From ca07b5d4d78a140ebf64ea9133f03206ef0a46cc Mon Sep 17 00:00:00 2001 From: OXKuiperBZK Date: Mon, 16 Sep 2024 14:58:09 +0000 Subject: [PATCH] =?UTF-8?q?Deploy=20preview=20for=20PR=20260=20?= =?UTF-8?q?=F0=9F=9B=AB?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../governance-per-risicogroep/index.html | 6 +++--- .../governance-structuur/index.html | 2 +- .../interactie-burgers-en-omgeving/index.html | 2 +- .../interactie-met-levenscyclus/index.html | 10 +++++----- .../rollen-en-verantwoordelijkheden/index.html | 6 +++--- pr-preview/pr-260/search/search_index.json | 2 +- 6 files changed, 14 insertions(+), 14 deletions(-) diff --git a/pr-preview/pr-260/governance/governance-realiseren/governance-per-risicogroep/index.html b/pr-preview/pr-260/governance/governance-realiseren/governance-per-risicogroep/index.html index b4c5bf2d0e..71200948a5 100644 --- a/pr-preview/pr-260/governance/governance-realiseren/governance-per-risicogroep/index.html +++ b/pr-preview/pr-260/governance/governance-realiseren/governance-per-risicogroep/index.html @@ -836,7 +836,7 @@ - Interactie met levenscyclus + Interactie met de levenscyclus @@ -1388,13 +1388,13 @@

Bronnen + diff --git a/pr-preview/pr-260/search/search_index.json b/pr-preview/pr-260/search/search_index.json index dafd29193f..b993026908 100644 --- a/pr-preview/pr-260/search/search_index.json +++ b/pr-preview/pr-260/search/search_index.json @@ -1 +1 @@ -{"config":{"lang":["nl"],"separator":"[\\s\\-]+","pipeline":["stopWordFilter"]},"docs":[{"location":"","title":"Algoritmekader","text":"Wetten en regels, tips en hulpmiddelen voor verantwoord gebruik van algoritmes en AI. B\u00e8taversie

Deze website is in ontwikkeling. Alle versies ontstaan op een open manier. Iedereen mag opmerkingen of suggesties geven.

Over het Algoritmekader Voldoen aan de wetten en regels Informatie per rol Onderwerpen Woordenlijst

Vind snel de betekenis van begrippen als algoritme, AI-systeem, hoog-risico-AI-systeem en impactvolle algoritmes.

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"governance/","title":"Governance","text":""},{"location":"governance/#leeswijzer","title":"Leeswijzer","text":"

Het onderwerp Governance in het algoritmekader is opgedeeld in twee delen, die in feite twee fases vormen:

Een AI en algoritmegovernance (processen, verantwoordelijken, etc.) ingericht hebben, is een randvoorwaarde om de vereisten die het Algoritmekader noemt verantwoord en gestructureerd aan te pakken. Een AI en algoritmegovernance moet zijn ingericht alvorens te kunnen starten met algoritmes. Kortom: governance is het startpunt.

Aan het einde van ieder subonderwerp binnen het onderwerp governance geven we aandachts- en actiepunten. Daarbij zijn er twee te onderscheiden doelgroepen (invalshoeken) met soms verschillend handelingsperspectief:

  1. Een medewerker CDO/CIO-office met de taak om algoritmegovernance (beter) in te richten. Dit is top-down, bekeken vanuit organisatieperspectief.
  2. Een algoritme-proceseigenaar die wil waarborgen dat de algoritmegovernance aansluit bij de praktijk. Dit is bottom-up, bekeken vanuit het perspectief van het product.
"},{"location":"governance/#wat-is-governance","title":"Wat is governance","text":"

Governance gaat over de inrichting van een organisatie en de daarbij horende processen, regels, gebruiken en bijbehorende verantwoordelijkheden. Dit onderdeel van het Algoritmekader gaat over de governance van AI en algoritmes en systemen waarin deze verwerkt zijn.

Let op!

Governance wordt in verschillende contexten anders gebruikt, daarom spreken van \u201calgoritme en AI governance\u201d. Omdat het Algoritmekdader uitgaat van de brede definitie van een algoritme, hanteren we voor het gemak de term \u201calgoritme-governance\u201d als we het hebben over governance over algoritmes en AI. Dat kan omdat AI-systemen altijd algoritmes zijn, terwijl niet alle algoritmes AI-systemen zijn.

De noodzaak van governance is om grip te hebben (of krijgen) op algoritmes en AI binnen een organisatie en zaken als (onbedoelde) discriminatie te voorkomen. Mede gezien de AI-verordening, die 1 augustus 2024 gefaseerd in werking is getreden, is het van belang dat organisaties zich organiseren om deze wet correct te kunnen uitvoeren. Bewustzijn bij bestuur en organisatie is daarvoor een belangrijk vertrekpunt.

"},{"location":"governance/#verschillende-niveaus-van-governance","title":"Verschillende niveau's van governance","text":"

Algoritme en AI governance bestaat op verschillende niveaus: van (inter)nationaal niveau, naar organisatieniveau naar het niveau van het AI-systeem (zie Figuur hieronder). In het Algoritmekader wordt gefocust op de twee niveaus:

Binnen een organisatie kan algoritme en AI governance niet los worden gezien van de algemene governance, data-governance en IT-governance. Per organisatie zal verschillen in hoeverre dit is ontwikkeld. De omvang van een organisatie is ook een belangrijk aspect. Algoritme en AI governance moet aansluiten bij de strategie, doelstellingen en publieke waarden van een organisatie, waarbij moet worden voldaan aan wettelijke vereisten en ethische principes (M\u00e4ntym\u00e4ki et al., 2022)

In de bijbehorende paragrafen werken we uit welke delen algoritme en AI governance bestaat en hoe dit kan worden toegepast. We geven de hoofdlijnen mee in een \u2018blauwdruk\u2019 afgestemd op o.a. formaat van de organisatie. Let wel: het is altijd een proces om te kijken hoe dit in jouw organisatie in te passen is.

"},{"location":"governance/#governance-in-het-algoritmekader","title":"Governance in het Algoritmekader","text":"

Het onderwerp Governance in het algoritmekader is opgedeeld in twee delen, die in feite twee fases vormen:

Een AI en algoritmegovernance (processen, verantwoordelijken, etc.) ingericht hebben, is een randvoorwaarde om de vereisten die het Algoritmekader noemt verantwoord en gestructureerd aan te pakken. Een AI en algoritmegovernance moet zijn ingericht alvorens te kunnen starten met algoritmes. Kortom: governance is het startpunt.

Aan het einde van ieder subonderwerp binnen het onderwerp governance geven we aandachts- en actiepunten. Daarbij zijn er twee te onderscheiden doelgroepen (invalshoeken) met soms verschillend handelingsperspectief:

  1. Een medewerker CDO/CIO-office met de taak om algoritmegovernance (beter) in te richten. Dit is top-down, bekeken vanuit organisatieperspectief.
  2. Een algoritme-proceseigenaar die wil waarborgen dat de algoritmegovernance aansluit bij de praktijk. Dit is bottom-up, bekeken vanuit het perspectief van het product.
"},{"location":"governance/#huidige-situatie-ai-en-algoritme-governance","title":"Huidige situatie AI en algoritme governance","text":"

Om een goede AI en algoritme governance te realiseren is het van belang eerst de organisatie te kennen. Wat er al is aan governance (processen, rollen, etc.), be\u00efnvloedt hoe AI en algoritme governance daaraan opgehangen kan worden. De eerste fase van het in kaart brengen van de huidige situatie AI en algoritme governance is ingedeeld in:

"},{"location":"governance/#best-practices-en-voorbeelden-van-ai-en-algoritme-governance","title":"Best practices en voorbeelden van AI en algoritme governance","text":"

De tweede fase gaat over het realiseren van een AI en algoritme governance met best practices en voorbeelden van AI en algoritme governance. De volgende onderwerpen komen hier aan de orde:

Voorbeelden bieden in hoofdlijnen een \u2018blauwdruk\u2019 voor hoe algoritmegovernance kan worden ingericht. Belangrijk om te realiseren dat altijd moet worden gekeken hoe dit in de eigen organisatie is in te passen. Het is afhankelijk van onder andere de grootte en inrichting van de organisatie. Waar mogelijk geven we daarom voorbeelden uit een divers scala aan organisaties. De best practices geven handvatten en lessen om ook zelf aan de slag te gaan.

"},{"location":"governance/#wat-algemene-best-practices","title":"Wat algemene best practices","text":""},{"location":"governance/#vereisten","title":"Vereisten","text":""},{"location":"governance/#maatregelen","title":"Maatregelen","text":""},{"location":"governance/governance-realiseren/governance-per-risicogroep/","title":"Governance en risio classificatie","text":"

Er is verschil in de vereisten en maatregelen die nodig zijn afhankelijk van het type risico en impact van algoritmen. Meer risicovolle AI vraagt om meer uitgebreide processen, en dus een meer uitgebreide governance.

De gemeente Rotterdam kiest ervoor om de algoritme en AI governance alleen in te zetten bij hoog-risico (EU?) en AI-toepassingen. Deze risicoclassificatie volgt de AI verordening [bron?? Of is dit juist niet?]. Voor laag-risico toepassingen geldt de standaard governance van de gemeente: de informatiebeveiligings- en privacy governance (Rekenkamer Rotterdam, 2024, p.71). Tabel 1 geeft inzicht in verschillende typen algoritmen en AI-toepassingen.

"},{"location":"governance/governance-realiseren/governance-per-risicogroep/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/governance-per-risicogroep/#bronnen","title":"Bronnen","text":"

Kleur bekennen - vervolgonderzoek algoritmes

"},{"location":"governance/governance-realiseren/governance-structuur/","title":"Governance structuur","text":"

Een mogelijke inrichting van algoritme en AI governance die vaak wordt toegepast is het three lines of defence model: - De eerste linie gaat over eigenaarschap, ontwikkeling, gebruik en risicobeheersing van algoritme en AI toepassingen. - De tweede linie identificeert, beoordeelt en rapporteert over risico\u2019s en het uitgevoerde gebruik algoritmes en AI toepassingen. - De derde verdedigingslinie controleert de werking van de governance en betreft interne advisering en toetsing .

Schuett (2022) presenteert het three lines of defence model als volgt:

Onder andere UWV en de Gemeente Rotterdam hanteren dit model met drie linies. Rekenkamer Rotterdam rapport vat three lines of defence model als volgt samen: \u201ceerste lijn is verantwoordelijk voor het realiseren van doelen. De tweede lijn is, onafhankelijk van de eerste lijn verantwoordelijk voor kaders en adviezen. De derde lijn controleert of de eerste en tweede lijn gezamenlijk doelmatig, doeltreffend en rechtmatig hebben gefunctioneerd.\u201d

Bij de gemeente Rotterdam zijn de drie lijnen ingevuld via de volgende rollen en verantwoordelijkheden: \u201cDe eerste lijn bestaat uit de proceseigenaren en de operationeel verantwoordelijken. Proceseigenaren zijn verantwoordelijk voor de gehele algoritmetoepassing en de operationeel verantwoordelijken voor de ontwikkeling. De tweede lijn is de algoritme expert, die een onafhankelijke toezicht- en adviestaak heeft. De derde lijn wordt volgens de stukken die gaan over de algoritme governance vervuld door Financial audit.\u201d (Rekenkamer Rotterdam, 2024)

De algoritmegovernance van de gemeente Rotterdam bestaat uit de volgende onderdelen: * 1 een visie op de inzet van algoritmes; * 2 instrumentarium voor risicobeheersing dat onder andere bestaat uit een risico-assessment (ARA) en een mensenrechtenassessment (AIMA/IAMA); * 3 een uiteenzetting van rollen en verantwoordelijkheden en; * 4 een omschrijving van de verantwoordelijkheden voor controle en advies. Bron: Rekenkamer Rotterdam, 2024 (Rapport: kleur bekennen)

"},{"location":"governance/governance-realiseren/governance-structuur/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/governance-structuur/#bronnen","title":"Bronnen","text":"

Kleur bekennen - vervolgonderzoek algoritmes

"},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/","title":"Interactie met burgers en omgeving","text":"

Bij het vormgeven van de algoritme en AI governance is het van belang om na te denken over de interactie met burgers en andere belangrijke stakeholder, zowel binnen als buiten de organisatie. Er moet worden nagedacht in welke gevallen dit passend is en welke processen, mechanismen en structuren hierbij kunnen helpen. Bijvoorbeeld het instellen van een centraal contactpunt voor vragen, en de wijze waarop een burger in beroep kan gaan op een besluit.

"},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/#bronnen","title":"Bronnen","text":""},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/#voorbeeld","title":"Voorbeeld","text":""},{"location":"governance/governance-realiseren/interactie-met-levenscyclus/","title":"Interactie met levenscyclus","text":"

Voor effectieve governance van algoritmen en AI-modellen is het essentieel om bij de ontwikkeling en gebruik van algoritmen en AI-modellen i heldere afspraken te hebben over de interactie en informatie-uitwisseling die vereist is om aan de verantwoording te voldoen. Dit moet gebeuren in iedere fase van de levenscyclus, tussen de direct betrokkenen en de stakeholders binnen en buiten de organisatie. Dit vindt plaats via de rollen en verantwoordelijkheden per levenscyclusstap, zie hiervoor de pagina rollen en verantwoordelijkheden.

Het gaat enerzijds om top-down betrokkenheid en verantwoordelijkheid, waarbij wordt gestuurd op de juiste doelstellingen, waarden en principes. Daarnaast worden passende middelen en randvoorwaarden gealloceerd om verantwoorde inzet te waarborgen. Anderzijds gaat het om bottom-up betrokkenheid van de juiste stakeholders binnen de organisatie. Hierbij wordt de benodigde informatie verschaft en worden afwegingen en uitdagingen voorgelegd om de verantwoorde inzet van algoritmen en AI mogelijk te maken.

In elke type levenscyclus vind je een ontwerpfase, een ontwikkelfase en een deployfase (in gebruik nemen).

Veel organisaties hebben al een levenscyclus voor AI-ontwikkeling. AI-governance kan hierop aansluiten door 'gates' of controlepunten in te voeren tussen de verschillende stappen in de levenscyclus waar bepaalde processen worden uitgevoerd door verantwoordelijken, zoals het aanleveren van documenten, het uitvoeren van controles en het maken van afwegingen.

Het BZK AI-validatieteam ontwikkelt de Algorithm Management Toolkit 1 om deze processen te faciliteren en te loggen. Houd er rekening mee dat de 'gates' niet altijd hetzelfde hoeven te zijn tussen verschillende projecten. Zo vereist een algoritme met een hoog-risicoclassificatie andere governance dan minder impactvolle algoritmes. Eveneens vraagt het inkoopproces van een off-the-shelf AI-systeem of SaaS om andere procedures dan de inkoop van software die nog verder ontwikkeld wordt.

Hieronder volgen twee voorbeelden van hoe governance effectief kan worden ge\u00efntegreerd in de levenscyclus van algoritmen en AI-modellen:

"},{"location":"governance/governance-realiseren/interactie-met-levenscyclus/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/interactie-met-levenscyclus/#bronnen","title":"Bronnen","text":"
  1. Algorithm Management Toolkit van het BZK AI-validatieteam is beschikbaar op Github (broncode)\u00a0\u21a9

  2. Hulpmiddel handelingsruimte waardevolle AI in de zorg (presentatie)(samenvatting) is beschikbaar via de NL AI Coalitie en Data voor gezondheid \u21a9

  3. UWV Beleidsdocument model risico management, Modellevenscyclus (blz 21), 29 september 2021\u00a0\u21a9

"},{"location":"governance/governance-realiseren/rollen-en-verantwoordelijkheden/","title":"Rollen en verantwoordelijkheden","text":"

Binnen het vormgeven van effectieve en efficiente governance van algoritmen/AI zijn het beleggen van expliciete rollen en verantwoordelijkheden cruciaal. Het beleggen van deze rollen zorgt voor een actiegerichte structuur waarin zo weinig mogelijk verwarring/onduidelijkheid bestaat over wie wanneer aan zet is. Informatie-uitwisseling en besluitvorming tussen deze rollen zal effectief plaatsvinden.

