door geautomatiseerde tools te gebruiken om potentiële gegevensbeschermings- en privacyrisico's te identificeren, gevolgd door handmatige audits om deze risico's verder te valideren en te onderzoeken.

Het werk van de ICO op het gebied van het auditen van AI-systemen bevindt zich nog in de beginfase, en de uiteindelijke aanpak zal waarschijnlijk afhangen van factoren zoals de complexiteit van het AI-systeem, de hoeveelheid verwerkte persoonlijke gegevens en de middelen van de organisatie. Door richtlijnen en best practices te ontwikkelen voor het auditen van AI-systemen wil de ICO organisaties helpen te voldoen aan de wetgeving inzake gegevensbescherming en privacy en tegelijkertijd innovatie en een verantwoord gebruik van AI-technologie bevorderen.