Het gaat bij AI niet om algoritmes, het gaat om de data die je erin stopt

| AE 10622 | Innovatie | 15 reacties

Steeds vaker lees ik over aandacht voor AI en algoritmes bij de politiek. Een goeie ontwikkeling, zeker omdat AI software steeds vaker ingezet wordt om bestuur te ondersteunen. Bijvoorbeeld het selecteren van cold cases waar potentie in zit of herkennen van potentiële onrust zodat je de geweldprotesten voor kunt zijn. Steeds vaker lees ik daarbij ook dat men inzicht wil in de algoritmes, en dát voelt voor mij als de verkeerde insteek. It’s the data, stupid.

Om een of andere reden is het woord ‘algoritme’ recent populair geworden als korte omschrijving voor computeranalyses waarmee dit soort zaken worden geregeld. Van het customizen van een newsfeed tot het detecteren van criminaliteit in historische politiegegevens, het heet allemaal “algoritme”. Ergens klopt dat ook wel: een algoritme is “een eindige reeks instructies die vanuit een gegeven begintoestand naar een beoogd doel leidt” (Wikipedia), en al die systemen gebruiken een serie instructies om gegeven een bak met data te komen tot het beoogde doel van een voorspelling.

Alleen: die stappenplannen of reeksen instructies zijn op zichzelf helemaal niet zo spannend of bijzonder. Meestal gaat het om machine learning algoritmes, die op zoek gaan naar samenhang tussen factoren in een groot databestand om zo tot voorspellingen te komen. We zien dat terechte klachten over partnermishandeling samengaan met het wonen in een rijtjeshuis, deze klacht komt uit een rijtjeshuis dus grote kans dat ie terecht is, ga er maar heen. (De achterliggende factor is dan dat buren het horen en bellen, wat meer zekerheid geeft.)

Het algoritme dat dit doet, is echter volstrekt niet ontworpen of aangepast om specifiek die samenhang te zoeken. Gooi je er honderdduizend telecomcontracten in inclusief opzegdatum, dan kan hij met dezelfde instructies uitrekenen welke klanten waarschijnlijk gaan verlengen en welke niet. Het algoritme hoef je daarvoor niet aan te passen, meer dan aangeven wat de uitvoervariabele moet zijn is het in de praktijk eigenlijk niet.

Het gaat om de data. Wat erin gaat, bepaalt wat eruit komt. Daar hebben we het al vaker over gehad: foute data erin is natuurlijk foute data eruit, of dat nu vooringenomenheid is, kortzichtige selectiviteit of typefouten doet er dan verder niet toe. Maar als je als politiek wat wilt doen aan de betrouwbaarheid en vooral de eerlijkheid van AI, dan moet je het niet hebben over de algoritmes maar over de data. De data bepaalt voor 100% wat het systeem gaat zeggen. Je wilt dus inzicht in de data, en regels over de data.

Arnoud

Data bestaat juridisch niet, wat betekent dat voor de praktijk?

| AE 9779 | Innovatie | 21 reacties

Data is niets, is een mantra dat ik al geruime tijd verkondig op deze blog. Je kunt geen eigenaar zijn van data, want de wet kent dat concept alleen voor fysieke goederen. Dat roept dan altijd de nodige vragen op: als data niets is, wat doe ik dan allemaal online, en waarom zijn er dan soms toch wetten die wat zeggen over data die ik publiceer of up- dan wel download?

De reden dat ik dit roep, is om aan te geven dat je erg zwak staat wanneer je aanspraak wilt maken op data die je ergens hebt geplaatst. Bij fysieke goederen is dat makkelijk: die kun je te allen tijde terughalen met een beroep op je eigendomsrecht, no questions asked (behalve als je de rekening nog open hebt staan).

Een equivalent daarvan ontbreekt bij data. Er is geen enkele wettelijke grondslag om een kopie van je data op te eisen. Als je er niet bij kunt, of als hij weg is, dan heb je pech en de wet laat je in de kou staan. Hooguit kun je schadevergoeding krijgen voor de tijd nodig om deze te herstellen, maar in veel gevallen wil je helemaal niet de data herstellen of kún je dat niet eens (die vakantiefoto’s van tien jaar geleden, of je bonnetjes van je bedrijf van vorig jaar).

Natuurlijk heb je intellectuele-eigendomsrechten, met name auteursrecht en databankrecht op je data. Maar dit zijn ‘exclusieve’ rechten, oftewel rechten waarmee je anderen kunt verbieden iets te doen met die data. Ze geven je geen recht op toegang tot die data of anderszins beschikkingsrecht over die data. Je kunt daarmee dus alleen eisen dat men de data wist of weghaalt, meer niet.

Data in de vorm van virtuele objecten in online spellen bestaat juridisch dan weer wél, dat is gewoon een stukje eigendom. Dat volgt uit jurisprudentie over diefstal en beroving van dergelijke objecten. Ook je SMS-tegoed en dergelijke saldo’s gelden als eigendom. Maar dit is de uitzondering en niet de regel.