Het three lines of defence model dat zowel de gemeente Rotterdam als het UWV hanteert biedt hiervoor handvatten. De essentie van dit model is het scheiden van drie niveau\u2019s in verantwoordelijkheden om effectieve governance mogelijk te maken. Daarnaast wordt in veel governance structuren een RACI model opgesteld om rollen en verantwoordelijkheden expliciet te maken. RACI is de afkorting voor Responsible (Verantwoordelijk \u2013 uitvoerder van de taak), Accountable (Aanspreekbaar \u2013 eigenaar van de taak), Consulted (Geconsulteerd) en Informed (Ge\u00efnformeerd). De gemeente Rotterdam heeft de interactie tussen rollen/verantwoordelijkheden van algoritme/AI governance en de volledige datamanagement structuur in een RACI model vormgegeven:

Binnen het Algoritmekader is idealiter ook een RACI model opgenomen die voor alle vereisten/maatregelen in elke fase van de levenscyclus expliciet maakt waar welke rol ligt: Schets hoe dit eruit zou kunnen zien op volgende pagina

"},{"location":"governance/governance-realiseren/rollen-en-verantwoordelijkheden/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/rollen-en-verantwoordelijkheden/#bronnen","title":"Bronnen","text":""},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/","title":"Politiek-bestuurlijke verantwoordelijkheden","text":""},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/#belang-bestuurlijke-en-politiek-verantwoordelijkheid","title":"Belang bestuurlijke en politiek verantwoordelijkheid","text":"

Voor een passende algoritme en AI governance is politiek-bestuurlijk bewustzijn, betrokkenheid en verantwoordelijkheid essentieel. De kernvraag voor publieke organisaties bij de inzet van algoritmen en AI is altijd: Hoe wegen we (als publieke organisatie of samenleving) de voordelen en nadelen van de inzet van algoritmen en AI?

Dit is per definitie een kwalitatieve en politieke vraag. Dit gaat niet alleen over direct opbrengsten maar ook over lange termijn en indirecte effecten, de mate waarin de inzet van technologie bijdraagt aan de legitimiteit van publieke organisatie en hoe burgers met deze technologie worden bejegend.

Een van de belangrijkste hoofdconclusies van het rapport \u201cKleur Bekennen\u201d van de gemeente Rotterdam, opgesteld door de Algemene Rekenkamer, onderstreept het belang van actief bestuur binnen algoritme en AI governance:

\"Het ontbreekt aan een politiek-bestuurlijk kader dat duidelijk maakt welke normen en principes leidend zijn bij de ontwikkeling en het gebruik van algoritmes. Dit heeft als effect dat belangrijke besluit over bijvoorbeeld wenselijkheid, haalbaarheid, transparantie en bias bij de ambtelijke organistie komen te liggen. Deze besluiten vragen echt om een politieke afweging\".

Een politiek-bestuurlijk kader is dus noodzakelijk om het voorgaande te bewerkstelligen. Hier tref je enkele voorbeelden aan.

"},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/#bronnen","title":"Bronnen","text":"

Kleur bekennen - vervolgonderzoek algoritmes

"},{"location":"governance/huidige-situatie/samenhang-governancestructuren/","title":"Samenhang tussen verschillende governance structuren","text":"

Bij vormgeving algoritme en AI governance van een organisatie is het van belang om aansluiting en samenhang te bewerkstelligen met huidige governance structuren binnen de organisatie, zoals IT, data, informatiebeveiliging en privacy governance structuren.

Er zijn diverse normen en standaarden over IT in brede zin of specifiek over AI en algoritmes die mogelijk al vorm geven aan hoe de organisatie is ingericht, of gebruikt kunnen worden deze in te richten. Zo is er de ISO/IEC 42001:2023 (helaas zijn ISO-normen niet vrij beschikbaar).

Van belang is dat de governance van AI en algortimes niet los komt te staan van (de governance van) aanverwante vraagstukken zoals privacy en data omdat informatie en communicatie over deze thema's nodig is voor goede AI-governance. Bij het hoofdstuk rollen en verantwoordelijkheden zie je voorbeelden van hoe verantwoordelijkheden die aan deze thema's raken ingericht kunnen worden.

"},{"location":"governance/huidige-situatie/samenhang-governancestructuren/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/huidige-situatie/samenhang-governancestructuren/#bronnen","title":"Bronnen","text":""},{"location":"governance/huidige-situatie/volwassenheidsniveau/","title":"Volwassenheidsniveau","text":"

Om tot een passende AI-governance voor een organisatie te komen, moet eerst worden vastgesteld wat op dit moment al is ingericht op het gebied van AI en algoritmes. Dit wordt het bepalen van het zogenaamde 'volwassenheidsniveau' genoemd. Op basis hiervan kunnen vervolgstappen worden gedefinieerd waar een organisatie aan kan gaan werken om zich naar de volgende niveaus voor AI en algoritme governance door te ontwikkelen.

Er zijn verschillende volwassenheidsmodellen hiervoor te gebruiken. Enkele voorbeelden zijn hieronder beschreven. Deze modellen richten zich niet altijd expliciet op AI en algoritme governance, maar kijken naar AI en/of algoritmes in de organisatie in brede zin of naar \u201cAI-ethics\u201d. Governance is echter altijd een onderdeel van deze volwassenheidsmodellen.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#voorbeelden-van-volwassenheidsmodellen","title":"Voorbeelden van volwassenheidsmodellen","text":""},{"location":"governance/huidige-situatie/volwassenheidsniveau/#ai-ethics-maturity-model-van-krijger-thuis-de-ruiter-ligthart-broekman-2023","title":"AI ethics maturity model van Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023).","text":"

Op basis van zes categorie\u00ebn (awareness & culture, Policy, Governance, Communication & Training, Development Proces, en Tooling) op verschillende niveau\u2019s.

Bron: uit Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023) (Krijger, J., Thuis, T., de Ruiter, M. et al. The AI ethics maturity model: a holistic approach to advancing ethical data science in organizations. AI Ethics 3, 355\u2013367 (2023).

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#het-datavolwassenheidsmodel-van-de-ibds","title":"Het Datavolwassenheidsmodel van de IBDS","text":"

Richt zich op datavolwassenheid, maar heeft daarin veel raakvlakken met AI waar voor data een belangrijk component is. Heeft een eigen beslishulp datavolwassenheid maar ook een meetgids met verschillende methoden.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#flexible-maturity-model-for-ai-governance-based-on-the-nist-ai-risk-management-framework-van-de-ieee-usa","title":"Flexible Maturity Model for AI Governance Based on the NIST AI Risk Management Framework van de IEEE-USA.","text":"

De NIST is een zeer veel gebruikte standaard voor cybersecurity (onlangs ge\u00fcpdatet en nu soms NIS2 of NIST2 genoemd). Dit model bekijkt AI governance volwassenheid aan de hand van categorie\u00ebn uit de NIST.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#responsible-ai-maturity-model-van-microsoft-research","title":"Responsible AI Maturity Model van Microsoft Research","text":"

Dit model (link) is onderverdeeld in drie onderdelen (organisational foundation, team approach, en RAI practice) waarvan organisational foundation ingaat op AI Governance.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#innovatie-en-volwassenheid","title":"Innovatie en volwassenheid","text":"

Inzet van AI kan vaak worden gezien als innovatie. Hoe kunnen innovatieve idee\u00ebn worden ondersteund door AI en hoe kan AI worden gebruikt om nieuwe innovatieve toepassingen te vinden? Ook voor innovatie bestaan er volwassenheidsmodellen. Een voorbeeld van een volwassenheidsmodel voor innovatie is de Innovatie Maturity Scan van Innoveren met Impact.

Om zowel op AI als op innovatie te verbeteren, kunnen volwassenheidsmodellen voor AI en voor innovatie worden ge\u00efntegreerd. Om dat te doen is het goed om te kijken naar de overlap en de verschillen tussen de twee modellen. Vul het ene model aan met de nog ontbrekende elementen uit het andere model. Bepaal het huidige niveau van de organisatie op beide modellen. Vergelijk voor beide modellen het huidige niveau met het gewenste niveau en ontwikkel een roadmap om de doelen te bereiken.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#verdere-stappen","title":"Verdere stappen","text":"

Nadat een volwassenheidsniveau van de AI-governance is vastgesteld kunnen hier concrete taken aan worden verbonden. Het realiseren van AI-governance vraagt zeer waarschijnlijk om een organisatieverandering. Het is aan te raden om verantwoordelijkheid te beleggen voor het realiseren van AI-governance. Dit is mogelijk te koppelen aan de implementatie van de AI-verordening binnen de organisatie. Bewustzijn over de noodzaak voor AI-governance moet op bestuurlijk niveau helder zijn. Een analyse van volwassenheidsniveau kan helpen input te geven waar eerst op te richten.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten:","text":""},{"location":"instrumenten/","title":"Instrumenten","text":"

Overzicht van aanbevolen instrumenten voor het verantwoord ontwikkelen, gebruiken, beoordelen en monitoren van algoritmes en AI-systemen.

"},{"location":"instrumenten/#richtlijnen-en-andere-hulpmiddelen","title":"Richtlijnen en andere hulpmiddelen","text":"

Met instrumenten bedoelen we hulpmiddelen voor verantwoord en effectief gebruik van algoritmes en AI-systemen, zoals:

Deze instrumenten helpen je bij het op een rij zetten, beoordelen en verbeteren van de kenmerken, prestaties, effecten en risico\u2019s van algoritmes en AI.

"},{"location":"instrumenten/#hoe-we-instrumenten-selecteren","title":"Hoe we instrumenten selecteren","text":"

Instrumenten die we aanbevelen, zijn:

Staat een instrument niet in onze selectie, dan kan het nog steeds een goed instrument zijn voor jouw organisatie. Er zijn dus meer instrumenten mogelijk. We maken een selectie om 2 redenen:

"},{"location":"instrumenten/#sommige-instrumenten-zijn-verplicht","title":"Sommige instrumenten zijn verplicht","text":"

Als een instrument verplicht is, staat dit er duidelijk bij. Een verplicht hulpmiddel is bijvoorbeeld de Data protection impact assessment (DPIA).

De meeste instrumenten zijn niet verplicht. Bepaal zelf of je er gebruik van maakt.

"},{"location":"instrumenten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"instrumenten/DPIA/","title":"Data Protection Impact Assessment","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieEthicusJuristPrivacy officerPrivacy en gegevensbescherming

Direct naar de DPIA

"},{"location":"instrumenten/DPIA/#instrument","title":"Instrument","text":"

Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:

De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:

Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden ge\u00ebvalueerd.

"},{"location":"instrumenten/DPIA/#relevantie","title":"Relevantie","text":"

Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.

"},{"location":"instrumenten/DPIA/#auteur","title":"Auteur","text":"

De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.

"},{"location":"instrumenten/DPIA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitlegBeperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenTransparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan."},{"location":"instrumenten/IAMA/","title":"Impact Assessment Mensenrechten en Algoritmes","text":"

ProbleemanalyseOntwerpVerificatie en validatieImplementatieProjectleiderAanbiederData engineerData scientistEthicusGemandateerd verantwoordelijkeJuristPrivacy officerProceseigenaarSecurity officerFundamentele rechtenTransparantie

Direct naar het IAMA

"},{"location":"instrumenten/IAMA/#instrument","title":"Instrument","text":"

Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen. Het IAMA stelt een reeks vragen die moeten worden besproken en beantwoord om een zorgvuldige afweging van de inzet van algoritmen te waarborgen. Dit proces is onderverdeeld in drie fasen: voorbereiding, input en throughput, en output en toezicht, waarbij steeds aandacht wordt besteed aan het vierde onderdeel van het IAMA: de impact op mensenrechten. Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA). Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico\u2019s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.

"},{"location":"instrumenten/IAMA/#relevantie","title":"Relevantie","text":"

Het IAMA kan op dit moment op veel politieke en internationale belangstelling rekenen. In zowel de Eerste als Tweede Kamer zijn hierover moties ingediend en vragen gesteld. Daarbij is het IAMA een van de weinige instrumenten in de EU die een interdisciplinaire discussie rondom (de ontwikkeling, inzet en monitoring van) algoritmes, AI en grondrechten initieert en bevordert.

"},{"location":"instrumenten/IAMA/#auteur","title":"Auteur","text":"

Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Sch\u00e4fer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.

"},{"location":"instrumenten/IAMA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitlegBeoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI."},{"location":"instrumenten/IAMA/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes"},{"location":"instrumenten/IAMA/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"instrumenten/algoritmeregister/","title":"Algoritmeregister","text":"

Monitoring en beheerProjectleiderGemandateerd verantwoordelijkePrivacy officerProceseigenaarInformatiebeheerderTransparantie

Direct naar het Algoritmeregister

"},{"location":"instrumenten/algoritmeregister/#instrument","title":"Instrument","text":"

De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Het Algoritmeregister helpt hierbij. Wanneer overheidsorganisaties open zijn over algoritmes en hun toepassing, kunnen burgers, organisaties en media de overheid kritisch volgen.

Je kunt hier meer lezen over de doelen van het Algoritmeregister.

"},{"location":"instrumenten/algoritmeregister/#relevantie","title":"Relevantie","text":"

In de Handreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan. Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.

"},{"location":"instrumenten/algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen."},{"location":"instrumenten/algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmeregister"},{"location":"instrumenten/algoritmeregister/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"instrumenten/modelcontractbepalingen/","title":"Modelcontractbepalingen","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieVerificatie en validatieAanbestedingsjuristBehoeftestellerContractbeheerderInkoopadviseurProjectleiderPublieke inkoop

"},{"location":"instrumenten/modelcontractbepalingen/#instrument","title":"Instrument","text":"

Modelbepalingen kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen. Deze bepalingen (of voorwaarden) kunnen opgenomen worden wanneer er een contract wordt afgesloten met een leverancier van een algoritme of algoritmisch systeem. Er kunnen dan bijvoorbeeld beperkingen gelden om onaanvaardbare risico's van AI te vermijden, of bepaalde voorwaarden gesteld worden waaraan een algoritme juist moet voldoen. Ook kunnen bepaalde voorwaarden worden opgenomen op basis van de vereisten in het Algoritmekader.

"},{"location":"instrumenten/modelcontractbepalingen/#europese-commissie","title":"Europese Commissie","text":"

De Europese contractvoorwaarden voor AI bieden aanbestedende organisaties de mogelijkheid om specifieke clausules op te nemen in de overeenkomst. Op deze manier worden afspraken gemaakt over onderwerpen die in lijn zijn met de aankomende AI-Act. Er zijn 2 versies van de AI-inkoopvoorwaarden opgesteld: een set voorwaarden voor AI-toepassingen met een hoog-risicoprofiel en een set voorwaarden voor AI-toepassingen met een laag-risicoprofiel.

"},{"location":"instrumenten/modelcontractbepalingen/#gemeente-amsterdam","title":"Gemeente Amsterdam","text":"

De Europese contractvoorwaarden voor AI zijn gebaseerd op onder andere de modelbepalingen die de Gemeente Amsterdam al eerder opstelde. Deze dienen als voorbeeld voor andere gemeenten die algoritmische toepassingen willen inkopen.

"},{"location":"instrumenten/modelcontractbepalingen/#ai-module-bij-arbit-2022","title":"AI-module bij ARBIT-2022","text":"

De AI-module bij de ARBIT is gebaseerd op het gepubliceerd model van de Europese Commissie dat hierboven beschreven wordt. Via een verwijzing in de gebruikte modelovereenkomst kan de AI-module onderdeel gaan uitmaken van een onder de ARBIT te sluiten overeenkomst.

De ARBIT zijn de Algemene Rijksinkoopvoorwaarden bij IT\u2011overeenkomsten (ARBIT) en zijn bedoeld voor kleine en middelgrote IT-inkopen door de overheid. Lees meer hierover op de website van PIANOo.

"},{"location":"instrumenten/modelcontractbepalingen/#relevantie","title":"Relevantie","text":"

Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.

