BLOG – Twee EU-verordeningen houden Nederlandse bedrijven bezig. De Digital Operational Resilience Act (Dora), die de gebieden cybersecurity, it-risico’s en veerkracht in de financiële sector reguleert, is vanaf deze maand van toepassing. Daarnaast is er de Artificial Intelligence Act (AI Act), waarvan de eerste vereisten volgende maand ingaan. Bedrijven zich voor op de implementatie van deze regels als ze leren van het verleden.
In 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. Veel Nederlandse bedrijven moesten hun strategieën op het gebied van gegevensbescherming en compliance grondig herzien om aan de strenge eisen te voldoen. Nu, met de AI Act en Dora, staan opnieuw verordeningen van vergelijkbare omvang voor de deur. De ambitieuze digitale strategie van de Europese Unie blijft dezelfde: de urgentste uitdagingen op de digitale markt aanpakken en tegelijkertijd de fundamentele rechten van het individu in het digitale tijdperk waarborgen.
De AI Act en Dora leggen grote nadruk op it-beveiliging
Voor managers kan de implementatie van Dora aanvoelen als een last. Toch kunnen zij hun ervaring met de invoering van de AVG gebruiken om proactief voorbereidingen te treffen. De volgende lessen uit de implementatie van de AVG zijn nu ook van toepassing.
- Begrijp de data van je bedrijf grondig
Een kernaspect van de AVG was dat bedrijven hun interne databronnen grondig moesten analyseren. Om inzicht te krijgen in welke persoonsgegevens ze verzamelen, waar deze vandaan komen en hoe ze worden verwerkt en opgeslagen. Alleen bedrijven die deze vragen volledig kunnen beantwoorden en oplossen, voldoen aan de vereisten van de verordening. De AI Act en Dora hebben vergelijkbare eisen. Om ervoor te zorgen dat ai-systemen transparant, veilig en ethisch zijn, moeten bedrijven de oorsprong en het gebruik van de onderliggende data tot in detail documenteren.
- Controleer alle contractuele relaties
Om te voldoen aan de AVG moesten bedrijven hun samenwerkingsafspraken aanpassen aan de nieuwe regelgeving. Vergelijkbare verplichtingen vloeien voort uit de AI Act en Dora. Organisaties moeten contractuele relaties zorgvuldig beoordelen en bijwerken, bijvoorbeeld door duidelijke instructies op te nemen over het omgaan met gevoelige data, hoe risicobeoordelingen eruitzien en hoe transparante rapportage wordt gewaarborgd.
- Vertrouw op robuuste beveiligingsmaatregelen
De AVG verplichtte organisaties om het beveiligingsniveau van hun gegevensverwerkingsprocedures grondig te beoordelen en waar nodig te verbeteren. Vooral voor cloudoplossingen moesten veel bedrijven hun beveiligingsmaatregelen flink aanscherpen. De AI Act en Dora leggen eveneens grote nadruk op it-beveiliging. Organisaties moeten ervoor zorgen dat hun systemen en kritieke infrastructuur optimaal en proportioneel beschermd zijn tegen cyberaanvallen en andere bedreigingen. Dit vereist uitgebreide beveiligingstests, risicobeoordelingen en technische beschermingsmaatregelen.
- Train je personeel consistent
Een doorslaggevende factor voor het succes van de AVG was het bewustzijn en de expertise van medewerkers op het gebied van gegevensbescherming. Bedrijven kunnen alleen aan de strenge eisen voldoen als alle medewerkers de compliance-vereisten begrijpen en toepassen in hun dagelijkse werk. Dit geldt ook voor de AI Act en Dora. Organisaties moeten hun medewerkers opnieuw gerichte trainingen aanbieden. Zo kunnen ze ervoor zorgen dat ai-systemen ethisch worden gebruikt en bestand blijven tegen nieuwe cyberrisico’s. Bedrijven die al uitgebreide trainingsprogramma’s hebben opgezet voor de implementatie van de AVG, kunnen deze afstemmen op de nieuwe compliance-eisen.
AVG-ervaring nuttig voor de AI Act en Dora
Alles bij elkaar kun je zeggen dat bedrijven die hebben geleerd van de implementatie van de AVG profiteren van hun kennis om de nieuwe compliance-uitdagingen met succes aan te pakken. Ook na de AI Act en Dora blijft het essentieel de verwerkte data volledig te begrijpen, contractuele relaties te herzien, een sterke infrastructuur te behouden en medewerkers continu te trainen. Dit is misschien geen wondermiddel, maar het stelt managers in staat tijd, moeite en middelen te besparen terwijl ze verantwoordelijkheid nemen. Tegelijkertijd beschermen ze de belangen van hun klanten. Deze strategische vooruitziendheid transformeert compliance van een verplichte oefening in een duidelijk concurrentievoordeel.
Mario Tavares Moyron is senior corporate counsel & EU data protection officer bij Genesys