Ik noem dit met enige regelmaat een van de grootste, zo niet het grootste, probleem van de informatiemaatschappij. Informatie is alles, maar is tegelijkertijd niets in deze samenleving. Dat is raar. En het kan héél vervelend uitpakken, want we plaatsen steeds meer data bij derden in plaats van die zelf te bewaren. Als je daar geen zeggenschap over hebt, dan is dus die centrale grondstof van de maatschappij ineens juridisch buitengewoon kwetsbaar.

Misschien dat de nieuwe privacywet vanaf 25 mei hier verandering in brengt. Wie data over hemzelf elders onderbrengt, heeft recht op een kopie van zijn “dossier”, alle persoonsgegevens. Daarmee zou je dus je fotoverzameling terug kunnen halen, die hangt aan jouw account en is dus van jou. Maar ideaal is dat niet – zeker niet voor bedrijven, want data van een bedrijf is geen persoonsgegeven.

Is er een oplossing? Ik betwijfel het. Gewoon in de wet zetten dat eigendomsrecht ook geldt voor computergegevens gaat wat te snel. Je loopt dan tegen allerlei problemen aan, hoe pakt dat uit? Hoe geef je dan bijvoorbeeld data als onderpand, of wat gebeurt er als ik data dan twee keer verkoop? Maar een andere oplossing weet ik ook niet.

Arnoud

Univé verzekert gehackte pc consument

| AE 9764 | Security | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel vragen over: voegt dit wat toe en wat heb je er aan?

Het is bij mijn weten de eerste verzekeraar die expliciet ICT-schade dekt onder een verzekering. Natuurlijk heeft iedereen al schadeverzekeringen, maar die dekken meestal alleen zogeheten letsel- en zaakschade: mensen of dingen die fysiek stuk gaan. Bij ICT-problemen is vaak eerder sprake van vermogensschade, áls er al schade is: zet maar eens een prijs op driehonderd verloren JPEG’s of de kosten van het opnieuw instellen van je tienduizend persoonlijke voorkeuren op je net opnieuw geïnstalleerde laptop. Dus een specifieke ICT-verzekering kan wat toevoegen hier.

Of deze verzekering genoeg doet daarvoor, is me nog niet duidelijk. Het ND zocht het uit en concludeerde dat je nou net geen schadevergoeding krijgt voor het verlies van bestanden met een emotionele waarde, zoals familiefoto’s, of voor betaald losgeld bij ransomware. Maar men dekt je wel wanneer jouw pc bij anderen schade aanricht, zoals wanneer een virus op jouw laptop overspringt naar zeg de postduivenvereniging waar je secretaris bent. (Bij je werkgever boeit dat niet, want die kan jou niet aansprakelijk stellen voor virussen die door jouw nalatigheid het bedrijfsnetwerk infecteren.)

Een interessant punt vond ik dat de verzekeraar je een modem met F-Secure SENSE firewall geeft, om zo de risico’s praktisch te beperken. (Een ding van 199 euro en na het eerste jaar 9,90 per maand securityupdates.) Dat is een mooie geste die voor veel consumenten wel wat toe kan voegen. En het past in de trend die ik in de zakelijke markt zie: niet alleen een risico dekken maar ook actief stimuleren (of zelfs verplichten) dat schadebeperkende maatregelen worden genomen.

Tegelijk kun je je afvragen, zou je voor dat geld niet zo’n firewall en een backupoplossing kunnen kopen als consument?

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Informatiemaatschappij, Intellectuele rechten | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Tot eigendom van data geregeld is, kun je maar beter goede backups maken

| AE 9517 | Informatiemaatschappij | 12 reacties

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar… Lees verder

Wat is het verschil tussen data delen en data verkopen?

| AE 9412 | Security | 10 reacties

Audiobedrijf Bose werd vorige maand aangeklaagd wegens het bespioneren van zijn gebruikers, las ik bij Nu.nl. De Bose Connect-app zou bijhouden naar welke muziek en podcasts gebruikers luisteren. Het bedrijf heeft de app aangepast, maar ontkent dat die data wordt verkocht aan derden. En dan lees ik “Het bedrijf ontkent echter niet dat de gegevens… Lees verder

Wordt het niet eens tijd om data-eigendom wettelijk te gaan regelen? #dimorefi

| AE 9167 | Informatiemaatschappij | 15 reacties

Langsgekomen bij de voorspellingen 2017: wordt het niet eens tijd om data-eigendom te gaan regelen? Data is de grondstof van de informatiesamenleving, maar juridisch gezien bestaat data niet bij diensten van diezelfde informatiemaatschappij. Dat is buitengewoon raar en leidt tot zeer onbillijke situaties. Tijd om er wat aan te gaan doen. Alleen: wát dan? Je… Lees verder

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Security | 22 reacties

Californië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar? Het probleem… Lees verder