"},{"location":"instrumenten/modelcontractbepalingen/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitleg"},{"location":"instrumenten/modelcontractbepalingen/#bronnen","title":"Bronnen","text":"Bron Modelbepalingen voor gemeenten voor verantwoord gebruik van Algoritmische toepassingen Contractvoorwaarden voor het inkopen van artifici\u00eble intelligentie (AI) AI-module bij de modelovereenkomst ARBIT-2022"},{"location":"instrumenten/modelcontractbepalingen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld van het gebruik van modelbepalingen of contractvoorwaarden op het gebied van algoritmen? Laat het ons weten!

"},{"location":"levenscyclus/","title":"Levenscyclus algoritmes en AI","text":"

Bij verantwoord gebruik van algoritmes en AI voldoe je tijdens elke fase van de levenscyclus aan de vereisten. Van het ontwikkelen van een oplossing, tot het in gebruik nemen van die oplossing en er uiteindelijk weer mee stoppen. De levenscyclus helpt je om te bepalen in welke fase jouw product zit en welke beslissingen hierbij horen.

"},{"location":"levenscyclus/#fases-van-de-levenscyclus","title":"Fases van de levenscyclus","text":"
  1. Probleemanalyse
  2. Ontwerpen
  3. Dataverkenning en datapreparatie
  4. Ontwikkelen
  5. Verficatie en validatie
  6. Implementeren
  7. Monitoring en beheer
  8. Uitfaseren

Tip

In de praktijk herhaal je soms fases of ga je terug naar een eerdere fase. Mislukt bijvoorbeeld het valideren (fase 5), dan moet je terug naar de ontwerpfase (fase 2) omdat het product nog niet voldoet aan de wensen of vereisten.

"},{"location":"levenscyclus/#andere-levenscyclusmodellen","title":"Andere levenscyclusmodellen","text":"

De 8 fasen van de levenscyclus zijn gebaseerd op 10 belangrijke levenscyclusmodellen voor het ontwikkelen van AI, zoals:

Deze 8 fasen passen zo goed mogelijk bij de manier van werken van overheden. Het is geen verplicht model. Mogelijk past een ander levenscyclusmodel beter bij jouw organisatie.

"},{"location":"levenscyclus/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"levenscyclus/archiveren/","title":"Archiveren","text":"

Wanneer het algoritme of AI-model niet langer nodig is of wordt vervangen door een verbeterde versie, wordt het gearchiveerd. Dit omvat het behouden van documentatie en eventuele relevante artefacten.

"},{"location":"levenscyclus/archiveren/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"levenscyclus/archiveren/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/","title":"Dataverkenning en datapreparatie","text":"

In deze fase worden relevante datasets ge\u00efdentificeerd en wanneer nodig wordt nieuwe data verzameld. In deze fase zal ook de ontwikkelomgeving (verder) worden ingericht indien nodig. Het is van belang dat voorafgaand aan verzameling is vastgesteld dat de benodigde data mag worden verwerkt en dat de juiste maatregelen worden getroffen, zodra de data kan worden verwerkt. Denk hierbij aan het anonimiseren, pseudonimiseren of aggregeren van persoonsgegevens. De data zullen vervolgens worden opgeschoond, geanalyseerd en voorbereid voor verdere verwerking.

Het is van belang dat dataverzameling op de juiste manier gebeurt, en dat datasets die gebruikt gaan worden van goede kwaliteit zijn. In deze fase is het van belang om de datakwaliteit en eventuele bias in de dataset te onderzoeken. Indien er risico's optreden door bijvoorbeeld missende data of niet representatieve data, is het belangrijk om te kijken wat voor effecten dit heeft op het oorspronkelijke ontwerp van het algoritme of AI-systeem. Dit kan betekenen dat nieuwe keuzes moeten worden gemaakt in het ontwerp en eventueel eerste deze fase van ontwerp (deels) opnieuw moet worden doorlopen.

Met voorgaande handelingen wordt het fundament gelegd om het algoritme of AI-systeem te kunnen ontwikkelen. In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen. Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme of AI-systeem.

"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenEenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/implementatie/","title":"Implementatie","text":"

In deze fase wordt het algoritme of AI-systeem in de praktijk gebracht en duurzaam ge\u00efntegreerd in het bedrijfsproces. In de praktijk worden veelal eerst een pilot uitgevoerd voor een afgebakende periode of over een beperkt aan zaken. In deze situatie, een pilot, wordt tijdelijk productiedata verwerkt. Dit vraagt om een goede samenwerking tussen het ontwikkelteam en de gebruikers van het algoritme of AI-systeem. Niet alleen de prestaties van het algoritme of AI-systeem worden nogmaals gevalideerd, maar bijvoorbeeld ook of de output zodanig wordt gepresenteerd dat gebruikers hiermee kunnen werken. Na deze pilot wordt onderzocht in hoeverre het algoritme of AI-systeem presteert conform wens en verwachting. Er kan worden gekozen om het algoritme eerst nog door te ontwikkelen op basis van de bevindingen, uit te faseren of om de oplossing structureel onderdeel te maken van de bedrijfsvoering door het te implementeren.

Als een besluit wordt genomen om de oplossing te implementeren, dan is het van belang dat gebruikers goed begrijpen hoe de resultaten van het algoritme of AI-systeem moeten worden ge\u00efnterpreteerd, dat de rest-risico's bekend zijn, de verantwoordelijkheden belegd zijn en dat er duidelijke werkinstructies zijn over het gebruik van het algoritme of AI-systeem. Service- en incidentmanagement moet volledig worden geoperationaliseerd, zodat gebruikers kunnen worden geholpen bij vragen of incidenten. Een kenmerkend element van deze fase is dat vanaf nu betrokkenen onderhevig zijn aan de werking van het algoritme of AI-systeem. Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme of AI-systeem tot stand. Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is ge\u00efmplementeerd.

"},{"location":"levenscyclus/implementatie/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenEenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetVoordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/implementatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Aselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectieMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Configuratie met de mensZorg voor complementariteit tussen algoritmische systeem en de mensen die ermee moeten werken.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/monitoren/","title":"Monitoren","text":"

Het algoritme of AI-model wordt voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht. Eventuele afwijkingen of verslechtering van prestaties worden ge\u00efdentificeerd en aangepakt.

"},{"location":"levenscyclus/monitoren/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"levenscyclus/monitoren/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/monitoring-en-beheer/","title":"Monitoring en beheer","text":"

Het algoritme of AI-systeem wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme of AI-systeem wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme of AI-systeem.

Het is van belang dat beheer wordt uitgevoerd over het algoritme of AI-systeem, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme of AI-systeem niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.

"},{"location":"levenscyclus/monitoring-en-beheer/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningMelden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Klachtrecht aanbieders verder in AI-waardeketenAanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.Recht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/monitoring-en-beheer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectieMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/ontwerp/","title":"Ontwerp","text":"

In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht. Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.

Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme of AI-systeem. Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.

Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.

Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme of AI-systeem. Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk ge\u00ebvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme of AI-systeem voldoet aan bijvoorbeeld het vereiste van non-discriminatie.

Nadat een besluit is genomen over het definitieve ontwerp van het algoritme of AI-systeem, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.

"},{"location":"levenscyclus/ontwerp/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetVoordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/ontwerp/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/ontwikkelen/","title":"Ontwikkelen","text":"

Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam. Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.

Het algoritme of AI-systeem technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme of AI-systeem functioneert) van een machine learning model of algoritme. Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme of AI-systeem op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.

In deze fase is niet alleen het ontwikkelen van een algoritme of AI-systeem, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.

"},{"location":"levenscyclus/ontwikkelen/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensPrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/ontwikkelen/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/probleemanalyse/","title":"Probleemanalyse","text":"

In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven. Er wordt bijvoorbeeld onderzocht welke publieke taak moet worden ondersteund en welke publieke waarden daarbij moeten worden beschermd of juist gerealiseerd. In deze fase wordt onderzocht of het ontwikkelen van een algoritme of AI-systeem een geschikt middel is om het doel te realiseren en het probleem op te lossen. Dat hangt van verschillende zaken af. Hierbij kan worden gedacht aan de middelen (capaciteit en financi\u00eble middelen) die nodig zijn om algoritmen en AI op een verantwoorde wijze te ontwikkelen, de complexiteit van de oplossing, het in beeld brengen van de verwachte risico's (hoog over), een eerste beeld krijgen bij wat voor data nodig zijn en het in kaart brengen en beleggen van de verschillende verantwoordelijkheden. Daarnaast is het van belang om het beleid met betrekking tot de inzet van algoritme en AI van een organisatie te raadplegen.

Er zal een conclusie moeten volgen of de ontwikkeling van een algoritme of AI-systeem passend is. Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme of een AI-systeem te ontwikkelen. Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.

"},{"location":"levenscyclus/probleemanalyse/#vereisten","title":"Vereisten","text":"VereisteUitlegProportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/probleemanalyse/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/uitfaseren/","title":"Uitfaseren","text":"

Als wordt besloten dat het algoritme of AI-systeem niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd. Hiermee wordt ervoor gezocht dat later kan worden gereconstrueerd hoe het algoritme of AI-systeem heeft gefunctioneerd en dat gebruikers er geen gebruik meer van kunnen maken.

Archiveren betekent dat documentatie en eventuele relevante artefacten (zoals logbestanden en de parameters van het model) worden bewaard voor een bepaalde periode. Het gaat daarbij ook om informatie over het algoritme of AI-systeem, bijvoorbeeld het besluit en onderbouwing waarom het niet meer wordt gebruikt en waarom het in het verleden wel gebruikt werd. Archiveren is niet enkel relevant aan het einde van de levenscyclus, maar is ook gedurende het gebruik van het algoritme of AI-systeem van belang. Er moet tijdig worden vastgesteld welke versies van een model moeten worden gearchiveerd, bijvoorbeeld al tijdens de ontwerpfase.

Bij AI-systemen is er in praktijk vaak sprake van hertrainen op nieuwe data, wat het model anders maakt en andere voorspellingen kan doen geven. Ook meer eenvoudige algoritmes kunnen gedurende de tijd veranderen en andere voorspellingen geven, bijvoorbeeld door veranderende data of veranderende rekenregels. Er moet worden vastgesteld welke versies van een model moet gearchiveerd.

Bij uitfaseren wordt het algoritme of AI-systeem verwijderd uit de productieomgeving en, na archivering, wordt de trainingsdata uit de ontwikkelomgeving verwijderd. Het algoritme is hiermee niet meer te gebruiken door gebruikers. Gebruikers moeten hier vooraf over worden ge\u00efnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen ge\u00efnformeerd over het be\u00ebindigen van het gebruik.

"},{"location":"levenscyclus/uitfaseren/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/uitfaseren/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/verificatie-en-validatie/","title":"Verificatie en validatie","text":"

Bij de verificatie en validatie van het algoritme of AI-systeem dient bepaald te worden of het algoritme of AI-systeem gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen. Hiervoor moeten technische, maar ook organisatorische maatregelen worden getroffen.

Bij verificatie kan worden gedacht aan het (laten) controleren of het algoritme of AI-systeem voldoet aan de (technische) specificaties, bijvoorbeeld door een interne of externe audit of in de toekomst een conformiteitsbeoordeling voor hoog risico AI-systemen. Hiermee kan (onafhankelijk) worden vastgesteld of het systeem voldoet aan de vereisten die organisaties daaraan stellen. Op basis van bevindingen uit een audit of conformiteitsbeoordeling, is het denkbaar dat het ontwikkelteam nog bepaalde maatregelen moet treffen om te voldoen aan de specificaties.

Bij het valideren van een algoritme of AI-systeem moet worden bepaald of het goed genoeg presteert en of het geschikt is voor het beoogde doel van het systeem. Wanneer het een AI-systeem betreft, is het belangrijk dat dit gevalideerd wordt op nieuwe, niet eerder geziene data. Het valideren betreft het iteratief evalueren van de nauwkeurigheid en prestaties van het systeem. Daarnaast is het ook belangrijk om te valideren of het algoritme gelijke prestaties toont voor verschillende groepen en om te testen hoe het algoritme presteert in uitzonderlijke gevallen. Het is net als in de ontwerpfase belangrijk dat een multidisciplinair team beoordeelt of de werking passend en bijvoorbeeld non-discriminatoir is. In het geval van impactvolle algoritmen of hoog risico AI-systemen, is het raadzaam om een onafhankelijke commissie of partij te betrekken die een advies geeft over de werking van het algoritme of AI-systeem.

In praktijk zal vaak na validatie weer worden teruggegaan naar de ontwikkelfase om prestaties van het model te verbeteren voorafgaand aan implementatie van de oplossing. Het is ook denkbaar dat het algoritme of AI-systeem onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt be\u00ebindigd. Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.

"},{"location":"levenscyclus/verificatie-en-validatie/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldDocumentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/verificatie-en-validatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterRestrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"maatregelen/","title":"Maatregelen","text":"

Overzicht van aanbevolen maatregelen voor verantwoord gebruik van algoritmes en AI-systemen. Het zijn adviezen om te voldoen aan de vereisten voor overheden. Andere maatregelen zijn ook mogelijk.

"},{"location":"maatregelen/#alle-maatregelen-zijn-adviezen","title":"Alle maatregelen zijn adviezen","text":"

De maatregelen zijn niet verplicht. Het zijn adviezen uit:

"},{"location":"maatregelen/#voorbeeld","title":"Voorbeeld","text":"

Onderzoek het ontwikkelde algoritme op onbewuste vooringenomenheid (discriminatie) door middel van een bias-analyse.

Deze maatregel helpt om te voldoen aan de vereiste om niet te discrimineren. Maar deze maatregel is niet verplicht. Je organisatie mag ook eigen maatregelen nemen. Zolang je uiteindelijk maar voldoet aan de vereiste.

Tip

Aantal maatregelen verschilt per situatie

Welke maatregelen handig zijn in jouw situatie, hangt af van:

Tip

Met \u00e9\u00e9n maatregel voldoe je soms aan meerdere vereisten.

"},{"location":"maatregelen/#overzicht-maatregelen","title":"Overzicht maatregelen","text":""},{"location":"maatregelen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/","title":"Aansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding","text":"

ProbleemanalyseImplementatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#maatregel","title":"Maatregel","text":"

Maak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#toelichting","title":"Toelichting","text":"

Eindgebruikers kunnen er niet altijd op vertrouwen, en ook niet (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme of AI-systeem laten genereren, inbreuk maakt op rechten van derden. Hoe groot de kans is dat zij vanwege het gebruik van gegenereerde output aansprakelijk worden gesteld, is in het verlengde daarvan evenmin vast te stellen. Er zijn wel voorbeelden waarbij gebruikers voor een eventuele inbreuk aansprakelijk kunnen worden gesteld.

Op dit moment zijn ons (nog) geen gevallen of rechtszaken bekend waarin eindgebruikers (of hun werkgevers) aansprakelijk werden gesteld voor een inbreuk op het intellectuele-eigendomsrecht vanwege het gebruik van op basis van algoritme of AI gegenereerde inhoud. Feit is echter wel dat een dergelijke aansprakelijkstelling in voorkomende gevallen dus mogelijk zullen zijn, te meer nu de aanbieders van algoritmen en AI in hun algemene voorwaarden het risico voor aansprakelijkheid (waaronder vanwege inbreuken op intellectuele eigendom) volledig of grotendeels uitsluiten, of zelfs verlangen dat gebruikers hen vrijwaren voor de gevolgen van eventuele aansprakelijkstellingen.

Maak een beoordeling in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend worden geacht gezien de toepassing. Maak een jurist onderdeel van de beoordeling hiervan.

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/","title":"Archiveren beperkingen openbaarheid","text":"

OntwerpOntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeJuristGovernance

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#maatregel","title":"Maatregel","text":"

Stel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#toelichting","title":"Toelichting","text":"

Er zijn gevallen waarbij het openbaren van archiefbescheiden is uitgesloten. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Stem in het begin van het proces (pro-actief) met de opdrachtgever af wat de wenselijkheid is t.a.v. transparantie/openheid (uitgangspunt zou 'open, tenzij' moeten zijn).

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden."},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#voorbeeld","title":"Voorbeeld","text":"

Heb je een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_bewaartermijnen/","title":"Vaststellen bewaartermijnen voor archiefbescheiden","text":"

OntwerpOntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeGovernance

"},{"location":"maatregelen/archiveren_bewaartermijnen/#maatregel","title":"Maatregel","text":"

Stel de bewaartermijnen vast voor de archiefbescheiden.

