Merge branch 'MinBZK:main' into main

docs/onderwerpen/privacy-en-gegevensbescherming.md

@@ -4,29 +4,59 @@ hide:
 - path
 ---
 
-Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te creëren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.  
+# Privacy en persoonsgegevens beschermen in algoritmes
+Overheden die algoritmes gebruiken, moeten de persoonsgegevens van burgers beschermen. Hiervan gebruik je niet meer dan nodig is. En je beveiligt deze gegevens goed.
+
+## Wat is het beschermen van privacy en persoonsgegevens in algoritmes?
+Overheidsalgoritmes mogen persoonsgegevens gebruiken, zolang je de privacy van burgers en bedrijven niet schendt. En wanneer je netjes omgaat met hun persoonsgegevens.
+Dit betekent:
 
+* [Verantwoord gebruik van data](data.md), zoals [rechtmatig persoonsgegevens](../voldoen-aan-wetten-en-regels/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.md) gebruiken
+* [Beveiligen](technische-robuustheid-en-veiligheid.md) van persoonsgegevens
+* [Transparant](transparantie.md) zijn over het gebruik van persoonsgegevens
 
-Bij het gebruik van algoritmes is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologieën variëren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico’s. 
-Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico’s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen. 
+Als overheid moet je hier goed op letten. Doe dit zo vroeg mogelijk in de [levenscyclus](../levenscyclus/index.md) van het algoritme.
 
-Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. 
-Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces. 
+## Rechtmatig persoonsgegevens gebruiken
+Als je persoonsgegevens gebruikt voor algoritmes, moet je rekening houden met wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Auteurswet. De belangrijkste regels zijn:
 
-Het bouwblok privacy en gegevensbescherming van algoritmes wordt ook geïntegreerd in de algoritmelevenscyclus. 
-Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmes moeten worden toegepast. 
-Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden geïmplementeerd. 
+* Gebruik alleen persoonsgegevens die je mag gebruiken voor het doel van je algoritme: je hebt toestemming van de eigenaar, of het mag volgens de wet.
+* Gebruik zo min mogelijk persoonsgegevens om dit doel bereiken. 
 
+Je organisatie beoordeelt zelf welke persoonsgegevens nodig zijn voor een bepaald doel. Dit kan lastig zijn. Want welke gegevens zijn bijvoorbeeld nodig als je vooraf niet weet welke verbanden het algoritme legt?
+
+De persoonsgegevens die overblijven, gebruik je zo minimaal mogelijk. Hoe minimaal dat is, bepaalt je organisatie zelf. Technieken om privacy zoveel mogelijk te beschermen zijn:
+* Anonimiseren: data zoveel mogelijk anoniem maken
+* [Pseudonimiseren](https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/beveiliging-van-persoonsgegevens/gegevens-pseudonimiseren): data moeilijker herleidbaar maken naar personen
+* Aggregeren: data zoveel mogelijk combineren of samenvoegen tot 1 waarde, zoals een totaal of gemiddelde
+
+Tip
+Leg de keuzes die je maakt duidelijk uit. Zo voorkom je fouten op de werkvloer. Gevoelige persoonsgegevens voor doel A mag je bijvoorbeeld niet automatisch voor doel B gebruiken.
+
+## Belang van privacy en persoonsgegevens beschermen
+Algoritmes die persoonsgegevens verwerken, kunnen snel de privacy schenden van grote groepen mensen. Vooral [impactvolle algoritmes](../overhetalgoritmekader/impact-van-algoritmes.md) kunnen veel schade veroorzaken in de maatschappij.
+
+Wanneer je de privacy en persoonsgegevens van mensen goed beschermt, voorkom je:
+* Gebruik van persoonsgegevens voor het verkeerde doel, zoals het per ongeluk publiceren van iemands paspoortfoto op de website van een gemeente.
+* Discriminatie, bijvoorbeeld door onnodig gebruik van leeftijd in een algoritme.
+* Lekken van persoonsgegevens.
+
+Persoonsgegevens helemaal niet gebruiken, is onmogelijk. Voor sommige taken kunnen overheden niet meer zonder algoritmes, bijvoorbeeld voor het beoordelen van grote aantallen aanvragen voor subsidies of vergunningen. Hiervoor zijn persoonsgegevens nodig zoals iemands naam, adres of bepaalde kenmerken.
+
 ## Vereisten { data-search-exclude }
 
 <!-- list_vereisten onderwerp/privacy-en-gegevensbescherming no-search no-onderwerp no-rol no-levenscyclus -->
 
 
-## Maatregelen { data-search-exclude }
+## Aanbevolen maatregelen { data-search-exclude }
 
 <!-- list_maatregelen onderwerp/privacy-en-gegevensbescherming no-search no-onderwerp no-rol no-levenscyclus -->
 
-## Hulpmiddelen
+## Aanbevolen hulpmiddelen
 
 
 <!-- list_hulpmiddelen onderwerp/privacy-en-gegevensbescherming no-search no-onderwerp no-rol no-levenscyclus no-id -->
+
+
+## Help ons deze pagina te verbeteren
+Deel je idee, suggestie of opmerking via [GitHub](https://github.com/MinBZK/Algoritmekader/issues/new/choose) of mail ons via [[email protected]](mailto:[email protected]).

docs/voldoen-aan-wetten-en-regels/vereisten/aia-01-ai-geletterdheid.md

@@ -1,7 +1,8 @@
 ---
-title: Personeel en gebruikers zijn voldoende AI-geletterd
+title: Personeel en gebruikers zijn voldoende AI-geletterd.
 id: urn:nl:ak:ver:aia-01
-toelichting: Aanbieders en gebruiksverantwoordelijken van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
+toelichting: Aanbieders en gebruiksverantwoordelijken van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. 
+
 levenscyclus: 
 - organisatieverantwoordelijkheden
 onderwerp: 
@@ -28,15 +29,20 @@ rollen:
 
 ## Vereiste
 
-Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
+Personeel en gebruikers zijn voldoende AI-geletterd.
 
