BLOG: Actuele inzichten over risicomanagement rond privacy, informatiebeveiliging en AI

Waarom is een risicogerichte aanpak van privacy, informatiebeveiliging en Artificial Intelligence (AI) zo belangrijk? Wat is er nodig voor een effectieve omgang met risico's in je organisatie? De experts van L2P delen de actuele inzichten die je verder brengen.

De opmars van Artificial Intelligence (AI) en de komst van de AI Verordening maken het thema risicomanagement actueler dan ooit. Maar de omgang met risico's rond AI, privacy en informatiebeveiliging is veel meer dan een juridische verplichting. Een effectieve aanpak van risico's legt de basis voor compliance én fungeert als een business enabler.
Philippe Dauphin, Gosse Bijlenga en Meindert Boon vertelden hierover tijdens het L2P-kennisevent op 26 september 2024.

Governance als sleutelwoord

In zijn sessie over AI gaf Philippe Dauphin, adviseur bij L2P, een toelichting op de risico's en uitdagingen rond de toepassing van algoritmen en AI-systemen in organisaties. "We staan voor grote en complexe opgaven. Bijvoorbeeld als het gaat om de beveiliging van data, de AI-geletterdheid van medewerkers en de verplichtingen van de AI Verordening. Er is geen reden tot paniek, maar je moet wel weten wat er aan de hand is en wat er op je afkomt. Welke AI-systemen gebruikt de organisatie? Welke toepassingen zijn straks op grond van de AI Verordening verboden? Welke eisen stelt de verordening aan systemen met een hoog en een beperkt risico?"

De AI Verordening is net als de Algemene verordening gegevensbescherming (AVG) gebaseerd op een risicogerichte aanpak. "De ervaringen met de implementatie van de AVG leren dat een goede governance het verschil maakt voor de compliance", aldus Dauphin. "Ga daarom nu aan de slag om de basis op orde te brengen voor de nieuwe verplichtingen en verboden van de AI Verordening. Denk aan zaken zoals de controle van de maatregelen die je leveranciers nemen om risico's te verminderen, de update van contracten en inkoopprocedures, en de ontwikkeling van protocollen voor het gebruik van AI-systemen. Stel ook de vraag waar het interne toezicht op AI wordt belegd. Wordt dat een taak voor security, privacy, juridische zaken of een andere afdeling? Je bepaalt als organisatie zelf wat het beste is."

Nieuwe uitdagingen rond DPIA's

De grootschalige inzet van AI-systemen is voor veel organisaties nog relatief nieuw. Het gebruik van Data Protection Impact Assessments (DPIA's) is al langer bekend. Toch roept de uitvoering van DPIA's nog altijd complexe vraagstukken op, bijvoorbeeld als het gaat om de vereiste risico-inventarisatie.

Gosse Bijlenga, adviseur en partner bij L2P, schetste in zijn presentatie de actuele stand van zaken. "Het is belangrijk om je steeds bewust te zijn van de grondgedachte van DPIA's - en de AVG in het algemeen: de bescherming van fundamentele mensenrechten. Een DPIA richt zich primair op de risico's van een gegevensverwerking voor de rechten, vrijheden en gerechtvaardigde belangen van de betrokkenen. Er is nogal eens een neiging om vooral te redeneren vanuit de doelstellingen van de organisatie."

De lijst met soorten verwerkingen waarvoor een DPIA verplicht is en de richtsnoeren van de European Data Protection Board geven praktische handvatten om te bepalen of een voorgenomen gegevensverwerking een hoog privacyrisico meebrengt. Maar er is in elke concrete situatie een doordachte afweging nodig, benadrukte Bijlenga. "Er zijn verschillende interpretaties mogelijk van de categorisering van een verwerking als hoog risico. Als je geen DPIA uitvoert, dan moet je deze keuze ook goed onderbouwen. Dat is onderdeel van de verantwoordingsplicht van de AVG. Bovendien creëert niet-naleving van de AVG niet alleen risico's voor de betrokkenen, maar ook voor de verwerkingsverantwoordelijke. De toezichthouder kan immers serieuze sancties opleggen, met alle gevolgen van dien voor de activiteiten en de reputatie van je organisatie."

Van verplichting naar kans

Ook Meinert Boon, adviseur en partner bij L2P, maakte tijdens het kennisevent duidelijk dat effectief risicomanagement een bijdrage levert aan compliance - en dus het risico op sancties vermindert. "Net als bij de AVG is ook bij wet- en regelgeving en normenkaders voor informatiebeveiliging, zoals de NIS2-richtlijn en ISO 27001, een risicogebaseerde aanpak verplicht. Maar vergeet niet dat de juridische kaders een hulpmiddel zijn, en niet als een doel op zich. Risicomanagement is niet te reduceren tot het doorlopen van een checklist of stappenplan. Voor een effectieve strategie is een serieus gesprek nodig over de specifieke risico's voor je organisatie. Daarmee zorg je voor de juiste randvoorwaarden voor de omgang met risico's: draagvlak, eigenaarschap en een integrale aanpak."

Een actuele opgave voor privacy- en security-professionals is volgens Boon om de toegevoegde waarde van risicomanagement te laten zien. "Risicomanagement zorgt ervoor dat je de keuzes voor specifieke maatregelen goed onderbouwt. Daarnaast stellen de uitkomsten van risico-assessments je in staat om te focussen op de meest relevante issues en prioriteiten. Zo onderneem je de acties die de doelstellingen van de organisatie daadwerkelijk verder brengen."