"},{"location":"maatregelen/archiveren_bewaartermijnen/#toelichting","title":"Toelichting","text":"

Archiefbescheiden moeten voor een bepaalde tijd worden bewaard. Dit wordt de bewaartermijn genoemd. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Zorg dat de ter zake c.q. van toepassing zijnde formeel vastgesteld selectielijst wordt toegepast en pas de informatie rondom algoritmes en AI hierop toe. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden bewaard en dat hier dus ook nog geen termijnen aan zijn gekoppeld.

"},{"location":"maatregelen/archiveren_bewaartermijnen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode."},{"location":"maatregelen/archiveren_bewaartermijnen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_bewaartermijnen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/","title":"Archiefbescheiden zijn duurzaam toegankelijk","text":"

OntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeGovernance

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#maatregel","title":"Maatregel","text":"

Stel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#toelichting","title":"Toelichting","text":"

Het moet mogelijk zijn dat de archiefbescheiden daadwerkelijk overhandigd kunnen worden aan betrokken partijen. Denk hierbij aan burgers, onderneming, toezichthouder of rechters. Duurzaam betekent hier met behoud van functie en kwaliteit voor langere tijd. Onderzoek welke voorziening hiervoor beschikbaar is binnen de organisatie.

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden."},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_vaststellen_documenten/","title":"Archiefbescheiden vaststellen","text":"

OntwerpOntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeData scientistJuristGovernance

"},{"location":"maatregelen/archiveren_vaststellen_documenten/#maatregel","title":"Maatregel","text":"

Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.

"},{"location":"maatregelen/archiveren_vaststellen_documenten/#toelichting","title":"Toelichting","text":"

Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden toegepast. Formeer hierbij een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist, proceseigenaar en archief deskundige) om deze maatregel toe te passen.

"},{"location":"maatregelen/archiveren_vaststellen_documenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode."},{"location":"maatregelen/archiveren_vaststellen_documenten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_vaststellen_documenten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/aselecte_steekproeven/","title":"Aselecte steekproeven","text":"

ImplementatieMonitoring en beheerBias en non discriminatieTechnische robuustheid en veiligheid

"},{"location":"maatregelen/aselecte_steekproeven/#maatregel","title":"Maatregel","text":"

Uitvoeren van aselecte steekproeven als aanvulling wanneer gebruik gemaakt wordt van risicogestuurde selectie.

"},{"location":"maatregelen/aselecte_steekproeven/#toelichting","title":"Toelichting","text":"

Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde selectie.

Het toevoegen van aselecte steekproeven maakt het mogelijk om over tijd te beoordelen of het algoritme nog voldoende effectief is. Populaties veranderen immers over tijd. Een selectie die het meest effectief was bij ingebruikname, kan over tijd dat niet meer zijn. Door alleen risicogestuurd te selecteren, wordt dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden. Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden of er nog steeds sprake is van de meest proportionele vorm. Als dat niet zo is, kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie of overgaan op volledig aselect.

De maatregel gaat daarmee niet direct discriminatie tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van de risicogestuurde selectie. Een lagere effectiviteit maakt het echter lastiger het gemaakte onderscheid te rechtvaardigen.

Het gebruik van een aselecte steekproef is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid. Een aselecte steekproef geeft ook inzicht in heel deel van de populatie dat doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde algoritme. Dit maakt het mogelijk om te toetsen of er sprake is van een over- of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde typen fouten vaker gemaakt worden in bepaalde groepen.

Bij AI-systemen die verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing feedbackloop, omdat zij geen representatieve data krijgen. Het toevoegen van aselecte steekproeven kan deze feedbackloop doorbreken.

Het is aan te bevelen om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is op basis van een risicogestuurd of aselecte selectie. Daardoor wordt beperkt dat een behandelaar met tunnelvisie een zaak bekijkt. De behandelaar weet immers dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico. Op die manier kan automation bias beperkt te worden. Niet in alle gevallen zal dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan halen op basis waarvan een casus geselecteerd is. Het is dan belang om op andere wijze de tunnelvisie tegen te gaan.

De precieze inzet van aselecte steekproeven zal afhangen van de context. Zo verschilt het per context hoeveel zaken aselect geselecteerd moeten worden. Bepaal welke groepen er precies vergeleken dienen te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig dat er gesproken kan worden over statistische significantie.

In sommige gevallen zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor aselecte steekproef. Zo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek, maar mogelijk niet als enige basis voor een huisbezoek. Deze belangenenafweging moet per context gemaakt worden.

"},{"location":"maatregelen/aselecte_steekproeven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitleg"},{"location":"maatregelen/aselecte_steekproeven/#bronnen","title":"Bronnen","text":"Bron Rapportage Algoritmerisico's Nederland voorjaar 2024 (pp. 36-41)"},{"location":"maatregelen/aselecte_steekproeven/#risico","title":"Risico","text":""},{"location":"maatregelen/aselecte_steekproeven/#voorbeeld","title":"Voorbeeld","text":"

In het onderzoek van zowel Algorithm Audit als PricewaterhouseCoopers naar de Controle Uitwonendenbeurs is het belang van de aselecte steekproef duidelijk geworden.

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/backups_maken/","title":"Maak back-ups van algoritmes","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarProjectleiderInformatiebeheerderData engineerSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/backups_maken/#maatregel","title":"Maatregel","text":"

Back-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid. Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme en de data hersteld kunnen worden.

"},{"location":"maatregelen/backups_maken/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/backups_maken/#risico","title":"Risico","text":"

Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.

"},{"location":"maatregelen/backups_maken/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/backups_maken/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, 12.3.1.1, 12.3.1.4, 12.3.1.5. Onderzoekskader Algoritmes Auditdienst Rijk, IB.26 Toetsingskader Algoritmes Algemene Rekenkamer, 4.08"},{"location":"maatregelen/backups_maken/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/","title":"Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.","text":"

ProbleemanalyseOntwerpOntwikkelenProceseigenaarBehoeftestellerBeleidsmedewerkerInkoopadviseurAanbiederData scientistData engineerGovernance

"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#maatregel","title":"Maatregel","text":"

Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.

"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.12 Toetsingskader Algoritmes Algemene Rekenkamer, 3.02 Algoritmekader"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/","title":"Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.","text":"

OntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistSecurity officerTechnische robuustheid en veiligheidPrivacy en gegevensbescherming

"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#maatregel","title":"Maatregel","text":"

Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.

"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode."},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11 Toetsingskader Algoritmes Algemene Rekenkamer, 3.17 Algoritmekader"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/","title":"Bepaal of de output bepalende invloed heeft in een besluit richting personen","text":"

OntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarGebruikerInkoopadviseurEthicusJuristPublieke inkoop

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#maatregel","title":"Maatregel","text":"

Ga na of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#toelichting","title":"Toelichting","text":"

Maak een beoordeling in hoeverre de mate waarin menselijke tussenkomst is of kan worden gerealiseerd. Raadpleeg voor deze beoordeling verschillende experts, zoals een gebruiker, proceseigenaar, ethicus en jurist.

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen."},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/","title":"Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenProceseigenaarAanbiederData scientistData engineerSecurity officerPrivacy officerPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid

"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#maatregel","title":"Maatregel","text":"

Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data.

"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn."},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/","title":"Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerInkoopadviseurContractbeheerderAanbiederPrivacy en gegevensbeschermingGovernance

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#maatregel","title":"Maatregel","text":"

Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#risico","title":"Risico","text":"

De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten.

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.06 Onderzoekskader Algoritmes Auditdienst Rijk, SV.9 Algoritmekader"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#voorbeeld","title":"Voorbeeld","text":"

Rapport Kleur Bekennen, Algemene Rekenkamer, p. 114, figuur 5-4

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/","title":"Bespreek de vereiste met aanbieder of opdrachtnemer","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederOpdrachtnemerPublieke inkoop

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#maatregel","title":"Maatregel","text":"

Bespreek de vereiste met aanbieder.

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#toelichting","title":"Toelichting","text":"

Ga met een aanbieder en/of met opdrachtnemers in gesprek over in hoeverre deze invulling heeft gegeven of gaat geven aan de vereiste. Op basis van nieuwe of gewijzigde wet- en regelgeving is het denkbaar dat een aanbieder van algoritmes of AI-systemen nog niet of niet meer voldoet aan deze vereiste. Indien van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/betrek_belanghebbenden/","title":"Betrek belanghebbenden","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderGovernanceFundamentele rechten

"},{"location":"maatregelen/betrek_belanghebbenden/#maatregel","title":"Maatregel","text":"

Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus. Belanghebbenden zijn onder meer eindgebruikers, mensen en rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende organisaties.

"},{"location":"maatregelen/betrek_belanghebbenden/#toelichting","title":"Toelichting","text":"

Algoritmes worden vaak gebruikt binnen een (specifieke) context waar deze invloed op uitoefenen. Medewerkers moeten bijvoorbeeld werken met de uitkomsten of anderen zijn onderwerp van het algoritme. Om te voorkomen dat er een mismatch ontstaat met de realiteit, is het van belang om specifieke domeinkennis te betrekken.

Het betrekken van belanghebbenden is van belang in bijna alle fasen van de levenscyclus.

In de fase van de probleemanalyse is het allereerst van belang in kaart te brengen welke stakeholders er zijn. Wie gaan bijvoorbeeld werken met het algoritme (eindgebruikers)? En welke demografie\u00ebn worden geraakt door een algoritme? Bij wie liggen de voordelen en bij wie liggen de nadelen? Ga vervolgens in gesprek met belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context waarin het gebruikt wordt. Bespreek daarbij welke definitie en metriek van fairness past bij de context.

In de fase van dataverkenning en datapreparatie is het van belang om domeinexpertise te betrekken, om zo in kaart te brengen wat de data features betekenen en waar zij vandaan komen. Op basis daarvan kan in kaart gebracht worden of er sprake is van bias en/of links met beschermde persoonskenmerken.

In de fase van implementatie is het van belang de eindgebruikers te betrekken. Het is dan vooral van belang om maatregelen te nemen om automation bias, deployment bias en reinforcing feedback loop te voorkomen of te beperken.

In de fase van monitoren is het van belang belanghebbenden te betrekken bij de evaluatie. Dit kan bijvoorbeeld in de vorm van een survey of focusgroep. Zij kunnen problemen in de praktijk naar voren brengen, die niet altijd terug te vinden zijn in de data.

Terugkoppelen aan buitenwereld.

"},{"location":"maatregelen/betrek_belanghebbenden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitleg"},{"location":"maatregelen/betrek_belanghebbenden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 2.12 The Fairness Handbook Handreiking non-discriminatie by design Ethics Guidelines for Trustworthy AI Onderzoekskader Algoritmes Auditdienst Rijk, SV.10"},{"location":"maatregelen/betrek_belanghebbenden/#risico","title":"Risico","text":"

De mismatch kan nadelige gevolgen hebben voor de effectiviteit van het algoritme binnen een context. Het kan daarnaast ook ongerechtvaardigde discriminatie in de hand werken. Ontwikkelaars kunnen bijvoorbeeld missen dat in de context van het algoritme een variabele een proxy is voor een discriminatiegrond.

"},{"location":"maatregelen/betrek_belanghebbenden/#voorbeeld","title":"Voorbeeld","text":"

Richt een burgerpanel in.

Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder. Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/beveiliging_van_componenten/","title":"Zorg voor een goede beveiliging van een algoritme.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerPrivacy officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/beveiliging_van_componenten/#maatregel","title":"Maatregel","text":"

Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem. Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.

"},{"location":"maatregelen/beveiliging_van_componenten/#toelichting","title":"Toelichting","text":"

Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme of systeem. Hierbij kan worden gedacht aan: Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.)

"},{"location":"maatregelen/beveiliging_van_componenten/#risico","title":"Risico","text":"

Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.

"},{"location":"maatregelen/beveiliging_van_componenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten."},{"location":"maatregelen/beveiliging_van_componenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.18 t/m IB.25 NCSC Handreiking voor implementatie van detectieoplossingen Handleiding Quickscan Information Security"},{"location":"maatregelen/beveiliging_van_componenten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/configuratie_met_de_mens/","title":"Configuratie met de mens","text":"

ImplementatieGovernanceMenselijke controle

"},{"location":"maatregelen/configuratie_met_de_mens/#maatregel","title":"Maatregel","text":""},{"location":"maatregelen/configuratie_met_de_mens/#toelichting","title":"Toelichting","text":"

Zorg voor complementariteit tussen medewerkers en systemen. Dit helpt bij het voorkomen van (automation) bias en discriminatie, het signaleren van algoritmische problemen, en het vermijden van de facto automatische besluitvorming.

"},{"location":"maatregelen/configuratie_met_de_mens/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat."},{"location":"maatregelen/configuratie_met_de_mens/#bronnen","title":"Bronnen","text":"Bron Handreiking non-discriminatie by design Impact Assessment Mensenrechten en Algoritmes Ethics Guidelines of Trustworthy AI"},{"location":"maatregelen/configuratie_met_de_mens/#risico","title":"Risico","text":"

Bias, discriminatie, de facto automatische besluitvorming.

"},{"location":"maatregelen/configuratie_met_de_mens/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/","title":"Contractuele afspraken over data en artefacten","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederInformatiebeheerderPublieke inkoop

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#maatregel","title":"Maatregel","text":"

Maak (contractuele) afspraken met de aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#toelichting","title":"Toelichting","text":"

Hier kan worden gedacht aan de initi\u00eble trainingsdataset, outputdata (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers).

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/","title":"Controleren eigen data op schending auteursrechten","text":"

OntwerpDataverkenning en datapreparatieProceseigenaarInformatiebeheerderJuristData

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#maatregel","title":"Maatregel","text":"

Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#toelichting","title":"Toelichting","text":"

Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen worden gebruikt voor de ontwikkeling van een algoritme of AI-systeem.

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/","title":"Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#maatregel","title":"Maatregel","text":"

Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#toelichting","title":"Toelichting","text":"

Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten, kan het noodzakelijk zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) moeten samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) kunnen aanbieders mogelijk nog niet voldoen aan deze nieuwe vereisten of is onduidelijk op welke manier hier invulling aan moet worden gegeven. In de context van algoritmes en AI kan het voor bepaalde onderwerpen zoals non-discriminatie, transparantie en eerbiedigen van fundamentele rechten van belang zijn om samen te verkennen hoe hier invulling aan moet worden gegeven. Het is belangrijk om bij de behoeftestelling al te verkennen op welke onderwerpen dit mogelijk van toepassing is.

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Ruimte voor Innovatie in het contract"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/","title":"Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarPrivacy officerPrivacy en gegevensbescherming

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#maatregel","title":"Maatregel","text":"

Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#risico","title":"Risico","text":"

Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 3.01, 3.05 Onderzoekskader Algoritmes Auditdienst Rijk, PRI.4 Algoritmekader"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/formuleren_doelstellling/","title":"Formuleren doelstelling","text":"

ProbleemanalyseProjectleiderOpdrachtgeverDomeinspecialistGovernance

"},{"location":"maatregelen/formuleren_doelstellling/#maatregel","title":"Maatregel","text":"

Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. Maak de consequenties van het algoritme specifiek en zorg dat het doel van het algoritme formeel is vastgesteld en vastgelegd.

"},{"location":"maatregelen/formuleren_doelstellling/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/formuleren_doelstellling/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/formuleren_doelstellling/#risico","title":"Risico","text":"

Het algoritme dient niet het beoogde doel en onderliggend probleem. Zonder eenduidigheid over het doel is geen sturing op en verantwoording over het algoritme mogelijk. Er is dan een groter risico op fouten en/of verschillen in interpretatie.

Wanneer doelstellingen niet meetbaar zijn gemaakt, is het onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. Doelstellingen zijn in dat geval moeilijk bespreekbaar.

