Maand: juli 2024

Het gebruik van data voor Intelligentie , een systeem dat generatieve AI gebruikt om onze ervaringen te verbeteren. Echter hoe kan de privacy behouden worden bij het gebruik van AI-tools, die vaak kunnen leiden tot grotere risico’s voor persoonlijke gegevens. Het gaat om het verwerken van gebruikersgegevens en het vragen om geïnformeerde toestemming. Intelligentie in een breder gesprek over hoe het ware potentieel van persoonlijke AI-agenten kan worden ontsloten.

En hoe we gebruikersgegevens veilig houden bij het gebruik van AI-tools. Indien mogelijk zal de verwerking daarvan gedaan worden op de smartphone zelf worden uitgevoerd in plaats van naar een datacenter te worden gestuurd, waar de kans op een datalek groter is. Voor verzoeken die meer vermogen vereisen, zou een privécloudnetwerk gecreëerd worden voor verwerking buiten smartphone , waar alleen de gebruiker zelf toegang toe tot zou hebben. Een buurt cloud die gegevens in de directe omgeving van de gebruiker verwerkt.

Waarbij verschillende AI-tool kunnen worden ingezet zoals OpenAI, dat complexere verzoeken kan verwerken. Gebruikers moeten echter expliciet toestemming geven voor het gebruik van OpenAI, wat betekent dat ze volledig op de hoogte zijn van wie de antwoorden komen en hoe de gegevens worden verwerkt.

Een opwindende stap voorwaarts in AI voor persoonlijk gebruik en in het garanderen dat AI-tools veilig worden gebruikt. Beperkingen in de manier waarop gegevens momenteel worden opgeslagen, door de meeste systeemhuizen, betekenen echter dat het gebruik geïsoleerd is en beperkt tot een paar veelvoorkomende use cases.

De kracht komt voort uit het gebruik ervan in een persoonlijke context: de tool kan je e-mails en berichten doorneemt en informatie synthetiseert, of zelfs ideeën of content genereert. De gegevens verwerking, is echter beperkt tot de gegevens die op het mobiele apparaat zijn opgeslagen: de AI-agent zou veel krachtiger zijn als deze persoonlijke gegevens uit andere contexten zou kunnen gebruiken, zoals financiële gegevens, medische gegevens of winkelgeschiedenis.

Een mechanisme om extra context te gebruiken om AI-uitvoer te formeren, kan door de query naar een AI-tool als OpenAI te sturen, maar deze tool gebruikt internetkennis die is verzameld door het internet te scrapen en biedt geen manier om geselecteerde persoonlijke gegevens te gebruiken voor extra context. Als gevolg hiervan is de kwaliteit en reikwijdte van de gegevens die worden gebruikt beperkt.

Hoewel een aantal basismechanismen voor toestemming gebruikt worden om OpenAI een verzoek te laten verwerken, kunnen gebruikers alleen in- of uitschrijven voor een dergelijke service: ze kunnen geen gedetailleerde toestemming geven waarin sommige gegevens kunnen worden gebruikt en andere gegevens niet.

De beperkingen in de mogelijkheden van AI-technologie komen niet voort uit de AI-tools zelf, maar uit fundamentele hiaten in de huidige datapraktijken en infrastructuren. Door gegevens te koppelen aan applicaties beperken we onze blik en kunnen we alleen diensten afnemen op basis van de gegevens waarvoor we toestemming hebben gegeven.

In plaats van een AI-agent te creëren die beperkt is tot één tool, en dus beperkt tot een paar diensten, zouden we moeten investeren in interoperabele datawallets. Deze wallets maken het mogelijk om data te hergebruiken op apparaten, applicaties en diensten, en ontsluiten nieuwe waarde voor zowel individuen als organisaties. Met een interoperabele data wallet kan een AI-agent toegang krijgen tot alle data van een gebruiker via een aantal services, en weloverwogen aanbevelingen doen, helpen bij het invullen van formulieren of het delen van vertrouwelijke gegevens met een vertrouwde provider.

De sleutel tot interoperabele data wallets is het standaardiseren van de onderliggende protocollen, datamodellen en interfaces. Solid, een W3C-standaard, kan dit nieuwe dataparadigma mogelijk maken en ondersteunen.

Het Solid-protocol legt al de basis voor interoperabele data wallets en veilig delen van data, en drijft een datamodel aan dat zowel voor organisaties als individuen aantrekkelijk is.

