Leiden met een security-first mentaliteit

Nu cyberdreigingen elke dag toenemen, is de manier om uw bedrijf te onderscheiden, door privacy- en beveiligingsproblemen voor te zijn, betoogt Ann Cavoukian.





4 maart 2020

Geproduceerd in samenwerking met Microsoft-beveiliging

Naarmate de technologie zich snel ontwikkelt, zal het aantal beveiligings- en privacyproblemen alleen maar toenemen. In deze aflevering bekijken we hoe bedrijven cyberbeveiliging kunnen inbouwen in hun bedrijfsstrategieën, in plaats van te klauteren om te reageren wanneer er een inbreuk plaatsvindt.

Zelfs met gevaar op de loer, betoogt de gast van vandaag, cybersecurity-expert Ann Cavoukian, dat bedrijven een oogje dichtknijpen voor beveiligings- en privacykwesties totdat het te laat is. Cavoukian is de uitvoerend directeur van het Global Privacy and Security by Design Centre, evenals een senior fellow van het Ted Rogers Leadership Centre aan de Ryerson University. Ze heeft nauw samengewerkt met de overheid in Canada en met particuliere bedrijven om de beste manier te vinden om zich te verdedigen tegen beveiligingsaanvallen.

Cavoukian zegt ook dat privacy essentieel is voor onze samenleving en een onmisbare vorm van vrijheid, en dat ontwikkelingen zoals gezichtsherkenningstechnologie tot de meest flagrante inbreuken op die vrijheid behoren.



Business Lab wordt gehost door Laura Ruma, director of insights, de custom publishing-divisie van MIT Technology Review. De show is een productie van MIT Technology Review, met productiehulp van Collective Next. Muziek is van Merlean, van Epidemic Sound.

Toon notities en links

Ann Cavoukian , Ryerson University

Wereldwijde privacy en beveiliging door ontwerp



Microsoft presenteert Dr. Ann Cavoukian over privacy en uw bedrijf, Youtube

Dr. Ann Cavoukian – Privacy door ontwerp, Youtube

Wordt privacy eerst het nieuwe normaal? Een interview met privacygoeroe, dr. Ann Cavoukian, door Hessie Jones, Forbes



Dr. Ann Cavoukian: Waarom grote bedrijven proactief moeten bouwen aan privacy, door Hessie Jones, Forbes

Volledig transcript

Laurel Ruma : Van MIT Technology Review, ik ben Laurel Ruma, en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen.

Beveiligingsbedreigingen zijn overal. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts die voortdurend controleren op bedreigingen om uw bedrijf beter te beschermen tegen microsoft.com/cybersecurity .

Ons onderwerp vandaag is veiligheid en privacy, maar meer specifiek het ontwerpen van uw producten en bedrijf met een veiligheids- en privacy-first mentaliteit. We zullen ook onderzoeken hoe de regulering van gegevens door de overheid van invloed zal blijven op organisaties, evenals opt-out, omdat privacy een vorm van vrijheid is.

Twee woorden voor jou, gezichtsherkenning.

Mijn gast is Dr. Ann Cavoukian, een expert op het gebied van privacy en gedurende drie termijnen was zij de Information and Privacy Commissioner voor Ontario, Canada. Momenteel is Dr. Cavoukian de uitvoerend directeur van het Global Privacy and Security by Design Center, evenals een senior fellow van het Ted Rogers Leadership Center aan de Ryerson University. Dr. Cavoukian creëerde het privacy by design-raamwerk en pleitte en won voor de opname ervan in verschillende overheidsreguleringen, waaronder de AVG. Ann, bedankt voor je deelname aan Business Lab.

Ann Cavoukian: O, mijn genoegen. Bedankt voor de uitnodiging.

Laurier : Dus, om te beginnen, waarom zijn privacy en veiligheid zo belangrijk voor u persoonlijk?

