64e FD Column: Industriestandaard zonder marktprikkels maakt internet der dingen niet veiliger

Deze column staat in Het Financieele Dagblad van 7 maart 2019. Volg deze link voor mijn eerdere FD columns.

In maart 2017 legde ransomware-aanval WannaCry 34% van de Britse zorginstellingen een week lang plat. 19.000 afspraken moesten worden verzet, de eerstehulpafdelingen van tientallen ziekenhuizen moesten worden geëvacueerd. In hetzelfde jaar hackten onderzoekers een FiatChrysler Jeep via de internetverbinding van het entertainmentsysteem. Zij konden het dashboard, gaspedaal en zelfs het stuur van ruim 1,7 miljoen auto’s van afstand te besturen.

Illustratie: Hein de Kort voor het FD

Het online ziekenhuis, de connected car en de web-based pacemaker; het klinkt allemaal prachtig, totdat wij ons realiseren dat het internet der dingen levensgevaarlijk is.

Overal ter wereld hebben politici in hoog tempo wetten aangenomen om minimum beveiligingseisen, zorgplichten en meldplichten op te leggen aan fabrikanten van internetdingen en organisaties die kritieke maatschappelijke functies vervullen. Die wetten zijn de afgelopen maanden van kracht geworden. Maar de normen in die wetgeving zijn open en abstract gelaten. De techniek ontwikkelt zich razendsnel en politici wagen zich meestal niet aan de details van cybersecurity. Continue reading 64e FD Column: Industriestandaard zonder marktprikkels maakt internet der dingen niet veiliger

63e FD Column: Broodnodige samenwerking toezichthouders op datasamenleving heeft last van groeipijnen

Deze column staat in Het Financieele Dagblad van 21 februari 2019. Volg deze link voor mijn eerdere FD columns.

Kerberos, de angstaanjagende waakhond van Hades uit de Griekse mythologie, hield zo effectief toezicht dat de doden niet eens dúrfden te ontsnappen uit de Onderwereld. Met zijn drie hoofden kon Kerberos alle ontsnappingspogingen volgen en waar nodig doorbijten.

Illustratie: Hein de Kort voor het FD

De datasamenleving heeft al jaren een Kerberos nodig. Auto’s zijn tegenwoordig namelijk rijdende computers, terwijl de datastartups van vijftien jaar terug de machtigste bedrijven ter wereld, met activiteiten in het onderwijs, zorg, nieuwsvoorziening, retail en de financiële markten. Net als Kerberos, dienen effectieve waakhonden op privacy, marktmacht, verkeersveiligheid en financiële markten met meerdere hoofden toe te zien op de multidisciplinaire realiteit die de datasamenleving allang is.

Met de publicatie van het handhavingsbesluit van de Duitse Bundeskartellamt tegen Facebook van 7 februari jl. en de inwerkingtreding van betaalwet PSD2 deze week, lijken toezichthouders gehoor te willen geven aan de jarenlange roep om intensievere samenwerking. Tegelijk blijken diezelfde toezichthouders maar moeizaam samen op te trekken. Daadkracht, transparantie en deugdelijke motivering manifesteren zich als groeipijnen, juist nu de datasamenleving gebaat is bij effectief en verantwoord toezicht. Continue reading 63e FD Column: Broodnodige samenwerking toezichthouders op datasamenleving heeft last van groeipijnen

62e FD Column: Recht en rechtspraak waarborg tegen oncontroleerbare kunstmatige intelligentie

Deze column staat in Het Financieele Dagblad van 7 februari 2019. Volg deze link voor mijn eerdere FD columns.

Hoe succesvoller wetenschap en technologie voortschrijden, hoe ondoorzichtiger en obscuurder zij worden’. Naarmate de tijd vordert, lijkt deze diepzinnige uitspraak van de Franse filosoof Bruno Latour, uit 1999, onze hypertechnologische wereld alsmaar beter te beschrijven. De kunstmatige intelligentie (AI) van zelflerende computersystemen destilleert opzienbarende inzichten uit gigantische bergen inputdata. Tegelijkertijd lukt het ontwikkelaars van AI-systemen en wetenschappers vaak niet om vooraf te voorspellen of achteraf te verklaren hoe zelflerende systemen zulke bovenmenselijke prestaties leveren. Sterker nog: steeds vaker hoor je dat uitlegbaarheid van de werking van AI-systemen aan gewone stervelingen een rem zou vormen op de voorspellende kracht van AI.