"},{"location":"maatregelen/formuleren_doelstellling/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.01, 1.02 Impact Assessment Mensenrechten en Algoritmes, 1.2 Onderzoekskader Algoritmes Auditdienst Rijk, SV.3"},{"location":"maatregelen/formuleren_doelstellling/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/formuleren_probleemdefinitie/","title":"Formuleren aanleiding en probleemdefinitie","text":"

ProbleemanalyseProjectleiderOpdrachtgeverDomeinspecialistGovernance

"},{"location":"maatregelen/formuleren_probleemdefinitie/#maatregel","title":"Maatregel","text":"

Formuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten. Formuleer duidelijk de probleemdefinitie en probleemafbakening waarvoor het algoritme een oplossing zou moeten vormen.

"},{"location":"maatregelen/formuleren_probleemdefinitie/#toelichting","title":"Toelichting","text":"

Formuleer de probleemdefinitie en probleemafbakening zo concreet en precies mogelijk. Maak dit waar mogelijk kwantificeerbaar.

"},{"location":"maatregelen/formuleren_probleemdefinitie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/formuleren_probleemdefinitie/#risico","title":"Risico","text":"

Het algoritme dient niet het onderliggende probleem. Zonder eenduidigheid over het op te lossen probleem is geen sturing op en verantwoording over het algoritme mogelijk.

"},{"location":"maatregelen/formuleren_probleemdefinitie/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes, 1.1 Onderzoekskader Algoritmes Auditdienst Rijk, SV.1"},{"location":"maatregelen/formuleren_probleemdefinitie/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/","title":"Verken maatregelen van aanbieder om schending auteursrechten te voorkomen","text":"

ProbleemanalyseImplementatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederPublieke inkoop

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#maatregel","title":"Maatregel","text":"

Verken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#toelichting","title":"Toelichting","text":"

Als 'open gaten' worden ervaren, dan is het van belang om hierover met de aanbieder in gesprek te gaan, bijvoorbeeld door een marktconsultatie of algemene materie gerelateerde gesprekken. De ARVODI (24.7) en ARBIT (art 8.5 & 8.6) adresseren het schenden van intellectueel eigendom.

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/informatiebeveiligingsincidenten/","title":"Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerProceseigenaarTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/informatiebeveiligingsincidenten/#maatregel","title":"Maatregel","text":"

Richt een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.

"},{"location":"maatregelen/informatiebeveiligingsincidenten/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/informatiebeveiligingsincidenten/#risico","title":"Risico","text":"

Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.

"},{"location":"maatregelen/informatiebeveiligingsincidenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten."},{"location":"maatregelen/informatiebeveiligingsincidenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5 Onderzoekskader Algoritmes Auditdienst Rijk, IB.30 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/informatiebeveiligingsincidenten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/","title":"Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.","text":"

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistPrivacy officerPrivacy en gegevensbescherming

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#maatregel","title":"Maatregel","text":"

Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen worden ontwikkeld of gebruikt.

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegPrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten."},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#risico","title":"Risico","text":"

Betrokkenen hebben geen controle over hun persoonsgegevens doordat ze geen beroep kunnen doen op hun privacyrechten.

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.9 Algoritmekader"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#voorbeeld","title":"Voorbeeld","text":"

| Privacyverzoek Gemeente Amsterdam |

"},{"location":"maatregelen/kwetsbare_groepen/","title":"Kwetsbare groepen in kaart brengen en beschermen","text":"

OntwerpProjectleiderOpdrachtgeverEthicusFundamentele rechten

"},{"location":"maatregelen/kwetsbare_groepen/#maatregel","title":"Maatregel","text":"

Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.

"},{"location":"maatregelen/kwetsbare_groepen/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/kwetsbare_groepen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitleg"},{"location":"maatregelen/kwetsbare_groepen/#risico","title":"Risico","text":"

De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.

"},{"location":"maatregelen/kwetsbare_groepen/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.4 Kamerstukken II 2023/24, 31066-1374 Impact Assessment Mensenrechten en Algoritmes, 4.1 Handreiking non-discriminatie by design, 1.7 en 1.8 en 1.15"},{"location":"maatregelen/kwetsbare_groepen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de output","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristGemandateerd verantwoordelijkePublieke inkoop

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#maatregel","title":"Maatregel","text":"

Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#toelichting","title":"Toelichting","text":"

Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen of de output van een algoritme een (potenti\u00eble) inbreuk maakt op auteursrechten. Maak een jurist onderdeel van de beoordeling hiervan.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#maatregel","title":"Maatregel","text":"

Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#toelichting","title":"Toelichting","text":"

Algoritmen en AI worden veelal getraind aan de hand van een omvangrijke hoeveelheid data. Op basis van de data wordt het algoritme of AI getraind om, op een later moment, de (door de eindgebruiker gewenste) uitkomsten te kunnen genereren.

Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, worden gebruikt voor de training van algoritmen of AI, is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme of AI gebruikt worden.

Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijke beschermde werken ter training van algoritme of AI (waarschijnlijk) een verveelvoudigingshandeling is die de rechthebbende kan verbieden. Dat betekent dat aanbieders van algoritmen en AI het gebruik van auteursrechtelijk beschermd materiaal in de inputfase steeds zullen moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht.

Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/","title":"Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistEthicusPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#maatregel","title":"Maatregel","text":"

Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#toelichting","title":"Toelichting","text":"

Door de inschrijver/aanbieder bewijs te laten leveren dat deze voldoet aan de vereiste, kan worden beoordeeld door opdrachtgever in hoeverre daadwerkelijk wordt voldaan aan deze vereiste. Op deze manier worden inschrijvers/aanbieders aangespoord om te motiveren wat zij hebben gedaan om te voldoen aan de vereiste.

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico."},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/logging/","title":"Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerArchiefdeskundigeTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle

"},{"location":"maatregelen/logging/#maatregel","title":"Maatregel","text":"

Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem.

"},{"location":"maatregelen/logging/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/logging/#risico","title":"Risico","text":"

Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.

"},{"location":"maatregelen/logging/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAutomatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens."},{"location":"maatregelen/logging/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5, 12.4.1.1, 12.4.2.2, Onderzoekskader Algoritmes Auditdienst Rijk, IB.27 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/logging/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/","title":"Maak de vereiste onderdeel van het programma van eisen","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van het programma van eisen

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#toelichting","title":"Toelichting","text":"

Door de vereiste onderdeel te maken van het programma van eisen, is het voor aanbieders duidelijk dat hun oplossing hieraan moet voldoen. Afhankelijk van de specifieke toepassing, context en noodzaak kan een vereiste in het programma van eisen concreet worden gemaakt. Het is hierbij van belang om dit af te wegen tegen zaken die mogelijk al zijn geregeld door middel van algemene inkoopvoorwaarden die gelden voor algoritmes en AI.

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/","title":"Maak de vereiste onderdeel van de contractovereenkomst","text":"

OntwerpOntwikkelenBehoeftestellerData scientistPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van de contractovereenkomst

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#toelichting","title":"Toelichting","text":"

Door de vereiste onderdeel te namen van de contractovereenkomst, zijn deze voorwaarden voor opdrachtgever richting aanbieder/opdrachtnemer afdwingbaar. Het is van belang dat bij de behoeftestelling een afweging wordt gemaakt in hoeverre de betreffende vereiste van toepassing is.

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/","title":"Maak de vereiste onderdeel van Service Level Agreement","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristData scientistAanbiederPublieke inkoop

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van Service Level Agreement

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#toelichting","title":"Toelichting","text":"

Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement (SLA). Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. Hierbij kan worden gedacht aan onderwerpen als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd, prestatiecriteria, reproduceerbaarheid, versiebeheer van de gebruikte algoritmes en AI-modellen en beveiliging. Laat de aanbieder aangeven welke vormen van onderhoud aan het algoritme of AI-systeem nodig zijn en de snelheid waarmee signalen vanuit gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise hiervoor beschikbaar is.

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAutomatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico."},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.11 Algoritmekader"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/","title":"Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van contractvoorwaarden

"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Onderzoekskader Algoritmes Auditdienst Rijk, SV.11"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/menselijke_tussenkomst/","title":"Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarGebruikerAanbiederMenselijke controleGovernance

"},{"location":"maatregelen/menselijke_tussenkomst/#maatregel","title":"Maatregel","text":"

Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.

"},{"location":"maatregelen/menselijke_tussenkomst/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/menselijke_tussenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/menselijke_tussenkomst/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 2.01 Onderzoekskader Algoritmes Auditdienst Rijk, SV.05 Advies over geautomatiseerde selectietechniek Pels Rijcken, p.9 Kamerstukken IT 2017-2018, 34 851, nr. (MvT UAVG), p. 120-121 Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst/#voorbeeld","title":"Voorbeeld","text":"

HvJEU december 2023, ECLI:EU:C:2023:957 (SCHUFA Scoring)

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/","title":"Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument","text":"

ProbleemanalyseOntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarInkoopadviseurGovernancePublieke inkoop

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#maatregel","title":"Maatregel","text":"

Neem het element van menselijke tussenkomst op in het projectplan en d\u00e9chargedocument.

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#toelichting","title":"Toelichting","text":"

Dit punt is onderdeel van een procesinrichting bij de gebruiksverantwoordelijke of gebruiker van het altgoritme of AI-systeem en zou technisch gefaciliteerd moeten kunnen worden. Het inrichten van menselijke tussenkomst ligt niet enkel bij de aanbieder en kan contractueel niet enkel bij de aanbieder worden neergelegd. Overweeg om een waarschuwingsplicht te expliciteren, in geval de aanbieder ziet dat geautomatiseerde besluiten aan geautomatiseerde berichtgeving is gekoppeld zonder menselijke tussenkomst. Ook dan ligt het in beginsel bij de gebruiksverantwoordelijke, maar maken de omstandigheden een grijzer gebied.

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen."},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/","title":"Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt","text":"

OntwerpMonitoring en beheerProceseigenaarPrivacy officerInkoopadviseurPublieke inkoopPrivacy en gegevensbescherming

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#maatregel","title":"Maatregel","text":"

Inventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#toelichting","title":"Toelichting","text":"

Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegEen DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd."},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/","title":"Neem technische documentatie op in het algoritmeregister","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerBeleidsmedewerkerTransparantie

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#maatregel","title":"Maatregel","text":"

Neem geschikte informatie uit technische documentatie op in het algoritmeregister.

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#toelichting","title":"Toelichting","text":"

Met het opstellen van technische documentatie over algoritmes en AI-systemen wordt belangrijke informatie vastgelegd die moet worden opgenomen of kan worden opgenomen in het Algoritmeregister. De Handreiking Algoritmeregister en de Publicatiestandaard van het register kan worden geraadpleegd om te bepalen of en welke informatie van een algoritme of AI-systeem moet worden gepubliceerd. Door dit goed af te stemmen kan hergebruik worden gemaakt van al gedocumenteerde informatie.

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen."},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Handreiking Algoritmeregister Publicatiestandaard"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/","title":"Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistEthicusPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#maatregel","title":"Maatregel","text":"

Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.

"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#toelichting","title":"Toelichting","text":"

Door de vereiste op te nemen als subgunningscriteria, ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden. In de context van algoritmes en AI is dit in het bijzonder relevant, bijvoorbeeld in relatie tot vereisten als non-discriminatie, eerbiedigen privacyrechten of het verbod op schenden auteursrechten. Door vereisten te vertalen naar een subgunningscriteria, kan een inhoudelijke beoordeling worden gemaakt in hoeverre een aanbieder hier invulling aan geeft.

"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico."},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/","title":"Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt","text":"

OntwikkelenVerificatie en validatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#maatregel","title":"Maatregel","text":"

Maak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#toelichting","title":"Toelichting","text":"

Het is van belang dat de resterende risico's inzichtelijk zijn gemaakt, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is.

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/","title":"Bepaal waarom we gebruik willen maken een algoritme","text":"

ProbleemanalyseProjectleiderOpdrachtgeverDomeinspecialistGovernance

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#maatregel","title":"Maatregel","text":"

Bepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#risico","title":"Risico","text":"

Het algoritme is niet het juiste middel om het probleem op te lossen. Het risico daarbij bestaat dat het probleem niet wordt opgelost.

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes, 1.1 Onderzoekskader Algoritmes Auditdienst Rijk, SV.2"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/","title":"Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusArchitectGovernance

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#maatregel","title":"Maatregel","text":"

Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#toelichting","title":"Toelichting","text":"

## Bijbehorende vereiste(n)

VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#risico","title":"Risico","text":"

De in te zetten algoritmes of AI-systemen voldoen niet aan vastgestelde beleidskaders.

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.8"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/","title":"Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurContractbeheerderGovernance

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#maatregel","title":"Maatregel","text":"

Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#toelichting","title":"Toelichting","text":"

Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#risico","title":"Risico","text":"

Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem.

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningJuistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.16, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.08 Algoritmekader"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/","title":"Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieProceseigenaarInformatie analistData engineerPrivacy officerPrivacy en gegevensbescherming

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#maatregel","title":"Maatregel","text":"

Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt en om welke categorie persoonsgegevens het gaat. Het principe van dataminimalisatie is toegepast, zodat het minimum aantal persoonsgegevens wordt verwerkt om het beoogde doel te bereiken.

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG."},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#risico","title":"Risico","text":"

Het algoritme of AI-systeem verwerkt persoonsgegevens die het niet mag verwerken.

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.7 Algoritmekader"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/","title":"Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederGovernanceTransparantie

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#maatregel","title":"Maatregel","text":"

Een politieke-bestuurlijk besluit wordt genomen over de inzet van een impactvol algoritme en hoog risico AI-systemen.

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/politiek-bestuurlijk_besluit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegEen besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/politiek-bestuurlijk_besluit/#risico","title":"Risico","text":"

De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of be\u00ebindiging van het gebruik van impactvolle algoritmes en AI-systemen, terwijl deze daar niet toe bevoegd is.

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#bronnen","title":"Bronnen","text":"Bron [Algoritmekader] Algemene Rekenkamer"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#voorbeeld","title":"Voorbeeld","text":"

Besluit College van Burgemeester en Wethouders Gemeente Amsterdam

"},{"location":"maatregelen/publiceren_in_algoritmeregister/","title":"Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantie

"},{"location":"maatregelen/publiceren_in_algoritmeregister/#maatregel","title":"Maatregel","text":"

Publiceer de ontwikkeling en gebruik van een algoritme of AI-systeem in het Algoritmeregister.

"},{"location":"maatregelen/publiceren_in_algoritmeregister/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/publiceren_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/publiceren_in_algoritmeregister/#risico","title":"Risico","text":"

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.

"},{"location":"maatregelen/publiceren_in_algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Handreiking Algoritmeregister Algoritmeregister Publicatiestandaard Toetsingskader Algoritmes Algemene Rekenkamer, 3.12 Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 Toetsingskader Algoritmes Algemene Rekenkamer, 3.14, 3.16"},{"location":"maatregelen/publiceren_in_algoritmeregister/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/","title":"Richt een wijzigingenproces in voor codewijzigingen","text":"

OntwerpOntwerpOntwikkelenImplementatieMonitoring en beheerProjectleiderProceseigenaarProceseigenaarData scientistData engineerSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#maatregel","title":"Maatregel","text":"

Richt een wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#toelichting","title":"Toelichting","text":"

Bij het inrichten van een proces om wijzigingen aan de code te mogen aanbrengen, kunnen aan de volgende elementen worden gedacht:

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#risico","title":"Risico","text":"

Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.1 t/m IB.5 Toetsingskader Algoritmes Algemene Rekenkamer, 4.07"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/richt_gebruikersbeheer_in/","title":"Richt gebruikersbeheer in","text":"

OntwerpDataverkenning en datapreparatieDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerProjectleiderProceseigenaarProceseigenaarInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#maatregel","title":"Maatregel","text":"

Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#toelichting","title":"Toelichting","text":"

Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij toegang en gebruik van het algoritme, de data of de uitkomsten van een algoritme.

Bij het inrichten van gebruikersbeheer moeten aan de volgende elementen worden gedacht:

Voor deze maatregelen is het van belang om aandacht te hebben voor de volgende zaken:

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#risico","title":"Risico","text":"

Er bestaan meerdere risico's wanneer er geen gebruikersbeheer is: - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme hebben die zij niet zouden mogen hebben. - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd aan het algoritme, de data of de uitkomsten van het algoritme. - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke persoon.