Wat zijn gevoelige persoonlijke gegevens?

De AVG (Algemene Verordening Gegevensbescherming) maakt onderscheid tussen ‘persoonsgegevens’ en ‘gevoelige persoonsgegevens’.

Hoe ze verschillen en wat je moet weten over gevoelige gegevens als deze worden verwerkt.

Wat zijn ‘persoonsgegevens’ onder de AVG?

De Verordening definieert ‘persoonsgegevens’ als:

Alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”).

Met andere woorden: alle informatie die duidelijk over een bepaalde persoon gaat.

Afhankelijk van de omstandigheden kan dit alles omvatten, van iemands naam tot zijn fysieke verschijning.

Eerder hebben we meer uitgelegd over persoonlijke gegevens en het belang ervan.

Wat zijn ‘gevoelige persoonsgegevens’?

In de meest basale definitie zijn gevoelige gegevens een specifieke reeks ‘speciale categorieën’:

Genetische gegevens
Politieke meningen
Ras of etnische afkomst
Gegevens over gezondheid
Lidmaatschap van een vakbond
Religieuze of filosofische overtuigingen
Gegevens over seksleven of seksuele geaardheid
Biometrische gegevens (indien verwerkt om iemand uniek te identificereny)

Wanneer mogen gevoelige gegevens worden verwerkty?

Artikel 9 van de AVG verbiedt de verwerking van bijzondere gegevens, tenzij men zich kan beroepen op een vrijstelling.

Net als bij niet-gevoelige persoonsgegevens, zoals namen en adressen, mogen gevoelige gegevens alleen verwerken als men zich daarvoor kan beroepen op een wettelijke grondslag (op grond van artikel 6):

Toestemming
Publieke taak
Vitale belangen
Wettelijke verplichting
Gerechtvaardigde belangen
Contractuele verplichting

De zes rechtsgrondslagen nader toegelicht.

Voor gevoelige gegevens legt de AVG echter extra regels op: er moet een wettelijke grondslag op grond van artikel 9 zijn en deze moet worden gedocumenteerd.

Wat zijn de wettige grondslagen op grond van artikel 9?

Er mag alleen gevoelige informatie worden verwerkt als een uitzondering genoemd onder artikel 9 van toepassing is.

Hieronder hebben we ze opgesomd, waar mogelijk gegroepeerd op relevantie voor de wettelijke grondslagen van artikel 6.

Toestemming

U heeft uitdrukkelijk toestemming gegeven voor de verwerking.

Publieke taak

De verwerking is noodzakelijk voor een ‘wezenlijk’ publiek belang.
De verwerking is noodzakelijk om taken van algemeen belang op het gebied van de volksgezondheid te voltooien, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of het waarborgen van hoge normen voor de kwaliteit en veiligheid van de gezondheidszorg, of van geneesmiddelen of hulpmiddelen.
De verwerking is noodzakelijk voor archiveringsdoeleinden van algemeen belang, wetenschappelijke of historische onderzoeksdoeleinden of statistische doeleinden.

Vitale belangen

De verwerking is noodzakelijk om de vitale belangen van een individu te beschermen.

Wettelijke verplichting

De verwerking is noodzakelijk om verplichtingen uit te voeren of de rechten van de betrokkene uit te oefenen op het gebied van arbeidsrecht, sociale zekerheid en/of sociale bescherming.
De verwerking is noodzakelijk om juridische claims vast te stellen, uit te oefenen of te verdedigen.
Verwerking is noodzakelijk voor een rechtbank om in haar rechterlijke hoedanigheid te kunnen optreden.

Ander

De betrokkene heeft de gegevens ‘kennelijk’ openbaar gemaakt.
De verwerking maakt deel uit van legitieme activiteiten of een non-profitorganisatie met een politiek, filosofisch, religieus of vakbondsdoel.
De verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, of een medische diagnose.
De verwerking is noodzakelijk om de arbeidsgeschiktheid van een medewerker te beoordelen.
Verwerking is noodzakelijk om gezondheidszorg- of socialezorgsystemen en -diensten te kunnen leveren.

Daar buiten zijn er in de Europese Unie verdere voorwaarden of beperkingen voor de verwerking van gevoelige gegevens – de bovenstaande lijst weerspiegelt alleen de vereisten van de EU AVG.

De NAVO-Bondgenoten zijn overeengekomen een nieuw centrum op te richten om zich beter te kunnen beschermen tegen steeds geavanceerdere cyberdreigingen.