Illustratie: Hein de Kort

Zwarte doos

Toch beginnen wetgevers en rechters het recht als werktuig te gebruiken om de ‘zwarte doos’ van technologie en wetenschap open te breken. De strenge Europese privacywet AVG en baanbrekende rechterlijke uitspraken verlangen transparantie van inputdata en uitlegbaarheid van besluiten die door machines worden genomen. Of het nu gaat om zelfrijdende auto’s, beleggingsbeslissingen of automatische gezichtsherkenning op straat, innovatie en recht liggen op ramkoers. In tegenstelling tot het veelgehoorde determinisme van ontwikkelaars en Latour – de technologie werkt nu eenmaal zo, dus vergeet het maar met je uitlegbaarheid – zal het recht uitlegbaarheid afdwingen. Althans, in Europa.  Continue reading 62e FD Column: Recht en rechtspraak waarborg tegen oncontroleerbare kunstmatige intelligentie

61e FD Column: Miljoenenboete voor Google is baanbrekende testcase voor handhaving Europese Privacywet

Deze column staat in Het Financieele Dagblad van 24 januari 2019. Volg deze link voor mijn eerdere FD columns.

De Oostenrijkse privacy-advocaat Max Schrems strikes again. De luis in de pels van de grote techfirma’s procedeerde na de Snowden-onthullingen al met succes tot aan het Europese Hof van Justitie over ontoereikende privacybescherming van Europeanen in databases van Amerikaanse bedrijven. En op 25 mei jl., de dag dat de nieuwe strenge privacywet AVG in Europa in werking trad, diende Schrems’ stichting None of Your Business bij toezichthouders in vier landen een reeks klachten in over de grote Amerikaanse techbedrijven. Naar aanleiding daarvan slingerde de Franse privacytoezichthouder CNIL afgelopen maandag Google voor €50 mln op de bon. Volgens CNIL ontvangen Franse Androidgebruikers onvoldoende informatie wat Google met hun data doet. Google beschikt volgens de CNIL dan ook niet over een geldige toestemming van die gebruikers om, bijvoorbeeld, advertenties te personaliseren.

Illustratie: Hein de Kort voor het FD.

 

De Franse waakhond is op oorlogspad. Het onderzoek is razendsnel uitgevoerd, het concept-besluit plofte vlak voor de feestdagen bij Google op de mat, 15 januari was er een hoorzitting en een week later maakte CNIL het korte, niet altijd even goed onderbouwde besluit wereldkundig. Google ‘bestudeert het besluit en beraadt zich op vervolgstappen’, zoals dat zo mooi heet. Niet zozeer omdat die € 50 mln pijn doet, maar omdat CNIL stelt dat Google via ruim twintig diensten – van Gmail, via Maps en Analytics tot YouTube – onrechtmatig geld verdient. CNIL raakt zo de kern van Google’s miljardenomzet. Na politiek debat sinds 2012 en jarenlange voorbereidingen, is de eerste grote AVG-boete nu een feit. Door de potentieel verstrekkende gevolgen voor online businessmodellen, vormt het besluit de eerste grote testcase voor de handhaving van de strenge Europese privacyregels.  Continue reading 61e FD Column: Miljoenenboete voor Google is baanbrekende testcase voor handhaving Europese Privacywet

60e FD Column: Maak kunstmatige intelligentie centraal thema bij de Europese verkiezingen

Deze column staat in Het Financieele Dagblad van 10 januari 2019. Volg deze link voor mijn eerdere FD columns.

Eens in de vijf jaar staat het hoogtepunt van de westerse democratische samenleving op de agenda. Eind mei 2019 bepalen circa 375 miljoen stemgerechtigde EU-burgers de koers van de Europese Unie tot 2024. De kiezer krijgt nogal existentiële kwesties voorgeschoteld, zoals klimaatverandering, immigratie en de toekomst van de EU, nu de Britten het schip verlaten en wij zijn omgeven door wereldmachten met tamelijk autocratische leiders aan het roer.