Ann : Privacy vormt de basis van onze vrijheid. Je kunt geen vrije en democratische samenlevingen hebben zonder een solide basis van privacy. En dit weten we. Kijk naar de geschiedenis. Het is geen toeval dat Duitsland het leidende land ter wereld is op het gebied van privacy en gegevensbescherming. Het is geen toeval dat ze de misstanden van het Derde Rijk moesten doorstaan, en toen dat voorbij was, zeiden ze nooit meer. Nooit meer zullen we toestaan ​​dat de staat ons onze vrijheid en privacy ontneemt. En daar hebben ze voor gestaan. Toen ik Privacy Commissioner was, ging ik naar een aantal conferenties in Duitsland. Elke conferentie was begonnen met een verwijzing naar die tijd en ze ontwikkelden deze term genaamd informationele zelfbeschikking, dat het de persoon zou moeten zijn die het lot van zijn of haar persoonlijke informatie bepaalt en zij beschouwen het als zo'n belangrijke waarde. Ze verankerden het in hun grondwet in 1983.

Laurier : Dat is geweldig. Kun je je voorstellen dat dat in Noord-Amerika gebeurt?

Ann : Nou, daar werken we naar toe. Er is een dergelijke acceptatie van toezicht geweest. Tot voor kort, in de afgelopen twee jaar, kwamen alle opiniepeilingen (Pew Research, enz.) op het 90-percentiel voor bezorgdheid over privacy, 90% zeer bezorgd over hun privacy, 92% bezorgd over verlies van controle over hun persoonlijke gegevens. Dus mensen worden hierover geoefend en ze willen hun privacy terug en er is nu zo'n vertrouwenstekort in de samenleving, zowel in termen van de private sector als de publieke sector. Dus ik denk dat we hierin veranderingen gaan zien. Ik vraag mensen: je kunt niet opgeven, geef nooit op. We moeten altijd vooruit in de richting van onze beoogde doelen en we kunnen dit doen.

Laurier : Werkt u daarom zo nauw samen met overheden? Omdat sommige bedrijven en consumenten en burgers overheden misschien zien als die derde manier om een ​​soort van structuur, kader en regulering te bieden?

Ann : Absoluut. De verordening zal van cruciaal belang zijn op sommige gebieden, zoals gezichtsherkenning en andere waarover we kunnen praten. Maar ik wil ook mensen waarschuwen. De overheid moet ook worden gecontroleerd op het ongeoorloofde gebruik van persoonlijke informatie. Het is niet zo dat overheden de privacy volledig beschermen. Helemaal niet. In mijn drie termijnen als Privacycommissaris was er een andere politieke partij die in elk van de voorwaarden regeerde; en voordat ze de overheid werden, waren ze allemaal geïnteresseerd in privacy en wilden ze consumenten en burgers beschermen en stond privacy voorop. Toen werden zij de regering en alles veranderde. Vervolgens wilden ze de informatie controleren en er toegang toe krijgen en gebruiken in hun belang. Dus ik waarschuw mensen tegen zowel de particuliere als de publieke sector.

Laurier : Kunt u in het algemeen de verschillen schetsen die u ziet tussen privacy en beveiliging?

Ann : Laat ik duidelijk zijn. Hoewel privacy een bredere reeks beveiligingen omvat dan alleen beveiliging, in deze tijd van dagelijkse cyberbeveiligingsaanvallen en datalekken, als u niet van begin tot eind een solide basis van beveiliging hebt met volledige levenscyclusbescherming, hoeft u dat niet te doen. geen privacy hebben. En ik wil altijd graag af van de nulsom-mindset van privacy versus beveiliging. Klinkklare onzin. Je hebt privacy nodig met beveiliging, privacy en beveiliging om alles te beschermen en je moet beide hebben. Het is een absurde stelling dat je het een tegen het ander kunt hebben. Dat is het model dat ik naar voren probeer te brengen; en ik werk samen met cyberbeveiligingsbedrijven en bedrijven om te laten zien hoe we privacy kunnen verbeteren door middel van beveiliging door de sterkste gegevensbescherming, end-to-end-codering en volledige levenscyclusbescherming te bieden. Dat moeten we hebben. Dan stelt het u in staat om privacybetekenis te hebben, controle te houden over uw informatie.

