Analiza ryzyka przetwarzania danych osobowych z wykorzystaniem sztucznej inteligencji

Analiza ryzyka przy przetwarzaniu danych osobowychwykorzystujących rozwiązania oparte na sztucznej inteligencji (AI)

Prawdopodobieństwo

Czynniki mające wpływ Dotkliwoś wystąpieni Wartość na materializację ć skutku a (P) ryzyka (PrZagrożenie zagrożenia Zastosowane zabezpieczenia (S) Jaka jest Skala: Pr = Akceptowalne/nieakceptoWskazać zagrożenie Wskazać czynniki, które Wskazać środki techniczne i Ocenia się szansa, że 1 lub 2 walne Zalecenia Postępowanie z ryzykiem – decyzja ADO mogą przyczynić się do organizacyjne, zastosowane do dotkliwość skutek się niskie, Pr Możliwe działania: zmiana poziomu ryzyka zdarzenia zapewnienia ochrony w ramach dla osoby, zmaterializ = 3 lub 4 poprzez zastosowanie zabezpieczenia / wskazanej czynności której uje, 1- średnie, Pr unikanie ryzyka / przeniesienie ryzyka / dane małe 2 = 6 lub 9 akceptacja ryzyka.

Transfer danych poza EOG Duża liczba partnerów biznesowych Zawarcie standardowych klauzul umownych, 3 1 3 akceptowalne Niezbędne jest monitorowanie, czy przez całyniezgodny z RODO świadczących usługi, zapewnienie podwykonawcom posiadającego okres świadczenia usługi zapewniona jest skoncentrowanie usług opartych na AI u firmy XYZ z siedzibą w Warszawie. certyfikat ISO 27001 lub zawarcie umowy powierzenia przetwarzania danych.

Utrata kontroli nad danymi Niejasny mechanizm działania Wprowadzenie polityki bezpieczeństwa korzystania z 3 2 6 nieakceptowalne Ograniczenie do minimum poufnych danych, algorytmu, możliwe błędy w narzędzi opartych o AI oraz listy które są wprowadzane do usługi, usłudze, wykorzystywanie przez firmę XYZ danych do profilowania. dozwolonych narzędzi, które przeszły niewprowadzanie danych osobowych.

Niedostępność usługi Awaria serwerów, błąd systemu po Usługa jedynie wspiera działanie 1 1 1 akceptowalne stronie dostawcy usługi. organizacji, ale nie jest niezbędna do świadczenia usług.

Podejmowanie decyzji Nieprzejrzysty mechanizm działania Informowanie użytkowników o fakcie 3 3 9 nieakceptowalne Wprowadzenie regulaminu korzystania zmających istotny wpływ na algorytmu, znane przypadki korzystania z usługi wykorzystującej narzędzi AI, w tym obowiązku weryfikowaniaczłowieka przez AI negatywnej interakcji narzędzi algorytmy AI. wyników generowanych przez usługi oraz AI z człowiekiem, zbyt duże konieczności takiego wykorzystania usługi, zaufanie przez firmę XYZ do aby wspierała działanie organizacji, ale aby wyników działań usługi. decyzje firmy XYZ nie opierały się w pełni na wynikach generowanych przez usługę, przypisanie odpowiedzialności za wynik działania do firmy XYZ.

Wykorzystanie danych przez Świadome działanie dostawcy usługi Wprowadzenie regulaminu korzystania z 3 2 6 nieakceptowalne Ograniczenie do minimum poufnych danych,firmę ABC usługi do lub błąd w agregacji danych, narzędzi opartych o AI oraz listy które są wprowadzane do usługi,własnych celów które za zgodą organizacji może dozwolonych narzędzi, które przeszły niewprowadzanie danych osobowych, wykorzystywać do swojej pozytywnie wewnętrzną analizę ryzyka. przeszkolenie personelu z zasad korzystania z analityki.

Błędne działanie algorytmu Błąd w algorytmie Regularne aktualizacje systemu 3 1 3 akceptowalne Wprowadzenie regulaminu korzystania zprowadzące do negatywnych narzędzi AI, w tym obowiązku weryfikowaniaskutków dla firmy XYZ lub wyników generowanych przez usługi orazfirmy ABC konieczności takiego wykorzystania usługi, aby wspierała działanie organizacji, ale aby decyzje firmy XYZ nie opierały się w pełni na wynikach generowanych przez usługę, przypisanie odpowiedzialności za wynik działania do firmy XYZ.

Nieuprawniony dostęp do Nieodebranie przez firmę ABC Dostęp do usługi jest powiązany z kontem 2 1 2 akceptowalnedanych uprawnień dostępu po zakończeniu użytkownika, które jest współpracy (błąd ludzki). wyłączane najpóźniej w dniu zakończenia współpracy, opracowano zasady deaktywacji kont oraz informowania użytkowników o zakończeniu współpracy.

Wyciek danych Atak hakerski, Za bezpieczeństwo usługi odpowiada 3 1 3 akceptowalne błąd systemu, usterka sprzętowa dostawca usługi CloudTech Solutions, który został poddany wewnętrznej analizie w zakresie bezpieczeństwa danych przed wdrożeniem usługi.

Naruszenie integralności Błąd systemu, Procedury zarządzania dostępem oraz 3 1 3 akceptowalnedanych w związku z zbyt szeroki dostęp do systemu. tworzenia kopii zapasowych danych, regularnausługą chmurową kontrola logów systemowych.

Zbyt długi czas Błąd systemu lub Określenie polityki przechowywania danych 1 1 1 akceptowalneprzechowywania danych brak zarządzania danymi, i odpowiednia konfiguracja usługi.

Strona 1