From 6f09c7b5ceb5c130e87fe47258acecf62cd68ddf Mon Sep 17 00:00:00 2001 From: BartdeVisser <155545133+BartdeVisser@users.noreply.github.com> Date: Wed, 14 Aug 2024 10:22:42 +0200 Subject: [PATCH] Release v1.4/toevoegen maatregelen (#179) Co-authored-by: Nout van Deijck <168716911+noutvandeijck@users.noreply.github.com> Co-authored-by: ruthkoole Co-authored-by: Ruth Koole <71120805+ruthkoole@users.noreply.github.com> Co-authored-by: Floor Terra --- ...rchiveren_bewaartermijnen_implementeren.md | 48 -------- .../autorisatiematrix_inrichten.md | 49 -------- .../benodigde_expertise_en_capaciteit.md | 59 +++++++++ ...nen_en_inrichten_vernietigingsprocedure.md | 56 +++++++++ ...soonsgegevens_die_mogen_worden_verwerkt.md | 49 ++++++++ ...schrijf_rollen_en_verantwoordelijkheden.md | 66 ++++++++++ docs/maatregelen/betrek_belanghebbenden.md | 10 +- ...ntractuele_afspraken_data_en_artefacten.md | 2 + ...e_betekenisvolle_menselijke_tussenkomst.md | 44 ------- ...onimisering_aggregeren_persoonsgegevens.md | 43 ------- ...rsoonsgegevens_welbepaald_en_omschreven.md | 55 +++++++++ ..._proces_kunnen_toepassen_privacyrechten.md | 55 +++++++++ ...s_onderdeel_beoordeling_inschrijving.md.md | 18 +++ ...iste_onderdeel_van_contractovereenkomst.md | 14 ++- ...e_onderdeel_van_service_level_agreement.md | 7 +- ...systemen_onder_van_contractvoorwaarden.md} | 25 ++-- docs/maatregelen/menselijke_tussenkomst.md | 71 +++++++++++ ...stgestelde_beleidskaders_zijn_nageleefd.md | 77 ++++++++++++ .../periodieke_evaluatie_kwaliteit.md | 88 +++++++++++++ ...ens_die_worden_verwerkt_zijn_beschreven.md | 57 +++++++++ .../politiek-bestuurlijk_besluit.md | 58 +++++++++ .../publiceren_in_algoritmeregister.md | 68 ++++++++++ docs/maatregelen/stel_een_RACI-matrix_op.md | 61 --------- docs/maatregelen/stopzetten_gebruik.md | 87 +++++++++++++ docs/maatregelen/toepassen_risicobeheer.md | 116 ++++++++++++++++++ .../uitvoeren_audit_voor_naleving_vereiste.md | 12 ++ ...erende_maatregelen_voor_privacyrisico's.md | 64 ++++++++++ ...igde_kennisoverdracht_en_ondersteuning.md} | 0 ...stellen_rollen_en_verantwoordelijkheden.md | 54 ++++++++ ..._verantwoordelijkheden_persoonsgegevens.md | 57 +++++++++ .../vermelding_in_privacyverklaring.md | 72 +++++++++++ .../vermelding_in_verwerkingsregister.md | 58 +++++++++ ...tgeving_beleid_naar_werkproces_systemen.md | 73 +++++++++++ ...aliteit_en_toegankelijkheidsanalyse_uit.md | 2 + .../voer_een_project_startarchitectuur_uit.md | 62 ++++++++++ ...n_ai_modellen_voor_algemene_doeleinden_.md | 3 +- ...jkheden_bij_verwerking_persoonsgegevens.md | 4 - .../dpia_verplicht_bij_hoog_risico.md | 1 + ..._bewaren_automatisch_gegenereerde_logs.md} | 6 +- ...erp_bij_verwerking_van_persoonsgegevens.md | 1 + ...ten.md => recht_op_uitleg_AI-besluiten.md} | 0 41 files changed, 1473 insertions(+), 279 deletions(-) delete mode 100644 docs/maatregelen/archiveren_bewaartermijnen_implementeren.md delete mode 100644 docs/maatregelen/autorisatiematrix_inrichten.md create mode 100644 docs/maatregelen/benodigde_expertise_en_capaciteit.md create mode 100644 docs/maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure.md create mode 100644 docs/maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md create mode 100644 docs/maatregelen/beschrijf_rollen_en_verantwoordelijkheden.md delete mode 100644 docs/maatregelen/controle_mechanisme_betekenisvolle_menselijke_tussenkomst.md delete mode 100644 docs/maatregelen/dataminimalisatie_pseudonimisering_anonimisering_aggregeren_persoonsgegevens.md create mode 100644 docs/maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven.md create mode 100644 docs/maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten.md rename docs/maatregelen/{maak_vereiste_onder_van_contractvoorwaarden.md => maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden.md} (77%) create mode 100644 docs/maatregelen/menselijke_tussenkomst.md create mode 100644 docs/maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd.md create mode 100644 docs/maatregelen/periodieke_evaluatie_kwaliteit.md create mode 100644 docs/maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven.md create mode 100644 docs/maatregelen/politiek-bestuurlijk_besluit.md create mode 100644 docs/maatregelen/publiceren_in_algoritmeregister.md delete mode 100644 docs/maatregelen/stel_een_RACI-matrix_op.md create mode 100644 docs/maatregelen/stopzetten_gebruik.md create mode 100644 docs/maatregelen/toepassen_risicobeheer.md create mode 100644 docs/maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico's.md rename docs/maatregelen/{vaststellen_benodigde_kennisoverdracht_enondersteuning.md => vaststellen_benodigde_kennisoverdracht_en_ondersteuning.md} (100%) create mode 100644 docs/maatregelen/vaststellen_rollen_en_verantwoordelijkheden.md create mode 100644 docs/maatregelen/vaststellen_verantwoordelijkheden_persoonsgegevens.md create mode 100644 docs/maatregelen/vermelding_in_privacyverklaring.md create mode 100644 docs/maatregelen/vermelding_in_verwerkingsregister.md create mode 100644 docs/maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen.md create mode 100644 docs/maatregelen/voer_een_project_startarchitectuur_uit.md rename docs/vereisten/{gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs .md => gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs.md} (94%) rename docs/vereisten/{Recht_of_uitleg_AI-besluiten.md => recht_op_uitleg_AI-besluiten.md} (100%) diff --git a/docs/maatregelen/archiveren_bewaartermijnen_implementeren.md b/docs/maatregelen/archiveren_bewaartermijnen_implementeren.md deleted file mode 100644 index a4512a0a6c..0000000000 --- a/docs/maatregelen/archiveren_bewaartermijnen_implementeren.md +++ /dev/null @@ -1,48 +0,0 @@ ---- -title: Bewaartermijnen zijn toegepast -toelichting: Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is. -vereiste: -- archiefwet -- bewaartermijn_voor_documentatie -levenscyclus: -- ontwikkelen -- verificatie-en-validatie -bouwblok: -- governance -- technische-robuustheid-en-veiligheid -rollen: -- proceseigenaar -- aanbieder -- data-engineer -- data-scientist -- security-officer -hide: -- navigation ---- - - - -## Maatregel - -Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. -Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is. - -## Toelichting - -Hierbij kan worden gedacht aan het inrichten van de bewaartermijn voor logbestanden bij Cloudoplossingen of het bewaren van de output van algoritmen of AI-systemen in zaaksystemen. -Een aanbieder moet - -## Bijbehorende vereiste(n) - - - -## Bronnen - -| Bron | -|-----------------------------| -| Algoritmekader | - -## Voorbeeld - -Heb jij een goed voorbeeld? Laat het ons weten! - diff --git a/docs/maatregelen/autorisatiematrix_inrichten.md b/docs/maatregelen/autorisatiematrix_inrichten.md deleted file mode 100644 index 2b629f8822..0000000000 --- a/docs/maatregelen/autorisatiematrix_inrichten.md +++ /dev/null @@ -1,49 +0,0 @@ ---- -title: Stel een autorisatiematrix op -toelichting: Uitsluitend bevoegde personen mogen de data verwerken en mogen werken aan de ontwikkeling van de algoritmes en AI-systemen. Maak hierover afspraken met de aanbieder. -vereiste: -- beveiliging_van_verwerking -levenscyclus: -- ontwerp -- dataverkenning-en-datapreparatie -- ontwikkelen -- implementatie -bouwblok: -- privacy-en-gegevensbescherming -- technische-robuustheid-en-veiligheid -rollen: -- proceseigenaar -- aanbieder -- security-officer -- inkoopadviseur -hide: -- navigation ---- - - - -## Maatregel - -Uitsluitend bevoegde personen mogen de data verwerken en mogen werken aan de ontwikkeling van de algoritmes en AI-systemen. -Maak hierover afspraken met de aanbieder. - -## Toelichting - -Stel een RACI-matrix op en definieer rollen en verantwoordelijkheden. -Verwerk dit in de ontwikkelomgeving (inrichten rollen en bevoegdheden). - - -## Bijbehorende vereiste(n) - - - -## Bronnen - -| Bron | -|-----------------------------| -|[Baseline Informatiebeveiliging Overheid](https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/cybersecurity/bio-en-ensia/baseline-informatiebeveiliging-overheid/)| - -## Voorbeeld - -Heb jij een goed voorbeeld? Laat het ons weten! - diff --git a/docs/maatregelen/benodigde_expertise_en_capaciteit.md b/docs/maatregelen/benodigde_expertise_en_capaciteit.md new file mode 100644 index 0000000000..a90faaefa0 --- /dev/null +++ b/docs/maatregelen/benodigde_expertise_en_capaciteit.md @@ -0,0 +1,59 @@ +--- +title: Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. +toelichting: De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen. +vereiste: +- zorgvuldigheidsbeginsel +levenscyclus: +- probleemanalyse +- ontwerp +- ontwikkelen +bouwblok: +- governance +rollen: +- proceseigenaar +- behoeftesteller +- beleidsmedewerker +- inkoopadviseur +- aanbieder +- data-scientist +- data-engineer + +hide: +- navigation + +--- + + + +## Maatregel + +Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. + +## Toelichting + +- Bepaal in een vroege fase (probleemanalyse en ontwerpfase) welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. +- Dit is sterk afhankelijk van de specifieke toepassing en de (eerste) inzichten die voortkomen uit risicoanalyses. Hoe complexer en risicovoller de toepassing, des te meer expertise en capaciteit noodzakelijk is. +- [Interne en externe actoren die betrokken zijn bij het ontwikkelen](/betrek_belanghebbenden.md), inkopen en gebruik moeten over voldoende expertise en capaciteit beschikken om hun taken naar behoren uit te voeren. +- Stel vast of er afhankelijkheden van externe aanbieders ontstaan. +- Bepaal voorafgaand aan het (laten)ontwikkelen of inkopen van algoritmes en AI-systemen of voldoende expertise en capaciteit beschikbaar is om tot een verantwoorde inzet ervan te komen. +- Leg vast of er voldoende expertise en capaciteit beschikbaar is en onderbouw dit in projectdocumentatie. + +## Bijbehorende vereiste(n) + + + + + +## Bronnen + + +| Bron | +|-----------------------------| +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.12 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.02](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| Algoritmekader | + +## Voorbeeld + + +Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) diff --git a/docs/maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure.md b/docs/maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure.md new file mode 100644 