Privacy gaat niet over geheimhouding. Het draait allemaal om persoonlijke controle, dat u beslist hoe u wilt dat uw informatie wordt gebruikt en aan wie u deze openbaar wilt maken. Je moet aan het stuur zitten en dat kan alleen als je een solide basis van beveiliging hebt.

Laurier : Dus, formeel, privacy en security by design is deze end-to-end mentaliteit van zowel bouwproducten als organisaties?

Ann : Ja precies. Daarom heb ik mijn organisatie het Privacy and Security by Design Center genoemd. Ik wilde dat mensen begrepen dat ze samen moeten trouwen, dat is van cruciaal belang. En ik doe dit werk natuurlijk al heel lang. We beginnen nu vooruitgang te zien; en vorig jaar moet ik hieraan toevoegen dat Tim Berners-Lee, de maker van het Worldwide Web, naar de beurs ging en zei [parafraserend] dat ik kapot ben van wat ik op het web heb gemaakt. Het is de gecentraliseerde honingpot geworden voor persoonlijke informatie die bedrijven beheren - de Googles en Facebooks - en die zonder enige toestemming aan derden worden verstrekt, onbekend. Hij zei: 'Ik ben er kapot van dat ik ervan wegloop. Ik creëer een decentraal model.' Zijn model heet Solid, maar het punt is dat het de beweging naar decentralisatie begon.

Kijk wanneer uw data gedecentraliseerd is, onder uw controle wordt gehouden in bijvoorbeeld een beveiligde enclave in de cloud of waar dan ook, dan bepaalt u zelf hoe u het wilt gebruiken en met wie u het wilt delen. Zolang jij de touwtjes in handen hebt, is privacy intact. En dat is het model waar we steeds meer naar toe gaan, dit gedecentraliseerde model waarbij het individu meer controle kan uitoefenen over zijn of haar persoonlijke informatie. Het is van hen, de individuen, niet van de bedrijven of de regeringen.

Laurier : Dus zodra individuen deze keuzes kunnen maken, zullen bedrijven moeten reageren en zullen hun datasystemen noodzakelijkerwijs ook gedecentraliseerd worden.

Ann : Ja, en ze zullen positief reageren omdat (zoals u weet, ik doe aan privacy by design) een aantal bedrijven steeds meer gecertificeerd wordt voor privacy by design. En wat ik ze vertel is: als je gecertificeerd bent voor privacy by design, schreeuw het dan van de daken, vertel je klanten hoe ver je gaat om hun persoonlijke informatie te beschermen. En wat dat doet, is dat het betrouwbare zakelijke relaties opbouwt. Het vertrouwen dat aan het afnemen is, keert terug en wat bedrijven me hebben verteld, is dat wanneer er een secundair gebruik is voor de persoonlijke informatie waartoe ze toegang willen krijgen, wanneer ze teruggaan naar hun klanten, ze altijd te horen krijgen: 'Ja, u kunt de informatie hebben. Ik geef u mijn toestemming om het voor dat doel te gebruiken.' Ze houden ervan omdat ze een concurrentievoordeel behalen en ze gewoon de beloningen oogsten, loyaliteit en het aantrekken van nieuwe kansen. Het is een win-win-voorstel.

Laurier : Dus, wat zijn enkele veelvoorkomende problemen waarmee bedrijven worden geconfronteerd met privacy en beveiliging die hier samengesmolten zijn?

Ann : Een van de problemen is dat de beveiliging vaak te weinig middelen heeft, wat zo'n dwaasheid is van iedereen. Dus, steevast ontstaan ​​er datalekken en inbreuken op de privacy en dan zijn ze bezig met opruimen. En vaak zijn er rechtszaken en tegenwoordig zijn er class action rechtszaken. Dus de kosten van het negeren van beveiliging zijn gewoon gek. Het is de grootste fout die je als bedrijf kunt maken. Dus, zeg ik tegen bedrijven, wees niet zuinig met beveiliging of privacy, want allereerst zul je geen privacy hebben zonder een solide basis van beveiliging. En als je dat eenmaal hebt met end-to-end-codering, firewalls, alles op zijn plaats, dan is de privacy veel gemakkelijker te adresseren omdat je je klanten, je burgers kunt vertellen: 'We hebben de sterkste beveiligingen om je gegevens te beschermen en nu willen we ervoor zorgen dat u controle heeft over uw gegevens, zodat u echt profiteert van de privacy die we u hebben beloofd en die u moet hebben, onder uw controle moet staan.' Dan wordt het steeds meer een sterkere organisatie, groeit het en hebben ze geen last van de datalekken en de rechtszaken die anders zouden ontstaan.