 ## Toelichting 
 
-Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om ervoor te zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI.
-Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. 
-Daarnaast moet er worden ingezet op het delen van ervaringen, passend onderwijs en opleiding van inidividuen.
+Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken.
+
+Zij houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
+
+De AI-kennisplicht betekent bijvoorbeeld dat een HR-medewerker moet begrijpen dat een AI-systeem vooroordelen kan bevatten of essentiële informatie kan negeren, waardoor een sollicitant onterecht wel of juist niet wordt voorgedragen. En een baliemedewerker bij een gemeente die een AI-systemen gebruikt om de burgers te helpen, moet beseffen dat deze systemen vaak niet even goed werken voor iedereen. En dat diegene de uitkomsten van dit soort AI-systemen niet blindelings kan volgen.  
+
 Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
 
+Vanaf februari 2025 treedt deze vereiste in werking. 
+
 ## Bronnen 
 
 [Artikel 4 Verordening Artificiële Intelligentie](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202401689#d1e2799-1-1)
@@ -47,6 +53,7 @@ Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat
 ## Risico 
 
 Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt.
+
 Dit kan leiden tot inefficiëntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.
 
 ## Maatregelen { data-search-exclude } 

docs/voldoen-aan-wetten-en-regels/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai.md

@@ -1,7 +1,7 @@
 ---
-title: Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd
+title: Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.
 id: urn:nl:ak:ver:aia-02
-toelichting: Een aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
+toelichting: Een aanbieder die van mening is dat er geen sprake is van een in bijlage III bedoeld AI-systeem, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
 levenscyclus:
 - ontwerp
 onderwerp:
@@ -22,15 +22,15 @@ rollen:
 
 <!-- tags -->
 ## Vereiste
-Een aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld.
-Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening.
-Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
+Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.
 
 ## Toelichting
+Een aanbieder die van mening is dat er geen sprake is van een in bijlage III bedoeld AI-systeem, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. 
+
+Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
 
-Een aanbieder die oordeelt dat een AI-systeem niet valt onder hoog-risico zoals gefedinieerd in bijlage III van de AI-verordening, documenteert deze beoordeling voorafgaand aan het in de handel brengen of in gebruik nemen van het systeem.
-Op verzoek van de nationale autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
 De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening).
+
 AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
 
 ## Bronnen
@@ -45,7 +45,7 @@ AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke
 
 ## Risico
 
-Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van risicovolle AI-systemen.
+Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van (risicovolle) AI-systemen.
 
 
 ## Maatregelen { data-search-exclude }

docs/voldoen-aan-wetten-en-regels/vereisten/aia-03-risicobeheersysteem.md

@@ -26,16 +26,17 @@ Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastges
 
 ## Toelichting
 
-Het systeem voor risicobeheer moet bestaan uit een tijdens de gehele levensduur van een AI-systeem met een hoog risico doorlopend en gepland iteratief proces.
-Dit proces moet gericht zijn op het vaststellen en beperken van de relevante risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten.
-Het systeem voor risicobeheer moet periodiek worden geëvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.
+Het systeem voor risicobeheer moet bestaan uit een gepland iteratief proces, dat tijdens de [gehele levensduur](levenscyclus/index.md) van een hoog-risico AI-systeem wordt doorlopen. Een organisatie moet ervoor zorgen dat een risicobeheersysteem wordt ingericht in de organisatie. 
+
+Het risicobeheersysteem moet gericht zijn op het vaststellen en beperken van de relevante risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten met passende maatregelen. 
 
+Het systeem voor risicobeheer moet periodiek worden geëvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.
 
 Dit proces moet ervoor zorgen dat de aanbieder de risico’s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten.
-Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico’s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt.
-Het systeem voor risicobeheer moet de passendste risicobeheersmaatregelen vaststellen.
-Bij het vaststellen van de passendste risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes documenteren en toelichten en, in voorkomend geval, deskundigen en externe belanghebbenden betrekken.
-Bij het vaststellen van het redelijkerwijs te voorzien misbruik van AI-systemen met een hoog risico moet de aanbieder aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.
+
+Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico’s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. De aanbieder moet aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.
+
+Bij het vaststellen van passende risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes hebben gedocumenteerd en voorzien van een toelichting en, in voorkomend geval, deskundigen en externe belanghebbenden hierbij betrekken.
 
 ## Bronnen
 [Artikel 9(1) Verordening Artificiële Intelligentie](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202401689#d1e3241-1-1)
@@ -49,5 +50,6 @@ Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en
 
 
 ## Maatregelen { data-search-exclude }
+
 
 <!-- list_maatregelen vereiste/aia-03-risicobeheersysteem no-search no-onderwerp no-rol no-levenscyclus -->

docs/voldoen-aan-wetten-en-regels/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren.md

@@ -1,7 +1,7 @@
 ---
-title: Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen
+title: Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen.
 id: urn:nl:ak:ver:aia-04
-toelichting: Bij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
+toelichting: Bij het doorlopen, het periodieke systematische toetsen en actualiseren van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
 levenscyclus:
 - ontwerp
 - monitoring-en-beheer
@@ -23,13 +23,16 @@ hide:
 ---
 
 <!-- tags -->
+
 ## Vereiste
 
-Bij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
+Bij het doorlopen, het periodieke systematische toetsen en actualiseren van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
 
 ## Toelichting
 
-Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen. Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.
+Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen.
+
+Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.
 
 ## Bronnen