In deze compliance update zijn er nieuwe updates over de AI act, komt er langzaam meer duidelijkheid over datastromen tussen China en de EU, en heeft IBM een rapportage uitgebracht over wat een gemiddelde datalek wel niet kost.
Ingang AI Act
Op 1 augustus 2024 is de AI-act ingegaan. Deze wet stelt een wereldwijde norm voor de regulering van artificiële intelligentie.
Wat is het doel van de wet?
Het doel van de wet is het bevorderen van de ontwikkeling en invoering van veilige en betrouwbare AI-systemen op de interne markt van de Europese Unie. Daarnaast is het doel om de grondrechten van EU-burgers te beschermen en innovatie op het gebied van AI in Europa te stimuleren. Het is van belang dat eerst de gevolgen voor de grondrechten van mensen worden beoordeeld, voordat een AI-systeem met een hoog risico wordt ingevoerd.
Hoofdkenmerken van de AI act.
- Risico gebaseerde benadering: De AI Act classificeert AI-systemen in verschillende risicocategorieën, namelijk minimaal risico, beperkt risico, hoog risico en onaanvaardbaar risico. Systemen met een onaanvaardbaar risico worden verboden. Hoog risicosystemen moeten voldoen aan strenge eisen voordat ze op de markt worden gebracht.
- Veiligheids- en transparantievereisten: AI-systemen moeten voldoen aan duidelijke veiligheidsnormen om schade te voorkomen, en gebruikers moeten bewust worden gemaakt van het feit dat zij te maken hebben met een AI-systeem.
- Toezicht en handhaving: De EU zal toezichthoudende instanties in het leven roepen die belast zijn met het toezicht op de naleving van de AI Act. Deze instanties zullen de bevoegdheid hebben om boetes op te leggen voor niet-naleving, vergelijkbaar met de handhaving van de AVG.
- Gegevensbeheer en privacy: AI-systemen moeten ontworpen zijn met inachtneming van gegevens, privacy en gegevensbeheer. Dit betekent dat persoonlijke gegevens die door AI worden verwerkt, beschermd moeten worden en dat de verwerking in overeenstemming moet zijn met de AVG.
Voordelen en uitdagingen.
Er zijn een hoop voordelen, zoals het creëren van een veiligere en meer voorspelbare omgeving voor de ontwikkeling en gebruik van AI. Dit zal een positieve invloed hebben op het vertrouwen van het publiek in AI-systemen en daarmee innovatie stimuleren binnen een duidelijk regelgevingskader.
De uitdagingen zitten voornamelijk in het investeren in de aanpassing en naleving van de nieuwe regels, wat vooral een impact heeft op kleinere ondernemingen. Een andere uitdaging is de snelle evolutie van AI-technologieën, hierdoor kan wetgeving snel verouderd raken. Dit vraagt veel aanpassingsvermogen en actualisatie.
Wat betekent dit voor jou?
Per 1 augustus 2024 is de AI-act in werking getreden en over twee jaar treden de verplichtingen voor bedrijven en instellingen in werking. De regels gelden voor iedereen die AI ontwikkelt, op de markt brengt of inzet. Bedrijven en instellingen die hieronder vallen moeten kunnen aantonen dat de AI-systemen aan de regels voldoen en helderheid opvragen bij leveranciers.
Werkt jouw organisatie of overweegt jouw organisatie om met AI of algoritmes te werken? Neem dan alvast de volgende stappen:
- Inventariseer binnen je organisatie om welke AI het gaat, van welke leveranciers deze afkomstig zijn en welke informatie je nodig hebt. Vergeet daarbij ook de “shadow-IT” niet. AI-diensten die werknemers zelf in gebruik hebben genomen. Dit kan door een goede security awareness training.
- Onderzoek de rol van de organisatie en welke verantwoordelijkheden daarbij horen.
- Evalueer de uitvoer van het AI-systeem. Zorg voor protocollen voor de evaluatie van de uitvoer en maak beleid met betrekking tot periodieke controles op de juistheid van de aanbevelingen.