Illustratie: Hein de Kort

 

Op één existentieel dossier biedt de Europese politiek de kiezer geen keuze. In razendsnel tempo verandert kunstmatige intelligentie (AI) onze samenleving. Een menswaardig bestaan is in toenemende mate afhankelijk van zelflerende algoritmes en de keuzes die computers maken. Denk aan de kans op een baan, op een woning, wie in een oorlogssituatie een raket op zich krijgt afgevuurd en wie aan de grens überhaupt de Unie mag binnenkomen. Waar de Verenigde Staten, China en Rusland al jaren een geslepen industriepolitiek voeren rondom AI, heeft de EU pas afgelopen jaar met wat vage persberichten, plannen en geld van zich laten horen. Te laat, te weinig en met name te flets. Maar beter laat dan nooit. Europese politici moeten daarom van AI een centraal verkiezingsthema maken en hun visie hierop presenteren. Continue reading 60e FD Column: Maak kunstmatige intelligentie centraal thema bij de Europese verkiezingen

59e FD Column: Bijenkorf gebruikt digitale sporen van shoppers als bewijs in de rechtszaal

Deze column staat in Het Financieele Dagblad van 27 december 2018. Volg deze link voor mijn eerdere FD columns.

Soms zijn feiten gekker dan fictie. Na een nogal onfortuinlijke samenloop van omstandigheden, besliste een Rotterdamse kantonrechter onlangs dat een dame het huwelijkscadeau aan haar nichtje moet teruggeven aan de Bijenkorf, of €40.000 moet betalen aan het warenhuis.

De Bijenkorf had op haar website een diamanten ketting van Cartier wel heel scherp geprijsd: €402 in plaats van de daadwerkelijke prijs van €40.200. Suikertante had het buitenkansje – de ‘Panthère de Cartier’, uitgevoerd in witgoud, met 176 briljant geslepen diamanten, onyx en smaragd van 1.23 karaat – gezien en meteen gegrepen.

Illustratie: Hein de Kort

 

Spannender dan het oordeel, is het bewijsaanbod dat de Bijenkorf in de rechtszaal aan de dienstdoende rechter deed. Uit het online shopgedrag van de dame zou volgens de Bijenkorf blijken, dat zij vaker shopte naar kettingen en dus niet mocht vertrouwen op de kapitale tikfout. Met dit bewijsaanbod geeft de Bijenkorf zelf prijs hoezeer het warenhuis haar klanten online achtervolgt. Daarnaast past het bewijsaanbod in een trend. De rol van data in de bewijsvoering in civiele procedures neemt in rap tempo toe.  Continue reading 59e FD Column: Bijenkorf gebruikt digitale sporen van shoppers als bewijs in de rechtszaal

58e FD Column: Evaluatie inlichtingenwet spionnenwaakhond is even zorgwekkend als voorspelbaar

Deze column staat in Het Financieele Dagblad van 13 december 2018. Volg deze link voor mijn eerdere FD columns.

Niemand benijdt minister Ollongren van Binnenlandse Zaken (D66) om haar hoofdpijndossier, de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv). De Wiv is controversieel vanaf het eerste parlementaire debat in 2016. D66 stemde tegen de Wiv in de Eerste Kamer in 2017, maar kreeg het misbaksel alsnog bij de formatie in de maag gesplitst. Ollongren en haar partij kregen de ondankbare opdracht van de coalitiepartners de Wiv met een paar halfbakken ‘waarborgen’ door het laatste raadgevende referendum in de parlementaire geschiedenis te loodsen. Ondanks de historische tegenstem in maart jl., moest Ollongren onder grote politieke druk de wet, met nog een paar waarborgen meer, alsnog doordrukken.

Illustratie: Hein de Kort voor het FD.

 

Vorige week evalueerde de toezichthouder op de inlichtingendiensten, de CTIVD, dat al die waarborgen in de praktijk niets voorstellen. Hoe blijft de minister nog geloofwaardig als zij binnenkort de Kamer zal moeten overtuigen dat alles, ooit, echt, goed komt met de Wiv? Met nog meer waarborgen? Voor de ogen van de kiezers voltrekt zich een tragikomisch politiek schouwspel waarin onze privacy structureel wordt geschonden door een wet die wij zelf afserveerden. Continue reading 58e FD Column: Evaluatie inlichtingenwet spionnenwaakhond is even zorgwekkend als voorspelbaar

57e FD Column: Grondrechtentraditie moet perverse effecten van kunstmatige intelligentie helpen voorkomen

Deze column staat in Het Financieele Dagblad van 29 november 2018. Volg deze link voor mijn eerdere FD columns.