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/richt_gebruikersbeheer_in/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.10 t/m IB.17 Toetsingskader Algoritmes Algemene Rekenkamer, 4.01, 4.02, 4.04, 4.05"},{"location":"maatregelen/richt_gebruikersbeheer_in/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/","title":"Richt wachtwoordbeheer in","text":"

OntwerpOntwikkelenImplementatieMonitoring en beheerProjectleiderSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#maatregel","title":"Maatregel","text":"

Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige manier.

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#toelichting","title":"Toelichting","text":"

Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden toegepast:

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#risico","title":"Risico","text":"

Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/richt_wachtwoordbeheer_in/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.6 t/m IB.9 Toetsingskader Algoritmes Algemene Rekenkamer, 4.03 NIST 5.1.1.2"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/","title":"Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerProceseigenaarAanbestedingsjuristInkoopadviseurOpdrachtnemerBehoeftestellerTechnische robuustheid en veiligheidGovernancePublieke inkoop

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#maatregel","title":"Maatregel","text":"

Voer een risico-analyse uit op het gebied van informatiebeveiliging bij een uitbestedingstraject

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#risico","title":"Risico","text":"

Wanneer een (externe) leverancier beveiligingseisen niet op orde heeft, is er een risico op de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme en/of de data.

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 15.1.1.1 Onderzoekskader Algoritmes Auditdienst Rijk, IB.29"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output","text":"

OntwikkelenMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#maatregel","title":"Maatregel","text":"

Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#toelichting","title":"Toelichting","text":"

Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. oor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.

Het is moeilijk om te bepalen wanneer en of de output van een algoritme of AI een inbreuk maakt op auteursrechten. Reden hiervoor is dat onduidelijk is of de uiteindelijk gegenereerde output naar auteursrechtelijke maatstaven (of in andere gevallen: naar maatstaven van andere intellectuele-eigendomsrechten, zoals databankenrechten, merkrechten of modelrechten) voldoende afstand houdt van (onder andere) de originele werken die ooit aan de training van de generatieve AI-tool ten grondslag hebben gelegen. Is dat niet het geval, dan kan bij veel vormen van gebruik van de output immers sprake zijn van een inbreuk op intellectuele eigendomsrechten.

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurAanbestedingsjuristContractbeheerderPublieke inkoop

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#maatregel","title":"Maatregel","text":"

Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#toelichting","title":"Toelichting","text":"

Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. Voor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/security_by_design/","title":"Pas het principe van security by design toe","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle

"},{"location":"maatregelen/security_by_design/#maatregel","title":"Maatregel","text":"

Hanteer principes van \u2018security by design\u2019 (informatiebeveiligingsmaatregelen) als uitgangspunten bij de ontwikkeling van het algoritme. Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes kunnen interviews met de ontwikkelaar en software-architecten helpen.

"},{"location":"maatregelen/security_by_design/#toelichting","title":"Toelichting","text":"

Security by design benadrukt het belang van het in een vroeg stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd. In een vroeg stadium nadenken over security betekent dat vroeg al de benodigde expertise wordt betrokken, zoals een security-officer.

"},{"location":"maatregelen/security_by_design/#risico","title":"Risico","text":"

Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.

"},{"location":"maatregelen/security_by_design/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAutomatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn."},{"location":"maatregelen/security_by_design/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, (BIO 14.2.1.1) Onderzoekskader Algoritmes Auditdienst Rijk, IB.28 Toetsingskader Algoritmes Algemene Rekenkamer, 4.09"},{"location":"maatregelen/security_by_design/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/stel_archiefbescheiden_vast/","title":"Stel archiefbescheiden vast","text":"

OntwerpOntwikkelenPublieke inkoop

"},{"location":"maatregelen/stel_archiefbescheiden_vast/#maatregel","title":"Maatregel","text":"

Stel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden. Formeer een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist en archief deskundige) om deze maatregel toe te passen.

"},{"location":"maatregelen/stel_archiefbescheiden_vast/#toelichting","title":"Toelichting","text":"

Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet.

"},{"location":"maatregelen/stel_archiefbescheiden_vast/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden."},{"location":"maatregelen/stel_archiefbescheiden_vast/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 4.01"},{"location":"maatregelen/stel_archiefbescheiden_vast/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/stopzetten_gebruik/","title":"Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurContractbeheerderGovernance

"},{"location":"maatregelen/stopzetten_gebruik/#maatregel","title":"Maatregel","text":"

Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.

"},{"location":"maatregelen/stopzetten_gebruik/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/stopzetten_gebruik/#risico","title":"Risico","text":"

Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme of AI-systeem dat onjuist functioneert en niet tijdig kan worden stopgezet.

"},{"location":"maatregelen/stopzetten_gebruik/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningJuistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/stopzetten_gebruik/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.18, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/stopzetten_gebruik/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/toepassen_risicobeheer/","title":"Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurGovernance

"},{"location":"maatregelen/toepassen_risicobeheer/#maatregel","title":"Maatregel","text":"

Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.

"},{"location":"maatregelen/toepassen_risicobeheer/#toelichting","title":"Toelichting","text":"

Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.

"},{"location":"maatregelen/toepassen_risicobeheer/#risico","title":"Risico","text":"

Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.

"},{"location":"maatregelen/toepassen_risicobeheer/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/toepassen_risicobeheer/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.13 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/toepassen_risicobeheer/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/","title":"Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#maatregel","title":"Maatregel","text":"

Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#toelichting","title":"Toelichting","text":"

Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/","title":"Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarData scientistData engineerAanbiederPrivacy officerSecurity officerEthicusBeleidsmedewerkerPrivacy en gegevensbescherming

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#maatregel","title":"Maatregel","text":"

Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegEen DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd."},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#risico","title":"Risico","text":"

Privacyrisico's met de inzet van algoritmes en AI-systemen worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.2, PRI.3 Toetsingskader Algoritmes Algemene Rekenkamer, 3.04, 3.13 Algoritmekader Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Model DPIA Rijksdienst"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/","title":"Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke","text":"

OntwerpMonitoring en beheerBehoeftestellerInkoopadviseurAanbiederPublieke inkoop

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#maatregel","title":"Maatregel","text":"

Bespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#toelichting","title":"Toelichting","text":"

Bij publieke inkoop is het nodig duidelijke afspraken te hebben over wie dit document invult en welke informatie bij welke partij vandaan komt. De aanbieder zal een belangrijk deel van de technische documentatie moeten aanleveren, maar bij gebruik door de gebruiksverantwoordelijken zal deze informatie moeten worden aangevuld.

Hierbij is het van belang dat de documentatie aansluit bij de verschillende gebruikers van het systeem, waarbij rekening wordt gehouden met verschillende toepassingen of versies.

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegTechnische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening."},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/","title":"De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding","text":"

OntwerpMonitoring en beheerProceseigenaarAanbiederBehoeftestellerInkoopadviseurContractbeheerderPublieke inkoop

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#maatregel","title":"Maatregel","text":"

Laat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald kan worden na implementatie als het systeem in productie c.q. in gebruik is.

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#toelichting","title":"Toelichting","text":"

Sommige algoritmen of AI-systemen zijn zeer specialistisch, hierbij is het van belang dat afspraken worden gemaakt in hoeverre ondersteuning bij het gebruik onderdeel is van de inkoop. Hierbij is ook van belang dit onderdeel geactualiseerd wordt gedurende de contractperiode i.v.m. de technologische ontwikkelingen.

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's."},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/","title":"Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen","text":"

OntwerpMonitoring en beheerAanbiederProceseigenaarInkoopadviseurPublieke inkoop

"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#maatregel","title":"Maatregel","text":"

Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.

"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's."},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/","title":"De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerVerificatie en validatieProceseigenaarGovernancePrivacy en gegevensbescherming

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#maatregel","title":"Maatregel","text":"

De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#toelichting","title":"Toelichting","text":"

Verwerking van persoonsgegevens - Bij het verwerken van persoonsgegevens moet nadat is vastgesteld wie in een samenwerking feitelijk het doel en middelen van een verwerking bepalen wordt vastgelegd wie de (gezamelijke) verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststeling van de rolverdeling volgen onder de AVG verschillende rechten en plichten. - Bij de ontwikkeling en gebruiken van algoritmes en AI-systemen is het denkbaar dat de noodzaak voor het verwerken van persoonsgegevens wijzigt en dat meer of andere verwerkingen moeten plaatsvinden. Het is van belang dat wederom wordt beoordeeld wat dit betekent voor de bijbehorende verantwoordelijkheden. Als er sprake is van een wezenlijke wijziging ten opzichte van de al vastgestelde situatie, bijvoorbeeld doordat er meer persoonsgegevens worden verwerkt door een andere partij, dan zal de verwerkingsverantwoordelijke opnieuw tot vaststelling moeten overgaan om de afspraken te formaliseren.

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#risico","title":"Risico","text":"

Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes of AI-systemen.

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.06, 3.02 Onderzoekskader Algoritmes Auditdienst Rijk, SV.19, PRI.1 Algoritmekader"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/","title":"Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.","text":"

OntwerpOntwikkelenPublieke inkoopGovernance

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#maatregel","title":"Maatregel","text":"

Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#toelichting","title":"Toelichting","text":"

Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. Hiervoor kan in de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'. Deze stap is van groot belang, omdat dit ook bepalend is welke contractuele verplichtingen moeten worden gecre\u00eberd tussen opdrachtgever en opdrachtnemer/aanbieder.

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegProportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten."},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/vermelding_in_privacyverklaring/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederPrivacy en gegevensbescherming

"},{"location":"maatregelen/vermelding_in_privacyverklaring/#maatregel","title":"Maatregel","text":"

Neem het gebruik van een algoritme of AI-systeem op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.

"},{"location":"maatregelen/vermelding_in_privacyverklaring/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vermelding_in_privacyverklaring/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegTransparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn."},{"location":"maatregelen/vermelding_in_privacyverklaring/#risico","title":"Risico","text":"

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.

"},{"location":"maatregelen/vermelding_in_privacyverklaring/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 Autoriteit Persoonsgegevens Algoritmekader Toetsingskader Algoritmes Algemene Rekenkamer, 3.12"},{"location":"maatregelen/vermelding_in_privacyverklaring/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantiePrivacy en gegevensbescherming

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#maatregel","title":"Maatregel","text":"

Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#toelichting","title":"Toelichting","text":" VereisteUitlegTransparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn."},{"location":"maatregelen/vermelding_in_verwerkingsregister/#risico","title":"Risico","text":"

Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 Autoriteit Persoonsgegevens Toetsingskader Algoritmes Algemene Rekenkamer, 3.04 [Algoritmekader]"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/","title":"Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarBeleidsmedewerkerInformatie analistJuristEthicusData engineerData scientistGovernanceTransparantie

"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#maatregel","title":"Maatregel","text":"

Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.

"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegData van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#risico","title":"Risico","text":"

Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.

"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#bron","title":"Bron","text":"Bron Wetsanalyse"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#voorbeeld","title":"Voorbeeld","text":"

Handleiding Wetanalyse

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/","title":"Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInformatie analistData scientistInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederOpdrachtnemerArchitectPublieke inkoopData

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#maatregel","title":"Maatregel","text":"

Voer voorafgaand aan een aanbesteding een data beschikbaarheids- en kwaliteitsanalayse uit.

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#toelichting","title":"Toelichting","text":"

Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is, gaat worden en of de data van voldoende kwaliteit is. Het is van belang om te onderzoeken of en hoe data vanuit de eigen organisatie of die van een aanbieder beschikbaar kan worden gesteld, kan worden opgeslagen en er goedkeuring kan worden gegeven voor het verwerken van de data. De infrastructuur van de eigen organisatie en/of die van de aanbieder moeten van voldoende niveau zijn om de beoogde verwerkingen uit te kunnen voeren. Een dergelijke analyse levert inzichten op welke problemen er eventueel op dit vlak kunnen ontstaan.

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegData van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn."},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bronnen","title":"Bronnen","text":"Bron Towards a Systematic Understanding on the Challenges of Procuring Artificial Intelligence in the Public Sector"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/","title":"Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieProceseigenaarInformatie analistData engineerPrivacy officerSecurity officerInkoopadviseurArchitectPrivacy en gegevensbescherming

"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#maatregel","title":"Maatregel","text":"

Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.

"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#risico","title":"Risico","text":"

Het algoritme of AI-systeem kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.

"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bronnen","title":"Bronnen","text":"Bron Project Startarchitectuur,NORA PSA Format PSA Handleiding Algoritmekader"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#voorbeeld","title":"Voorbeeld","text":"

Heb je een goed voorbeeld? Laat het ons weten!

"},{"location":"onderwerpen/","title":"Onderwerpen","text":""},{"location":"onderwerpen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"onderwerpen/bias-en-non-discriminatie/","title":"Bias en non-discriminatie","text":"

Algoritmes worden binnen de overheid veelvuldig ingezet om publieke taken uit te voeren. Dit biedt veel kansen, maar er zijn ook risico's aan verbonden. Hoewel algoritmes in sommige gevallen kunnen bijdragen aan het tegengaan van discriminatie, kan bias in het algoritme leiden tot een ongelijke en oneerlijke behandeling van burgers of groepen, en kan er sprake zijn van discriminerende effecten. In dit bouwblok van het algoritmekader besteden we aandacht aan de onderwerpen bias, eerlijkheid en non-discriminatie. We werken uit wat bias is, hoe bias kan ontstaan, hoe we dit kunnen signaleren, welke maatregelen er genomen kunnen worden om dit te voorkomen en geven we handvatten wat te doen wanneer een (onwenselijke) bias is gesignaleerd.

Hierbij is het goed om op te merken dat het omgaan met het thema bias gedurende het ontwikkelen, inkopen of gebruik van het algoritme vraagt om continue aandacht voor dit onderwerp. Het betreft geen probleem dat eenmalig kan worden weggenomen. Het vraagt voortdurend om reflectie op eerlijkheid en rechtvaardigheid van het systeem.

Dit bouwblok wordt uitgewerkt in vereisten die weergeven wat er vanuit wet- en regelgeving en bestaande toetsingskaders vereist is om bias en discriminatie tegen te gaan. Daarbij worden er suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen, en welke actoren daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten of maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd.

Door bij de ontwikkeling van algoritmes rekening te houden met vereisten die voorkomen uit wet- en regelgeving, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen.

De onderwerpen bias en non-discriminatie spelen daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#wat-is-discriminatie-en-bias","title":"Wat is discriminatie en bias?","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatie","title":"Discriminatie","text":"

Artikel 1 van de Nederlandse Grondwet verbiedt discriminatie:

Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.

De prominente positie in de Grondwet benadrukt het belang van het mensenrecht in Nederland. De afgelopen jaren hebben incidenten in de praktijk de aandacht gericht op de discriminatoire effecten die algoritmes en AI-systemen kunnen hebben.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias","title":"Bias","text":"

Bias is een Engelse term die in het Nederlands wordt vertaald als vooroordeel, vooringenomenheid of neiging. Omdat niet \u00e9\u00e9n van die termen helemaal de lading van het begrip bias dekt, maken we in het Algoritmekader gebruik van de term bias. De term bias heeft verschillende betekenissen afhankelijk van de context waarin het gebruikt wordt en de disciplines die daarbij betrokken zijn. Vaak wordt er naar bias gekeken als een technisch concept, maar het omvat daarnaast ook menselijke aspecten. We starten met een verduidelijking hoe het begrip bias in algoritmische context gebruikt wordt en hoe dit in verhouding staat tot discriminatie. Vervolgens maken we onderscheid tussen drie verschillende aspecten van bias: statistische bias, systemische bias en menselijke bias. Deze drie aspecten van bias kunnen los van elkaar bestaan, maar kunnen juist in combinatie met elkaar tot problemen leiden.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias-in-algoritmische-context","title":"Bias in algoritmische context","text":"

Het concept bias wordt in algoritmische context gedefinieerd als een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.1

Dit systematische verschil of onderscheid kan zowel op een directe als op een indirecte manier ontstaan.

De Algemene wet gelijke behandeling spreekt van direct onderscheid wanneer een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat.

De Algemene wet gelijke behandeling spreekt van indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat in vergelijking met andere personen bijzonder treft.

Een geconstateerd systematische onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn. Voor direct onderscheid kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering die het gemaakte onderscheid toelaat. Voor indirect onderscheid geldt dat behalve een wettelijke uitzondering er ook een objectieve rechtvaardiging kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar kan zijn.

