7 minuten leestijd 18 dec 2019
Robotarmen die tomaten oogsten

Gegevensintegriteit waarborgen in het digitale tijdperk

Door

Todd Marlin

EY Global Forensic & Integrity Services Technology & Innovation Leader

Global leader in technology & Innovation, with significant experience serving the financial services industry.

7 minuten leestijd 18 dec 2019
Related topics Forensics Cybersecurity

Bedrijven zien zich geconfronteerd met een snel veranderende lappendeken aan regelgeving op het gebied van gegevensprivacy. Daarnaast moeten ze de kwaliteit van gegevens in de gaten zien te houden.

Bedrijven zijn in toenemende mate afhankelijk van gegevens en de allernieuwste technologieën, zoals artificial intelligence (AI), robotic process automation (RPA) en de cloudinfrastructuur. Deze technologieën worden ingezet om zakelijke inzichten te verwerven, operationele efficiëntie te bereiken en nieuwe groeikansen te spotten. Maar juist daarin gaan mogelijke risico's schuil.

Alle technologie wordt uiteindelijk geprogrammeerd en aangestuurd door mensen. En mensen maken nu eenmaal fouten, al dan niet opzettelijk. Ook is het voor bedrijfseigenaren die zelf de vereiste technische kennis ontberen, niet altijd duidelijk hoe die technologie wordt geïmplementeerd. Deze kenniskloof kan tal van risico's met zich meebrengen – risico's die kunnen resulteren in aanzienlijke reputatieschade of financiële schade voor het bedrijf.

Daar komt nog eens bij dat er overal ter wereld steeds meer regelgeving komt op het gebied van gegevensbescherming en privacy. Denk maar aan de Algemene verordening persoonsgegevens (AVG) van de Europese Unie, de California Consumer Privacy Act (CCPA) en de Cybersecurity Regulations van de New York State Department of Financial Services. Al deze regelgeving stelt strenge eisen aan het beveiligen, openen, opslaan en gebruiken van gegevens. En als deze eisen niet worden nageleefd, kan dat leiden tot fikse boetes, reputatieschade en mogelijke verstoring van de bedrijfsvoering.

Tegen deze achtergrond organiseerden teams van EY en de Financial Times in 2019 een bijeenkomst voor bestuurders in New York. Deze bijeenkomst was onderdeel van een reeks van zes mondiale evenementen met de naam "Enhancing corporate integrity". Op het moment dat we bijeenkwamen, was 'corporate integrity' (of eigenlijk het gebrek daaraan) volop in het nieuws.

Steeds meer bedrijven krijgen te maken met gegevenslekken, vallen ten prooi aan fraudeurs of schenden de verwachtingen van klanten wat betreft gegevensprivacy. Steeds minder mensen hebben er daarom nog vertrouwen in dat bedrijven in staat zijn tot effectieve zelfregulering. Daar komt bij dat voor politici over de hele wereld de verleiding steeds groter wordt om het bedrijfsleven eigen regels op te leggen.

De integriteit van gegevens beschermen

We begonnen de bijeenkomst met twee vragen:

  • Wie denkt met zekerheid te weten welke gegevens er rondgaan in de eigen organisatie?
  • Wie denkt de daarmee gemoeide risico's de baas te zijn?

Niemand stak zijn hand op.

Het kan voor een bedrijf een onmogelijke opgave lijken om te inventariseren over welke gegevens het beschikt, alleen al in de eigen systemen. En de vele risico's voor die gegevens zijn voortdurend veranderen voortdurend: cyberaanvallers gaan geavanceerder te werk, toezichthouders komen met nieuwe verwachtingen, en de mogelijkheden tot gebruik en misbruik van digitale informatie nemen almaar toe met technologieën als AI en de cloud.

Tijdens de bijeenkomst werd veel aandacht besteed aan de uitdagingen die voortkomen uit de snel veranderende lappendeken aan regelgeving op het gebied van gegevensprivacy. In de VS wordt het tempo bepaald door de CCPA in de staat Californië, en naar verwachting is de staat Washington de volgende die met eigen regels komt. Maar volgens veel vertegenwoordigers van Amerikaanse bedrijven houden zij zich in eigen land én andere rechtsgebieden al aan de AVG, die sinds 2018 van kracht is.