index 0000000000..1db12dbfd4 --- /dev/null +++ b/docs/maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure.md @@ -0,0 +1,56 @@ +--- +title: Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. +toelichting: Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is. +vereiste: +- archiefwet +- bewaartermijn_voor_documentatie +- beperkte_bewaartermijn_van_persoonsgegevens +levenscyclus: +- ontwikkelen +- verificatie-en-validatie +- monitoring-en-beheer +bouwblok: +- technische-robuustheid-en-veiligheid +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- aanbieder +- data-engineer +- data-scientist +- security-officer +hide: +- navigation +--- + + + +## Maatregel + +Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. + +## Toelichting + +- (Persoons)gegevens die het algoritme of AI-systeemn verwerkt worden niet langer bewaard dan voor de verwezenlijking van de +verwerkingsdoeleinden noodzakelijk is. +- Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA. +- Beschrijf hoe de (persoons)gegeven moeten worden vernietigd. +- Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende (zaak)systemen. +- Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden. +- Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden. + +## Bijbehorende vereiste(n) + + + +## Bronnen + +| Bron | +|-----------------------------| +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.17](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag)| +| Algoritmekader | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! + diff --git a/docs/maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md b/docs/maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md new file mode 100644 index 0000000000..efaaa01546 --- /dev/null +++ b/docs/maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md @@ -0,0 +1,49 @@ +--- +title: Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. +toelichting: Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data. +vereiste: +- minimale_verwerking_van_persoonsgegevens.md +- beveiliging_van_verwerking +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +bouwblok: +- privacy-en-gegevensbescherming +- technische-robuustheid-en-veiligheid +rollen: +- proceseigenaar +- aanbieder +- data-scientist +- data-engineer +- security-officer +- privacy-officer +hide: +- navigation +--- + + +## Maatregel + +Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data. + +## Toelichting +- Als is vastgesteld welke persoonsgegevens mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen, moet worden nagegaan of er maatregelen kunnen worden getroffen om deze te beschermen. +- Hierbij kan worden gedacht aan het pseudonomiseren, anonimiseren of aggregeren van persoonsgegevens. +- Het bepalen of persoonsgegevens mogen worden verwerkt voor algoritmes en AI-systemen moet worden bekeken in samenhang met maatregelen die kunnen worden getroffen om deze gegevens te beschermen. + + +## Bijbehorende vereiste(n) + + + +## Bronnen + +| Bron | +|-----------------------------| +| Algoritmekader | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! + diff --git a/docs/maatregelen/beschrijf_rollen_en_verantwoordelijkheden.md b/docs/maatregelen/beschrijf_rollen_en_verantwoordelijkheden.md new file mode 100644 index 0000000000..3021618f5b --- /dev/null +++ b/docs/maatregelen/beschrijf_rollen_en_verantwoordelijkheden.md @@ -0,0 +1,66 @@ +--- +# vul hier een titel in voor deze maatregel +title: Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. +# geef hier een korte toelichting van deze maatregel +toelichting: Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld. +# vul hier de bestandsnamen in van de vereisten die horen bij deze maatregel +vereiste: +- beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens +- zorgvuldigheidsbeginsel +# vul hier de fasen van de levenscyclus in die horen bij deze maatregel +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- implementatie +- monitoring-en-beheer +# vul hier de bouwblokken in die horen bij deze maatregel +bouwblok: +- privacy-en-gegevensbescherming +- governance +rollen: +- proceseigenaar +- privacy-officer +- data-scientist +- data-engineer +- inkoopadviseur +- contractbeheerder +- aanbieder +hide: +- navigation +--- + + + + +## Maatregel + +Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. + +## Toelichting + +- Duidelijkheid en borging van rollen en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van het proces rondom de ontwikkeling, inkoop en gebruik van een algoritme. +- Zeker wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van belang. +- Een RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd, Informed/Geïnfomeerd) te bepalen. +- Aanvullend hierop kan het wenselijk zijn om specifieke, gevoelige activiteiten nader uit te werken in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar onbwuste vooringenomenheid. + +## Risico +De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten. + +## Bijbehorende vereiste(n) + + + + + +## Bronnen + + +| [Toetsingskader Algoritmes Algemene Rekenkamer, 1.06](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.9 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| | Algoritmekader | + + +## Voorbeeld + +| [Rapport Kleur Bekennen, Algemene Rekenkamer, p. 114, figuur 5-4](https://rekenkamer.rotterdam.nl/wp-content/uploads/2024/05/RO2205-kleur-bekennen-vervolgonderzoek-algoritmes-rekenkamer-rotterdam.pdf)| + diff --git a/docs/maatregelen/betrek_belanghebbenden.md b/docs/maatregelen/betrek_belanghebbenden.md index 6e1cbf750f..fe7247f223 100644 --- a/docs/maatregelen/betrek_belanghebbenden.md +++ b/docs/maatregelen/betrek_belanghebbenden.md @@ -1,11 +1,6 @@ --- -# vul hier een titel in voor deze maatregel title: Betrek belanghebbenden -# geef hier een korte toelichting van deze maatregel toelichting: Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus. -vereiste: -- -# vul hier de fasen van de levenscyclus in die horen bij deze maatregel levenscyclus: - probleemanalyse - ontwerp @@ -14,9 +9,11 @@ levenscyclus: - verificatie-en-validatie - implementatie - monitoring-en-beheer -# vul hier de bouwblokken in die horen bij deze maatregel bouwblok: +- governance - fundamentele-rechten +rollen: +- projectleider hide: - navigation --- @@ -81,6 +78,7 @@ Ontwikkelaars kunnen bijvoorbeeld missen dat in de context van het algoritme een ## Voorbeeld + Richt een burgerpanel in. Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder. diff --git a/docs/maatregelen/contractuele_afspraken_data_en_artefacten.md b/docs/maatregelen/contractuele_afspraken_data_en_artefacten.md index b5789e19f7..a24af81477 100644 --- a/docs/maatregelen/contractuele_afspraken_data_en_artefacten.md +++ b/docs/maatregelen/contractuele_afspraken_data_en_artefacten.md @@ -15,6 +15,8 @@ rollen: - contractbeheerder - aanbestedingsjurist - aanbieder +- informatiebeheerder + hide: - navigation --- diff --git a/docs/maatregelen/controle_mechanisme_betekenisvolle_menselijke_tussenkomst.md b/docs/maatregelen/controle_mechanisme_betekenisvolle_menselijke_tussenkomst.md deleted file mode 100644 index 2280bf882b..0000000000 --- a/docs/maatregelen/controle_mechanisme_betekenisvolle_menselijke_tussenkomst.md +++ /dev/null @@ -1,44 +0,0 @@ ---- -title: Controle mechanisme voor betekenisvolle menselijke tussenkomst bij gebruiken output -toelichting: Zorg voor een controle mechanisme waarmee kan worden voorkomen dat gebruikers belangrijke output van algoritmen en AI-systemen, zonder betekenisvolle menselijke tussenkomst, bv. enkel met doorklikken, kunnen overnemen. -vereiste: -- recht_op_niet_geautomatiseerd_besluitvorming -levenscyclus: -- ontwikkelen -- monitoring-en-beheer -bouwblok: -- menselijke-controle -rollen: -- proceseigenaar -- gebruiker -- aanbieder -hide: -- navigation ---- - - -## Maatregel - -Zorg voor een controle mechanisme waarmee kan worden voorkomen dat gebruikers belangrijke output van algoritmen en AI-systemen, zonder betekenisvolle menselijke tussenkomst, bv. -enkel met doorklikken, kunnen overnemen. - - -## Toelichting - -Dit punt is onderdeel van een procesinrichting bij de gebruiksverantwoordelijke en gebruiker van het algoritme of AI-systeem en zou technisch gefaciliteerd moeten kunnen worden. -Dit ligt dan deels bij de aanbieder als het door de opdrachtgever wordt voorgeschreven dat doorklikken niet hetzelfde is als menselijke tussenkomst en in dat kader de technische mogelijkheid moet worden voorkomen. - -## Bijbehorende vereiste(n) - - - -## Bronnen - -| Bron | -|-----------------------------| -|Algoritmekader| - -## Voorbeeld - -Heb jij een goed voorbeeld? Laat het ons weten! - diff --git a/docs/maatregelen/dataminimalisatie_pseudonimisering_anonimisering_aggregeren_persoonsgegevens.md b/docs/maatregelen/dataminimalisatie_pseudonimisering_anonimisering_aggregeren_persoonsgegevens.md deleted file mode 100644 index b91b46c3bb..0000000000 --- a/docs/maatregelen/dataminimalisatie_pseudonimisering_anonimisering_aggregeren_persoonsgegevens.md +++ /dev/null @@ -1,43 +0,0 @@ ---- -title: Pas maatregelen toe om (persoons)gegevens te beschermen -toelichting: Pas maatregelen toe als dataminimalisatie, pseudonimisering, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de (trainings)data. -vereiste: -- beveiliging_van_verwerking -levenscyclus: -- ontwerp -- dataverkenning-en-datapreparatie -- ontwikkelen -bouwblok: -- privacy-en-gegevensbescherming -- technische-robuustheid-en-veiligheid -rollen: -- proceseigenaar -- aanbieder -- data-engineer -- security-officer -- privacy-officer -hide: -- navigation ---- - - -## Maatregel - -Pas maatregelen toe als dataminimalisatie, pseudonimisering, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de (trainings)data. - -## Toelichting - -## Bijbehorende vereiste(n) - - - -## Bronnen - -| Bron | -|-----------------------------| -|Art. 25 AVG Algemene Verordening Gegevensbescherming| - -## Voorbeeld - -Heb jij een goed voorbeeld? Laat het ons weten! - diff --git a/docs/maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven.md b/docs/maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven.md new file mode 100644 index 0000000000..af47ab5ff4 --- /dev/null +++ b/docs/maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven.md @@ -0,0 +1,55 @@ +--- +title: Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. +toelichting: Persoonsgegevens mogen alleen verzameld worden voor een ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding). +vereiste: +- persoonsgegevens_worden_rechtmatig_verwerkt +- zorgvuldigheidsbeginsel + +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie +bouwblok: +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- privacy-officer + +hide: +- navigation +--- + + + +## Maatregel + +Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. + +## Toelichting + +- Persoonsgegevens mogen alleen worden verwerkt voor een ‘welbepaald, uitdrukkelijk omschreven en gerechtvaardigd’ doel; +- De wettelijke grondslag / wettelijke taak voor de verwerking van de persoonsgegevens moet zijn beschreven, bijvoorbeeld in een DPIA; +- De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van het algoritme of AI-systeem moet verenigbaar met het oorspronkelijke verwerkingsdoel (doelbinding); +- Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven. + +## Bijbehorende vereiste(n) + + + + +## Risico +Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen. + + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.01, 3.05](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.4](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| Algoritmekader | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! diff --git a/docs/maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten.md b/docs/maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten.md new file mode 100644 index 0000000000..53af71710a --- /dev/null +++ b/docs/maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten.md @@ -0,0 +1,55 @@ +--- +title: Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. +toelichting: Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen. +vereiste: +- inroepen_privacyrecht_bij_verwerking_persoonsgegevens + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- monitoring-en-beheer +bouwblok: +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- aanbieder +- data-engineer +- data-scientist +- privacy-officer + +hide: +- navigation +--- + + + +## Maatregel + +Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen worden ontwikkeld of gebruikt. + +## Toelichting + +- Betrokkenen moeten hun persoonsgegevens kunnen inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen. +- Betrokkenen moeten hun verzoek kunnen indienen bij de betreffende organisatie. Denk hierbij aan het inrichten van een privacyloket. +- Er zullen afspraken moeten worden gemaakt door servicemanagement in te richten hoe deze verzoeken effectief kunnen worden behandeld door bijvoorbeeld door het ontwikkel- of beheerteam (aanbieder). +- Bij het inrichten van servicemanagement moet zijn nagedacht over hoe een verzoek tot het inzien, rectificeren, verwijderen of beperken van de verwerking van persoonsgegevens op een betekenisvolle manier kan of moet worden behandeld. + +## Bijbehorende vereiste(n) + + + +## Risico +Betrokkenen hebben geen controle over hun persoonsgegevens doordat ze geen beroep kunnen doen op hun privacyrechten. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.9](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| Algoritmekader | + +## Voorbeeld + +| [Privacyverzoek Gemeente Amsterdam](https://formulieren.amsterdam.nl/TriplEforms/DirectRegelen/formulier/nl-NL/evAmsterdam/Privacy.aspx/fPrivacyVerzoek) | + diff --git a/docs/maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md.md b/docs/maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md.md index 3685494669..fc5470010f 100644 --- a/docs/maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md.md +++ b/docs/maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md.md @@ -31,6 +31,7 @@ vereiste: - verstrekking_van_informatie_op_verzoek - recht_op_toegang_tot_publieke_informatie + # vul hier de fasen van de levenscyclus in die horen bij deze maatregel levenscyclus: - ontwerp @@ -38,6 +39,19 @@ levenscyclus: # vul hier de bouwblokken in die horen bij deze maatregel bouwblok: - publieke-inkoop + +# vul hier de rollen in die betrokken zijn bij deze maatregel +rollen: +- proceseigenaar +- behoeftesteller +- data-scientist +- ethicus +- privacy-officer +- security-officer +- inkoopadviseur +- contractbeheerder +- aanbestedingsjurist + hide: - navigation --- @@ -68,3 +82,7 @@ Door de inschrijver/aanbieder bewijs te laten leveren dat deze voldoet aan de ve ## Voorbeeld + + + + diff --git a/docs/maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst.md b/docs/maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst.md index b15dc3dddb..09032df1d4 100644 --- a/docs/maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst.md +++ b/docs/maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst.md @@ -1,9 +1,6 @@ --- -# vul hier een titel in voor deze maatregel title: Maak de vereiste onderdeel van de contractovereenkomst -# geef hier een korte toelichting van deze maatregel toelichting: Door de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar. -# vul hier de bestandsnamen in van de vereisten die horen bij deze maatregel vereiste: - archiefwet - Recht_op_uitleg_AI-besluiten @@ -63,13 +60,20 @@ vereiste: - recht_op_toegang_tot_publieke_informatie - beginsel_van_proportionaliteit_en_subsidiariteit -# vul hier de fasen van de levenscyclus in die horen bij deze maatregel levenscyclus: - ontwerp - ontwikkelen -# vul hier de bouwblokken in die horen bij deze maatregel bouwblok: - publieke-inkoop +rollen: +- behoeftesteller +- data-scientist +- privacy-officer +- security-officer +- inkoopadviseur +- contractbeheerder +- aanbestedingsjurist + hide: - navigation --- diff --git a/docs/maatregelen/maak_vereiste_onderdeel_van_service_level_agreement.md b/docs/maatregelen/maak_vereiste_onderdeel_van_service_level_agreement.md index 4539628874..6d81061711 100644 --- a/docs/maatregelen/maak_vereiste_onderdeel_van_service_level_agreement.md +++ b/docs/maatregelen/maak_vereiste_onderdeel_van_service_level_agreement.md @@ -53,7 +53,11 @@ Maak de vereiste onderdeel van Service Level Agreement ## Toelichting -Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement (SLA). Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. Hierbij kan worden gedacht aan onderwerpen als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd, versiebeheer van de gebruikte algoritmes en AI-modellen en beveiliging. Laat de aanbieder aangeven welke vormen van onderhoud aan het algoritme of AI-systeem nodig zijn en de snelheid waarmee signalen vanuit gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise hiervoor beschikbaar is. +Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement (SLA). +Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. +Hierbij kan worden gedacht aan onderwerpen als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd, prestatiecriteria, reproduceerbaarheid, versiebeheer van de gebruikte algoritmes en AI-modellen en beveiliging. +Laat de aanbieder aangeven welke vormen van onderhoud aan het algoritme of AI-systeem nodig zijn en de snelheid waarmee signalen vanuit gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise hiervoor beschikbaar is. + ## Bijbehorende vereiste(n) @@ -73,3 +77,4 @@ Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Le Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) + diff --git a/docs/maatregelen/maak_vereiste_onder_van_contractvoorwaarden.md b/docs/maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden.md similarity index 77% rename from docs/maatregelen/maak_vereiste_onder_van_contractvoorwaarden.md rename to docs/maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden.md index 857ddad445..c211429dba 100644 --- a/docs/maatregelen/maak_vereiste_onder_van_contractvoorwaarden.md +++ b/docs/maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden.md @@ -1,9 +1,6 @@ --- -# vul hier een titel in voor deze maatregel -title: Maak de vereiste onderdeel van contractvoorwaarden -# geef hier een korte toelichting van deze maatregel +title: Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden toelichting: Door de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen. -# vul hier de bestandsnamen in van de vereisten die horen bij deze maatregel vereiste: - archiefwet - Recht_op_uitleg_AI-besluiten @@ -63,14 +60,11 @@ vereiste: - recht_op_toegang_tot_publieke_informatie - beginsel_van_proportionaliteit_en_subsidiariteit -# vul hier de fasen van de levenscyclus in die horen bij deze maatregel levenscyclus: - ontwerp - ontwikkelen -# vul hier de bouwblokken in die horen bij deze maatregel bouwblok: - publieke-inkoop -# geef hier aan welke rollen bij deze maatregelen betrokken kunnen zijn rollen: - proceseigenaar - behoeftesteller @@ -90,10 +84,11 @@ Maak de vereiste onderdeel van contractvoorwaarden ## Toelichting -Door de vereiste onderdeel te maken van contractvoorwaarden, is voor aanbieder vooraf duidelijk aan welke voorwaarden zij moeten voldoen als zijn algoritmes en AI-systemen willen aanbieden. -Het is van belang om een afweging te maken in welke gevallen contractvoorwaarden worden ingezet en welke vereisten daarbij horen. -Welke vereisten onderdeel moeten worden gemaakt van contractvoorwaarden is afhankelijk van de beoogde toepassing. -Er zijn meer vereiste van toepassing bij impactvolle en hoog risico AI-systemen, waarmee burgers potentieel in aanmerkelijke mate kunnen worden getroffen dan bij geen impactvolle of laag risico AI-systemen. +- Er moeten heldere afspraken zijn gemaakt met de aanbieder van het algoritme of AI-systeem. Dit geldt in het bijzonder als het algorimte of AI-systeem is ontwikkeld door een externe aanbieder. +- Door vereisten die gelden voor algoritmes en AI-systemen onderdeel te maken van contractvoorwaarden, is voor aanbieder vooraf duidelijk aan welke voorwaarden zij moeten voldoen als zijn algoritmes en AI-systemen willen aanbieden aan overheidsorganisaties. +- Het is van belang om een afweging te maken in welke gevallen de contractvoorwaarden worden ingezet en welke vereisten daar onderdeel van moeten worden gemaakt. +- Welke vereisten onderdeel moeten worden gemaakt van contractvoorwaarden is afhankelijk van de beoogde toepassing, de technologie en de bijbehorende risicoclassificatie. +- Er zijn meer vereiste van toepassing bij impactvolle en hoog risico AI-systemen, waarmee burgers potentieel in aanmerkelijke mate kunnen worden getroffen dan bij geen impactvolle of laag risico AI-systemen. ## Bijbehorende vereiste(n) @@ -107,12 +102,14 @@ Er zijn meer vereiste van toepassing bij