035 / AVG als structurele verdediging tegen AI-gedreven criminaliteit

Een vervolg/reactie op 033 en 034

Strategische inzet van de AVG tegen AI-ondersteunde aanvallen

De dreiging van cybercriminaliteit ontwikkelt zich in hoog tempo, waarbij kunstmatige intelligentie (AI) steeds vaker wordt ingezet voor gerichte en overtuigende aanvallen. Denk hierbij aan stemklonen, geautomatiseerde phishingberichten, gepersonaliseerde deepfakes of social engineering op basis van gelekte gegevens.

In dit krachtenveld is de Algemene Verordening Gegevensbescherming (AVG) niet alleen een juridisch kader, maar ook een praktisch instrument. Een organisatie die de AVG consequent en strategisch toepast, bouwt systematisch een verdedigingslinie op tegen de risico’s van AI-gedreven datamisbruik.

Een goed uitgevoerde AVG-implementatie vergroot de digitale weerbaarheid op drie niveaus:

  1. Organisatorisch: procedures, verantwoordelijkheden, bewustwording
  2. Technisch: gegevensbeveiliging, toegangscontrole, logging
  3. Cultureel: risicobewustzijn en meldingsbereidheid

AVG-maatregelen die bescherming bieden tegen AI-dreiging

Concreet onder de streep kan men van het volgende uitgaan:

  1. Dataminimalisatie vermindert aanvalspotentieel (Artikel 5, lid 1, sub c AVG)*

Een organisatie die slechts de strikt noodzakelijke persoonsgegevens verwerkt en opslaat, beperkt de waarde van gestolen of gelekte data. AI-aanvallen worden vaak gevoed door grootschalige datasets; minimalisatie maakt profilering en manipulatie moeilijker.
Structurele toepassing van dataminimalisatie verlaagt de impact van eventuele datalekken aanzienlijk.


  1. Beveiligingsmaatregelen afgestemd op technologische dreiging (Artikel 32 AVG)*

De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen ter beveiliging van gegevens. De “stand van de techniek” is hierbij bepalend. In het licht van AI-dreigingen betekent dit: multifactor-authenticatie, toegangssegmentatie, gedragsanalyse en anomaliedetectie.
Ook logging en controle op ongebruikelijke toegang zijn essentieel bij AI-aanvallen die menselijke tussenkomst imiteren.


  1. Privacy by design & by default als fundamenteel principe (Artikel 25 AVG)*

Een AVG-conforme inrichting vereist dat systemen standaard gegevensbeschermend zijn ingericht. Dit betekent onder andere: standaard beperkte toegang, pseudonimisering, en een infrastructuur die voorkomt dat persoonsgegevens eenvoudig worden geëxtraheerd door AI-tools.
Hierdoor wordt het risico beperkt dat AI-systemen eenvoudig toegang krijgen tot gevoelige informatie via zwakke plekken in het ontwerp.


  1. Bewustwording en opleiding als beschermende cultuurmaatregel (Artikel 39, lid 1, sub b AVG)*

De AVG stelt dat medewerkers bewust gemaakt moeten worden van hun rol in gegevensbescherming. In de context van AI vereist dit training in het herkennen van overtuigende nepcommunicatie (bijv. deepfake-video’s of overtuigende stemopnames).
Medewerkers vormen een eerste detectielijn; goed geïnformeerde medewerkers verkleinen het risico op succesvolle social engineering.


  1. Meldplicht versterkt incidentrespons (Artikel 33 AVG)*

Bij een datalek moet snel worden gehandeld. De AVG verplicht tot melding binnen 72 uur. Dit vereist procedures voor detectie, analyse en rapportage – onmisbaar in een omgeving waar AI-aanvallen zich snel en geautomatiseerd kunnen verspreiden.
Een AVG-conforme incidentstructuur voorkomt vertragende besluitvorming en beperkt reputatieschade.


  1. Verwerkersbeheer als schakel in ketenbeveiliging (Artikel 28 AVG)*

Externe leveranciers (zoals AI-dienstverleners, cloudaanbieders of HR-software) dienen middels verwerkersovereenkomsten expliciet verplicht te worden tot adequate beveiligingsmaatregelen.
Dit voorkomt dat gegevenslekken ontstaan bij partners zonder ons beveiligingsniveau, een reëel risico bij AI-gebruik.


Mocht u hier meer over willen weten, hoe deze 6 punten binnen uw omzetting van de Algemene Verordening Gegevensbescherming AVG meerwaarde kunnen hebben, neemt u dan gerust met mij contact op: Michael Bense


Algemene Verordening Gegevensbescherming (AVG)

*Artikel 5(1)(c) – Dataminimalisatie

Persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

*Artikel 25 – Privacy by design & by default

Organisaties moeten passende technische en organisatorische maatregelen nemen om te waarborgen dat, standaard, alleen de noodzakelijke persoonsgegevens worden verwerkt.

*Artikel 32 – Beveiliging van verwerking

Verwerkingsverantwoordelijken en verwerkers moeten passende maatregelen nemen, afgestemd op het risico, om de beveiliging van gegevens te waarborgen.