Het NAVO Integrated Cyber ​​Defense Center (NICC) zal de bescherming van NAVO- en bondgenootschappelijke netwerken en het gebruik van cyberspace als operationeel domein verbeteren. Het Centrum zal informeren over mogelijke dreigingen en kwetsbaarheden in cyberspace, inclusief particuliere civiele kritieke infrastructuren die nodig zijn om activiteiten te ondersteunen.

Het Centrum zal civiel en militair personeel uit de hele NAVO-onderneming, de geallieerde landen en deskundigen uit de industrie samenbrengen. Het zal gebruik maken van geavanceerde technologieën om ons situationeel bewustzijn in cyberspace te vergroten en de collectieve veerkracht en defensie te verbeteren.

In overeenstemming met de gedeelde waarden en internationale verplichtingen van de Bondgenoten zal het Centrum een ​​op normen gebaseerde, voorspelbare en veilige benadering van cyberspace bevorderen.

Cyberbedreigingen voor de veiligheid zijn complex, destructief en dwingend, en komen steeds vaker voor. Cyberspace wordt te allen tijde betwist en kwaadaardige cybergebeurtenissen vinden elke dag plaats, van aanvallen op laag niveau tot technologisch geavanceerde aanvallen. Reageren door het vermogen te versterken om kwaadaardige cyberactiviteiten op te sporen, te voorkomen en erop te reageren. Daarbij vertrouwen we op een sterke en veerkrachtige cyberdefensie om de drie kerntaken: afschrikking en verdediging, crisispreventie en -beheersing, en coöperatieve veiligheid. Het moet voorbereid zijn om netwerken en operaties te verdedigen tegen de toenemende verfijning van de cyberdreigingen waarmee het wordt geconfronteerd.

De focus op het gebied van cyberdefensie ligt op het beschermen van netwerken, het opereren in cyberspace, het helpen om veerkracht te vergroten en het bieden van een platform overleg en collectieve actie.

Cyberspace staat voortdurend ter discussie, omdat kwaadaardige actoren steeds vaker proberen landen te destabiliseren door kwaadwillige cyberactiviteiten en -campagnes in te zetten. Potentiële tegenstanders proberen kritieke infrastructuur te degraderen, zich te bemoeien met overheidsdiensten, inlichtingen te verkrijgen, intellectueel eigendom te stelen en activiteiten te belemmeren. Het actief bestrijden van het groeiende aantal substantiële en aanhoudende cyberdreigingen, voor democratische systemen en kritieke infrastructuren.

Hoe DORA de financiële toekomst van ons allemaal versterkt met een nieuwe kijk op operationele veerkracht

Over iets meer dan een half jaar komen we, oog in oog komen te staan ​​met de Digital Operational Resilience Act (DORA). De nieuwste poging om ​​diensten met elkaar te verweven.

DORA streeft ernaar de gefragmenteerde digitale waarborgen te verenigen

Hoe groot en ingewikkeld ook, DORA is een nieuw kader dat is opgesteld om vooral de digitale operationele veerkracht te versterken.

Op 17 januari volgend jaar, moeten we zo in staat zijn te bewijzen en in de praktijk te brengen dat we verstoringen of bedreigingen kunnen voortkomen, weerstaan, erop reageren en ervan te herstellen.

Hoewel de financiële dienstverlening nog steeds een van de sterkst gereguleerde en streng gecontroleerde sectoren ter wereld is, is het misschien ook wel een van de snelst evoluerende. En daarmee moet elke poging om een ​​nieuwe manier van doen te introduceren zeer berekend, breed toepasbaar en grondig doordacht zijn.

Het concept werd met name voor het eerst op de agenda gezet, toen de Europese Commissie het belang benadrukte van een operationeel veerkrachtige financiële sector, evenals de potentiële gevolgen van de besmetting van ICT-gerelateerde verstoringen, cybercriminaliteit en andere digitale gevaren.

Dit werd gevolgd door een oproep van de Europese Bankenautoriteit (EBA) voor een coherente aanpak van ICT-risico’s in de financiële sector, met onder meer een effectief raamwerk voor risicobeheer dat tijdige incidentrapportage en risico’s van derden kan ondersteunen. verzachting.

In september 2020 werd het eerste ontwerp van DORA gepubliceerd, als onderdeel van het bredere pakket voor digitale financiën, voordat het raamwerk in januari 2023 juridisch bindend werd, met een implementatieperiode van twee jaar.