Laurier : Nu we het toch over datalekken en rechtszaken hebben, die, zoals u al zei, dagelijks, zo niet wekelijks zijn, waarom besteden bedrijven niet meer aandacht aan beveiliging? Waarom blijven deze gebeuren?

Ann : Dat is zo'n goede vraag. Ik heb echt geen idee. Ik begrijp het niet. Ze beschouwen het, neem ik aan als een kostenfactor, natuurlijk kost het geld om gegevens te beveiligen, veel minder dan wanneer je eenmaal het datalek tegenkomt en je een class action-rechtszaak moet aanhangen, dat verzeker ik je. Een deel ervan is dus een leercurve. Het heeft tot voor kort niet in de voorhoede van de aandacht van raden van bestuur en senior executives gestaan ​​met alle enorme inbreuken. Dus ik denk dat je hierin een verandering zult zien aankomen. Het gaat niet snel genoeg, maar dit is waar we ons steeds meer mee bezighouden en ik heb vorige week geleerd dat raden van bestuur nu veel meer direct geïnteresseerd zijn in beveiliging en privacy dan in het verleden. Dus ik ben de eeuwige optimist. We geven nooit op. Ik hoop dat deze trend snel zal veranderen.

Laurier : Denkt u dat er meer druk zal komen van consumenten die dit soort controle en verantwoording wel verwachten?

Ann : Absoluut. Ik spreek veel in het openbaar en spreek ook met consumentengroepen en in het verleden zou ik ze moeten uitleggen waarom ze om hun privacy zouden moeten geven en hun gegevens en dergelijke zouden moeten beschermen. Nu, zoals in het afgelopen jaar of zo, hoef ik niets uit te leggen. Ze komen naar me toe met de vragen: 'Vertel me hoe ik meer privacy en veiligheid kan krijgen. Wat heb ik met bedrijven en met overheden om uit te leggen?' Het is zeer de moeite waard om deze verschuiving te zien.

En eerlijk gezegd, een van de eerste dingen die ik tegen ze zeg: 'Als je online winkelt of een offline winkel binnengaat, doe dan wat ik doe.' Het eerste wat ik doe, en ik doe het beleefd nadat ik ervoor heb betaald, en vaak zal [de klerk] u om uw postcode of wat meer informatie vragen. Ik zal zeggen: 'Oh, deel je dat met andere derden of zou je mijn toestemming nodig hebben wanneer je dat wilt doen?' De klerk met wie je te maken hebt, heeft geen idee. Ze gaan de manager halen, de manager komt. Zodra de manager ziet dat u geïnteresseerd bent in privacy, zal hij of zij zeggen: 'O, natuurlijk geeft u om privacy. Wij zorgen ervoor dat uw gegevens worden beschermd. We gaan de muren ophangen. We delen het niet met derden.' Het is bijna alsof je je privacykwesties onder hun aandacht moet brengen en dan weten ze wat ze moeten doen. Het gaat alleen vaak niet automatisch.

Laurier : Dat is een heel interessant idee. Dat vind ik leuk. Heb je nog andere tips voor mensen om hun privacy privé te houden?

Ann : Een van de dingen die je nooit zou moeten doen met betrekking tot het gebruik van je gegevens die je routinematig met mensen hebt gedeeld, ik weet zeker dat je onlangs hebt gehoord, Clearview AI, dit vreselijke bedrijf, naar mijn mening, dat gewoon zo schraapt veel gezichtsafbeeldingen van internet, 3,9 miljard gezichtsafbeeldingen van Facebook en Instagram en YouTube-video's.

