Verantwoorde kunstmatige intelligentie (artificial intelligence, AI) kent een aantal verschillende vormen. In deze serie blogartikelen gaan we in op zes belangrijke aspecten van AI in de academische onderzoekswereld. Lees hier meer over onze AI-principes.
Best practices voor dataprivacy en -veiligheid op het gebied van AI
Omdat AI op een veel grotere schaal werkt dan bij eerdere automatisering mogelijk was, heeft het een toenemende impact op de privacy en beveiliging van data. Helaas blijkt uit veel rapporten dat AI het voor kwaadwillenden ook gemakkelijker maakt om kwetsbaarheden in systemen te misbruiken, zoals blijkt uit een inzending van advocatenkantoor Ropes & Gray aan Bloomberg Law. Een artikel van Virginia Tech laat zien hoe AI de snelle verspreiding van desinformatie aanwakkert, en Experian bespreekt hoe oplichters AI inzetten om mensen effectiever te misleiden.
AI wordt echter ook ingezet om deze uitdagingen juist aan te pakken. Samen met de ontwikkeling van AI-gestuurde oplossingen zijn bestaande beveiligingsregels en -standaarden van cruciaal belang bij het voorkomen van inbreuken en het vaststellen van best practices. Omdat het AI-landschap zich snel ontwikkelt, is het voor EBSCO essentieel om op de hoogte te blijven van deze standaarden en de nieuwste AI-toepassingen bij ons werk aan het ontwikkelen en leveren van AI-tools voor de onderzoekswereld.
Wat is het verschil tussen dataprivacy en dataveiligheid?
Bij EBSCO volgen we de definitie van dataprivacy van IAPP:
“The use and governance of personal data—things like putting policies in place to ensure that consumers’ personal information is being collected, shared and used in appropriate ways. Security focuses more on protecting data from malicious attacks and the exploitation of stolen data for profit. While security is necessary for protecting data, it’s not sufficient for addressing privacy.”
Een andere nuttige definitie waar we bij EBSCO vaak naar verwijzen, is die van Gartner:
“The processes and associated tools that protect sensitive information assets, either in transit or at rest.”
De gemene deler in deze definities is het thema van veilig gebruik van persoonsgegevens.
EBSCO maakt gebruik van verschillende privacy- en beveiligingsmaatregelen om de veilige overdracht van gegevens te waarborgen. Enkele voorbeelden:
- Dataminimalisatie: Alleen gegevens verzamelen die nodig zijn om een specifieke waarde of functionaliteit te kunnen bieden, op het moment dat deze nodig zijn.
- Richtlijnen voor productontwikkeling: Dataprivacy als checklist-item voor elke functionaliteit en mogelijkheid die ontwikkeld wordt.
- Consolideren van identiteitsdata in een minimaal aantal bestanden.
Daarnaast implementeert EBSCO verschillende informatiebeveiligingsmaatregelen. Bijvoorbeeld:
- Versleuteling van data bij overdracht en in rust
- Rolgebaseerde toegangscontrole: Gebruik van single-sign-on (SSO) en groepen in active directories om specifieke medewerkers toegang te geven tot alleen de informatie die ze nodig hebben om hun werk uit te kunnen voeren
- Multi-factorauthenticatie
- Auditlogs van toegang tot informatie
- Gebruik van “top-shelf”-technologie wanneer data moeten worden bewaard of overgedragen
EBSCO stelt alles in het werk om informatie veilig te houden. We doen er alles aan om ervoor te zorgen dat persoonlijke data veilig worden opgeslagen en alleen worden gebruikt en geraadpleegd door personen die daartoe bevoegd en opgeleid zijn.
Een duik in beveiligingsmaatregelen
EBSCO focust op best practices voor veilige datapraktijken in medewerkerstrainingen, en we houden ons aan de ISO-certificering en -conformiteit om een veilige omgeving te garanderen voor klantgegevens en de omgang met data. Deze standaarden zorgen ervoor dat EBSCO zicht houdt aan hoge beveiligings- en dataprivacynormen. EBSCO heeft ook een “Least Privileged Access” beleid geïmplementeerd waarbij, volgens CNSSI en NIST, “een systeem de toegangsprivileges van gebruikers (of processen die handelen namens gebruikers) moet beperken tot het minimum dat nodig is om toegewezen taken uit te voeren”.
Least Privileged Access zorgt ervoor dat EBSCO-werknemers alleen toegang hebben tot informatie die nodig is om hun werkzaamheden uit te voeren. Bijvoorbeeld:
- Back-end-diensten en dataopslag
- Adminstratie van klantgegevens
- Financiële en persoonlijke data indien verzameld voor specifieke productfuncties of aankopen
- Authenticatie
- Gepersonaliseerde functionaliteiten
Wat kunnen gebruikers doen?
Naast de bescherming die bedrijven bieden, spelen eindgebruikers een belangrijke rol bij het beveiligen van hun eigen gegevens. Experts zoals de Identity Defined Security Alliance benadrukken het belang van het gebruik van betrouwbare en gezaghebbende gegevens en tools om de beveiliging van data te verbeteren. Een wetenschappelijk open-access-artikel van MDPI laat zien hoe gebruikers hun gegevens actief kunnen beheren door toezicht te houden op de verzamel-, opslag- en gebruiksfasen van de levenscyclus van data. Dit omvat het toepassen van datamonitoring om ongeoorloofd gebruik te voorkomen, en het gebruik van tools die transparantie en controle bieden over hoe persoonlijke gegevens worden verwerkt op verschillende platforms. Het lezen van licentieovereenkomsten en gebruiksvoorwaarden is ook essentieel om te begrijpen hoe er met persoonsgegevens wordt omgegaan.
Diverse noemenswaardige tools en werkwijzen krijgen steeds meer aandacht op dit gebied. De App Tracking Transparency Tool van Apple wordt bijvoorbeeld gezien als een waardevolle bron voor het beheren van gegevenstoegang op mobiele toestellen. Daarnaast stelt SOLID, een initiatief van Tim Berners-Lee, de uitvinder van het World Wide Web, gebruikers in staat om hun eigen data op te slaan en te beheren, en te beslissen wanneer en met wie ze worden gedeeld. Experts benadrukken ook het belang van een goede datahygiëne als een cruciale stap in het verbeteren van de persoonlijke veiligheid. Samen bieden deze maatregelen gebruikers praktische manieren om hun privacy te beschermen, als aanvulling op de beveiligingskaders die door bedrijven zijn ingesteld.
Hoe gaat het verder?
Organisaties zoals NIST, ISO, het Artificial Intelligence Institute, UNESCO, IEEE, NATO en meer beginnen zich te richten op het definiëren en implementeren van richtlijnen, strategieën, beschermende maatregelen, standaarden en regelgeving voor verantwoorde AI. U kunt uw kennis uitbreiden door deel te nemen aan werkgroepen, belangengroepen en lokale actiegroepen. Als u zich daarnaast inzet voor verantwoord gebruik van AI op het gebied van beveiliging en dataprivacy in de toepassingen en producten die uw organisatie gebruikt, helpt u eindgebruikers meer te weten te komen over en beter om te gaan met deze belangrijke onderwerpen.