Gegevensbeveiliging en het ethische gebruik van AI zijn cruciale overwegingen geweest voor Thomson Reuters bij het ontwikkelen van oplossingen zoals CoCounsel, onze generatieve AI (GenAI)-assistent voor juridische, fiscale en boekhoudkundige professionals.
Wij hebben gesproken met Carter CousineauThomson Reuters Vice President Data and Model Governance, om te bespreken hoe haar bedrijf gebruikers van zijn AI-technologie verzekert dat hun gegevens veilig worden gehouden voor cybercriminelen. Carters werk omvat onder meer het uitbouwen van Thomson Reuters AI-programma’s voor gegevensbeveiliging en ethiek.
Vraag en antwoord met Carter
Welke maatregelen implementeert Thomson Reuters om gebruikersgegevens te beschermen en te voldoen aan de regelgeving inzake gegevensprivacy?
Elk soort project dat betrekking heeft op het creëren en gebruiken van AI- en datagebruiksscenario’s, gaat door wat we een ‚data-impactbeoordeling‘ noemen. Deze term laat het eenvoudig klinken vergeleken met hoeveel het eigenlijk dekt. Het data-impactbeoordelingsmodel dat we hebben ontwikkeld, omvat databeheer, modelbeheer, privacykwesties, de vragen die de General Counsel van Thomson Reuters heeft opgeworpen, vragen over intellectueel eigendom en het beheer van informatiebeveiligingsrisico’s. We zijn ons ontwikkelingsproces voor data-impactanalyse begonnen met het inbedden van onze privacy-impactanalyse in de eerste versie.
Bij een data-impactanalyse gebruiken we de term ‚use case‘ voor een project of initiatief van een Thomson Reuters-bedrijf. Tijdens ons beoordelingsproces stellen we het bedrijf verschillende vragen, zoals:
- Wat zijn de soorten gegevens in dit gebruiksscenario?
- Wat zijn de soorten algoritmen?
- In welk rechtsgebied probeert u deze gebruikssituatie toe te passen?
- Wat zijn uiteindelijk de beoogde doeleinden van het product?
Als het gaat om het identificeren van risico’s, komen hier veel privacy- en governancekwesties aan de orde.
Vervolgens stellen we duidelijke mitigatieplannen en technieken op die verband houden met elk van de verschillende risico’s. Dit proces houdt onder meer in dat ervoor wordt gezorgd dat de gegevens waar nodig worden geanonimiseerd, dat er passende toegang en beveiliging aanwezig is en dat er overeenkomsten voor het delen van gegevens zijn opgesteld. Vanuit een privacyperspectief proberen we de gevoeligheden van de gegevens te begrijpen wanneer een gebruiksscenario bijvoorbeeld persoonlijke gegevens gebruikt. Vervolgens passen we de benodigde controles toe.
Hoe vaak controleert en updatet u beveiligingsmaatregelen?
Toen generatieve AI opkwam, ontwikkelden we specifieke richtlijnen voor Thomson Reuters. Er zijn procedurele documenten die we het hele jaar door voortdurend bijwerken, en die documenten bevatten ook maatregelen om de gevolgen te beperken. We hebben al onze standaardverklaringen in kaart gebracht op basis van de reeks controles die zouden worden of zouden kunnen worden toegepast op basis van het risicoscenario, en elk van deze verklaringen wordt veel vaker beoordeeld en beoordeeld.
Wij hebben ook wat wij noemen de Verantwoordelijke AI-hubdat alles in een gecentraliseerde weergave vastlegt om vertrouwen op te bouwen. Sommige van onze audits en updates voeren we jaarlijks uit, terwijl vele andere zeer frequent plaatsvinden. We houden de maatregelen wekelijks, zo niet dagelijks, bij, afhankelijk van de taak en het team.
Welke veiligheidsmaatregelen gebruikt u om ongeautoriseerde toegang of misbruik van gegevens te voorkomen?
Onze standaard voor beveiliging en beheer van gegevenstoegang is rechtstreeks van invloed op ons gegevensbeheerbeleid. Simpel gezegd zorgen we ervoor dat de eigenaar die toegang geeft tot zijn dataset, zo min mogelijk informatie vrijgeeft die nodig is voor gebruik door degene die erom vraagt. We hebben veel van onze gegevensbeveiligingscontroles in onze dataplatformomgeving ingebouwd en we hebben een specifieke tool die op rollen gebaseerde beveiligingstoegang creëert.
Welke verwezenlijkingen zou u willen benadrukken?
Ik ben erg trots op ons team voor het samenstellen van deze ethische concepten en deze AI-risico’s. Vooral op het gebied van de ethiek zijn datarisico’s moeilijk duidelijk in kaart te brengen. Ze zijn moeilijk te definiëren tijdens het hele end-to-end risicobeheer, en het team heeft de basis gelegd Verantwoordelijke AI-hub vrijwel vanaf de grond af. We hebben veel tijd besteed aan gesprekken over het identificeren en bespreken van de breedte en diepte van AI-risico’s. We hebben nog meer tijd besteed aan het tot leven brengen van deze risico’s, hoe we er actie op kunnen ondernemen en hoe die actie eruit ziet vanuit het perspectief van risicobeperking.
Ik denk dat het werk dat we de afgelopen drie jaar hebben verricht ons in staat heeft gesteld iets sneller grip te krijgen op AI-risico’s dan de meeste bedrijven.
U kunt meer leren over hoe AI de toekomst van professionals heeft veranderd en hoe ze werken.