Internetreuzen als Amazon, Google en Microsoft zetten al jarenlang in op kunstmatige intelligentie (AI). Toch gaat er veel mis als zelflerende algoritmes losgaan op de werknemers, foto’s of klanten. Vorige maand onthulde Reuters dat Amazon na vier jaar een hr-tool om door cv’s van sollicitanten te scannen weer in de ban doet, omdat die consequent vrouwen discrimineert. Google toonde Afro-Amerikanen als je zocht op ‘gorilla’ en chatbot TayTweets van Microsoft ontwikkelde zichzelf binnen een dag tot een racist en complotdenker (en Trumpfan). Blijkbaar kunnen zelfs de bestbetaalde geniën bij internetreuzen hun algoritmes niet opvoeden.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Organisaties en beleidsmakers moeten lering trekken uit deze incidenten. Maak maatschappelijke waarden en heldere doeleinden onderdeel van trainingsdata en analysetools om AI succesvol en acceptabel te maken.

Kinderziekten horen bij technologische disruptie. Socioloog Manuel Castells sloeg in 1995 de spijker op zijn kop in zijn standaardwerk The Rise of the Network Society. Hij schreef dat elke technologische omwenteling gepaard gaat met ‘perverse effecten’. In de jaren ’80 en ’90 hebben geeks, bedrijven en overheden cruciale ontwerpkeuzes gemaakt die nog steeds het DNA van het internet bepalen: connectiviteit was prioriteit, iedereen moest kunnen aanhaken. Privacy en cybersecurity daarentegen werden uit de kernprotocollen van het internet gehouden. Bijkomend voordeel was dat de Amerikaanse overheid makkelijk kon meeluisteren. Maar nu zit de wereld opgescheept met de perverse effecten van 30 jaar oude ontwerpkeuzes: privacy staat onder druk, cybercrime tiert welig en iedereen bespioneert iedereen.

Gezonde verstand

Net als destijds met het internet, willen (vooral Amerikaanse) leveranciers ons weer doen geloven dat AI ‘een revolutie zal ontketenen in de wereld van x’, waarbij variabele x elke waarde aanneemt die bij een meeting, congres of pitch centraal staat. ‘Geen restricties op onze innovatie, u hoeft alleen bij het kruisje te tekenen.’ Tijdens diezelfde bijeenkomsten werd je jarenlang weggehoond als je wees op de perverse effecten van AI en regelgeving, gedragscodes of zelfs gezond verstand om de boel bij elkaar te houden.

Gelukkig lijkt het gezonde verstand langzaam terug te keren in het AI-debat. Niet alleen zorgen de incidenten voor groeiende scepsis bij afnemers. Ook de nieuwe Europese privacywet AVG vereist bij ‘geautomatiseerde besluitvorming’ altijd eerlijkheid, transparantie en uitlegbaarheid van de beslismodellen, en vaak voorafgaande expliciete toestemming van degene wiens data wordt geanalyseerd. Zonder verdere uitleg stellen dat een zelflerende hr-tool, zoekmachine of chatbot op hol is geslagen, volstaat niet langer en kan leiden tot serieuze AVG-boetes en reputatieschade.

Met de ontwerpkeuzes van vandaag leggen wij de fundamenten voor de gezonde inzet van AI in de komende decennia.

Maar hoe anticipeer je op perverse effecten bij een technologie die volop in ontwikkeling is? In zijn boek The Social Control of Technology van 1980 beschreef de Britse wetenschapper David Collingridge dit dilemma: ‘als ingrijpen op innovatie eenvoudig is, is de noodzaak nog niet duidelijk; als iedereen de noodzaak begrijpt, is ingrijpen duur, complex en langdurig.’ Hij nam onder meer benzine als voorbeeld. Bij de introductie van de auto was de milieuschade van loodhoudende benzine beperkt. Toen de auto eenmaal mainstream was, heeft het pijn en moeite gekost over te schakelen op loodvrije benzine. Het Collingridge dilemma overwin je door te investeren in kennisontwikkeling, afhankelijkheid van lobby-invloed uit te sluiten en transparant te zijn over voor- en nadelen van technologische omwentelingen.