Wat ik mensen vertel als je bijvoorbeeld een foto op Facebook zet - en ik ga mensen niet vertellen om van Facebook af te stappen omdat ze het niet zullen doen - maar wat ik zal zeggen is: 'Zet de muren eromheen, maak duidelijk dat je het alleen wilt delen met je eindige aantal vrienden en familie.' Facebook heeft, geloof het of niet, zeer sterke privacybeschermende maatregelen waarop u zich kunt beroepen. Niemand weet van hen. Op de CES-conferentie in Vegas in januari keek ik naar een panel en de persoon van Facebook, de chief privacy officer, zei: 'O, natuurlijk volgen we privacy by design. We hebben zeer sterke prijsbeschermende maatregelen.' Mijn mond viel open, maar het punt is dat het er is, maar je moet het opzoeken en vinden. Zoek dus naar de sterkste privacybeschermende maatregelen op een van de apps of websites die u gebruikt en roep ze meteen op. Dat is wat ik mensen aanspoor om te doen.

Laurier : Uitstekend, uitstekend advies.

Cyberbeveiliging gaat niet alleen over het stoppen van de bedreigingen die u ziet, het gaat over het stoppen van de bedreigingen die u niet kunt zien. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts in dienst en gebruikt het AI om te helpen anticiperen, identificeren en elimineren van bedreigingen, zodat u zich kunt concentreren op de groei van uw bedrijf en Microsoft Security zich kan concentreren op het beschermen ervan. Meer informatie op microsoft.com/cybersecurity

Laurier : Dus, om een ​​paar jaar terug te gaan, waarom was AVG nodig? Wat was de constructie eromheen?

Ann : Dat is een hele goede vraag. Europa heeft altijd het voortouw genomen op het gebied van de strengste privacywetten, gegevensbeschermingswetten waar dan ook. En ze konden zien dat de bezorgdheid steeds groter werd in termen van ongeoorloofde toegang tot uw gegevens [met] bewaking met behulp van die gegevens en het volgen van uw activiteiten en dat dit steeds breder werd. En zoals ik al zei, de wortels van alle privacyschendingen in Duitsland, enz., geven hier heel veel om, dus wilden ze een zeer, zeer sterke wet op de privacygegevensbescherming creëren, wat ze deden. En tot mijn vreugde hebben ze mijn privacy by design framework erin opgenomen.

Gegevensprivacy door ontwerp, gegevensbescherming door ontwerp en privacy als standaard. Laat het me uitleggen. Privacy als standaard. Dit is enorm. Het is de tweede van mijn zeven fundamentele principes van privacy by design. Privacy is standaard het tegenovergestelde van het bestaande raamwerk dat grotendeels in het grootste deel van de wereld wordt gesproken, waar van u, de consument, wordt verwacht dat u alle servicevoorwaarden en alle wettelijke bepalingen in het privacybeleid doorzoekt om het opt-out-vak te vinden dat zegt: 'Gebruik mijn gegevens niet voor andere doeleinden dan dit primaire doel waarvoor ik toestemming heb gegeven.'

Laten we nu echt worden. Het leven is kort, daar heeft niemand de tijd voor. Het duurt eigenlijk uren om dat te doen, dus niemand doet dat. Het is niet omdat ze zich geen zorgen maken over hun privacy. Het is gewoon een belachelijke verwachting. Privacy als standaard zet dat op zijn kop en zegt: 'Je hoeft niet te zoeken naar privacy. We geven het je automatisch. Het is de standaardinstelling. We kunnen uw persoonlijke informatie alleen gebruiken voor het doel dat u ons hebt gegeven waarvoor u toestemming heeft gegeven voor het primaire doel van het verzamelen van gegevens. Verder kunnen we het nergens anders voor gebruiken. En als zich later een secundair gebruik voordoet waarvoor we uw informatie willen gebruiken, moeten we bij u terugkomen en uw positieve toestemming vragen om deze voor dit secundaire gebruik te gebruiken.'

