Door: Alexander Heijnen, strategisch adviseur
21 juni 2023 vond er een interessante VNG Meetup XL plaats over het thema Algoritmes, Digitale veiligheid en Ethiek. Boeiende sprekers en werksessies waarin op deze thema’s de verdieping werd gezocht en kennis werd uitgewisseld door deelnemers van diverse gemeenten en ministeries. Een aantal zaken viel ons op waarin we in deze blog graag aandacht willen besteden.
De drie begrippen digitale grondrechten, digitale veiligheid en ethiek
Helder is, dat de verbinding tussen digitale grondrechten, digitale veiligheid en ethiek van groot belang is in onze moderne samenleving, waarin technologie een steeds grotere rol speelt in ons dagelijks leven. Digitale grondrechten vormen de basis voor de bescherming van individuen in de digitale wereld. Ze omvatten bijvoorbeeld het recht op privacy, vrijheid van meningsuiting, toegang tot informatie en bescherming tegen discriminatie. Deze rechten zijn essentieel om ervoor te zorgen dat individuen in staat zijn om vrij en veilig gebruik te maken van digitale technologieën.
Digitale veiligheid heeft betrekking op de bescherming van gegevens, systemen en infrastructuren tegen ongeoorloofde toegang, aanvallen en misbruik. Het omvat maatregelen zoals encryptie, firewallbescherming, beveiligde netwerken en ook steeds vaker bewustwordingstrainingen. Digitale veiligheid is van cruciaal belang om de privacy en de digitale grondrechten van individuen te waarborgen, zowel privé als in een werkomgeving.
Ethiek speelt een rol bij het bepalen van wat juist en ethisch verantwoord is in het gebruik van technologie en vooral bij het inzetten van artificiële intelligentie (AI). Het omvat kwesties zoals autonomie, rechtvaardigheid, verantwoordelijkheid, transparantie, eerlijkheid en het voorkomen van schade aan individuen of de samenleving als geheel. Bij het ontwikkelen en implementeren van nieuwe technologieën is het belangrijk om ethische overwegingen mee te nemen, zodat deze in overeenstemming zijn met onze maatschappelijke normen en waarden.
Relevante vragen bij gebruik AI door de overheid
Het gebruik van AI is geen doel op zich, echter kan een bruikbaar middel zijn om bepaalde taken te ondersteunen of deels ook over te nemen binnen de overheid. Denk bijvoorbeeld aan het aanleveren van input voor het opstellen van communicatie-uitingen, annotaties, beleidsstukken. Het gebruik van AI bij het onderbouwen van beleid met objectieve en feitelijke data is een heel ander vraagstuk. Daarbij dien je als overheid als eerste de vraag te stellen waarom wil ik AI gebruiken? Wat is mijn bedoeling? Hoe ga ik als gemeente nu om met mijn data? Zijn deze betrouwbaar, objectief geannoteerd, veilig opgeslagen? Welke objectieve normen en ethische waarden heb ik politiek-bestuurlijk vastgesteld? Van wie krijg ik mijn data? Heb ik goede en concrete afspraken met mijn leveranciers en belangrijkste bronhouders? Hoe beïnvloeden de data die ik wil gebruiken de ontwikkeling in de lokale samenleving?
De discussie over dit soort vragen vindt nu nog veelal plaats binnen de context van de afdeling bedrijfsvoering van de gemeenten. Echter, het breed verankeren en investeren in bewustwording over digitaal veilig en ethisch gebruik van data staat nog in de kinderschoenen. Een politiek-bestuurlijke discussie tussen colleges en gemeenteraden over digitalisering als primiar proces is iets waar de komende jaren nog veel aandacht voor nodig is, ook omdat de druk vanuit wetgeving steeds groter wordt om verantwoording af te leggen over het transparant gebruik van de inzet van algoritmes.
Verbinding op drie aspecten cruciaal
De verbinding tussen deze concepten komt tot uiting in verschillende aspecten:
- Digitale grondrechten dienen te worden beschermd en gerespecteerd in de context van digitale veiligheid. Dit betekent dat veiligheidsmaatregelen moeten worden genomen zonder afbreuk te doen aan de privacy en vrijheid van individuen.
- Ethiek is een leidraad bij het ontwerpen en implementeren van veiligheidsmaatregelen en technologieën. Het gaat erom dat technologie op een verantwoorde en ethisch verantwoorde manier wordt gebruikt, waarbij de rechten en belangen van individuen worden gerespecteerd.
- Bovendien is ethiek ook relevant bij het bepalen van de grenzen van digitale veiligheid. Hoewel veiligheid van cruciaal belang is, moeten we ervoor waken dat er geen inbreuk wordt gemaakt op de privacy en vrijheid van individuen in naam van veiligheid.
In essentie is de verbinding tussen digitale grondrechten, digitale veiligheid en ethiek van cruciaal belang om ervoor te zorgen dat technologie een positieve rol speelt in onze samenleving. Door deze concepten op harmonieuze wijze met elkaar te verbinden, kunnen we de rechten van individuen beschermen, de digitale wereld veiliger maken en ethisch verantwoorde technologie bevorderen.
