Release v1.4/toevoegen maatregelen (#179)

Co-authored-by: Nout van Deijck <[email protected]> Co-authored-by: ruthkoole <[email protected]> Co-authored-by: Ruth Koole <[email protected]> Co-authored-by: Floor Terra <[email protected]>
MinBZK · Aug 14, 2024 · 6f09c7b · 6f09c7b
1 parent 35d859e
commit 6f09c7b
Show file tree

Hide file tree

Showing 41 changed files with 1,473 additions and 279 deletions.
diff --git a/docs/maatregelen/archiveren_bewaartermijnen_implementeren.md b/docs/maatregelen/archiveren_bewaartermijnen_implementeren.md
diff --git a/docs/maatregelen/autorisatiematrix_inrichten.md b/docs/maatregelen/autorisatiematrix_inrichten.md
diff --git a/docs/maatregelen/benodigde_expertise_en_capaciteit.md b/docs/maatregelen/benodigde_expertise_en_capaciteit.md
@@ -0,0 +1,59 @@
+---
+title: Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.
+toelichting: De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.
+vereiste: 
+- zorgvuldigheidsbeginsel
+levenscyclus: 
+- probleemanalyse
+- ontwerp
+- ontwikkelen
+bouwblok: 
+- governance
+rollen:
+- proceseigenaar
+- behoeftesteller
+- beleidsmedewerker
+- inkoopadviseur
+- aanbieder
+- data-scientist
+- data-engineer
+
+hide:
+- navigation
+
+---
+
+<!-- tags -->
+
+## Maatregel
+<!-- Vul hier een omschrijving in van wat deze maatregel inhoudt. -->
+Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.
+
+## Toelichting
+<!-- Geef hier een toelichting van deze maatregel -->
+- Bepaal in een vroege fase (probleemanalyse en ontwerpfase) welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.
+- Dit is sterk afhankelijk van de specifieke toepassing en de (eerste) inzichten die voortkomen uit risicoanalyses. Hoe complexer en risicovoller de toepassing, des te meer expertise en capaciteit noodzakelijk is. 
+- [Interne en externe actoren die betrokken zijn bij het ontwikkelen](/betrek_belanghebbenden.md), inkopen en gebruik moeten over voldoende expertise en capaciteit beschikken om hun taken naar behoren uit te voeren.
+- Stel vast of er afhankelijkheden van externe aanbieders ontstaan.  
+- Bepaal voorafgaand aan het (laten)ontwikkelen of inkopen van algoritmes en AI-systemen of voldoende expertise en capaciteit beschikbaar is om tot een verantwoorde inzet ervan te komen.
+- Leg vast of er voldoende expertise en capaciteit beschikbaar is en onderbouw dit in projectdocumentatie.      
+
+## Bijbehorende vereiste(n)
+<!-- Hier volgt een lijst met vereisten op basis van de in de metadata ingevulde vereiste -->
+
+<!-- Let op! onderstaande regel met 'list_vereisten_on_maatregelen_page' niet weghalen! Deze maakt automatisch een lijst van bijbehorende verseisten op basis van de metadata  -->
+<!-- list_vereisten_on_maatregelen_page -->
+
+## Bronnen 
+<!-- Vul hier de relevante bronnen in voor deze maatregel -->
+
+| Bron                        |
+|-----------------------------|
+| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.12 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| 
+| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.02](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) |
+| Algoritmekader |        
+
+## Voorbeeld
+<!-- Voeg hier een voorbeeld toe, door er bijvoorbeeld naar te verwijzen -->
+
+Heb je een voorbeeld of best practice, laat het ons weten via [[email protected]](mailto:[email protected])
diff --git a/docs/maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure.md b/docs/maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure.md
@@ -0,0 +1,56 @@
+---
+title: Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. 
+toelichting: Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.
+vereiste:
+- archiefwet
+- bewaartermijn_voor_documentatie
+- beperkte_bewaartermijn_van_persoonsgegevens
+levenscyclus:
+- ontwikkelen
+- verificatie-en-validatie
+- monitoring-en-beheer
+bouwblok:
+- technische-robuustheid-en-veiligheid
+- privacy-en-gegevensbescherming
+rollen:
+- proceseigenaar
+- aanbieder
+- data-engineer
+- data-scientist
+- security-officer
+hide:
+- navigation
+---
+
+<!-- tags -->
+
+## Maatregel
+
+Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
+
+## Toelichting
+
+- (Persoons)gegevens die het algoritme of AI-systeemn verwerkt worden niet langer bewaard dan voor de verwezenlijking van de 
+verwerkingsdoeleinden noodzakelijk is.
+- Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
+- Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
+- Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende (zaak)systemen.
+- Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
+- Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.  
+
+## Bijbehorende vereiste(n)
+
+<!-- list_vereisten_on_maatregelen_page -->
+
+## Bronnen
+
+| Bron                        |
+|-----------------------------|
+| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)                    |
+| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.17](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag)|
+| Algoritmekader |
+
+## Voorbeeld
+
+Heb jij een goed voorbeeld? Laat het ons weten!
+
diff --git a/docs/maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md b/docs/maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md
@@ -0,0 +1,49 @@
+---
+title: Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.
+toelichting: Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data. 
+vereiste:
+- minimale_verwerking_van_persoonsgegevens.md
+- beveiliging_van_verwerking