Het is geweldig. Mensen zijn er dol op. Consumenten, individuen houden hiervan en de bedrijven die dit doen houden er ook van omdat ze me hebben verteld dat wanneer ze secundaire toestemming zoeken voor secundair gebruik, ze die altijd krijgen omdat ze deze vertrouwde zakelijke relatie hebben opgebouwd met hun klanten. Het wordt een win-win. Dus daar wil ik mensen op wijzen. En de AVG is, geloof me, veel meer dan alleen privacy by design. Maar ik heb deze quote, ik heb er een dia van gemaakt van Informatie leeftijd een paar jaar geleden, die zei dat als je privacy by design volgt, je voldoet aan de AVG. Ik verzeker je, je moet veel meer doen. Maar dat toont je de mentaliteit die hoort bij privacy by design dat het de hoogste vorm van privacybescherming is. En dat als je het volgt, je een goede kans hebt om in overeenstemming te zijn met de AVG, dus ik dring er bij mensen op aan dit te doen.

Laurier : Hoe zit het met de California Consumer Privacy Act (CCPA). Dat is geen AVG, maar het is een eerste stap voor een grote staat in Amerika om privacy- en gegevensproblemen op te lossen?

Ann : Absoluut.

Laurier : Hoe integreren ze privacy by design?

Ann : Ik ga niet suggereren dat ze privacy by design opnemen, maar ik wil Californië toejuichen. Zoals u zei, zijn zij de eersten die de weg wijzen voor andere staten met zeer strenge privacyregelgeving, die grotendeels onbestaande was in termen van de particuliere sector in de Verenigde Staten en zij zetten de toon. Er zitten een aantal zeer strenge privacybeschermende maatregelen in en we gaan hiermee verder. En dus juich ik Californië echt toe omdat het het voortouw neemt bij deze en andere maatregelen. Verschillende steden in Californië, San Francisco, San Diego en een aantal andere, Oakland, verbieden bijvoorbeeld gezichtsherkenning door de politie, wetshandhaving en stadsdiensten, enz. Het is verbazingwekkend, een regelrecht verbod op het omdat ze alle inherente problemen erkennen die ermee gepaard gaan en ze het voortouw hebben genomen om dit te doen en nu volgen andere staten, Massachusetts volgt, Texas kijkt ernaar en anderen, dus Californië moet worden toegejuicht omdat het het voortouw neemt op het gebied van privacy .

Laurier : Welnu, we zijn in dit onderwerp van gezichtsherkenning. Wat zijn de privacyimplicaties hierachter, ik bedoel, ik wil niet zeggen dat het voor de hand ligt, maar...

Ann : Nee. Er zijn er zo veel en ik zal het op dit punt zeggen, je gezichtsopname is je meest gevoelige biometrische gegevens. Biometrische gegevens zijn dus vooral erg gevoelig, maar uw gezichtsbeeld is het meest gevoelig, want als het eenmaal is aangetast, kunt u het niet meer terugkrijgen. En toen ik Privacy Commissioner was, kwamen een aantal slachtoffers van identiteitsdiefstal naar mij toe om mijn hulp te vragen bij het herstellen van hun identiteit. Ze zeiden: deze bedrijven beweren allemaal dat ik al deze aanklachten heb ingediend en ik was het niet. Het was iemand anders die mijn identiteit heeft gestolen. Het is een nachtmerrie, proberen je naam te zuiveren als je identiteit eenmaal is gecompromitteerd. En laat me je wijzen op de hoge mate van onnauwkeurigheid met gezichtsherkenning.

In het VK, in Groot-Brittannië, gebruikt de politie het regelmatig met al hun enorme aantal CCTV-camera's. Twee maanden geleden werd opgemerkt dat de Britse politie 81% valse positieven had. 81% vals-positief betekent dat 81% van de matches via gezichtsherkenning niet alleen onjuist waren, ze identificeerden burgers die zich aan de wet houden ten onrechte als de slechteriken, de personen van belang. Probeer je naam te zuiveren, zoals ik al zei, het is een nachtmerrie. 81%, en ik geef je de meest conservatieve schatting. Twee weken geleden was er nog een cijfer, 96% onnauwkeurig, valse positieven. Ik gebruik dat niet alleen omdat mensen me niet geloven. 81% is echt en solide. Dus stel je voor dat je probeert je naam te zuiveren. Dus, afgezien van het feit dat ze deze informatie sowieso niet zouden moeten verzamelen zonder jouw toestemming of enige vorm van kennisgeving, wat niet bestaat, is het ook hoogst onnauwkeurig, het is belachelijk. Dus we moeten, hoop ik, een soort verbod instellen op het gebruik van gezichtsherkenning in termen van ontwikkelingen op het gebied van regelgeving.