Organisaties doen er dus verstandig aan te investeren in kennisontwikkeling, einddoelen helder te definiëren en de trainingsdata te checken op (juridische) bruikbaarheid, kwaliteit en vooringenomenheid. Zo kun je ook beter voldoen aan de AVG-vereisten. In mijn praktijk zie ik verstandige (vaak: kleine) AI-projecten razend succesvol worden en bij De Brauw helpt AI advocaten adviseren bij fusies- en overnames en in interne onderzoeken. Maar gooi je data over de schutting en hoop je op de magische saus van AI, dan stapelen incidenten zich vaak op tot teleurstellingen. Amazon, Google en Microsoft maakten de fout alleen te vertrouwen op hun briljante geeks, en sociale wetenschap, recht en diversiteit geen plek te geven aan de ontwerptafel. In hun projecten gold de nu bekende vuistregel: is de inputdata rommel, dan is de uitkomst ook rommel.

Tempo

Beleidsmakers in Nederland en Europa dienen vooral passende maatschappelijke kaders te scheppen voor AI. Waar de VS en China AI reguleren als handelspolitiek en machtsinstrument, kent Europa een sterke grondrechtentraditie. Niet geld of de Staat, maar de mens staat in principe centraal. Vermoeiend allicht, maar het zorgt voor een relatief harmonieuze, gezonde en vrije samenleving. Het verplicht namelijk perverse effecten als discriminatie en privacyschendingen vroegtijdig te voorkomen.

Tempo is een veel groter probleem in Europa en Nederland. Door een gebrek aan visie komt de noodzakelijke investering in kennis nu pas op gang en leunt het continent te veel op lobbyisten en technologie uit de VS – met cloud computing ging het tien jaar terug precies zo. De EU heeft pas net een ‘expertgroep’ (vol lobbyisten) verzameld die gaat meedenken over Europees AI-beleid. Daarmee loopt de EU minstens vier jaar achter: Amazon begon al in 2014 met het recruitmentproject. Hoog tijd voor de vijfde versnelling. Met de ontwerpkeuzes van vandaag leggen wij de fundamenten voor de gezonde inzet van AI in de komende decennia.

56e FD Column: Onderhuidse chips op de werkvloer dienen vooral controle werknemers

Deze column stond in Het Financieele Dagblad van 15 november 2018. Volg deze link voor mijn eerdere FD columns.

Engelse vakbonden liggen niet alleen wakker van de brexit. De belangrijkste Britse vakbond, de Trades Union Congress, sloeg afgelopen maandag ook groot alarm over de wens van verschillende Engelse bedrijven om hun werknemers te injecteren met microchips ter grootte van een rijstkorrel.

 

Illustratie: Hein de Kort voor het FD

 

In het artikel ‘Alarm over talks to implant UK employees with microchips’ berichtte de Britse krant The Guardian zondag dat de Britse leverancier BioTeq en Zweedse evenknie Biohax met allerlei Britse bedrijven hebben gesproken over identificatie en het monitoren van werknemers met behulp van onderhuidse digitale technologie. Vooral financiële en juridische dienstverleners en de hoogwaardige maakindustrie zouden interesse hebben in onderhuidse microchips.  Continue reading 56e FD Column: Onderhuidse chips op de werkvloer dienen vooral controle werknemers

55e FD Column: Agressieve Chinese hacks kapen webverkeer bedrijven en overheden

Deze column stond in Het Financieele Dagblad van 1 november 2018. Volg deze link voor mijn eerdere FD columns.

Het is algemeen bekend dat je telefoon of laptop meteen gehackt en afgeluisterd wordt, zodra je in China aankomt. Recent onderzoek van het U.S. Naval War College en Tel Aviv University toont nu aan dat de Chinese overheid internetverkeer ook wegplukt uit het Westen, in China vliegensvlug kopieert, en de datastroom weer doorstuurt naar het Westen. Zo heeft China het internetverkeer van buitenlandse overheden, banken en journalisten afgeluisterd.