Nu de implementatieperiode langzaam maar zeker ten einde loopt, hebben bedrijven de opdracht gekregen om de basis te leggen voor een reeks maatregelen gericht op het waarborgen van de continuïteit van ICT-systemen, gezonde integraties van derden en een sector zonder fraude.

Voor DORA betekent digitale operationele veerkracht eenvoudigweg “het vermogen van een financiële entiteit om haar operationele integriteit en betrouwbaarheid op te bouwen, te verzekeren en te herzien door, direct of indirect, door gebruik te maken van diensten die worden geleverd door externe ICT-dienstverleners, de het volledige scala aan ICT-gerelateerde capaciteiten die nodig zijn om de veiligheid te garanderen van de netwerk- en informatiesystemen die een financiële entiteit gebruikt, en die de voortdurende levering van financiële diensten en de kwaliteit ervan ondersteunen, ook tijdens verstoringen”.

De implementatie van deze maatregelen is er niet alleen op gericht om het voor financiële toezichthouders gemakkelijker te maken om specifieke zwakke punten in de sector op te sporen, maar ook om de middelen te bieden om risico’s te identificeren die buiten de grenzen van de regelgeving komen, met cloud- en andere technologiedienstverleners worden benadrukt in de focus.

Onder DORA moeten financiële bedrijven “een pakket documenten presenteren waaruit blijkt dat ze klaar zijn om te herstellen van verstoring wanneer deze zich voordoen”.

Risicobeheer komt als de eerste van de drie. Hierin onderstreept DORA de oprichting van een raamwerk voor ICT-risicobeheer, dat “strategieën, beleid, procedures, ICT-protocollen en hulpmiddelen moet omvatten die nodig zijn om alle informatiemiddelen en ICT-middelen naar behoren en adequaat te beschermen”, om de continuïteit van de dienstverlening te garanderen. in geval van schade en/of onbevoegde toegang.

DORA benadrukt dat dit raamwerk “passend moet zijn bij de omvang van de operaties”doormiddel van intensieve trainingsprogramma’s, juridische en regelgevende experts inzet en geavanceerde technologische oplossingen implementeert om effectief aan de wettelijke normen te voldoen.”

Het gaat erom waar data voor worden gebruikt en wat de impact kan zijn van het niet beschikbaar zijn van deze data, communicatie en veerkracht. Dit is een zeer bewuste aanpak van de toezichthouders.

Veerkracht heeft alles te maken met de veronderstelling dat een cyberaanval werkelijkheid zal worden, daar kun je niet omheen. En hoe zeker de cyberbeveiligingsprogramma’s zijn, aanvalsscenario’s zullen vruchten afwerpen.

“DORA is dus eigenlijk gebaseerd op de veronderstelling dat de aanval ooit succesvol zal zijn.”

De belofte van continuïteit van de dienstverlening door middel van reputatievoordelen zou veel groter kunnen zijn dan de implementatiekosten die bedrijven maken bij hun voorbereidingen op DORA.

Deze voordelen, zullen zich niet alleen uitstrekken tot de eindgebruikers, maar ook tot partnerschappen met derden.

Derde partijen zullen minder bereid zijn samen te werken als dit niet serieus wordt genomen en er niet wordt gekeken hoe de risico’s in de toeleveringsketen kunnen worden beheerst.

Er valt ongetwijfeld veel te doen om vóór januari volledige naleving van DORA te bewerkstelligen, en hoewel de voorbereidingen ongetwijfeld van bedrijf tot bedrijf zullen verschillen, zullen ze allemaal op het juiste moment te maken krijgen met dezelfde oproep om de problemen op te lossen. Want nu zijn er geen storingen meer en is veerkrachtig zijn de nieuwe naam van het spel.

Kunstmatige intelligentie (AI) brengt beide risico’s met zich mee, maar biedt ook een unieke kans om impliciete systematische discriminatie te bestrijden.

In het publieke discours over AI en de bijbehorende risico’s van discriminatie wordt vaak over het hoofd gezien dat menselijke beslissingen onbewust gebaseerd kunnen zijn op niet-objectieve criteria.

Als gevolg hiervan komen vormen van impliciete systematische discriminatie voor in de meeste grote organisaties. HR-beslissingen die ‘op instinct’ worden genomen, kunnen bijvoorbeeld gebaseerd zijn op ondoordachte voorkeuren. Onderzoek heeft aangetoond dat we de neiging hebben om meer vaardigheden toe te schrijven aan mensen die we aantrekkelijk vinden. Dit en andere besluitvormingstools kunnen leiden tot vooroordelen die discriminerende resultaten veroorzaken.