impactvolle en hoog risico AI-systemen, | Bron | |-----------------------------| | Algoritmekader | -| [Contractvoorwaarden gemeente Amsterdam](https://www.amsterdam.nl/innovatie/digitalisering-technologie/algoritmen-ai/contractvoorwaarden-algoritmen/) | -| [Europese Inkoopvoorwaarden Hoog Risico](https://public-buyers-community.ec.europa.eu/sites/default/files/2023-10/AI_Procurement_Clauses_template_High_Risk%20NL.pdf) | -| [Europese Inkoopvoorwaarden Laag Risico](https://public-buyers-community.ec.europa.eu/sites/default/files/2023-10/AI_Procurement_Clauses_Template_NON_HIGH_RISK_NL.pdf)| +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.11](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| | Algoritmekader | ## Voorbeeld +| [Contractvoorwaarden gemeente Amsterdam](https://www.amsterdam.nl/innovatie/digitalisering-technologie/algoritmen-ai/contractvoorwaarden-algoritmen/) | +| [Europese Inkoopvoorwaarden Hoog Risico](https://public-buyers-community.ec.europa.eu/sites/default/files/2023-10/AI_Procurement_Clauses_template_High_Risk%20NL.pdf) | +| [Europese Inkoopvoorwaarden Laag Risico](https://public-buyers-community.ec.europa.eu/sites/default/files/2023-10/AI_Procurement_Clauses_Template_NON_HIGH_RISK_NL.pdf)| + Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) diff --git a/docs/maatregelen/menselijke_tussenkomst.md b/docs/maatregelen/menselijke_tussenkomst.md new file mode 100644 index 0000000000..6b474e3ae9 --- /dev/null +++ b/docs/maatregelen/menselijke_tussenkomst.md @@ -0,0 +1,71 @@ +--- +title: Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. +toelichting: Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren. +vereiste: +- recht_op_niet_geautomatiseerd_besluitvorming +- fundamentele_rechten +- gebruiksverantwoordelijken_monitoren_werking_ hoog_risico_AI-systeem +- zorgvuldigheidsbeginsel +- toezichtmogelijkheden_voor_gebruikers + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +bouwblok: +- menselijke-controle +- governance +rollen: +- proceseigenaar +- gebruiker +- aanbieder +hide: +- navigation +--- + + +## Maatregel +Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. + + +## Toelichting + +- Algoritmes en AI-systemen worden vaak ingezet om beslissingen of besluitvorming van overheidsorganisaties te ondersteunen. +- Als overheidsorganisaties beslissingen of besluiten nemen, kan dit rechtsgevolgen hebben voor een betrokkene of deze op een andere manier in aanmerkelijke mate treffen. +- Algoritmes en AI-systemen zijn in de meeste gevallen niet foutloos. +- Daarom is het van belang dat deze output wordt gecontroleerd door een mens, zodat dit kan worden gecorrigeerd. Dit wordt 'menselijke tussenkomst' genoemd. +- Er is sprake van menselijke tussenkomst wanneer het menselijke toezicht op beslissingen of besluitvorming betekenisvol of zinvol is, en niet slechts symbolisch is. +- Menselijke tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om een beslissing of besluit te veranderen. +- Als een automatisch gegenereerde aanbeveling van een algoritme of AI-systeem (output) praktisch gezien standaard wordt overgenomen (bijvoorbeeld door deze al klikkend te accepteren), is er geen sprake meer van betekenisvolle menselijke tussenkomst. Hier is meer voor nodig. +- Het is van belang dat in een vroeg stadia wordt vastgesteld, bijvoorbeeld in de ontwerpfase, welke vormen van menselijke tussenkomst moeten worden ingezet en passend zijn gezien de specifieke algoritmische toepassing of AI-systeem. Dit kan worden gedaan op basis van uit te voeren risico analyses. +- In het geval van het uitoefenen van 'gebonden bevoegdheden', waarbij er weinig of geen beoordelingsruimte is om de beslissing of het besluit te wijzigen, kan het zijn dat menselijke tussenkomst geen meerwaarde heeft en kan worden volstaan met de automatisch gegenereerde output. +- Hierbij kan worden gedacht aan het opleggen van een boete in het kader van de Wet administratiefrechtelijke handhaving +verkeersvoorschriften (Wahv) of het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders. +- Er zullen technische en organisatorische maatregelen moeten worden getroffen om menselijke tussenkomst in te richten. +- Dit is ook het geval als een (externe) aanbieder algorimtes of AI-systemen levert. De gebruiksverantwoordelijke zal dan samen met aanbieder moeten onderzoeken hoe menselijke tussenkomst betekenisvol moet worden ingericht. + + +## Bijbehorende vereiste(n) + + + +## Bronnen + +| Bron | +|-----------------------------| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 2.01](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.05](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| [Advies over geautomatiseerde selectietechniek Pels Rijcken, p.9](https://open.overheid.nl/documenten/6b5b5d5b-fdc1-4333-a11e-f89d3627a0f5/file) | +| Kamerstukken IT 2017-2018, 34 851, nr. (MvT UAVG), p. 120-121 | +| Algoritmekader | + +|Algoritmekader| + +## Voorbeeld + +| [HvJEU december 2023, ECLI:EU:C:2023:957 (SCHUFA Scoring)](https://curia.europa.eu/juris/document/document.jsf?text=&docid=280426&pageIndex=0&doclang=NL&mode=lst&dir=&occ=first&part=1&cid=7436066) | + + + diff --git a/docs/maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd.md b/docs/maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd.md new file mode 100644 index 0000000000..dac0ee1610 --- /dev/null +++ b/docs/maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd.md @@ -0,0 +1,77 @@ +--- +title: Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. +toelichting: Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie. +vereiste: +- zorgvuldigheidsbeginsel +- kwaliteitsbeheersysteem_voor_hoog_risico_ai +- kwaliteitscriteria_voor_data +- melding_ernstige_incidenten +- ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging +- privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens +- verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen +- verplicht_risicobeheersysteem_voor_hoog_risico_ai +- fundamentele_rechten +- beveiliging_informatie_en_informatiesystemen +- inroepen_privacyrecht_bij_verwerking_persoonsgegevens +- non_discriminatie +- toegankelijkheidseisen_hoog_risico +- toezichtmogelijkheden_voor_gebruikers +- transparantie +- verstrekking_van_informatie_op_verzoek + +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren + +bouwblok: +- governance + +rollen: +- proceseigenaar +- beleidsmedewerker +- data-engineer +- data-scientist +- informatiebeheerder +- privacy-officer +- security-officer +- ethicus +- architect + +hide: +- navigation +--- + + + +## Maatregel + + Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. + +## Toelichting +- Interne vastgestelde beleidskaders moeten worden toegepast bij het ontwikkelen, inkopen of gebruiken van algoritmes en AI-systemen. +- Het is van belang dat tijdig, bijvoorbeeld in de [probleemanalyse fase](../levenscyclus/probleemanalyse/), inzichtelijk wordt gemaakt welke interne beleidskaders moeten worden toegepast. +- Hierbij kan worden gedacht aan definities die moet worden gehanteerd, het naleven van inkoopbeleid, strategisch beleid volgen met betrekking tot het mogen inzetten van algoritmes en AI-systemen binnen de organisaties of het doorlopen van processen en protocollen die moeten worden toegepast. +- Vraag de [betrokken experts](../maatregelen/betrek_belanghebbenden/) welke beleidskaders van toepassing zijn vanuit diens specifieke expertise. +- Ten behoeve van controles en audits is het van belang dat aantoonbaar wordt gemaakt dat de vastgestelde beleidskaders zijn nageleefd. + + ## Bijbehorende vereiste(n) + + + +## Risico +De in te zetten algoritmes of AI-systemen voldoen niet aan vastgestelde beleidskaders. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.8](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! diff --git a/docs/maatregelen/periodieke_evaluatie_kwaliteit.md b/docs/maatregelen/periodieke_evaluatie_kwaliteit.md new file mode 100644 index 0000000000..85ab16b90e --- /dev/null +++ b/docs/maatregelen/periodieke_evaluatie_kwaliteit.md @@ -0,0 +1,88 @@ +--- +title: Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. +toelichting: Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie. +vereiste: +- zorgvuldigheidsbeginsel +- kwaliteitsbeheersysteem_voor_hoog_risico_ai +- kwaliteitscriteria_voor_data +- fundamentele_rechten +- beoordelen_gevolgen_voor_grondrechten +- non_discriminatie +- auteursrechten +- toegankelijkheidseisen_hoog_risico +- toezichtmogelijkheden_voor_gebruikers +- beginsel_van_proportionaliteit_en_subsidiariteit +- databankenwet +- gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen +- gebruiksverantwoordelijken_monitoren_werking_ hoog_risico_AI-systeem +- juistheid_en_actualiteit_van_persoonsgegevens +- toegankelijkheidseisen_hoog_risico + +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren +bouwblok: +- governance +rollen: +- proceseigenaar +- beleidsmedewerker +- data-engineer +- data-scientist +- informatiebeheerder +- privacy-officer +- security-officer +- ethicus +- inkoopadviseur +- contractbeheerder + +hide: +- navigation + +--- + + + + +## Maatregel + + Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. + +## Toelichting + +- Het is van belang dat een proces wordt ingericht waarmee periodiek de kwaliteit van algoritmes of AI-systemen wordt geëvalueerd. +- Bij kwaliteit van een algoritme of AI-systeem kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie. +- Hieronder vallen het analyseren en evalueren van ingediende klachten en incidenten. +- Na verloop van tijd kan de accuraatheid van machine learning modellen bijvoorbeeld wijzigen of kan het gebeuren dat bepaalde groepen (indien van toepassing) anders worden behandeld. +- Het is van belang dat monitoringsactiviteiten worden ingericht om deze kwaliteitsaspecten tijdig te beoordelen. +- Als er ongewenste wijzigingen plaatsvinden met betrekking tot de kwaliteit, moeten die worden geëvalueerd en zullen maatregelen moeten worden getroffen om deze te herstellen. +- Het proces moet er voor zorgen dat de juiste experts of stakeholders worden betrokken bij het proces van evaluatie en het treffen van passende maatregelen. + +Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses. + +## Risico +Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem. + +## Bijbehorende vereiste(n) + + + + + +## Bronnen + + +| Bron | +|-----------------------------| +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.16, SV.17 