Laurier : Denk je dat het komt omdat [gezichtsherkenning] zo'n ontluikende technologie is dat bedrijven een beetje op de zaken vooruit lopen, in de zin dat, nou ja, laten we het in de echte wereld testen, want hoe ga je het anders testen, dat is een beetje waarom Clearview AI te werk ging en het deed zoals ze deden. Het is dus een soort faalsnelle model van Silicon Valley.

Ann : Dat zou kunnen, maar er loopt al een massale class action-rechtszaak tegen Clearview AI. En wat ik zo niet leuk vind aan de positie van de CEO van Clearview AI, is dat hoewel deze informatie beschikbaar en openbaar beschikbaar is, [zegt hij] we het gewoon schrappen. Het is niet openbaar beschikbaar. Ja, het kan op een openbaar forum zijn, zoals een forum voor sociale media, zoals Facebook of zoiets. Maar helaas, de mensen die niet hebben nagedacht over [hoe] de informatie te beschermen, maar het was nooit bedoeld voor massaal openbaar gebruik zoals Clearview AI het beschikbaar maakt voor wetshandhavers over de hele wereld. Het is alsof we allemaal waarschijnlijk op deze mugshots zitten die de politie nu heeft waarmee ze kunnen vergelijken. Zo is het. Het is absurd dat de grote meerderheid van die beelden, ik wed, meer dan 99% allemaal gezagsgetrouwe burgers zijn, maar nu zijn onze gezichtsfoto's voor altijd vastgelegd. Het is volkomen onaanvaardbaar.

Laurier : En dit brengt ook het veiligheidsaspect met zich mee van het beveiligen van deze zeer gevoelige biometrische gegevens, dus het is niet alleen duidelijk dat het gezichtsherkenning is, het zijn ook vingerafdrukken, toch? Omdat mensen [ze] steeds meer gebruiken om apparaten te openen. Hoe beveiligen bedrijven die gegevens en pleit u voor een tweede laag, een andere beveiligingslaag voor biometrische gegevens?

Ann : Laat me je vertellen over de sterkste vorm van bescherming voor biometrische gegevens. Dat heet biometrische versleuteling. Het is jaren geleden ontwikkeld door Dr. George Tomko en het werkt op deze manier. Je biometrische vingerafdruk, gezichtsopname, dat staat niet in de database. Wat wordt vastgelegd, is uw biometrisch gecodeerde informatie en iets anders, een honderdcijferige pincode, een geweldig wachtwoord, wat dan ook. Dat wordt versleuteld door het gebruik van uw biometrische gegevens, uw gezicht of vinger, wat dan ook. En dat blijft behouden. Het mooie is dat als er een enorme cyberbeveiligingshack is en ze op de een of andere manier inbreken in de biometrisch versleutelde gegevens, wat krijgen ze dan? Ze krijgen je biometrische gegevens niet, ze krijgen je biometrisch versleutelde honderdcijferige pincode die geen betekenis heeft of iets anders. Onzin gegevens. Het is mooi. Het beschermt uw biometrische gegevens 100%, maar gebruikt het nog steeds in termen van authenticatie of identificatie. Het is een win-win. Dus dat geef ik je als voorbeeld. Er zijn manieren om de voordelen van biometrie en andere op privacy- en veiligheidsbeschermende manieren te gebruiken. Dat is wat we moeten ontwikkelen en echt onderzoeken.

Laurier : Dus, veiligheid eerst, privacy eerst, ethiek eerst, want we kijken naar een behoorlijk enorme mindshift, nietwaar?

