Sterke partners steunen ontwikkeling van AMdEX

Het auditing- en adviesbedrijf KPMG – lid van de Network Council – levert diensten aan grote nationale en internationale organisaties en overheidsinstellingen. Sander Klous is partner bij KPMG en daarnaast hoogleraar Big Data Ecosystemen aan de Universiteit van Amsterdam (UvA). AMdEX ontwikkelt een ‘digitale notaris‘, die veilig en gecontroleerd data delen mogelijk maakt.

Welke oplossing(en) biedt het slimme gebruik van data in jouw branche?

Sander Klous (KPMG)
Foto: Don Wijns

“Momenteel zijn er geen goede mechanismen om de naleving van de vele regels en voorschriften rond data en AI af te dwingen of zelfs maar te controleren”, zegt Sander Klous. “In andere regelgevingsdomeinen stellen bedrijven als KPMG, als onafhankelijke derde partij, organisaties in staat om hun compliance aan te tonen via een auditproces. Helaas is dit proces ingewikkeld wanneer het gaat om data en AI. Ten eerste is het moeilijk om de vereiste schaal te bereiken om alle relevante applicaties te auditen. Dit zou kunnen worden verbeterd door grote delen van het proces te automatiseren. Dat brengt ons bij de tweede uitdaging: de regels en voorschriften zijn uitgebreid en complex. Neem bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG). Die is nogal omvangrijk met veel grijze gebieden die zorgen voor mogelijke onenigheid. Op dit moment is de AVG te ingewikkeld om te vertalen in beleid dat door een computer kan ‘lezen’. Mensen moeten dus de controle op de compliance doen, zodat de vereiste automatisering niet mogelijk is.”

Waarin ligt de uitdaging?

“Auditors moeten weten wat mag en wat niet mag, welke afspraken er zijn, wat de regels zijn. Je kunt iets niet controleren als je niet weet wat je moet controleren. Hetzelfde geldt voor de organisaties die worden gecontroleerd. Het is moeilijk om de regels na te leven als je niet weet welke dat zijn. Kortom: We moeten weten hoe iets eruit ziet dat ‘goed’ is. Als wij dan allemaal ons werk volgens dezelfde specificaties uitvoeren, kunnen we verklaringen afleggen over de compliance. Het resultaat van het werk moet grotendeels onafhankelijk worden van de partij die de verificatie uitvoert. In de audit business is dit een cruciale stap.

De automatisering van de naleving van de specificaties gebeurt via protocollen. Een goed voorbeeld is internetconnectiviteit. De specificaties voor de verbinding met het internet zijn geautomatiseerd via het TCP/IP-protocol. De semantiek van beleid dat door computers kan worden geïnterpreteerd, bereikt inmiddels een hoog niveau van rijkdom en verfijning. Hierdoor is het mogelijk de meeste regels en voorschriften te vertalen in beleid dat computers kunnen begrijpen. Dat blijkt uit onderzoek van de Universiteit van Amsterdam en onderzoeksinstituut TNO. Zodra beleidsspecificatie, toezicht en handhaving zijn ingebed in protocollen op de data-analyselaag, ligt de geautomatiseerde controle op naleving binnen handbereik.”

Waarom is KPMG endorsing partner geworden van AMdEX?

“AMdEX wil een nationaal coördinatiepunt worden dat initiatieven stimuleert om data op een verantwoorde manier te delen. Vergelijkbaar met wat AMS-IX heeft gedaan voor connectiviteit. Een van de cruciale elementen om die inspanning tot een succes te maken, zijn de onafhankelijke verificatiemechanismen, zoals hierboven beschreven. Gewoonlijk worden audit- en assurantie-partijen in een zeer laat stadium van het ontwikkelingsproces van dergelijke initiatieven uitgenodigd. De partijen komen samen om iets te creëren. Zodra het bijna in een productieomgeving is ingevoerd, beseffen ze: ‘Oh hé, dit moet worden gecontroleerd’. Tegen de tijd dat wij worden uitgenodigd, is het product gebouwd en is er niet nagedacht over audit en compliance. Omdat dit niet de expertise is van de partijen die de oplossing hebben ontwikkeld. Achteraf deze omissie proberen op te lossen, is duur, veroorzaakt vertraging en leidt tot suboptimale resultaten. Wij hopen, als endorsing partner van AMdEX, deze situaties te voorkomen. We willen ervoor zorgen dat functies voor audit en compliance in de protocollen worden ingebouwd op een manier die auditors graag willen zien.”

Heb je een ‘datadroom’?

“Ik heb er veel, maar dit is er één. In een van mijn onderzoeksprojecten werk ik samen met het Prinses Máxima Centrum, een ziekenhuis dat gespecialiseerd is in kinderoncologie. We werken aan DIPG (Diffuus Intrinsiek Pontine Glioma), een zeldzame vorm van hersenkanker die voorkomt bij zeer jonge kinderen. Omdat het zo zeldzaam is, is het moeilijk om een statistische analyse te maken van de betreffende data. Honderden ziekenhuizen wereldwijd zijn gaan samenwerken in het zogenaamde DIPG-register, waardoor hun data met uniforme definities beschikbaar komen in een grote wereldwijd samengestelde databank. Helaas heeft elk ziekenhuis eigen regels over de toegankelijkheid van deze data. Dat maakt het voor een onderzoeker moeilijk om al die data te analyseren. Wij zijn de gevangenen van onze eigen regels en voorschriften. Met de mechanismen die ik noemde, zouden we dit onderzoek kunnen vergemakkelijken. Door gemakkelijk toegang te verlenen tot de data en tegelijkertijd de regels en voorschriften na te leven. Ik hoop dat hierdoor de nodige doorbraken komen, om deze vreselijke ziekte te behandelen.”

Tekst: Karina Meerman

KPN IoT tekende als endorsing partner

Van links naar rechts: Rutger Rienks, Carolien Nijhuis, Nina Tellegen, Willem Koeman.

Eerder ondertekende KPN IoT de overeenkomst voor endorsing partners met AMdEX. KPN biedt de Data Services Hub, een platform-as-a-service voor realtime informatie-uitwisseling als backend voor opkomende dataspaces. Samen met AMdEX kijken zij ernaar uit deze nieuwe mogelijkheden te verkennen in bijvoorbeeld de i4Trust en de DMI, een project van het Nationaal Groeifonds.

Meer weten over AMdEX?

Lees meer over AMdEX en de rol van Amsterdam Economic Board in dit initiatief. Ook jouw organisatie kan een belangrijke rol spelen! Het endorsing partnership is een van vele manieren om deel te nemen aan de transitie naar een eerlijke data-economie.