- Concludeer welke menselijke invloed er binnen de organisatie is met de AI-systemen.
- Bepaal de risico categorie van het AI-systeem. De risico classificatie is te vinden in bijlage III van de AI act: https://ec.europa.eu/commission/presscorner/detail/en/QANDA_21_1683
Tijdlijn AI-act
Communicatiemechanisme voor grensoverschrijdende gegevensstromen
De Europese Unie en China hebben een initiatief gelanceerd dat gericht is op de internationale overdracht van niet-persoonlijke gegevens voor Europese bedrijven, in naleving van de Chinese datawetten.
Op 28 augustus 2024 maakte de Europese Commissie bekend dat de EU en China tijdens een bijeenkomst de eerste besprekingen in het kader van het nieuwe ‘’Cross-Border Data Flow Communication Mechanism” hebben uitgevoerd.
Wat is het doel?
Het doel is om de zorgen weg te nemen over de restrictieve Chinese data-exportwetten, die Europese bedrijven onzeker hebben gemaakt over wat ze mogen doen met data die in China zijn verzameld.
Ze zijn specifiek bezorgd over de systematische toepassing van veiligheidsgoedkeuringen op de export van ‘belangrijke gegevens’. Volgens Chinese wet moeten (bedrijf)gegevens beoordeeld worden voordat ze geëxporteerd mogen worden. Deze bezorgdheid is nog verergerd door de onzekerheid over wat ‘belangrijke gegevens’ precies zijn.
Hoe verder?
Verdere besprekingen op technisch en deskundigen niveau zijn nog gepland. Zodra deze zijn uitgevoerd zal een politieke evaluatie worden uitgevoerd, voordat meer nieuws uitgebracht zal worden.
Het is maar één datalek, hoeveel zou het kunnen kosten? 10 euro?
Bedrijven die het slachtoffer worden van een datalek kunnen een financiële klap van gemiddeld bijna $5 miljoen verwachten – een stijging van 10% ten opzichte van vorig jaar – volgens IBM’s jaarverslag over cyberveiligheidsincidenten.
Het onderzoek uit het rapport – onafhankelijk uitgevoerd door het Ponemon Institute en gesponsord, geanalyseerd en gepubliceerd door IBM – bestudeerde 604 organisaties die tussen maart 2023 en februari 2024 getroffen waren door datalekken.
Onderzoekers keken naar organisaties in 17 sectoren, in 16 landen en regio’s, en naar inbreuken die varieerden van 2.100 tot 113.000 stukken data.
Uitkomsten
- Datalekken komen elk jaar vaker voor, en worden duurder. De gemiddelde kosten van een datalek in 2024 bedroegen 4,88 miljoen dollar.
- Hoewel elk soort organisatie kwetsbaar is voor datalekken, zijn organisaties die kritieke infrastructuur en gezondheidszorgdiensten leveren een groot doelwit.
- De gezondheidszorgsector sprong het meeste uit in kosten, met gemiddelde kosten van 9,77 miljoen dollar. De sector die de grootste stijging in de kosten van inbreuken zag, was de industriële sector – die een gemiddelde kostenstijging van 830.000 dollar per inbreuk kende ten opzichte van 2011.
- De meest voorkomende bronnen van datalekken zijn gecompromitteerde accountgegevens, phishing en verkeerde cloud configuraties.
De landen met de hoogste gemiddelde kosten zijn:
- De Verenigde Staten
- Midden-Oosten
- Benelux (o.a. Nederland!)
- Duitsland
- Italië
- Canada
- Verenigd Koningkrijk
- Japan
- Frankrijk
- Latijns-Amerika
Bron van dit onderzoek van IBM: bekijk hier het rapport
Compliance update van Surelock
Om onze klanten en bezoekers van onze website op de hoogte te houden van de laatste compliance updates hebben proberen wij maandelijks een update te schrijven. Deze updates worden geschreven door informatiebeveiliging consultants van Surelock. Wil jij op de hoogte blijven van de compliance update neem dan contact met ons op.