Ann : We zijn. En ik heb hier eigenlijk een dia over als ik het in mijn lezingen doe, omdat mensen op de een of andere manier denken dat ethiek op de een of andere manier los staat van privacy en veiligheid. Onzin. Ethiek is altijd een onderdeel van privacy geweest. En ik neem je mee terug naar 1980 toen de code van eerlijke informatiepraktijken werd ontwikkeld, principes die vrijwel alle privacywetten over de hele wereld vormden. En ik heb dit echt opgezocht - de betekenis van ethiek in de... Oxford Engels woordenboek --omdat ik precies wilde zien hoe ze het definiëren. En ze definieerden het op verschillende manieren, een eerlijke behandeling van gegevens, enz., vastgelegd in een morele code, vastgelegd in een code met betrekking tot informatie. Dus dan wijs ik ze op de Code of Fair Information Practices, die draait om privacy en gegevensbescherming.

Een lange manier om te zeggen dat ethiek absoluut cruciaal is, maar een inherent onderdeel van privacy is, is dwaasheid om iets anders te suggereren. Ik ben nu net een nieuwe cursus aan het voorbereiden die ik naast privacy by design ga geven. Ik geef een cursus over vertrouwen door ontwerp, dat gaat over ethiek en vertrouwen. Ze zijn met elkaar verweven en natuurlijk is de eerlijke behandeling en het gebruik van gegevens van cruciaal belang bij de toepassing ervan, maar dat zijn ook altijd centrale huurders geweest van privacy en gegevensbescherming. Dus ik neem je mee terug naar de jaren 80 en breng je dan terug naar waar we zijn.

Laurier : Dat is fantastisch. En ik denk dat wat we vandaag hebben geleerd, is dat informatieve zelfbeschikking een van de belangrijkste dingen is die je kunt doen, niet alleen als consument, maar als werknemer bij een bedrijf, evenals een bedrijf. [En om] hier gewoon voor te pleiten, want het raakt natuurlijk iedereen, want ook jij bent een consument.

Ann : Je hebt het perfect vastgelegd. Echt, dat is de essentie ervan en ik heb de Duitsers altijd geprezen voor het ontwikkelen van die term, informatieve zelfbeschikking. Het spijkert het vast. U bepaalt het lot van uw persoonlijke gegevens en een van de redenen waarom dat zo belangrijk is, is dat context de sleutel is. Alleen u kent de context van uw gegevens, de gevoeligheid of het ontbreken daarvan. Ik zeg mensen, kijk, privacy is geen religie. U wilt uw informatie weggeven, be my guest. Zolang je die beslissing neemt en je je bedenkt of het gevoelig is of niet of wat dan ook. Informatieve zelfbeschikking vat het perfect.

Laurier : Ann, heel erg bedankt dat je vandaag bij ons bent gekomen in het Business Lab. Dit is een fantastische discussie geworden.

Ann : Het was me een genoegen, Laurel. Heel erg bedankt dat je me hebt uitgenodigd om dit te doen.

Laurier : Dat was Dr. Ann Cavoukian, de uitvoerend directeur van het Global Privacy and Security by Design Center, met wie ik sprak vanuit Cambridge, Massachusetts, de thuisbasis van MIT en MIT Technology Review met uitzicht op de Charles-rivier. Dank ook aan onze partner, Microsoft Security

Dat was het voor deze aflevering van The Business Lab. Ik ben je gastheer, Laurel Ruma. Ik ben de directeur van Insights, de custom publishing-divisie van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology en je kunt ons elk jaar in prints, op het web en bij tientallen live-evenementen over de hele wereld vinden. Ga voor meer informatie over ons en de show naar onze website op technologyreview.com. De show is overal beschikbaar waar je je podcasts vandaan haalt. Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te beoordelen. Business Lab is een productie van MIT Technology Review. Deze aflevering is geproduceerd door Collective Next. Bedankt voor het luisteren.

Beveiligingsbedreigingen zijn overal. Daarom heeft Microsoft Security meer dan 3.500 cybercriminaliteitsexperts die voortdurend controleren op bedreigingen om uw bedrijf te helpen beschermen. Meer op microsoft.com/cybersecurity.

zich verstoppen