Maakbaarheid van het IT-landschap
De maakbaarheid van het IT-landschap is een onderwerp dat verschillende perspectieven en interpretaties kan hebben. Over het algemeen kan gesteld worden dat hoewel we aanzienlijke controle en invloed hebben over de ontwikkeling en implementatie van IT-systemen, er ook beperkingen en uitdagingen zijn die de volledige maakbaarheid ervan beperken. Hier zijn enkele belangrijke punten om te overwegen:
- Complexiteit: Het IT-landschap is inherent complex en bestaat uit een groot aantal onderling verbonden systemen, infrastructuren, protocollen, gebruikers en stakeholders. Het beheersen van al deze complexiteit en het volledig maakbaar maken van het IT-landschap is een enorme uitdaging.
- Technologische beperkingen: Technologie evolueert voortdurend, en er zijn grenzen aan wat momenteel technisch haalbaar is. Er kunnen beperkingen zijn op het gebied van schaalbaarheid, snelheid, capaciteit, interoperabiliteit en andere technische aspecten die de maakbaarheid van het IT-landschap beïnvloeden. Niet alles wat goed werkt hoeft vervangen te worden. Uitgangspunt is dat bewezen processen beter overeind kunnen worden gehouden. Er zit veel waarde in stabiliteit en geleidelijke verandering.
- Menselijke factor: IT-systemen worden ontworpen, ontwikkeld en beheerd door mensen. Menselijke fouten, beperkte kennis of vaardigheden, organisatorische belemmeringen en andere menselijke factoren kunnen de maakbaarheid van het IT-landschap beïnvloeden. Denk als overheidsorganisatie dus proactief, bijvoorbeeld goed na over waarom je wat wil laten programmeren om welk probleem op te lossen. Wee je zeker dat AI daarin een waardevolle bijdrage kan leveren?
- Externe invloeden: Het IT-landschap is ook onderhevig aan externe invloeden, zoals veranderende regelgeving, economische factoren, marktdynamiek en sociaal-culturele ontwikkelingen. Deze externe invloeden kunnen de maakbaarheid beperken en zorgen voor onzekerheid in het IT-landschap. Zo speelt er bijvoorbeeld de introductie per oktober 2024 van NIS2 (zie onder als extra toegevoegd). Deze EU-regelgeving gaat enorme impact hebben op het organiseren van je digitale veiligheid en weerbaarheid als organisatie.
Hoewel de maakbaarheid van het IT-landschap dus beperkt is, betekent dit niet dat we geen invloed kunnen uitoefenen op de ontwikkeling en vormgeving ervan. Organisaties en individuen hebben nog steeds een aanzienlijke mate van controle en keuzevrijheid bij het implementeren en beheren van IT-systemen. Het is belangrijk om realistische verwachtingen te hebben en te streven naar een evenwicht tussen haalbaarheid, efficiëntie en effectiviteit bij het vormgeven van het IT-landschap.
Additioneel: Impact van NIS2
Omdat boven kort NIS2 wordt aangehaald, hierbij in het kort als afsluiting over NIS2.
De Europese lidstaten hebben tot het einde van 2024 de tijd om de NIS2-richtlijn in hun nationale wetgeving op te nemen. Deze richtlijn legt zowel publieke als private organisaties binnen specifieke sectoren een zorgplicht en meldplicht op. Hieronder volgt een samenvatting van de verplichtingen die voortvloeien uit de NIS2-richtlijn en de sectoren waarop deze van toepassing zullen zijn (transport, gezondheidszorg, banken, financiële markten, digitale infrastructuur, drinkwatervoorziening, energievoorziening en rioolwaterafvoer)
- Meldplicht: De NIS2-richtlijn stelt dat entiteiten incidenten binnen 24 uur moeten melden aan de toezichthouder. Deze meldplicht is van toepassing op incidenten die aanzienlijke verstoringen kunnen veroorzaken in de verlening van essentiële diensten. Bij een cyberincident moet het incident tevens gemeld worden aan het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp en bijstand kan verlenen. Factoren die een incident meldingswaardig maken, zijn onder andere het aantal personen dat getroffen is door de verstoring, de duur van de verstoring en mogelijke financiële verliezen.
- Zorgplicht: Zowel de NIS2-richtlijn als de andere richtlijn vereisen een zorgplicht waarbij entiteiten zelf een risicobeoordeling moeten uitvoeren. Op basis hiervan dienen zij passende maatregelen te nemen om de continuïteit van hun diensten te waarborgen en de vertrouwelijkheid van de gebruikte informatie te beschermen.
- Toezicht: Organisaties die onder de richtlijn vallen, worden onderworpen aan toezicht om te controleren of zij voldoen aan de verplichtingen van de richtlijn, zoals de zorg- en meldplicht. Op dit moment wordt er gewerkt aan de specificatie van welke sectoren onder welke toezichthouder zullen vallen.
Het is belangrijk op te merken dat deze beschrijvingen een overzicht bieden van de verplichtingen, maar dat de concrete invulling en details nog verder worden uitgewerkt. Organisaties moeten zich bewust zijn van de algemene principes die worden benadrukt in de richtlijnen en moeten anticiperen op verdere nationale wetgeving en richtlijnen die specifiek van toepassing zijn op hun sector.
Bron van bovenstaande NCSC en voor meer informatie: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie
In het najaar van 2023 zal er een consultatieperiode van start gaan, waarin burgers, bedrijven en overheidsinstellingen de gelegenheid krijgen om feedback te geven op de wet- en regelgeving die in ontwikkeling is. Op dat moment zal er meer duidelijkheid ontstaan over de precieze vertaling van de richtlijn naar nationale wetgeving, waardoor organisaties zich beter kunnen voorbereiden.