Een van de gasten merkte op dat zelfs een klein land als Singapore 'spelregels' voor AI kan instellen, die invloed hebben op de bedrijfsvoering van multinationals aan de andere kant van de wereld. Er gingen dan ook veel stemmen op voor een mondialere coördinatie van de regelgeving omtrent gegevens. Ook werd de verwachting uitgesproken dat we die kant daadwerkelijk opgaan.

Gegevenskwaliteit was een ander punt van aandacht. Hoeveel van de informatie binnen een bedrijf is daadwerkelijk nuttig? Wie moet er bij die gegevens kunnen en hoeveel kan er eigenlijk worden opgeschoond?

Bepaalde digitale informatie moet inderdaad worden bewaard vanwege regelgeving of met het oog op procesvoering. Maar bedrijven hebben een duidelijk beleid en duidelijke procedures nodig, zodat alleen de juiste gegevens worden bewaard. Een deel van de oplossing zou een decentrale aanpak kunnen zijn, waarbij bedrijfseigenaren actief worden betrokken en er sprake is van centrale technologieën en compliancefuncties.

Steeds minder mensen hebben er nog vertrouwen in dat bedrijven in staat zijn tot effectieve zelfregulering. Daarnaast wordt voor politici over de hele wereld de verleiding steeds groter om het bedrijfsleven eigen regels op te leggen. 

AI en ethische kwesties

Wat duidelijk naar voren kwam, is dat gegevens de nodige verleiding met zich meebrengen. Het is immers wel heel aanlokkelijk om informatie die voor het ene doeleinde is verzameld, in te zetten voor het andere. Maar als bedrijven de gegevens van klanten gaan gebruiken op manieren waarvoor geen toestemming is verleend, bestaat er een gerede kans dat klanten weglopen.

Eigenaren van gegevens gaan er steeds vaker vanuit dat bedrijven hen om toestemming vragen voor het gebruik van die gegevens. Enerzijds kunt u er dus producten, diensten en processen mee verbeteren dankzij almaar beter wordende technologieën als AI, maar anderzijds loopt u het risico dat consumenten u dit gebruik niet in dank afnemen.

Er kleven nog meer risico's aan AI, bijvoorbeeld als AI door een bedrijf wordt ingezet voor beslissingen op het gebied van werving. Als de gebruikte datasets bevooroordeelde gegevens bevatten, of als modellen tekortschieten, kan het bedrijf onbedoeld discriminatiewetgeving overtreden. En hoewel je altijd moet kunnen traceren waar een bepaalde beslissing op is gebaseerd, is dat niet altijd eenvoudig of zelfs mogelijk als er AI in het spel is.

In veel gevallen zijn machines betrouwbaarder dan mensen. Toch kunnen machines vreselijk de mist ingaan in onverwachte situaties. Bill Hubbard, wetenschapper op het gebied van machine-intelligentie, beschouwt AI-wetenschappers als vertegenwoordigers van de toekomstige mensheid, juist omdat AI zulke verstrekkende gevolgen voor de mensheid gaat hebben. En daarom, zo redeneert hij, hebben zij een ethische plicht om transparant te werk te gaan.

Lopen we tegen de grenzen aan van wat we met gegevens kunnen en mogen?

 

Toezichthouders en consumenten kunnen het tempo waarin technologie verandert bijna niet bijhouden, en kwaadwillenden zijn hen vaak net een stap voor. Daarom moet de sector een vuist maken en zich inzetten om de risico's voor gegevensintegriteit te begrijpen en te beheersen.

We begonnen de avond met een somber beeld van de uitdaging die bij de beheersing van risico's voor de gegevensintegriteit komt kijken. Gelukkig eindigden we met een positievere noot: we waren het erover eens dat sectoren transparant met elkaar en de overheid moeten samenwerken. Dit zou een eerste stap zijn in de richting van een effectieve beheersing van deze risico's.

Dit artikel is eerder verschenen bij FT BrandSuite.

Samenvatting

Gegevens: enerzijds kunt u er producten, diensten en processen mee verbeteren dankzij almaar beter wordende technologieën als AI. Anderzijds loopt u het risico dat consumenten u dit gebruik niet in dank afnemen. En juist daarom moet gegevensintegriteit op uw agenda staan.

Over dit artikel

Door

Todd Marlin

EY Global Forensic & Integrity Services Technology & Innovation Leader

Global leader in technology & Innovation, with significant experience serving the financial services industry.

Related topics Forensics Cybersecurity