Datum
22.09.2023
Vanuit het Data Protection Institute volgen we zoveel mogelijk wat er beweegt in ons vakgebied. In deze post signaleren we drie trends die ons zijn opgevallen in het privacylandschap de afgelopen periode en hoe je er mee om moet gaan als DPO.
Gezichtsherkenning
Gezichtsherkenning op zich is amper een trend natuurlijk, maar wel de geleidelijke verschuiving naar gezichtsherkenning die breed ingezet wordt voor allerlei consumententoepassingen. Op Europees niveau ijvert men in de AI Act nog steeds voor een verbod op de toepassing van gezichtsherkenning in de openbaare ruimte (denk politiediensten) maar voor de consument is dit geenszins de bedoeling. Of het nu gaat om inchecken voor de Eurostar, festivals of in winkels: gezichtsherkenning komt naar je toe!
Dit is niet per se slecht: de technologie heeft risico’s in zich maar ook enorme voordelen naar gebruiksgemak. Als privaycprofessional gruwel je er misschien van ergens gezichtsherkenning gebruiken, maar als een consument graag gezichtsherkenning gebruikt, is de keuze nog steeds aan hen. Daar zit ook de crux: het moet een transparante en bewuste keuze zijn.
Let steeds op dat gezichtsherkenningstoepassingen als een eerlijke keuze worden aangeboden (een alternatief zonder gezichtsherkenning en zonder nadelen) en dat gebruikers goed en vooraf geïnformeerd zijn. Zorg voor zeer strikte maatregelen om de templates van gezichten (of afgeleiden) te beveiligen tegen externe toegang, en beperk intern de toegang zoveel mogelijk
Artifical Intelligence
“Wat een open deur, DPI!” horen we u naar uw scherm fulmineren. AI is het buzzword in bijna iedere sector gelinkt aan de kenniseconomie. Wat dezer dagen echter vooral bedoeld wordt met AI is de subset binnen AI die “machine learning” heet en daar zit een keyword, learning. Modellen die de basis vormen van bijvoorbeeld ChatGPT leren op basis van enorme hoeveelheden data, en veel aspecten aan die data zijn dus cruciaal om de technologie een succes te laten worden.
Let op de basics als je geconfronteerd wordt met AI/machine learning:
- Waar komt de data vandaan die het algoritme trainde? Is deze rechtmatig verwerkt? In het bijzonder wanneer het gaat om bijzondere categorieën persoonsgegevens zal men bijna altijd op toestemming moeten steunen.
- Is de data divers genoeg, of leidt de oorsprong van de data tot bepaalde vooringenomenheid die tot minder betrouwbare resultaten leidt?
- Hoe betrouwbaar is de uitkomst? Hoe is de kwaliteit van het algoritme getest?
- Wordt AI gebruikt in een context met grote impact heeft op personen? Vergeet dan niet om ervoor te zorgen dat er menselijke validatie is van de uitkomsten. Dit moet verder gaan dan een medewerker die blinde goedkeuring geeft!
Ook bij het gebruik van de AI-toepassingen zijn aandachtspunten. Ga bijvoorbeeld bij het gebruik van een bestaande AI-toepassing na hoe deze omgaat met de (persoons)gegevens die als input worden gebruikt. Het hergebruik van de input data door de toepassing zelf kan risico’s (gegevenslekken) met zich meebrengen.
Insider Threat
Langzaamaan is er echter meer aandacht voor het principe van de “insider threat”, oftewel iemand intern aan de organsiatie die bewust probeert toegang te krijgen tot (persoons)gegevens van de organisatie voor eigen gewin. Recente voorbeelden komen uit de politie, ziekenhuizen, of zelfs een mondhygiënist. Een aantal aspecten om rekening mee te houden:
- Niet alle insiders zijn bewust kwaadwillend, sommigen zijn toch nog niet voldoende op de hoogte van de regels. Blijf dus inzetten awareness, gebruik hiervoor ook voorgaande incidenten als specifieke voorbeelden (zonder daarbij bepaalde (ex-)medewerkers te viseren).
- Wie geen toegang heeft, kan data ook niet misbruiken: toegang tot persoonsgegevens zoveel mogelijk op basis van het “need to know” principe.
- Voorzie steeds voldoende logging, zodat incidenten opgespoord kunnen worden.
- Voorzie een duidelijk disciplinair proces dat ook gehandhaafd wordt, dit helpt ook om een cultuuromslag te veroorzaken: de organsiatie vindt privacy écht belangrijk!
***
Op de hoogte blijven van andere alle trends in de wereld van gegevensbescherming? Overweeg een abonnement op Stay Tuned of deelname aan één van onze cursussen.
Schrijf je hier in op onze nieuwsbrief voor meer relevante privacyinformatie rechtstreeks in je mailbox!
Datum
22.09.2023