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 1.08](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| Algoritmekader | + +## Voorbeeld + + +Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) diff --git a/docs/maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven.md b/docs/maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven.md new file mode 100644 index 0000000000..15e01d7db9 --- /dev/null +++ b/docs/maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven.md @@ -0,0 +1,57 @@ +--- +title: Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. +toelichting: Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking. +vereiste: +- persoonsgegevens_worden_rechtmatig_verwerkt +- beginsel_van_proportionaliteit_en_subsidiariteit.md + +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +bouwblok: +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- informatie-analist +- data-engineer +- privacy-officer + +hide: +- navigation +--- + + + +## Maatregel + +Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt en om welke categorie persoonsgegevens het gaat. Het principe van dataminimalisatie is toegepast, zodat het minimum aantal persoonsgegevens wordt verwerkt om het beoogde doel te bereiken. + +## Toelichting + +- Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt mogen worden verwerkt. +- Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat. +- Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme of AI-systeem. +- Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven. +- Voor [het beschermen van deze persoonsgegevens](bescherm_persoonsgegevens_die_mogen_worden_verwerkt.md) wordt per kenmerk aangegeven op welke manier deze kan worden beschermd (anonimiseren, pseudonomiseren, aggregeren). +- Een [DPIA](../instrumenten/DPIA.md) kan worden gebruikt om bovenstaande activiteiten uit te voeren. + +## Bijbehorende vereiste(n) + + + +## Risico +Het algoritme of AI-systeem verwerkt persoonsgegevens die het niet mag verwerken. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.7](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| Algoritmekader | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! + diff --git a/docs/maatregelen/politiek-bestuurlijk_besluit.md b/docs/maatregelen/politiek-bestuurlijk_besluit.md new file mode 100644 index 0000000000..4e0d23e81c --- /dev/null +++ b/docs/maatregelen/politiek-bestuurlijk_besluit.md @@ -0,0 +1,58 @@ +--- +title: Een politieke-bestuurlijk besluit wordt genomen over de inzet van een impactvol algoritme en hoog risico AI-systemen. +toelichting: Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie. +vereiste: +- zorgvuldigheidsbeginsel +- transparantie +- motiveringsbeginsel + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren + +bouwblok: +- governance +- transparantie +rollen: +- proceseigenaar +- beleidsmedewerker +- privacy-officer +- aanbieder + +hide: +- navigation +--- + + + +## Maatregel + +Een politieke-bestuurlijk besluit wordt genomen over de inzet van een impactvol algoritme en hoog risico AI-systemen. + +## Toelichting +- Door een politiek-bestuurlijk besluit te nemen over de inzet of beëindiging van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomenheid van het betreffende algoritme of AI-systeem. +- Impactvolle algoritmes en hoog risico AI-systemen bevatten aspecten die vragen om politieke afwegingen, en niet enkel door de ambtelijke organistie moeten worden beoordeeld. +- Een voorbeeld van een politiek afweging is wanneer er wel of geen sprake is van een gerechtvaardigd onderscheid wat wordt gemaakt door een algoritme of AI-systeem. +- Het is van belang dat overheidsorganisaties een politiek-bestuurlijk kader opstellen waarin wordt beschreven hoe wordt omgegaan met dergelijke gevallen. +- Een openbaar besluit draagt bij aan de legitimiteit van de inzet van het algoritme of AI-systeem en de controleerbaarheid van de overheidsorganisatie. + + ## Bijbehorende vereiste(n) + + + +## Risico +De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of beëindiging van het gebruik van impactvolle algoritmes en AI-systemen, terwijl deze daar niet toe bevoegd is. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| [Algoritmekader] | +| [Algemene Rekenkamer](https://rekenkamer.rotterdam.nl/wp-content/uploads/2024/05/RO2205-kleur-bekennen-vervolgonderzoek-algoritmes-rekenkamer-rotterdam.pdf) + +## Voorbeeld + +| [Besluit College van Burgemeester en Wethouders Gemeente Amsterdam](https://www.amsterdam.nl/bestuur-organisatie/college/nieuws/nieuws-24-januari-2024/) diff --git a/docs/maatregelen/publiceren_in_algoritmeregister.md b/docs/maatregelen/publiceren_in_algoritmeregister.md new file mode 100644 index 0000000000..f49d67441b --- /dev/null +++ b/docs/maatregelen/publiceren_in_algoritmeregister.md @@ -0,0 +1,68 @@ +--- +title: Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. +toelichting: Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en geïnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren. +vereiste: +- algoritmeregister +- transparantie +- transparantie_bij_verwerken_persoonsgegevens +- zorgvuldigheidsbeginsel + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren + +bouwblok: +- transparantie + +rollen: +- proceseigenaar +- beleidsmedewerker +- privacy-officer +- aanbieder + +hide: +- navigation +--- + + + +## Maatregel + + Publiceer de ontwikkeling en gebruik van een algoritme of AI-systeem in het [Algoritmeregister](../instrumenten/algoritmeregister.md). + +## Toelichting +- De regering wil dat de overheid algoritmes en AI-systemen verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. +- Wanneer de overheid open is over algoritmes en hun toepassing, kunnen burgers, organisaties en media haar kritisch volgen. +- Impactvolle algoritmes en hoog risico AI-systemen moeten daarom worden gepubliceerd in het Algoritmeregister. +- In het Algoritmeregister moet uitleg zijn over hoe algoritmes en AI-systemen, of het proces wat hiermee wordt ondersteund werkt. +- Er is een Handreiking Algoritmeregister opgesteld met informatie over het publiceren van algoritmes en AI-systemen in het Algoritmeregister. +- De Algoritmeregister Publicatiestandaard kan overheidsorganisaties ondersteunen bij het helpen invullen van het Algoritmeregister. +- Er zijn gevallen waarin het publiceren van algoritmes of AI-systemen in het Algoritmeregister achterwege moet blijven. Deze gevallen zijn beschreven in de Handreiking van het Algoritmeregister. +- Impactvolle algoritmes en hoog risico AI-systemen moet al tijdens de ontwikkeling ervan worden gepubliceerd in het Algoritmeregister. + + ## Bijbehorende vereiste(n) + + + +## Risico +Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +| [Handreiking Algoritmeregister](https://www.digitaleoverheid.nl/wp-content/uploads/sites/8/2023/12/Handreiking-Algoritmeregister-versie-1.0.pdf)| +| [Algoritmeregister Publicatiestandaard](https://regels.overheid.nl/publicaties/algoritmeregister-publicatiestandaard#:~:text=De%20publicatiestandaard%20is%20gericht%20op,op%20andere%20manier%20te%20organiseren.)| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.12](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.14, 3.16](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag)| + +## Voorbeeld + +| [Gemeente Groningen, Algoritmeregister: Eerste Hulp bij Geldzaken](https://algoritmes.overheid.nl/nl/algoritme/eerste-hulp-bij-geldzaken-gemeente-groningen/55597555)| +| [Gemeente Amsterdam, Algoritemregister: Blurring as a Service](https://algoritmeregister.amsterdam.nl/ai-system/blurring-as-a-service/1132/)| +| [Juryrapport Best Beschreven Algoritme](https://algoritmes.pleio.nl/attachment/entity/ea60f239-dcaf-4eb0-9661-c2e7ffb633ea) | diff --git a/docs/maatregelen/stel_een_RACI-matrix_op.md b/docs/maatregelen/stel_een_RACI-matrix_op.md deleted file mode 100644 index 52bea2d1c6..0000000000 --- a/docs/maatregelen/stel_een_RACI-matrix_op.md +++ /dev/null @@ -1,61 +0,0 @@ ---- -# vul hier een titel in voor deze maatregel -title: Stel een RACI-matrix op -# geef hier een korte toelichting van deze maatregel -toelichting: Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld bij het verwerken van persoonsgegevens -# vul hier de bestandsnamen in van de vereisten die horen bij deze maatregel -vereiste: beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens -# vul hier de fasen van de levenscyclus in die horen bij deze maatregel -levenscyclus: -- ontwerp -- dataverkenning-en-datapreparatie -- ontwikkelen -- implementatie -- monitoring-en-beheer -# vul hier de bouwblokken in die horen bij deze maatregel -bouwblok: -- privacy-en-gegevensbescherming -- governance -rollen: -- proceseigenaar -- privacy-officer -- data-scientist -- data-engineer -- inkoopadviseur -- contractbeheerder -- aanbieder -hide: -- navigation ---- - - - - -## Maatregel - -Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld bij het verwerken van persoonsgegevens. - -## Toelichting - -Het is van belang om de rollen en verantwoordelijkheden over en gedurende de gehele levenscyclus te beschrijven en eventueel onderdeel te maken van conceptovereenkomsten. -Tijdens de ontwikkelfase worden bijvoorbeeld andere (risicovolle) werkzaamheden uitgevoerd dan in de implementatie- of monitoring en beheerfase. -Doorgaans zijn ook andere actoren betrokken in verschillende fases en in de praktijk kunnen taken en verantwoordelijkheden opnieuw worden belegd. - -## Bijbehorende vereiste(n) - - - - - -## Bronnen - - -| Algoritmekader | - - - -## Voorbeeld - - -Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) - diff --git a/docs/maatregelen/stopzetten_gebruik.md b/docs/maatregelen/stopzetten_gebruik.md new file mode 100644 index 0000000000..41375e4869 --- /dev/null +++ b/docs/maatregelen/stopzetten_gebruik.md @@ -0,0 +1,87 @@ +--- +title: Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. +toelichting: Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet. +vereiste: +- zorgvuldigheidsbeginsel +- kwaliteitsbeheersysteem_voor_hoog_risico_ai +- kwaliteitscriteria_voor_data +- fundamentele_rechten +- beoordelen_gevolgen_voor_grondrechten +- non_discriminatie +- auteursrechten +- toegankelijkheidseisen_hoog_risico +- toezichtmogelijkheden_voor_gebruikers +- beginsel_van_proportionaliteit_en_subsidiariteit +- databankenwet +- gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen +- gebruiksverantwoordelijken_monitoren_werking_ hoog_risico_AI-systeem +- juistheid_en_actualiteit_van_persoonsgegevens +- toegankelijkheidseisen_hoog_risico + +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren +bouwblok: +- governance +rollen: +- proceseigenaar +- beleidsmedewerker +- data-engineer +- data-scientist +- informatiebeheerder +- privacy-officer +- security-officer +- ethicus +- inkoopadviseur +- contractbeheerder + +hide: +- navigation + +--- + + + + +## Maatregel + + Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. + +## Toelichting + +- Er moet in een proces zijn beschreven wanneer het gebruik van algoritmes en AI-systemen moet worden stopgezet. +- Het is van belang dat bij het ontwerp van algoritmes en AI-systemen er rekening wordt gehouden met dat het werkproces ook zonder het algoritme of AI-systeem kan worden uitgevoerd. +- Als blijkt dat het algoritme of AI-systeem ongewenst functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik daadwerkelijk kan worden stopgezet. +- Het is van belang dat bij het ontwerp van algoritmes en AI-systemen er rekening wordt gehouden met dat het werkproces ook zonder het algoritme of AI-systeem kan worden uitgevoerd. +- Hiervoor zullen (technische) maatregelen moeten worden getroffen, zoals een stopknop of werkinstructies voor medewerkers. +- Maak aantoonbaar dat deze maatregelen zijn getroffen. +- De proceseigenaar of een menselijk toezichthouder moet in staat zijn om het algoritme of AI-systeem op elk moment te kunnen beëindigen. +- Het stopzetten van het gebruik van een algoritme mag niet tot gevolg hebben dat betrokkenen niet meer kunnen achterhalen hoe besluiten tot stand zijn gekomen of dat gevolgen niet meer kunnen worden gecorrigeerd als dat noodzakelijk is. + +## Risico +Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme of AI-systeem dat onjuist functioneert en niet tijdig kan worden stopgezet. + +## Bijbehorende vereiste(n) + + + + + +## Bronnen + + +| Bron | +|-----------------------------| +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.18, SV.17 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 1.03](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| Algoritmekader | + +## Voorbeeld + + +Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) diff --git a/docs/maatregelen/toepassen_risicobeheer.md b/docs/maatregelen/toepassen_risicobeheer.md new file mode 100644 index 0000000000..1d503b5947 --- /dev/null +++ b/docs/maatregelen/toepassen_risicobeheer.md @@ -0,0 +1,116 @@ +--- +title: Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. +toelichting: Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. +vereiste: +- automatische_logregistratie +- zorgvuldigheidsbeginsel +- kwaliteitsbeheersysteem_voor_hoog_risico_ai +- kwaliteitscriteria_voor_data +- melding_ernstige_incidenten +- ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging +- fundamentele_rechten +- beoordelen_gevolgen_voor_grondrechten +- beveiliging_informatie_en_informatiesystemen +- beveiliging_van_verwerking +- non_discriminatie +- archiefwet +- auteursrechten +- beginsel_van_proportionaliteit_en_subsidiariteit +- beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens +- bevorder_ai_geletterdheid_personeel +- bewaartermijn_voor_documentatie +- corrigerende_maatregelen_voor_non_conforme_ai +- databankenwet +- dpia_verplicht_bij_hoog_risico +- gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs +- gebruiksverantwoordelijken_leven_registratieverplichting_na +- gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen +- gebruiksverantwoordelijken_monitoren_werking_hoog_risico_AI-systeem +- inroepen_privacyrecht_bij_verwerking_persoonsgegevens +- juistheid_en_actualiteit_van_persoonsgegevens +- minimale_verwerking_van_persoonsgegevens +- persoonsgegevens_worden_rechtmatig_verwerkt +- privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens +- recht_op_niet_geautomatiseerd_besluitvorming +- recht_op_toegang_tot_publieke_informatie +- recht_op_uitleg_ai_besluiten +- risicobeoordeling_voor_jongeren_en_kwetsbaren +- toegankelijkheidseisen_hoog_risico +- toezichtmogelijkheden_voor_gebruikers +- transparantie +- transparantie_bij_verwerken_persoonsgegevens +- verantwoordingsplicht_rechtmatigheid +- verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen +- verplicht_risicobeheersysteem_voor_hoog_risico_ai +- verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden +- verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico +- verstrekking_van_informatie_op_verzoek +- wettelijke_verwerking_van_gevoelige_gegevens +levenscyclus: +- probleemanalyse +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren +bouwblok: +- governance +rollen: +- proceseigenaar +- beleidsmedewerker +- data-engineer +- data-scientist +- informatiebeheerder +- privacy-officer +- security-officer +- ethicus +- inkoopadviseur + +hide: +- navigation + +--- + + + + +## Maatregel + +Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. + +## Toelichting + +- Bepaal tijdig, bijvoorbeeld in de probleemanalyse- of ontwikkelfase, om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie hierbij hoort. +- Bepaal op basis van de toepassing en de risicoclassificatie, welke aspecten van risicobeheer moeten worden toegepast. +- Inventariseer tijdig, bijvoorbeeld in de probleemanalayse- of ontwikkelfase, bij betrokken experts welke beleidskaders en instrumenten binnen de organisatie moeten worden ingezet om risicobeheer toe te passen. +- Bepaal op basis van de levenscyclus van een algoritme of AI-systeem wanneer welke aspecten van risicobeheer moeten worden toegepast. +- Maak inzichtelijk op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en gebruiken van algoritmes en AI-systemen. +- Daarbij gaat het om het identificeren, analyseren, evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a. maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's. +- Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer periodiek wordt toegepast. + +Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses. + +## Risico +Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld. + +## Bijbehorende vereiste(n) + + + + + +## Bronnen + + +| Bron | +|-----------------------------| +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.13 ](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 1.03](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| Algoritmekader | + +## Voorbeeld + + +Heb je een voorbeeld of best practice, laat het ons weten via [algoritmes@minbzk.nl](mailto:algoritmes@minbzk.nl) diff --git a/docs/maatregelen/uitvoeren_audit_voor_naleving_vereiste.md b/docs/maatregelen/uitvoeren_audit_voor_naleving_vereiste.md index 8e89e7a923..f82ead2f03 100644 --- a/docs/maatregelen/uitvoeren_audit_voor_naleving_vereiste.md +++ b/docs/maatregelen/uitvoeren_audit_voor_naleving_vereiste.md @@ -69,6 +69,18 @@ levenscyclus: # vul hier de bouwblokken in die horen bij deze maatregel bouwblok: - publieke-inkoop + +# vul hier de rollen in die betrokken zijn bij deze maatregel +rollen: +- proceseigenaar +- behoeftesteller +- data-scientist +- privacy-officer +- security-officer +- inkoopadviseur +- contractbeheerder +- aanbestedingsjurist + hide: - navigation --- diff --git a/docs/maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico's.md b/docs/maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico's.md new file mode 100644 index 0000000000..50345a1a33 --- /dev/null +++ b/docs/maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico's.md @@ -0,0 +1,64 @@ +--- +title: Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's +toelichting: Bij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de geïdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen. +vereiste: +- dpia_verplicht_bij_hoog_risico +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie +bouwblok: +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- data-scientist +- data-engineer +- aanbieder +- privacy-officer +- security-officer +- ethicus +- beleidsmedewerker + +hide: +- navigation +--- + + + +## Maatregel + +Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico + +## Toelichting + +- Verifieer of een [DPIA](../instrumenten/DPIA.md) is uitgevoerd over het werkproces dat wordt of zal worden ondersteund met een algoritme of AI-systeem. Zo nee, voer een risico analyse (DPIA) uit om de risico's voor de rechten en vrijheden van betrokkenen met de inzet van algoritmes en AI-systemen in beeld te brengen. +- Organisatorische en technische maatregelen moeten worden getroffen om persoonsgegevens bij de ontwikkeling en het gebruik van het algoritme of AI-systeem te beschermen. +- Beleg de mitigerende maatregelen bij betrokken actoren. Denk bijvoorbeeld aan het toekennen van de maatregelen als anonimiseren en pseudonimiseren van persoonsgegevens aan een data engineer, voordat deze kunnen worden gebruikt ten behoeve van het ontwikkelen of controleren van het algoritme of AI-systeem. +- Bepaal welke maatregelen moeten zijn gerealiseerd voordat mag worden gestart met de verwerking van de persoonsgegevens en welke moeten worden gemonitord. +- Monitor de voortgang op het realiseren van de maatregelen en zorg voor bewijsstuken als deze zijn gerealiseerd. Deze bewijsstukken kunnen onderdeel worden van een audit. +- Als er een noodzaak is om na verloop van tijd meer persoonsgegevens te verwerken of om andere verwerkingen uit te voeren, zal opnieuw een beoordeling moeten plaatsvinden of er privacyrisico's ontstaan en hoe deze kunnen worden gemitigeerd. Gedurende de levenscyclus van het algoritme of AI-systeem moet aandacht blijven voor het uitvoeren van de risicoanalyse voor privacyrisico's. +- Bij hoge risico's voor het verwerken van persoonsgegevens is een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens onder artikel 36 AVG verplicht. Bepaal of raadpleging noodzakelijk is. + +## Bijbehorende vereiste(n) + + + + +## Risico +Privacyrisico's met de inzet van algoritmes en AI-systemen worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden. + + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.2, PRI.3](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.04, 3.13](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag)| +| Algoritmekader | +| [Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://www.autoriteitpersoonsgegevens.nl/uploads/imported/stcrt-2019-64418.pdf) | +| [Model DPIA