*Artikel 33 – Meldplicht datalekken

Inbreuken op persoonsgegevens moeten binnen 72 uur na ontdekking worden gemeld aan de toezichthoudende autoriteit, tenzij het onwaarschijnlijk is dat er een risico bestaat voor de rechten en vrijheden van betrokkenen.

*Artikel 28 – Verwerkersovereenkomsten

Verwerkingsverantwoordelijken dienen met verwerkers een schriftelijke overeenkomst aan te gaan waarin beveiligingsverplichtingen expliciet zijn opgenomen.

*Artikel 39(1)(b) – Opleiding en bewustwording

De functionaris voor gegevensbescherming ziet toe op de bewustmaking en opleiding van medewerkers inzake gegevensbescherming.

Nieuwsgierig: U kunt de gehele Algemene Verordening Gegevensbescherming (AVG) nalezen hier op een speciaal deel van onze site.


033 / Pas op voor deepfakes: de spion in de online vergadering

Cybercriminelen zouden kunstmatige intelligentie (AI) kunnen gebruiken om het uiterlijk en de stem van ogenschijnlijk bekende mensen op online conferenties te simuleren. De vervalsingen zijn al buitengewoon goed en moeilijk te herkennen.

De wolf in schaapskleren komt niet alleen voor in sprookjes

Als vertrouwelijke gesprekken op internet worden afgeluisterd, hoeft er geen klassieke hackeraanval of een gebrek aan encryptie achter te zitten. Het kan ook zijn dat de spion ongemerkt aan het gesprek deelnam. Maar hoe kan dat als er alleen bekende gezichten werden gezien en bekende stemmen werden gehoord?

Dit wordt mogelijk gemaakt door AI (kunstmatige intelligentie) in handen van cybercriminelen. Dankzij AI is het nu mogelijk om niet alleen individuele afbeeldingen, maar zelfs video’s en geluidsopnamen te vervalsen. Dit kunnen ook live video’s en live gesprekken zijn, omdat de door criminelen gebruikte AI het videobeeld en geluid van de spion omzet in het uiterlijk en de stem van een andere persoon die wel had mogen deelnemen aan de vertrouwelijke online bijeenkomst.

Niet alleen kan er een e-mail op de verkeerde naam worden verzonden, ook kunnen er met een valse identiteit worden gebeld en online vergaderd. Onlinefraude krijgt een geheel nieuw gezicht.

Identiteitsdiefstal live en in kleur

Het nieuwe type identiteitsdiefstal wordt deepfake genoemd, bedrieglijk echt ogende, gemanipuleerde beeld-, audio- of video-opnamen, gemaakt met behulp van kunstmatige intelligentie.

Lange tijd was het erg tijdrovend om dynamische media, zoals video’s of audio-opnamen, met hoge kwaliteit te manipuleren, zoals het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) uitlegt. Dit is nu echter veel eenvoudiger dankzij methoden uit het veld van de kunstmatige intelligentie (AI) en het gebruik van diepe neurale netwerken. De inspanning die criminelen nodig hebben voor deepfakes is navenant laag.

De toenemende real-time mogelijkheden van deepfakes zorgen ervoor dat je tijdens online vergaderingen niet langer zeker weet of je met de echte persoon praat, een aanvaller of zelfs een avatar, dat wil zeggen een kunstmatig persoon.

Dit is de beste manier om deepfakes te detecteren

Hoewel AI-processen de nepvideo’s en -stemmen nu in zeer hoge kwaliteit kunnen genereren, zijn er bepaalde zwakke punten in de deepfakes die kunnen worden gebruikt om aanwijzingen over mogelijke vervalsingen te vinden. Het Bundesamt für Verfassungsschutz (BfV) beveelt aan:

  • Zorg voor een goede (beeld)kwaliteit: Hoe hoger de resolutie of het beeldformaat, hoe makkelijker het is om inconsistenties in het beeld te identificeren. Video’s moeten daarom niet op een mobiele telefoon worden bekeken, maar op een grotere monitor. Goede kleurinstellingen laten ook inconsistenties zien, bijvoorbeeld in het uiterlijk van de huid.
  • Let op de gezichtsuitdrukkingen van de persoon: Natuurlijke reacties zoals knipperen met de ogen, fronsen of de bekende “boze ader” kunnen nog niet goed worden weergegeven door een AI. Een nadere blik op de ogen en het voorhoofd kan een nep onthullen. Om dit te doen, kijkt u naar het beeld vertraagd om eventuele vervormingen te zien.
  • Controleer de bron: Uiteindelijk helpt het natuurlijk altijd om de bron te controleren of, als je twijfelt over het videoschakelen, terug te vragen om in ieder geval de mogelijkheid te hebben het videogesprek of de video te verifiëren.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI) wijst ook op tekenen van gezichtsmanipulatie en noemt zichtbare artefacten op de naad rond het gezicht in het videobeeld, wazige contouren van tanden en ogen, beperkte gezichtsuitdrukkingen en inconsistente verlichting als waarschuwingssignalen.

Helaas leren criminele AI-processen en cybercriminelen snel, waardoor deepfakes steeds beter worden. Het is des te belangrijker om voorzichtig te zijn en niet zomaar alles te geloven wat je ziet. Dus “houd je ogen open” bij de volgende online conferentie!