 

Illustratie: Hein de Kort voor het FD

 

Waarom geen wereldnieuws, geen oorverdovende veroordeling uit het Westen? Amerikaanse inlichtingendiensten doen het ook al jaren. En het oplossen van de fundamentele kwetsbaarheid van het internet die deze hack mogelijk maakt, betekent dat zij diezelfde truc niet meer kunnen uitvoeren. Ondertussen kunnen organisaties en individuen zichzelf niet compleet beschermen tegen deze hack. Met hun structurele politieke en economische spionage vormen overheden, China en de VS voorop, de grootste bedreiging voor een veilig internet. Continue reading 55e FD Column: Agressieve Chinese hacks kapen webverkeer bedrijven en overheden

54e FD Column: Internet is fundamenteel onveilig en zal er ook na de Supermicro-hack niet veiliger op worden

Deze column stond in Het Financieele Dagblad van 18 oktober 2018. Volg deze link voor mijn eerdere FD columns.

Het was even wereldnieuws en toen weer niet. Bloomberg Businessweek pakte op de voorpagina van 4 oktober groots uit met de claim dat Chinese spionnen de distributieketen van Amerikaanse servergigant Supermicro hadden geïnfiltreerd. Meer dan 30 grote Amerikaanse afnemers van Supermicro, waaronder Apple en de cloudreus Amazon, waren gehackt en af te luisteren door China. Kortom, China zou al jaren een groot deel van het Amerikaanse internet in haar macht hebben.

 

Illustratie: Hein de Kort voor het FD
Illustratie: Hein de Kort voor het FD

 

Supermicro, Apple, andere bedrijven en Amerikaanse overheidsfunctionarissen ontkennen het nieuws hardnekkig. Daarmee is de mediastorm voorlopig gaan liggen. Technische experts duiden het nieuws als geloofwaardig, maar de hack als omslachtig en riskant – er zijn simpeler manieren om met een kleinere pakkans hetzelfde effect te sorteren.

Of de Supermicro hack nu (deels) klopt of niet, het nieuws herinnert ons aan het feit dat internetcommunicatie fundamenteel onveilig is door twee wederzijds afhankelijke krachten: prijsdruk, en de niet te stillen hackhonger van machtige inlichtingendiensten. Cyber security is immers niet zozeer een technisch, maar een economisch en politiek probleem. De hamvraag is dus, hoeveel geld en macht daadwerkelijke cybersecurity ons waard is.  Continue reading 54e FD Column: Internet is fundamenteel onveilig en zal er ook na de Supermicro-hack niet veiliger op worden

53e FD Column: Draconische Europese censuurwetten geen oplossing voor onwenselijke informatie online

Deze column stond in Het Financieele Dagblad van 4 oktober 2018. Volg deze link voor mijn eerdere FD columns.

In mei 2019 zijn er weer Europese verkiezingen. Om het onzichtbare ‘Brussel’ van sterke campagneleuzen te voorzien, lanceert de Europese Commissie (EC) steevast draconische antiterreurwetgeving. Het is helaas ook een vuistregel dat spin in campagnetijd tot juridische drama’s leidt. Want de wetsvoorstellen zijn altijd slordig, bieden geen antwoord op het complexe vraagstuk van onwenselijke webcontent, werken censuur in de hand en plaatsen de EU juist in een geopolitiek kwaad daglicht.

Illustratie: Hein de Kort voor het FD

 

Al ruim vijftien jaar zetten vooral conservatieve politici in op het verplicht filteren van informatie met behulp van internettussenpersonen als zoekmachines, videoplatforms en clouddiensten. Zonder veel succes, omdat het Europees Parlement (EP) de onzalige plannen altijd tegenhield. De afgelopen weken introduceerde de EC met behulp van de lidstaten weer talloze wetsvoorstellen om de handhaving van auteursrechten en bestrijding van kindermisbruik en terroristenwerving te ondersteunen.

Het vraagstuk van schadelijke webcontent is legitiem en complex. In onze informatiesamenleving kan iedereen met een muisklik wereldwijd foto’s, audio en video publiceren. Ook terroristen. Op het web is inderdaad gevaarlijke propaganda te vinden, net als afschuwelijke video’s die aanslagen verheerlijken. Is het dan niet simpel, om informatie te verbieden, het internet te monitoren en het verbod te handhaven? Continue reading 53e FD Column: Draconische Europese censuurwetten geen oplossing voor onwenselijke informatie online