GlobalSign Blog

Hoe het groeiende aantal EU-voorschriften bedrijven wereldwijd beïnvloedt

Hoe het groeiende aantal EU-voorschriften bedrijven wereldwijd beïnvloedt

Er zijn meer dan drie jaar verstreken sinds de Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels) van de Europese Commissie van kracht werd en het begin inluidde van Europese privacyregels die ernstige gevolgen hebben voor de manier waarop bedrijven gebruikersgegevens verzamelen. De methoden van Europa om de privacy van gegevens te regelen worden al jaren ingewikkelder, maar de GDPR-regels die de gegevens regelen die bedrijven met informatiesystemen verzamelen, zijn een betrekkelijk nieuw concept.

Er is immers een enorm verschil tussen de VS en de EU als het gaat om de behandeling van persoonsgegevens. De gedragspatronen en koopgewoonten van een online shopper, bijvoorbeeld, zijn in de VS meestal vrij te gebruiken; dat is verre van het geval in de EU, waar verordeningen zoals de GDPR op agressieve wijze archaïsche regels inzake gegevensprivacy bijwerken en een meer geharmoniseerde regelgevingsomgeving in Europa creëren.

Organisaties in de EU die gegevens van gebruikers verzamelen, moeten zich houden aan steeds strengere voorschriften, die inmiddels zelfs gelden voor systemen op basis van kunstmatige intelligentie (AI). Dit betekent natuurlijk dat bedrijven met AI-technologie een betere en betrouwbaardere methode nodig hebben om aan de komende privacywetten te blijven voldoen en erop te reageren.

Laten we daarom eens een snelle duik nemen in de huidige stand van zaken van de privacyregels in de EU en de gevolgen ervan voor de rest van de online bedrijven in de wereld en hun klanten.

De ethiek achter AI wordt scherper onder de loep genomen

De nieuwste verordeningen van de Europese Commissie betreffende de bescherming van gebruikers en de privacy van gegevens zijn gericht op AI-systemen die bedrijven gebruiken en de gegevens die ze verzamelen. De commissie heeft in april 2021 een ontwerp gepubliceerd dat de ethische dilemma's in verband met het verzamelen van gegevens met AI zou moeten verzachten. Net als de GDPR zou dit nieuwe voorstel van toepassing zijn op organisaties die deel uitmaken van de Europese Economische Ruimte (EER), zelfs als ze informatie verzamelen en produceren met AI in verschillende landen.

Het recente voorstel van de Commissie is een breed voorstel dat gevolgen heeft voor een hele reeks Europese bedrijven. Om de mogelijke vooringenomenheid tegen te gaan die aanwezig is in de reeksen gegevens die AI-systemen verzamelen, zouden de nieuwe verordeningen gevolgen hebben voor de aanbieders van AI-systemen en hun gebruikers, alsook voor de verkopers en verdelers van de systemen. Van grote ondernemingen die actief zijn op het gebied van het beheer van gezondheidsgegevens tot boetieks op de CBD-markt die voor de productontwikkeling gewoonlijk een beroep doen op gegevensanalyses, de wetten zijn van toepassing op Europese ondernemingen die in verschillende bedrijfstakken actief zijn. Het nieuwe voorstel gaat met name in op regels voor gegevensrisicobeheer, transparantie en conformiteitsbeoordelingen.

Het spreekt vanzelf dat Europese bedrijven er verstandig aan zouden doen hun gegevensbeheer te stroomlijnen. AI-systemen die informatie van gebruikers verzamelen hebben nog niet zo lang geleden te maken gekregen met privacyregels, en hun reikwijdte wat betreft de gegevens die ze verzamelen blijft alleen maar toenemen. Bedrijven die informatie verzamelen, vooral gegevens die gedetailleerd en specifiek zijn, moeten bewijzen dat ze zich aan de privacyrechten van de gebruikers houden.

Een van de meest gehoorde bezwaren tegen AI is de vooringenomenheid die het onwillekeurig in zijn gegevensanalysemodellen aanbrengt. Bedrijven hebben dus een gevarieerd team van marketing- en AI-implementatiedeskundigen nodig, die zich bewust zijn van de kans op vooringenomenheid en hun gegevensanalysemodellen dienovereenkomstig kunnen structureren. Deze teams moeten marktonderzoekers omvatten die zich kunnen houden aan de specifieke wetten op de bescherming van de persoonlijke levenssfeer in een bepaald rechtsgebied, en AI gebruiken om de vooringenomenheid van waarnemers uit de gegevensanalyse te verwijderen.

Europese bedrijven die hun AI-systemen voeden met gedetailleerde gegevensreeksen hebben de juiste mix van personeel nodig dat onbedoelde vooringenomenheid uit de modellen voor gegevensanalyse kan verwijderen en in overeenstemming kan blijven met de privacyvoorschriften. Een divers team van AI-implementatie- en marketingdeskundigen kan gelijke tred houden met wetgevers en regelgevers naarmate ze hun regelgeving in Europa uitbreiden.