Rijksdienst](https://www.kcbr.nl/sites/default/files/2023-09/Model%20DPIA%20Rijksdienst%20v3.0.pdf) | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! diff --git a/docs/maatregelen/vaststellen_benodigde_kennisoverdracht_enondersteuning.md b/docs/maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning.md similarity index 100% rename from docs/maatregelen/vaststellen_benodigde_kennisoverdracht_enondersteuning.md rename to docs/maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning.md diff --git a/docs/maatregelen/vaststellen_rollen_en_verantwoordelijkheden.md b/docs/maatregelen/vaststellen_rollen_en_verantwoordelijkheden.md new file mode 100644 index 0000000000..4a67066b6a --- /dev/null +++ b/docs/maatregelen/vaststellen_rollen_en_verantwoordelijkheden.md @@ -0,0 +1,54 @@ +--- +title: De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) +toelichting: Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n). +vereiste: +- zorgvuldigheidsbeginsel +levenscyclus: +- probleemanalyse +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- implementatie +- monitoring-en-beheer +- verificatie-en-validatie +bouwblok: +- governance +rollen: +- proceseigenaar + +hide: +- navigation +--- + + + +## Maatregel + +De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) + +## Toelichting + +- Het doel van vaststelling is dat de verantwoordelijke(n) de verantwoordelijkheid neemt en actief een keuze maakt om het algoritme of AI-systemen te (laten) ontwikkelen of gebruiken op de beoogde wijze en met de bijbehorende verantwoordelijkheden. +- Hiermee worden afspraken geformaliseerd. +- Vaststelling van de verantwoordelijkheden kan plaatsvinden door beleidsdocumenten, werkinstructies, verwerkersovereenkomst of een PIA/DPIA, mits de verantwoordelijkheden voldoende duidelijk zijn beschreven. +- Vaststelling door de verantwoordelijke(n) is verplicht voorafgaand aan het (laten) ontwikkelen of gebruiken van algoritmes of AI-systemen. +- Gedurende de levenscyclus kan het voorkomen dat rollen en verantwoordelijkheden opnieuw moet worden beschreven en vastgesteld. + +## Bijbehorende vereiste(n) + + + +## Risico +Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes of AI-systemen. + + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 1.06](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| [Onderzoekskader Algoritmes Auditdienst Rijk, SV.19](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| Algoritmekader | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! diff --git a/docs/maatregelen/vaststellen_verantwoordelijkheden_persoonsgegevens.md b/docs/maatregelen/vaststellen_verantwoordelijkheden_persoonsgegevens.md new file mode 100644 index 0000000000..92949ee275 --- /dev/null +++ b/docs/maatregelen/vaststellen_verantwoordelijkheden_persoonsgegevens.md @@ -0,0 +1,57 @@ +--- +title: Vaststellen verantwoordelijkheden bij verwerken persoonsgegevens +toelichting: Nadat de verantwoordelijkheden zijn beschreven en toegewezen, zullen deze moeten worden vastgesteld door de verwerkersverantwoordelijke. +vereiste: +- beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens +- dpia_verplicht_bij_hoog_risico +- transparantie_bij_verwerken_persoonsgegevens +- zorgvuldigheidsbeginsel +- verantwoordingsplicht_rechtmatigheid +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +bouwblok: +- privacy-en-gegevensbescherming +- governance +rollen: +- proceseigenaar +- privacy-officer + +hide: +- navigation +--- + + + +## Maatregel + +Nadat de verantwoordelijkheden zijn beschreven en toegewezen, zullen deze moeten worden vastgesteld door de verwerkersverantwoordelijke. + +## Toelichting + +- Nadat is vastgesteld wie in een samenwerking feitelijk het doel en middelen van een verwerking bepalen wordt vastgelegd wie de (gezamelijke) verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststeling van de rolverdeling volgen onder de AVG verschillende rechten en plichten. +- Het doel van vaststelling is dat de verwerkersverantwoordelijke de verantwoordelijkheid neemt en actief een keuze maakt om de persoonsgegevens op de beoogde wijze en met de bijbehorende verantwoordelijkheden te (laten) verwerken. Hiermee worden afspraken geformaliseerd. +- Vaststelling van de verantwoordelijkheden kan plaatsvinden door beleidsdocumenten, werkinstructies, verwerkersovereenkomst of een PIA/DPIA, mits de verantwoordelijkheden voldoende duidelijk zijn beschreven, formeel vast te stellen door de verwerkersverantwoordelijke. +- Vaststelling door de verwerkersverantwoordelijke is verplicht voorafgaand aan de verwerking van persoonsgegevens. +- Bij de ontwikkeling en gebruiken van algoritmes en AI-systemen is het denkbaar dat de noodzaak voor het verwerken van persoonsgegevens wijzigt en dat meer of andere verwerkingen moeten plaatsvinden. Het is van belang dat wederom wordt beoordeeld wat dit betekent voor de bijbehorende verantwoordelijkheden. Als er sprake is van een wezenlijke wijziging ten opzichte van de al vastgestelde situatie, bijvoorbeeld doordat er meer persoonsgegevens worden verwerkt door een andere partij, dan zal de verwerkingsverantwoordelijke opnieuw tot vaststelling moeten overgaan om de afspraken te formaliseren. + +## Bijbehorende vereiste(n) + + + +## Risico +Door het ontbreken of niet helder omschrijven en vaststellen verantwoordelijkheden, dat persoonsgegevens onrechtmatig worden verwerkt. + + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.02](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.1](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| Algoritmekader | + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! diff --git a/docs/maatregelen/vermelding_in_privacyverklaring.md b/docs/maatregelen/vermelding_in_privacyverklaring.md new file mode 100644 index 0000000000..99e661894c --- /dev/null +++ b/docs/maatregelen/vermelding_in_privacyverklaring.md @@ -0,0 +1,72 @@ +--- +title: Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. +toelichting: Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens. +vereiste: +- transparantie_bij_verwerken_persoonsgegevens + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- implementatie +- uitfaseren + +bouwblok: +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- beleidsmedewerker +- privacy-officer +- aanbieder + +hide: +- navigation +--- + + + +## Maatregel + + Neem het gebruik van een algoritme of AI-systeem op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt. + +## Toelichting + +- Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens. +- Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen. +- In een privacyverklaring wordt in ieder geval het volgende opgenomen: + + - de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn. + - de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft. + - de doeleinden van de verwerking en de AVG-grondslag. + - de (categorieën van) ontvangers van de persoonsgegevens. + - of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond. + - de bewaartermijn van de gegevens. + - de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen. + - het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken. + - dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP). + - of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken. + - of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen. + - als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen. + +- Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme of AI-systeem, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen. +- Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast. + + ## Bijbehorende vereiste(n) + + + +## Risico +Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| [Autoriteit Persoonsgegevens Algoritmekader](https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/recht-op-informatie) | +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.12](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) + +## Voorbeeld + +Heb jij een goed voorbeeld? Laat het ons weten! + diff --git a/docs/maatregelen/vermelding_in_verwerkingsregister.md b/docs/maatregelen/vermelding_in_verwerkingsregister.md new file mode 100644 index 0000000000..778a6a3fd2 --- /dev/null +++ b/docs/maatregelen/vermelding_in_verwerkingsregister.md @@ -0,0 +1,58 @@ +--- +title: Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. +toelichting: Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt. +vereiste: +- transparantie_bij_verwerken_persoonsgegevens + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- implementatie +- monitoring-en-beheer +- uitfaseren + +bouwblok: +- transparantie +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- beleidsmedewerker +- privacy-officer +- aanbieder + +hide: +- navigation +--- + + + +## Maatregel + + Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. + +## Toelichting +- Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene geïnformeerd over de verwerking van diens persoonsgegevens +- Hiermee is ook voor de organisatie intern inzichtelijk welke persoonsgegevens voor welke toepassingen worden verwerkt; +- Het is van belang dat vanaf het moment dat persoonsgegevens worden verwerkt, meteen een vermelding hiervan wordt gemaakt in het verwerkingsregister; +- Dat betekent dat als persoonsgegevens worden verwerkt bij het ontwikkelen en trainen van het algoritme of AI-systeem, en deze nog niet in gebruik zijn genomen, al een vermelding moet worden gedaan in het verwerkingsregister; +- Bij beëindiging van het gebruik van het algoritme of AI-systeem, moet het verwerkingsregister worden aangepast. +- + ## Bijbehorende vereiste(n) + + + +## Risico +Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +| [Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) | +| [Autoriteit Persoonsgegevens](https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacyrechten-avg/recht-op-informatie) | +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.04](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag)| +| [Algoritmekader] | + +## Voorbeeld +| [Blurring as a Service, Verwerkingsregister gemeente Amsterdam](https://assets.amsterdam.nl/publish/pages/1045112/verwerkingsregister_avg_april_2024.pdf)| diff --git a/docs/maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen.md b/docs/maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen.md new file mode 100644 index 0000000000..efc81f316c --- /dev/null +++ b/docs/maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen.md @@ -0,0 +1,73 @@ +--- +title: Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. +toelichting: Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. + +vereiste: +- zorgvuldigheidsbeginsel +- transparantie +- motiveringsbeginsel +- kwaliteitscriteria_voor_data + +levenscyclus: +- ontwerp +- dataverkenning-en-datapreparatie +- ontwikkelen +- verificatie-en-validatie +- implementatie + +bouwblok: +- governance +- transparantie + +rollen: +- proceseigenaar +- beleidsmedewerker +- informatie-analist +- jurist +- ethicus +- data-engineer +- data-scientist + +hide: +- navigation +--- + + + +## Maatregel +Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. + +## Toelichting +- Systemen die overheidsorganisaties inzetten voor bijvoorbeeld het verlenen van subsidies, vergunningen of bijstandsuitkeringen moeten de regels en processtappen volgen die in wetgeving zijn voorgeschreven. +- Er is een vertaling nodig van deze regels en processtappen naar de uitvoering van het werkproces, het datagebruik en onderliggende systemen. +- Algoritmes en AI-systemen moeten ook voldoen aan deze regels en processtappen. +- Als algoritmes of AI-systemen worden ontwikkeld, moet worden onderzocht wat deze regels zijn en hoe deze moeten worden toegepast bij het ontwikkelen van algoritmes of AI-systemen. +- Het moeten voldoen aan wetgeving en beleid kan dus in zekere zin 'begrenzend' werken op wat mag worden gedaan met algoritmes en AI-systemen. Dit is mede afhankelijk van de risico classificatie van de specifieke toepassing. +- Voor algoritmes, bijvoorbeeld regelgebaseerde rekenregels, moet bijvoorbeeld nauwkeurig worden geprogrammeerd in welke gevallen welke bedragen moeten worden uitgekeerd voor een bijstandsuitkering. +- Voor AI-modellen moet bijvoorbeeld worden vastgesteld of de trainingsdata wel tot stand is gekomen in lijn met wetgeving en vastgesteld beleid (datakwaliteit) en welke verbanden en patronen (inputvariabelen) al dan niet passend zijn bij het ondersteunen van wettelijke taken. + +- Er is een multidisciplinaire samenwerking nodig tussen de proceseigenaar, gebruikers, juristen, informatieanalisten en ontwikkelaar om deze vertaling zorgvuldig en doorlopend te maken. +- Voorafgaand aan het (laten) ontwikkelen van een algoritme of AI-systeem moet dit zijn uitgevoerd. +- De toegepaste 'business rules' en de verwerkte data voor de uitvoering van het te ondersteunen werkproces met algoritmes en AI-systemen moeten worden onderzocht en beoordeeld. +- Diepgaande procesanalyses (Bv. BPMN niveau Analytisch) en procesbeschrijvingen kunnen hierbij ondersteunen. +- Als blijkt dat een werkproces niet (meer) conform (gewijzigde) wetgeving of beleid wordt uitgevoerd, dan moet worden beoordeeld of de verworven data of welke deel van de data geschikt is voor het ontwikkelen een AI-model. +- Het is dan raadzaam om de uitvoering van het betreffende werkproces en de werking van onderliggende systemen eerst te 'herstellen' en om hiermee een nieuw datafundament te creëeren (eerst een groot aantal zaken behandelen) die later als trainingsdata kan worden gebruikt. + + + ## Bijbehorende vereiste(n) + + + +## Risico +Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme. + +## Bron + +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| +| +|[Wetsanalyse](https://wendbarewetsuitvoering.pleio.nl/page/view/918f9a63-4383-410e-b526-4b8fb67b1c40/het-boek-wetsanalyse)| + +## Voorbeeld + +|[Handleiding Wetanalyse](https://wendbarewetsuitvoering.pleio.nl/attachment/805680a2-1c37-4831-bbfb-2d602ca7d65c) | diff --git a/docs/maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit.md b/docs/maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit.md index b7b35fc8cf..fed2769e2d 100644 --- a/docs/maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit.md +++ b/docs/maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit.md @@ -27,6 +27,8 @@ rollen: - aanbestedingsjurist - aanbieder - opdrachtnemer +- architect + hide: - navigation --- diff --git a/docs/maatregelen/voer_een_project_startarchitectuur_uit.md b/docs/maatregelen/voer_een_project_startarchitectuur_uit.md new file mode 100644 index 0000000000..7447ca36df --- /dev/null +++ b/docs/maatregelen/voer_een_project_startarchitectuur_uit.md @@ -0,0 +1,62 @@ +--- +title: Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. +toelichting: Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. +vereiste: +- ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging +- zorgvuldigheidsbeginsel +- privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens + +levenscyclus: +- ontwerp +- ontwikkelen +- verificatie-en-validatie +- implementatie +bouwblok: +- privacy-en-gegevensbescherming +rollen: +- proceseigenaar +- informatie-analist +- data-engineer +- privacy-officer +- security-officer +- inkoopadviseur +- architect + +hide: +- navigation +--- + + + +## Maatregel + +Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. + +## Toelichting + +- Een Project Start Architectuur (PSA) is een hulpmiddel dat bij een project wordt ingezet om veranderingen van A naar Beter te faciliteren. +- De PSA richt zich daarbij op de kaders die op een project van toepassing zijn en wat de oplossing bijdraagt aan het realiseren van de gewenste, toekomstige architectuur, wat de implicaties zullen zijn voor bestaande voorzieningen en waar het project zal afwijken van bestaande beelden. +- Met de PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. +- De PSA maakt concreet wat architectuur voor een project betekent. +- Door een PSA uit te voeren ontstaan inzichten hoe het betreffende algoritme of AI-systeem zo optimaal mogelijk onderdeel kan worden gemaakt van het bestaande applicatielandschap, waarmee bijvoorbeeld kan worden voorkomen dat het algoritme of AI-systeem na verloop van tijd geen input meer kan ontvangen door onverwachte wijzigingen in systemen. +- Onderwerpen als privacy, informatiebeheer en beheer worden hierin ook globaal meegenomen. + +## Bijbehorende vereiste(n) + + + +## Risico +Het algoritme of AI-systeem kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden. + +## Bronnen +| Bron | +|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------| + +|[Project Startarchitectuur,NORA](https://www.noraonline.nl/wiki/PSA_(Project_Startarchitectuur))| +| [PSA Format](https://www.noraonline.nl/images/noraonline/9/96/NORA_PSA_format.odt)| +| [PSA Handleiding](https://www.noraonline.nl/images/noraonline/9/93/NORA-handleiding_voor_het_opstellen_van_een_PSA.odt)| +| Algoritmekader | + +## Voorbeeld + +Heb je een goed voorbeeld? Laat het ons weten! diff --git a/docs/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_.md b/docs/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_.md index f6bcb05490..886b0e1c2d 100644 --- a/docs/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_.md +++ b/docs/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_.md @@ -1,7 +1,6 @@ --- title: Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden toelichting: Aanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt. - status_vereiste: - nog-niet-geldend levenscyclus: @@ -14,6 +13,8 @@ levenscyclus: - uitfaseren bouwblok: - governance +rollen: +- aanbieder hide: - navigation --- diff --git a/docs/vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens.md b/docs/vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens.md index 82fc452932..c4de20d059 100644 --- a/docs/vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens.md +++ b/docs/vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens.md @@ -71,10 +71,6 @@ Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking t Door rollen en verantwoordelijkheden rondom de verwerking van persoonsgegevens niet te duiden en te beleggen, ontstaat het risico dat persoonsgegevens onrechtmatig on onveilig worden verwerkt. -## Normen - -In afwachting van het standaardisatieproces. - ## Maatregelen === "Allen" diff --git a/docs/vereisten/dpia_verplicht_bij_hoog_risico.md b/docs/vereisten/dpia_verplicht_bij_hoog_risico.md index 00477af985..0820735e12 100644 --- a/docs/vereisten/dpia_verplicht_bij_hoog_risico.md +++ b/docs/vereisten/dpia_verplicht_bij_hoog_risico.md @@ -61,6 +61,7 @@ Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die inf |[Artikel 35 Algemene Verordening Gegevensbescherming](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679) | |[Artikel 26(9) Verordening Artificiële Intelligentie](https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138-FNL-COR01_NL.pdf) | |[Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://wetten.overheid.nl/BWBR0042812/2019-11-27) | +| [Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens](https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/praktisch-avg/data-protection-impact-assessment-dpia#:~:text=Een%20DPIA%20is%20een%20instrument,Algemene%20verordening%20gegevensbescherming%20(AVG)%3B)| ## Wanneer van toepassing? diff --git a/docs/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs .md b/docs/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs.md similarity index 94% rename from docs/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs .md rename to docs/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs.md index 4f362fd269..b9be6cc79d 100644 --- a/docs/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs .md +++ b/docs/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs.md @@ -44,8 +44,8 @@ Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incident ## Maatregelen === "Allen" - + === "Governance" - + === "Publieke inkoop" - + diff --git a/docs/vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens.md b/docs/vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens.md index 0952369ff3..939f61b7b6 100644 --- a/docs/vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens.md +++ b/docs/vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens.md @@ -34,6 +34,7 @@ Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontw | Bron | |-----------------------------| |Artikel 25 AVG| +| [Toetsingskader Algoritmes Algemene Rekenkamer, 3.06](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) | ## Wanneer van toepassing? diff --git a/docs/vereisten/Recht_of_uitleg_AI-besluiten.md b/docs/vereisten/recht_op_uitleg_AI-besluiten.md similarity index 100% rename from docs/vereisten/Recht_of_uitleg_AI-besluiten.md rename to docs/vereisten/recht_op_uitleg_AI-besluiten.md