AI en regelgeving: hoe vind je de balans tussen bruikbaarheid en beveiliging
Data veilig en goed toegankelijk houden is een uitdaging voor organisaties sinds het eerste papieren dossier werd opgeborgen. In de afgelopen decennia is dit nog veel lastiger geworden – door digitalisering is de hoeveelheid data die wordt verzameld, opgeslagen en gebruikt exponentieel toegenomen. Bovendien zet die groei door vanwege de brede adoptie van AI. Ondertussen doen overheden wereldwijd hun best om deze ontwikkeling bij te benen door meer en meer regelgeving te introduceren. Dit legt extra druk op organisaties om data resilience te garanderen. Ze moeten ervoor zorgen dat data bruikbaar zijn voor zakelijke doeleinden en zorgen dat het veilig en veerkrachtig is, wat aansluit op de veranderende regelgevingen.
Waar is mijn data?
Door de grote belofte van AI zijn de eisen die aan bedrijfsgegevens worden gesteld hoog – ze moeten altijd accuraat, toegankelijk en bruikbaar zijn. Organisaties gebruiken de technologie om meer bedrijfswaarde uit hun bestaande data te halen. Volgens het meest recente wereldwijde McKinsey onderzoek over AI zegt 65% van de respondenten wereldwijd dat hun organisatie regelmatig AI gebruikt. Maar wat betekent dit voor data resilience?
AI heeft data nodig. Sommige zeggen ‘hoe meer data, hoe beter’, maar het is slimmer om te zeggen ‘hoe accurater en relevanter de data, hoe beter’. Sommige AI-applicaties hoeven maar één keer te worden getraind, maar de meeste hebben live toegang tot een datapool nodig om veranderingen in realtime te analyseren en erop te reageren. Als data niet accuraat of niet consistent is, dan kan de output van AI onbruikbaar zijn. Denk maar aan ‘garbage in, garbage out’. Het is belangrijk om goed te bedenken met welke data je de technologie voedt – opgelet met gevoelige en bedrijfskritische data en met klantgegevens. Steeds meer organisaties gebruiken AI, maar ze moeten hierin nog een goede balans vinden.
De regelgevingen die meer data resilience en verantwoordelijkheid eisen, zowel voor AI als in bredere zin, zullen organisaties helpen deze balans te vinden. Deze regelgevingen, waaronder NIS2 en de Europese AI Act, zorgen ervoor dat er meer verantwoordelijkheid bij organisaties komt te liggen om hun data te beveiligen, en terecht. Door deze nieuwe regelgevingen moeten organisaties nadenken over hoe ze hun data beveiligen wanneer ze werken met AI en andere nieuwe technologieën. Toen organisaties ooit begonnen met data verzamelen en opslaan, hadden ze waarschijnlijk nog geen rekening gehouden met AI, laat staan dat ze nadachten over hoe hun data zou kunnen worden gebruikt in dergelijke technologieën. Hoewel deze nieuwe overwegingen in de eerste plaats de verantwoordelijkheid zijn van chief information governance-teams, moet de hele organisatie zich inzetten om compliance te bereiken. En dat alles terwijl relevante teams toegang moeten hebben tot de data die ze nodig hebben om te blijven innoveren en te groeien.
Samenwerken is essentieel
Organisaties moeten dus een balans vinden tussen snelle toegang tot data en het garanderen van data resilience in lijn met de veranderende regelgevingen. Dit klinkt als een lastige taak, maar organisaties hebben al jaren te maken met dit probleem, alleen is het nu met nieuwe systemen en onder nieuwe omstandigheden.
Deze uitdaging verandert, maar zal er altijd zijn. De principes blijven hetzelfde, maar de technologie, omgevingen en de schaal veranderen. Volgens het Veeam Data Protection Trends Report 2024 ziet 76% van de organisaties een ‘Protection Gap’ tussen hoeveel data ze zich kunnen veroorloven om te verliezen en hoe vaak hun data worden beschermd. Dit klinkt als een grote kloof, maar in de afgelopen jaren is deze al kleiner geworden. Maar nu AI meer data creëert en nodig heeft, kan deze kloof weer groter worden als we geen actie ondernemen.
Om data resilience te garanderen is samenwerking tussen teams, van data governance tot IT-beveiliging en productie essentieel. Samenwerken om een nieuwe set beoordelingen van bedrijfsrisico’s op te stellen is noodzakelijk als organisaties hun data willen blijven gebruiken in AI-modellen.
Ondanks het extra werk dat dit met zich meebrengt voor organisaties, komen deze regelgevingen op het juiste moment. Het gebruik van AI neemt toe en organisaties moeten data security practices herzien. Maar organisaties moeten niet alleen rekenen op nieuwe regelgeving om dit te stimuleren. Ze moeten voortdurend de risiconiveaus bewaken en aanpassen, vooral nu nieuwe technologieën zoals AI opkomen.
Back-ups zijn cruciaal
Back-ups van data zijn nu al een belangrijk onderdeel van moderne regelgeving rondom data, maar het zal in de toekomst een nog grotere rol spelen in regelgeving die zich richt op AI. Het biedt teams die AI en LLM’s ontwikkelen houvast in een omgeving die constant verandert.
Niet alleen zorgen back-ups ervoor dat data altijd accuraat, veilig en bruikbaar blijft. Ze bieden ook een uitgebreide registratie om aan te tonen dat organisaties zich aan de regelgeving houden. Dit is van onschatbare waarde bij het werken met AI, want het is moeilijk om te verantwoorden hoe AI precies de data heeft gebruikt waarmee het is gevoed of waarop het is getraind. Door back-ups van data te gebruiken, kunnen organisaties de veiligheid van hun data op elk moment verantwoorden, ongeacht waar het wordt gebruikt.
Data kan nooit volledig veilig zijn en organisaties zullen altijd een afweging moeten maken tussen risico en beloning. Maar met kwaliteitsback-ups van data zijn organisaties er zeker van dat ze een vangnet hebben om op terug te vallen.
Door: Dave Russell (foto), Senior Vice President, Head of Strategy bij Veeam Software