Reacties op incidenten worden serieuzer genomen

Het is allemaal goed en wel dat bedrijven hun gegevensbeheer stroomlijnen naarmate ze meer geavanceerde technologie gebruiken. In Europa geldt de regelgeving echter voor meer dan alleen het lopende beheer van gebruikersgegevens. De nadruk op inbreuken op gegevens en lekken staat nu op de lijst van problemen voor bedrijven die zich aanpassen aan het recente voorstel van de Europese Commissie.

Naarmate het aantal incidenten met inbreuken op gegevens blijft toenemen, stijgt gelukkig ook het aantal maatregelen dat bedrijven kunnen nemen om terug te vechten. De Europese regelgevende instanties controleren nu bedrijven die klantengegevens verwerken op maatregelen voor incidentenbestrijding en voeren audits uit als ze vinden dat de procedures moeten worden verbeterd. Nu meerdere bedrijfstakken de dure les van een datalek hebben geleerd, moeten bedrijven eerst begrijpen hoe ze verdere toegang tot of verlies van gegevens kunnen voorkomen nadat ze een incident hebben meegemaakt.

Er bestaat een oud Samoerai-gezegde: “zaken van groot belang moeten lichtvaardig worden behandeld.” Hoewel dit spreekwoord op het eerste gezicht contra-intuïtief lijkt, schetst de betekenis ervan de juiste filosofie die u moet volgen wanneer u te maken krijgt met belangrijke zaken die vereisen dat u uw acties van tevoren plant – gebruik tijden van rust om een reactie te overdenken en te plannen.

In een organisatie of bedrijf is deze filosofie het best van toepassing op noodherstel. Om aan de regelgevers en wetgevers te voldoen, moeten bedrijven met de juiste belanghebbenden een plan voor bedrijfscontinuïteit, noodherstel en incidentenbestrijding bespreken en afspreken. Deze plannen mogen niet worden opgeborgen, maar moeten met de belanghebbenden gedeeld worden, zodat alle partijen op de hoogte zijn van de stappen in de reactie op een incident, de beste manier om ze uit te voeren en de aangewezen contactpersoon voor de incidentmanager.

Een aangewezen persoon, zoals een incidentmanager, kan prioriteit geven aan preventie en verder verlies van gegevens tijdens een inbreuk. Deze preventie blokkeert communicatiekanalen die een bedreiger gebruikt, zoals een eenvoudige internetverbinding, en zorgt ervoor dat er niets meer kan worden toegevoegd of verwijderd. Zodra u een aanvaller de toegang tot uw systemen hebt ontzegd, kan de aangewezen persoon u helpen bepalen welke gegevens gestolen zijn en tot welk systeem een aanvaller al toegang heeft gehad.

Inbreuken op gegevens zijn een ongelukkige bijkomstigheid van het online runnen van uw bedrijf. Het is van vitaal belang dat u uw website goed beveiligt met een websitemaker om het risico op een datalek te verkleinen. Volgens webontwikkelaar Gary Stevens van Hosting Canada is een van de grootste voordelen van webbouwtoepassingen boven CMS-platforms hun superieure veiligheid.

“Een van de nadelen van toonaangevende CMS-platforms is dat hun broncode voor iedereen toegankelijk is – voor de goeden en de slechten", zegt Stevens. “Apps voor het bouwen van websites houden hun code privé, wat betekent dat eventuele cybercriminelen harder moeten werken om de website van een klant binnen te dringen. Bovendien wordt de code van uw website automatisch bijgewerkt wanneer er kwetsbaarheden worden gevonden en verholpen, of u er nu aan denkt of niet.”

Conclusie

Het is typisch voor bedrijven om op technische uitdagingen te reageren met even geavanceerde oplossingen. Nu de privacyvoorschriften in de EU van kracht worden, moeten bedrijven hun totaalaanpak ontwikkelen om gegevens te analyseren zonder onbedoelde vooringenomenheid. Een divers team van marketing- en AI-implementatiedeskundigen kan hun gegevensanalysemodellen afstemmen op de privacyvoorschriften van hun rechtsgebied en gemakkelijk aan regelgevers en wetgevers bewijzen dat de manier waarop ze gegevens verwerken aan alle toepasselijke wetten voldoet.

Gegevensbeheer is niet alles – bedrijven in verschillende bedrijfstakken op Europese markten hebben een overeengekomen reactie op incidenten nodig die een specifieke bron aanwijst, zoals een incident response manager. De EU-regelgevers controleren de methoden om inbreuken op gegevens aan te pakken en Europese bedrijven moeten begrijpen welke stappen ze moeten ondernemen als ze met gegevensdiefstal te maken krijgen.

Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.

Share this Post

Recent Blogs