+levenscyclus:
+- ontwerp
+- dataverkenning-en-datapreparatie
+- ontwikkelen
+bouwblok:
+- privacy-en-gegevensbescherming
+- technische-robuustheid-en-veiligheid
+rollen:
+- proceseigenaar
+- aanbieder
+- data-scientist
+- data-engineer
+- security-officer
+- privacy-officer
+hide:
+- navigation
+---
+
+<!-- tags -->
+## Maatregel
+
+Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data. 
+
+## Toelichting
+- Als is vastgesteld welke persoonsgegevens mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen, moet worden nagegaan of er maatregelen kunnen worden getroffen om deze te beschermen.
+- Hierbij kan worden gedacht aan het pseudonomiseren, anonimiseren of aggregeren van persoonsgegevens.
+- Het bepalen of persoonsgegevens mogen worden verwerkt voor algoritmes en AI-systemen moet worden bekeken in samenhang met maatregelen die kunnen worden getroffen om deze gegevens te beschermen. 
+
+
+## Bijbehorende vereiste(n)
+
+<!-- list_vereisten_on_maatregelen_page -->
+
+## Bronnen
+
+| Bron                        |
+|-----------------------------|
+| Algoritmekader |
+
+## Voorbeeld
+
+Heb jij een goed voorbeeld? Laat het ons weten!
+
diff --git a/docs/maatregelen/beschrijf_rollen_en_verantwoordelijkheden.md b/docs/maatregelen/beschrijf_rollen_en_verantwoordelijkheden.md
@@ -0,0 +1,66 @@
+---
+# vul hier een titel in voor deze maatregel
+title: Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. 
+# geef hier een korte toelichting van deze maatregel
+toelichting: Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.
+# vul hier de bestandsnamen in van de vereisten die horen bij deze maatregel
+vereiste: 
+- beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens
+- zorgvuldigheidsbeginsel
+# vul hier de fasen van de levenscyclus in die horen bij deze maatregel
+levenscyclus: 
+- ontwerp
+- dataverkenning-en-datapreparatie
+- ontwikkelen
+- implementatie
+- monitoring-en-beheer
+# vul hier de bouwblokken in die horen bij deze maatregel
+bouwblok:
+- privacy-en-gegevensbescherming
+- governance
+rollen:
+- proceseigenaar
+- privacy-officer
+- data-scientist
+- data-engineer
+- inkoopadviseur
+- contractbeheerder
+- aanbieder
+hide:
+- navigation
+---
+
+<!-- Let op! onderstaande regel met 'tags' niet weghalen! Deze maakt automatisch de knopjes op basis van de metadata  -->
+<!-- tags -->
+
+## Maatregel
+<!-- Vul hier een omschrijving in van wat deze maatregel inhoudt. -->
+Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. 
+
+## Toelichting 
+<!-- Geef hier een toelichting van deze maatregel -->
+- Duidelijkheid en borging van rollen en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van het proces rondom de ontwikkeling, inkoop en gebruik  van een algoritme.
+- Zeker wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van belang.
+- Een RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd, Informed/Geïnfomeerd) te bepalen.
+- Aanvullend hierop kan het wenselijk zijn om specifieke, gevoelige activiteiten nader uit te werken in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar onbwuste vooringenomenheid.  
+
+## Risico
+De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten.
+
+## Bijbehorende vereiste(n)
+<!-- Hier volgt een lijst met vereisten op basis van de in de metadata ingevulde vereiste -->
+
+<!-- Let op! onderstaande regel met 'list_vereisten_on_maatregelen_page' niet weghalen! Deze maakt automatisch een lijst van bijbehorende verseisten op basis van de metadata  -->
+<!-- list_vereisten_on_maatregelen_page -->
+
+## Bronnen 
+<!-- Vul hier de relevante bronnen in voor deze maatregel -->
+
+| [Toetsingskader Algoritmes Algemene Rekenkamer, 1.06](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) |
+| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.9 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| | Algoritmekader | 
+       
+
+## Voorbeeld
+<!-- Voeg hier een voorbeeld toe, door er bijvoorbeeld naar te verwijzen -->
+| [Rapport Kleur Bekennen, Algemene Rekenkamer, p. 114, figuur 5-4](https://rekenkamer.rotterdam.nl/wp-content/uploads/2024/05/RO2205-kleur-bekennen-vervolgonderzoek-algoritmes-rekenkamer-rotterdam.pdf)|
+
diff --git a/docs/maatregelen/betrek_belanghebbenden.md b/docs/maatregelen/betrek_belanghebbenden.md
@@ -1,11 +1,6 @@
 ---
-# vul hier een titel in voor deze maatregel
 title: Betrek belanghebbenden
-# geef hier een korte toelichting van deze maatregel
 toelichting: Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.
-vereiste:
-- 
-# vul hier de fasen van de levenscyclus in die horen bij deze maatregel
 levenscyclus: 
 - probleemanalyse
 - ontwerp
@@ -14,9 +9,11 @@ levenscyclus:
 - verificatie-en-validatie
 - implementatie
 - monitoring-en-beheer
-# vul hier de bouwblokken in die horen bij deze maatregel
 bouwblok: 
+- governance
 - fundamentele-rechten
+rollen:
+- projectleider
 hide:
 - navigation
 ---
@@ -81,6 +78,7 @@ Ontwikkelaars kunnen bijvoorbeeld missen dat in de context van het algoritme een
 
 ## Voorbeeld
 <!-- Voeg hier een voorbeeld toe, door er bijvoorbeeld naar te verwijzen -->
+
 Richt een burgerpanel in.
 
 Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder.

diff --git a/docs/maatregelen/contractuele_afspraken_data_en_artefacten.md b/docs/maatregelen/contractuele_afspraken_data_en_artefacten.md
@@ -15,6 +15,8 @@ rollen:
 - contractbeheerder
 - aanbestedingsjurist
 - aanbieder
+- informatiebeheerder
+
 hide:
 - navigation
 ---