Bovendien kunnen irrelevante criteria zoals onze eigen huidige staat van welzijn ook van invloed zijn op onze besluitvorming. Zo kunnen de vonnissen van rechters in strafrechtbanken variëren, afhankelijk van of ze vóór of na de lunch worden uitgesproken. Deze niet-objectieve factoren, bekend als ‘ruis’, dragen bij aan discriminerende resultaten.

Het risico is dat AI-gestuurde automatisering van besluitvormingsprocessen kan leiden tot de proliferatie van dergelijke discriminerende effecten als de AI-systemen worden getraind met gegevens van eerdere menselijke beslissingen. Tegelijkertijd kan dit risico worden gecompenseerd door de enorme kans om menselijke discriminatie in al zijn vormen aanzienlijk te verminderen door middel van een goede kwaliteitscontrole van de trainingsgegevens. In de regel neemt de mate van statistische onjuistheid af (wordt steeds meer “genormaliseerd”) met het volume en het aantal trainingsgevallen.

Om het doel van het verminderen van menselijke discriminatie te bereiken, is het noodzakelijk om de impliciete discriminatie die ten grondslag ligt aan de trainingsgegevens transparant te maken. Hiervoor is vaak het verzamelen van gevoelige gegevens over de betrokkenen vereist, waarvan de gegevens deel uitmaken van de trainingsgegevens. Dit omvat onder andere de religieuze overtuiging of seksuele geaardheid van de betrokkenen.

Het verwerken van gevoelige gegevens met het oog op de bestrijding van discriminatie roept echter juridische zorgen op onder de Algemene Verordening Gegevensbescherming (AVG). Dit komt omdat de AVG nog steeds uitgaat van de veronderstelling dat discriminatie op basis van gevoelige gegevens zoals seksuele geaardheid of etniciteit voorkomen kan worden door in de eerste plaats geen gevoelige gegevens te verzamelen, wat grotendeels een “ik zie geen kleur”-benadering is. We bespreken dit onderwerp uitgebreider in ons artikel.

Met de AI Act heeft de EU-wetgever voor het eerst erkend dat deze veronderstelling onjuist is. De wet staat uitdrukkelijk het gebruik van gevoelige gegevens toe voor zover dit absoluut noodzakelijk is om discriminerende vooroordelen in AI-systemen met een hoog risico tegen te gaan. Deze AI-systemen met een hoog risico omvatten met name AI-systemen die werkgerelateerde beslissingen ondersteunen, bijvoorbeeld door werknemers te evalueren.

De AI Act staat de verwerking van gevoelige gegevens alleen toe onder strikte aanvullende voorwaarden. Deze voorwaarden geven prioriteit aan het beschermen van de belangen van de betrokkenen onder de wetgeving inzake gegevensbescherming.

Meer specifiek moet het gebruik van gevoelige gegevens noodzakelijk zijn voor het detecteren en corrigeren van vooroordelen. Synthetische of geanonimiseerde gegevens zijn hiervoor niet voldoende. Bovendien moeten gevoelige gegevens worden beschermd door de hoogste veiligheidsmaatregelen. Dit omvat strikte toegangscontrole en documentatie van alle toegangen. Bovendien moeten de gevoelige gegevens gepseudonimiseerd worden, zodat de betrokkenen niet direct geïdentificeerd kunnen worden. Tot slot mogen de gevoelige gegevens niet aan derden worden overgedragen en moeten ze worden verwijderd zodra ze niet langer nodig zijn voor het detecteren en corrigeren van vooroordelen. Dit alles moet op de juiste manier worden gedocumenteerd. De AI-wet maakt het gebruik van gevoelige gegevens mogelijk om discriminatie te bestrijden. Deze paradigmaverschuiving is een uiting van een fundamenteel optimisme dat onze maatschappelijke realiteit op een duurzame manier kan worden verbeterd door middel van goed gereguleerde AI. In het bijzonder zal de AI-wet toestaan ​​dat AI-systemen met een hoog risico die worden gebruikt bij werkgerelateerde beslissingen, worden getraind met behulp van gevoelige gegevens binnen de bovengenoemde grenzen om niet-discriminerende beslissingen mogelijk te maken.