Het maken van een eventueel onderscheid is in sommige gevallen nauw verbonden met het gebruik van algoritmes en AI. Soms worden algoritmes en AI bijvoorbeeld juist ingezet om op een zo objectief mogelijke manier te bepalen welke groepen meer of minder belang hebben bij een andere behandeling. In deze gevallen zal er altijd na moeten worden gegaan of er sprake is van een objectieve rechtvaardiging voor het gemaakte onderscheid.

Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. Het algoritme of AI-systeem mag in dat geval niet gebruikt worden. Bias vormt daarmee een risico op discriminatie.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#fairness","title":"Fairness","text":"

In de context van algoritmes en AI wordt de term unfairness gebruikt wanneer er sprake is van een ongerechtvaardigd onderscheid waarbij bepaalde groepen meer bevoordeeld worden dan andere.3 In de Nederlandse taal spreken we dan van oneerlijkheid of onrechtvaardigheid (of in positieve zin van respectievelijk fairness, eerlijkheid en rechtvaardigheid). Wanneer we het hebben over fairness hebben we het minder over de juridische kant van discriminatie en verboden onderscheid. Ook als er wel een objectieve rechtvaardiging bestaat voor een gemaakt onderscheid, kan afgevraagd worden of het gemaakte onderscheid ethisch wenselijk is.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#statistische-bias","title":"Statistische bias","text":"

Statistische bias wordt gedefinieerd als een consistente numerieke afwijking van een schatting ten opzichte van de werkelijke onderliggende waarde.1 Dit fenomeen kan in allerlei verschillende contexten plaatsvinden, niet alleen bij het gebruik van algoritmes of AI. Een voorbeeld is wanneer een bepaalde meting van een waarde niet goed gekalibreerd is en er sprake is van een consistente afwijking van de te meten waarde (bijvoorbeeld dat we consistent 10% hoger meten).

In de context van algoritmes en AI kan deze vorm van bias voorkomen wanneer er een steekproef wordt gebruikt die niet representatief is voor de populatie, en de schattingen op basis van de steekproef vervolgens systematisch afwijken van de werkelijke waarde in de gebruikte doelpopulatie. Statistische bias duidt op een systematische fout die gemaakt wordt door het algoritme. Deze fout kan hetzelfde zijn voor alle groepen en hoeft daardoor niet in alle gevallen te duiden op ongelijke behandeling of discriminerende effecten. Voorbeelden van statistische bias zijn meetfouten (measurement bias), foute data of data op een te simpele manier representeren (representatie bias).

"},{"location":"onderwerpen/bias-en-non-discriminatie/#systemische-bias","title":"Systemische bias","text":"

We spreken van systemische bias wanneer bepaalde processen of systemen op zo'n wijze worden gebruikt dat bepaalde groepen bevoordeeld worden en andere groepen benadeeld worden. Dit is vaak geen bewuste vorm van vooringenomenheid, maar kan bijvoorbeeld ontstaan doordat de meerderheid bestaande regels of normen volgt, en het systeem geoptimaliseerd is op de meerderheid. Systemische bias heeft een sterk institutioneel karakter. Systemische bias wordt daarom ook wel institutionele vooringenomenheid genoemd. Deze vooroordelen zijn vaak verweven in de bredere cultuur en samenleving, en zitten daardoor ook in veel datasets. Een veel voorkomend voorbeeld van systemische bias is historische bias.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#menselijke-bias","title":"Menselijke bias","text":"

Menselijke bias omvat systematische fouten in het menselijk denken. Deze (onbewuste) menselijke vooroordelen zijn vaak impliciet van aard en hebben betrekking op de manier waarop een individu bepaalde informatie waarneemt en verwerkt om bijvoorbeeld een beslissing te nemen. In de context van algoritmes kan deze vorm van bias invloed hebben op de verzamelde data, op de wijze waarop het algoritme wordt geoptimaliseerd en de besluiten die door mensen worden genomen op basis van het algoritme. Voorbeelden van vormen menselijke bias zijn wanneer er voorkeur wordt geven aan de voorspellingen van een algoritme die reeds bestaande overtuigingen bevestigen (bevestigingsbias), of wanneer mensen de neiging hebben om voorkeur te geven aan suggesties die door het algoritme worden gedaan (automatiseringsbias)

"},{"location":"onderwerpen/bias-en-non-discriminatie/#overzicht-van-gebruikte-definities","title":"Overzicht van gebruikte definities","text":"

Onderstaand bieden we een overzicht van de gebruikte definities in het algoritmekader die betrekking hebben op het onderwerp bias en non-discriminatie.

Term of begrip Definitie Bron direct onderscheid indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat Algemene wet gelijke behandeling indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat in vergelijking met andere personen bijzonder treft. Algemene wet gelijke behandeling discriminatie mensen anders behandelen, achterstellen of uitsluiten op basis van (persoonlijke) kenmerken. College voor de rechten van de mens directe discriminatie de ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader indirecte discriminatie wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader algoritmische fairness het vakgebied dat bestudeert hoe algoritmische systemen zich moeten gedragen om mensen eerlijk te behandelen, dat wil zeggen zonder discriminatie op grond van beschermde gevoelige kenmerken zoals leeftijd, geslacht, handicap, etnische of raciale afkomst, religie of geloofsovertuiging, of seksuele geaardheid The fairness handbook ground truth (NL vertaling?) waarde van de doelvariabele voor een bepaald item van gelabelde invoergegevens. 5 NEN-EN-ISO/IEC 22989:2023 en 4 etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader risicoprofiel Een verzameling van \u00e9\u00e9n of meer selectiecriteria op basis waarvan een bepaald risico op normovertreding wordt ingeschat en een selectiebeslissing wordt gemaakt. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader groep deelverzameling van objecten in een domein die zijn gekoppeld omdat ze gemeenschappelijke kenmerken hebben. ISO/IEC TR 24027:2021 en 4"},{"location":"onderwerpen/bias-en-non-discriminatie/#verschillende-vormen-van-bias","title":"Verschillende vormen van bias","text":"

Omdat bias op verschillende manieren kan ontstaan, zijn er allerlei verschillende vormen van bias, die hieronder gedefinieerd worden. Deze lijst is niet uitputtend.

Begrip Definitie Bron automatiseringsbias de neiging van mensen om de voorkeur te geven aan suggesties van geautomatiseerde besluitvormingssystemen en om tegenstrijdige informatie te negeren die zonder automatisering is verkregen, zelfs als deze correct is ISO/IEC TR 24027:2021 en 4 data bias dataeigenschappen die, als ze niet worden aangepakt, leiden tot AI-systemen die beter of slechter presteren voor verschillende groepen ISO/IEC TR 24027:2021 en 4 statistische bias soort consistente numerieke afwijking in een schatting ten opzichte van de werkelijke onderliggende waarde, inherent aan de meeste schattingen ISO/IEC TR 24027:2021 en 4 historische bias verwijzend naar de langdurige vooroordelen die in de loop der tijd in de samenleving zijn gecodeerd. Verwant aan, maar verschillend van, vooroordelen in historische beschrijving, of de interpretatie, analyse en verklaring van de geschiedenis. Een veel voorkomend voorbeeld van historische vooringenomenheid is de neiging om de wereld te bekijken vanuit een Westers of Europees perspectief NIST, Towards a Standard for identifying and managing bias in artificial intelligence activiteitenbias een soort selectievooroordeel dat optreedt wanneer systemen/platforms hun trainingsgegevens krijgen van de meest actieve gebruikers, in plaats van minder actieve (of inactieve) gebruikers. NIST, Towards a Standard for identifying and managing bias in artificial intelligence versterkingsbias ontstaat wanneer de verdeling over voorspellingsoutputs scheef is in vergelijking met de prior-verdeling van het voorspellingsdoel. NIST, Towards a Standard for identifying and managing bias in artificial intelligence cognitieve bias een brede term die in het algemeen verwijst naar een systematisch patroon van afwijking van rationele oordeels- en besluitvorming. In vele decennia van onderzoek naar oordeelsvorming en besluitvorming is een grote verscheidenheid aan cognitieve vertekeningen ge\u00efdentificeerd, waarvan sommige adaptieve mentale snelkoppelingen zijn die bekend staan als heuristieken. NIST, Towards a Standard for identifying and managing bias in artificial intelligence bevestigingsbias soort menselijke cognitieve bias die de voorkeur geeft aan voorspellingen van AI-systemen die reeds bestaande overtuigingen of hypotheses bevestigen ISO/IEC TR 24027:2021 en 4 implementatie bias ontstaat wanneer systemen worden gebruikt als beslissingshulp voor mensen, omdat de menselijke tussenpersoon kan handelen op voorspellingen op manieren die meestal niet zijn gemodelleerd in het systeem. Het zijn echter nog steeds individuen die het gebruikte systeem gebruiken NIST, Towards a Standard for identifying and managing bias in artificial intelligence evaluatie bias ontstaat wanneer de test- of externe benchmarkpopulaties niet in gelijke mate de verschillende delen van de gebruikerspopulatie vertegenwoordigen of door het gebruik van prestatiemaatstaven die niet geschikt zijn voor de manier waarop het model zal worden gebruikt NIST, Towards a Standard for identifying and managing bias in artificial intelligence meetbias ontstaat wanneer kenmerken en labels benaderingen zijn voor gewenste grootheden, waarbij mogelijk belangrijke factoren worden weggelaten of groeps- of ingangsafhankelijke ruis wordt ge\u00efntroduceerd die leidt tot differenti\u00eble prestaties. NIST, Towards a Standard for identifying and managing bias in artificial intelligence representatie bias ontstaat doordat subgroepen niet willekeurig worden geselecteerd in een steekproef, waardoor trends die voor \u00e9\u00e9n populatie worden geschat, niet generaliseerbaar zijn naar gegevens van een nieuwe populatie NIST, Towards a Standard for identifying and managing bias in artificial intelligence"},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatiegrond","title":"Discriminatiegrond","text":"

De discriminatiegrond beschrijft de beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Deze gronden zijn in verschillende bronnen vastgelegd.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#de-grondwet","title":"De grondwet","text":"

De Grondwet stelt dat discriminatie wegens:

niet is toegestaan.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#de-algemene-wet-gelijke-behandeling","title":"De Algemene wet gelijke behandeling","text":"

De Algemene wet gelijke behandeling legt een verbod onderscheid neer op grond van:

Het in deze wet neergelegde verbod van onderscheid geldt niet ten aanzien van indirect onderscheid indien dat onderscheid objectief gerechtvaardigd wordt door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#europees-verdrag-voor-de-rechten-van-de-mens","title":"Europees Verdrag voor de Rechten van de Mens","text":"

Het Europees Verdrag voor de Rechten van de Mens, artikel 14 stelt dat het genot van de rechten en vrijheden die in dat verdrag zijn vermeld, moet worden verzekerd zonder enig onderscheid op welke grond dan ook, zoals:

"},{"location":"onderwerpen/bias-en-non-discriminatie/#handvest-van-de-grondrechten-van-de-europese-unie","title":"Handvest van de grondrechten van de Europese Unie","text":"

Het Handvest van de grondrechten van de Europese Unie, artikel 21 stelt dat iedere discriminatie, met name op grond van:

is verboden. Daarnaast wordt expliciet vermeld dat binnen de werkingssfeer van de Verdragen en onverminderd de bijzondere bepalingen ervan, iedere discriminatie op grond van nationaliteit verboden is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#vereisten","title":"Vereisten","text":"VereisteUitlegAI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen."},{"location":"onderwerpen/bias-en-non-discriminatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectie"},{"location":"onderwerpen/bias-en-non-discriminatie/#mogelijke-hulpmiddelen-en-methoden","title":"Mogelijke hulpmiddelen en methoden","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#vereisten_1","title":"Vereisten","text":"VereisteUitlegAI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen."},{"location":"onderwerpen/bias-en-non-discriminatie/#maatregelen_1","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectie
  1. Zie ISO/IEC TR 24027:2021 en 4 \u21a9\u21a9

  2. Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9

  3. Zie NEN-EN-ISO/IEC 22989:2023 en 4 \u21a9

  4. Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9

  5. De term ground truth impliceert niet dat de gelabelde invoergegevens consistent overeenkomen met de werkelijke waarde van de doelvariabelen.\u00a0\u21a9

"},{"location":"onderwerpen/data/","title":"Data","text":"

Het ontwikkelen en gebruiken van algoritmes en AI-systemen kan niet gepaard gaan zonder het verwerken van data. In het geval van AI wordt data gebruikt om het algoritme te trainen, te valideren en te testen.

Wanneer beslissingen worden genomen op basis van de output van een algoritme of AI-systeem, dan wordt dit ook gedaan op basis van de onderliggende data. Om algoritmes en AI-systemen op een verantwoorde manier toe te passen, dient dus ook de data op een verantwoorde en rechtmatige manier te worden gebruikt.

In dit bouwblok werken we uit welke vereisten er zijn voor verantwoord datagebruik, en geven we praktische maatregelen hoe dit ingevuld kan worden binnen overheidsorganisaties. We zoeken hierbij de aansluiting op bestaande instrumenten, zoals de Toolbox verantwoord datagebruik.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/data/#vereisten","title":"Vereisten","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenVerdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan."},{"location":"onderwerpen/data/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegControleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is."},{"location":"onderwerpen/data/#nuttige-informatie","title":"Nuttige informatie","text":""},{"location":"onderwerpen/duurzaamheid/","title":"Duurzaamheid","text":"

Onze impact op natuur en milieu is groot. Er zijn grote doelen gesteld om duurzamer te gaan leven en werken. Binnen alle overheidsorganisaties, op allerlei verschillende gebieden, wordt gekeken hoe er duurzamer te werk kan worden gegaan, dus ook bij ICT-voorzieningen.

Bij het duurzamer maken van ICT kan gedacht worden aan de fysieke kant (hardware) en de digitale kant (software, algoritmes). Met betrekking tot hardware kan men bijvoorbeeld zo duurzaam mogelijk hardware inkopen (circulariteit van apparaten en materialen) en proberen de levensduur van apparaten en onderdelen te maximaliseren. Bij ontwikkeling en inzet van software, zoals algoritmen, zal gekeken moeten worden naar andere zaken, zoals energieverbruik van het trainen van complexe modellen. In het Algoritmekader gaan we specifiek in op deze duurzaamheidsaspecten van algoritmes en AI-systemen.

"},{"location":"onderwerpen/duurzaamheid/#duurzaamheid-algoritmes-en-ai-systemen","title":"Duurzaamheid algoritmes en AI-systemen","text":"

Het concept duurzaamheid is een groot en generiek begrip, dat vele sub-thema\u2019s introduceert. Deze thema\u2019s raken onder andere het ontwerp, de ontwikkeling en de inzet van algoritmes en AI-systemen. Met de opkomst van grotere en ingewikkeldere modellen, grotere datasets, en de groeiende interesse in (generatieve) AI, groeit ook het energie- en waterverbruik. Dit verbruik ontstaat ook bij het trainen van grotere en complexere rekenmodellen zoals Large Language Models, en de opslag van zeer grote (vaak multimediale) datasets in datacenter.

Dit bouwblok van het Algoritmekader biedt een gestructureerd overzicht van vereisten, maatregelen en instrumenten die ondersteunen bij het ontwikkelen en toepassen van algoritmes en AI-systemen op een duurzame wijze. Zo kunnen bewuste keuzes worden gemaakt die niet alleen voldoen aan de functionaliteiten, maar ook bijdragen aan de Sustainable Development Goals (SDG's) en de doelstellingen uit het Nederlandse klimaatakkoord. Bij duurzame ontwikkeling en toepassing van algoritmes kan bijvoorbeeld gedacht worden aan energie-effici\u00ebnte programmering en duurzaam datacenterbeheer.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vindt je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/duurzaamheid/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"onderwerpen/duurzaamheid/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg"},{"location":"onderwerpen/fundamentele-rechten/","title":"Fundamentele rechten","text":"

Wanneer overheden publieke taken uitvoeren, dienen fundamentele rechten van burgers te worden beschermd. Dat geldt ook als overheden gebruik maken van algoritmes of AI-systemen om hun plublieke taken uit te voeren.

In Nederland beschermen we onze grondrechten met de Grondwet en met (internationale) mensenrechtenverdragen, zoals het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Mensenrechtenverdragen bevatten een aantal fundamentele rechten en vrijheden die niet in de Grondwet staan.

Afhankelijk van de werking van algoritmes en AI-systemen en de publieke taak die wordt ondersteund, kunnen verschillende grondrechten worden geraakt. Denk hierbij aan het verbod op ongelijke behandeling of het recht op eerbiediging van de persoonlijke levenssfeer. Het is van belang hier in een vroeg stadium aandacht aan te besteden door dit te analyseren. Een zorgvuldige aanpak tijdens de ontwikkeling van een algoritme kan ervoor zorgen dat er tijdig wordt geanticipeerd en maatregelen worden getroffen om een ongerechtvaardigde inbreuk op grondrechten te voorkomen.

Een aantal wezenlijke grondrechten die vaak worden geraakt met de inzet van algoritmen en AI, komen ook afzonderlijk in andere onderdelen van het Algoritmekader aan bod.

Dit geldt bijvoorbeeld op het recht op persoonsgegevensbescherming in het bouwblok Privacy en gegevensbescherming of het verbod op ongelijke behandeling in het bouwblok Bias en non-discriminatie.

In dit bouwblok van het algoritmekader beschrijven we wat de vereisten zijn rondom het beschermen van fundamentele rechten. Vervolgens worden deze vereisten ook vertaald in praktische maatregelen en instrumenten die overheden kunnen toepassen om invulling te geven aan deze vereisten.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

Onderdeel van het bouwblok Fundamentele rechten is het onderwerp Bias en non-discriminatie.

"},{"location":"onderwerpen/fundamentele-rechten/#vereisten","title":"Vereisten","text":"VereisteUitlegBeoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Klachtrecht aanbieders verder in AI-waardeketenAanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"onderwerpen/fundamentele-rechten/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBetrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden."},{"location":"onderwerpen/fundamentele-rechten/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen."},{"location":"onderwerpen/menselijke-controle/","title":"Menselijke controle","text":"

Bij het uitvoeren van publieke taken is het van belang dat natuurlijke personen kunnen controleren of deze taken correct worden uitgevoerd en dat er kan worden bijgestuurd als dat nodig is. Datzelfde geldt voor als een overheidsinstantie algoritmes of AI-systemen gebruiken bij het ondersteunen van deze taken. Het is van belang dat zowel bij de ontwikkeling en als het gebruik door natuurlijke personen kan worden ingegrepen en dat er sprake is van betekenisvolle menselijke tussenkomst waar dat nodig is. Hier kan worden gedacht aan het verkeerd (gaan) werken van een AI-systeem en dat hierdoor de output onbetrouwbaar en onjuist wordt. In dergelijke gevallen zal een natuurlijk persoon in staat moeten zijn om deze situatie te signaleren en het algoritme of AI-systeem (tijdelijk) te kunnen stoppen.

Het verschilt, afgewogen tegen de potenti\u00eble negatieve gevolgen of risico's voor personen, welke mechanismen moeten worden ingericht in en rondom algoritmes en AI-systemen. Hoog risico AI-systemen zullen een intensiever inrichting van menselijke controle nodig hebben, bijvoorbeeld met meerdere mensen die de output controleren, dan algoritmes die niet impact vol zijn. Om deze controles uit te kunnen voeren zullen deze personen moeten beschikken over de noodzakelijke competenties, opleiding en bevoegdheden om deze taak uit te voeren. Er zullen ook functionele eisen aan het systeem moeten worden gesteld, zodat ook daadwerkelijk kan worden ingegrepen. Hierbij kan worden gedacht aan een stopknop die kan worden gebruikt waarmee die werking van het algoritme of AI-systeem kan worden gepauzeerd. Gedurende de gehele levenscyclus is het van belang dat menselijke controle wordt gepositioneerd en dat bijbehorende taken goed kunnen worden uitgevoerd.

In dit bouwblok van het Algoritmekader wordt uitgewerkt aan welke vereisten moet worden voldaan met betrekking menselijke controle. Dit wordt aangevuld met praktische maatregelen die kunnen worden toegepast ter inspiratie voor organisaties. Deze vereisten en maatregelen worden gekoppeld aan de levenscyclus, zodat zowel bij de ontwikkeling als het gebruik kan worden geraadpleegd hoe organisaties invulling kunnen geven aan menselijk controle.

"},{"location":"onderwerpen/menselijke-controle/#vereisten","title":"Vereisten","text":"VereisteUitlegBevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningToezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen."},{"location":"onderwerpen/menselijke-controle/#maatregelen","title":"Maatregelen","text":""},{"location":"onderwerpen/privacy-en-gegevensbescherming/","title":"Privacy en gegevensbescherming","text":"

Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te cre\u00ebren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.

Bij het gebruik van algoritmes en AI-systemen is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologie\u00ebn vari\u00ebren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico\u2019s. Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico\u2019s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.

Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.

Het bouwblok privacy en gegevensbescherming van algoritmen en AI-systemen wordt ook ge\u00efntegreerd in de algoritmelevenscyclus. Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmen en AI-systemen moeten worden toegepast. Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden ge\u00efmplementeerd.

"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#vereisten","title":"Vereisten","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"onderwerpen/privacy-en-gegevensbescherming/#maatregelen","title":"Maatregelen","text":""},{"location":"onderwerpen/privacy-en-gegevensbescherming/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegData Protection Impact AssessmentDe DPIA is een instrument om vooraf de privacyrisico\u2019s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico\u2019s te verkleinen. De DPIA zorgt voor naleving van de wetgeving inzake gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie."},{"location":"onderwerpen/publieke-inkoop/","title":"Publieke inkoop","text":"

Door middel van publieke inkoop wordt door overheidsinstellingen software ingekocht. Deze software wordt ingekocht om ambtenaren te ondersteunen met hun werkzaamheden om zo maatschappelijk waarden te cre\u00ebren. Het kan bijvoorbeeld gaan om het inkopen van een systeem waarmee een aanvraag voor een subsidie of vergunning kan worden behandeld. Het virtueel vergaderen of het digitaal samenwerken aan documenten zijn hier ook voorbeelden van.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

Software met algoritmen en AI wordt vaak ontwikkeld door gespecialiseerde aanbieders en bevat steeds meer algoritmen en AI. Het komt ook voor dat de overheid deze technologie zelf ontwikkelt. Deze algoritmen en AI kunnen eenvoudig van aard zijn, zoals het maken van een eenvoudige berekening. Zij kunnen complexer van aard zijn, zoals een voorspelling geven of het genereren van informatie. In het laatste geval kan worden gedacht aan ChatGPT, Google Bard of Co-Pilot. Er zijn verschillende type technologie\u00ebn die vallen onder het bereik van algoritmen en AI. In dit kader drukken we deze uit als \u2018rekenregel\u2019, \u2018machine learning\u2019 en \u2018generatieve AI\u2019. Elke technologie heeft eigen bijzondere aandachtspunten. Ook de bijbehorende risico\u2019s kunnen per type verschillen. Het identificeren van deze risico\u2019s en het treffen van beheersmaatregelen is daarbij van belang. Dat geldt in het bijzonder als algoritmen en AI bijdragen aan de totstandkoming van overheidsbesluitvorming en impactvolle beslissingen die burgers en ondernemingen raken.

Door bij publieke inkoop van software met algoritmen en AI rekening te houden met vereisten die voorkomen uit wet- en regelgeving, toepassen van publieke waarden, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen. Publieke inkoop speelt daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren. In dit deel van het Algoritmekader wordt nader ingegaan op deze vereisten. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd en welke rollen daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is.

Het publiek inkopen van algoritmen en AI wordt ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten en maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd. Door deze vereisten ook te vertalen naar het inkoopproces, zullen de rollen binnen het inkoopproces beter in staat zijn om te duiden wanneer en hoe dit kan worden geadresseerd. Dit moet bijdragen aan een goed samenspel met aanbieders, zodat de kansen van algoritmen en AI worden benut en de negatieve gevolgen worden voorkomen.

"},{"location":"onderwerpen/publieke-inkoop/#algoritme-levenscyclus","title":"Algoritme levenscyclus","text":"

Algoritmen en AI kunnen een grote impact hebben op onze maatschappij. Daarom is het van belang dat deze op een verantwoorde manier worden ontwikkeld en gebruikt. Het toepassen van de algoritme levenscyclus is hierover een bruikbare leidraad. De algoritme levenscyclus bestaat uit meerdere fasen. De werkzaamheden die noodzakelijk zijn om een verantwoord algoritme of AI te ontwikkelen, kunnen logisch worden gekoppeld aan deze fasen. Deze levenscyclus kan worden gebruikt voor alle typen algoritmen en AI. Het verschilt uiteraard wel per type wat moet worden gedaan en dit is mede afhankelijk van de risico classificatie. Bij hoge risico toepassing zal meer moeten worden gedaan om risico\u2019s te mitigeren dan als er sprake is van lage risico toepassingen. De levenscyclus geeft een bruikbaar overzicht voor leveranciers en opdrachtgevers wanneer welke werkzaamheden moeten worden uitgevoerd. Het laat ook zien welke werkzaamheden moeten zijn afgerond als algoritmen en AI in de markt mogen worden gezet en klaar zijn voor gebruik.

Bij het publiek inkopen van software met bijbehorende algoritmen en AI zijn de wensen van de behoeftesteller en de doelstellingen van de organisatie van groot belang. Dit kan tot verschillende situaties leiden:

\u2022 Een al ontwikkelde kant-en-klare oplossing voldoet direct aan deze wensen en doelstellingen;

\u2022 Een al ontwikkelde oplossing moet eerst worden aangepast voordat deze kan worden gebruikt;

\u2022 Er moet een nieuwe oplossing worden ontwikkeld om te voldoen aan de wensen.

Deze inschatting is dus bepalend wat wel en niet van een product mag worden verwacht. Dit is relevant voor zowel de leverancier als de opdrachtgever. Het is aannemelijk dat als het om risicovolle (nog te ontwikkelen) algoritmen of AI gaat, de opdrachtgever een intensieve bijdrage moet leveren aan de samenwerking om het product te kunnen gebruiken. De opdrachtgever zal bijvoorbeeld moeten aangeven wat de juridische en ethische grenzen zijn van de uiteindelijk werking van het algoritme of AI. Als een kant-en-klare oplossing wordt afgenomen, dan zal de leverancier moeten laten zien dat de ontwikkelde algoritmen en AI voldoen aan alle vereisten en moet dit kunnen aantonen.

De inzichten uit de algoritme levenscyclus kunnen ondersteunen bij bijvoorbeeld de behoeftestelling, het maken van make-or-buy beslissingen, de te hanteren aanbestedingsvorm, de totstandkoming van de selectie- en gunningseisen, contractspecificaties en de uitvoering en management van het contract. De algoritme levenscyclus kan worden geraadpleegd via het tabblad boven aan deze pagina. Per fase en per type algoritme of AI kan worden bekeken aan welke vereisten moet worden voldaan en welke beheersmaatregelen kunnen worden getroffen.

"},{"location":"onderwerpen/publieke-inkoop/#vereisten","title":"Vereisten","text":"

Nagenoeg alle vereisten die gelden voor algoritmen en AI kunnen een plek krijgen in het publiek inkoopproces. Daarom is ervoor gekozen om hier niet een opsomming te geven van al deze vereisten, maar verwijzen we naar het onderdeel vereisten in het Algoritmekader.

In de laag van 'maatregelen' wordt ook uitgewerkt wat vanuit publieke inkoop kan worden gedaan om op een betekenisvolle wijze invulling aan te geven aan de betreffende vereiste. Daarvoor kan ook op het tabblad 'publieke inkoop' worden geklikt om deze maatregelen te filteren.

Zie hieronder bij bruikbare informatie en bronnen in het bijzonder de Europese modelcontractbepaling voor (niet) hoog risico AI-systemen en contractvoorwaarden voor algoritmen. Dit geeft een beeld hoe de vereisten onderdeel kunnen worden gemaakt van contractvoorwaarden.

"},{"location":"onderwerpen/publieke-inkoop/#maatregelen","title":"Maatregelen","text":"

Hieronder volgt een overzicht van de maatregelen die (voor zover zijn uitgewerkt) kunnen worden getroffen om invulling te geven aan de vereisten.

MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Er wordt momenteel hard gewerkt, mede door de Werkgroep Publieke Inkoop, om maatregelen te defini\u00ebren vanuit het perspectief publieke inkoop bij de vereisten. Mocht er iets niet kloppen, laat het ons weten via GitHub of via algoritmes@minbzk.nl.

"},{"location":"onderwerpen/publieke-inkoop/#instrumenten","title":"Instrumenten","text":"

Hieronder volgt een overzicht van instrumenten die kunnen worden gebruikt om invulling te geven aan de vereisten en maatregelen.

InstrumentUitlegModelcontractbepalingenModelbepalingen kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen."},{"location":"onderwerpen/publieke-inkoop/#bruikbare-informatie-en-bronnen","title":"Bruikbare informatie en bronnen","text":"

Europese modelcontractbepalingen AI-systemen (hoog risico)

Europese modelcontractbepalingen AI-systemen (niet hoog risico)

Contractvoorwaarden voor algoritmen gemeente Amsterdam

Inkoopproces

Community of Practise Digitale Innovatie

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/","title":"Technische robuustheid en veiligheid","text":"

Wanneer algoritmes of AI-systemen worden gebruikt om publieke taken uit te voeren, dient het onderliggende systeem voldoende robuust en veilig te zijn.

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#technische-robuustheid","title":"Technische robuustheid","text":"

De technische robuustheid van een algoritme of AI-systeem beschrijft het vermogen om het gewenste prestatieniveau onder alle omstandigheden te handhaven 1. Dit betekent dat algoritmes en AI-systemen vergelijkbaar moeten presteren ondanks externe of zware veranderingen in de omgeving. Robuustheid kan daarnaast ook duiden op eigenschappen als veerkracht, betrouwbaarheid en nauwkeurigheid van het systeem.

Wanneer het algoritme of het AI-systeem niet voldoet aan de eisen wat betreft robuustheid, nauwkeurigheid of de prestaties van het systeem, voordat het systeem in gebruik is genomen kan het systeem onbedoelde schade aanrichten voor betrokkenen, bijvoorbeeld door negatieve impact op grondrechten wanneer resultaten onjuist of niet worden gegenereerd of ge\u00efnterpreteerd.

Er moeten technische en organisatorische maatregelen getroffen worden om de robuustheid van algoritmes en AI-systemen te waarborgen. Dit kunnen bijvoorbeeld maatregelen zijn bestaande uit vooraf bepaalde mechanismen die het systeem in staat stellen om de werking veilig te onderbreken wanneer daar redenen voor zijn of wanneer de prestaties van het algoritme buiten vooraf bepaalde grenzen treedt.

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#veiligheid","title":"Veiligheid","text":"

Naast robuustheid dient het onderliggende systeem ook voldoende beveiligd te zijn, zodat het systeem weerbaar is tegen pogingen het systeem te wijzigen en onrechtmatig gebruik door derden, en die onbedoelde schade tot een minimum beperkt. Om te zorgen voor een passend niveau van cyberbeveiliging die aansluit op de risico's van het systeem, dienen er passende maatregelen zoals veiligheidscontroles genomen te worden. Daarbij dient er rekening te worden gehouden met de onderliggende ICT-infrastructuur.

In dit bouwblok van het algoritmekader werken we uit aan welke vereisten er voldaan moet worden om de technische robuustheid en veiligheid te waarborgen. Dit wordt aangevuld met praktische maatregelen en instrumenten die gebruikt en toegepast kunnen worden om invulling te geven aan deze vereisten.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening."},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectieMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.
  1. Zie NEN-EN-ISO/IEC 22989:2023 en 2 \u21a9

  2. Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9

"},{"location":"onderwerpen/transparantie/","title":"Transparantie","text":"

Om openheid te bieden en controleerbaar te zijn moeten overheidsinstanties transparant zijn over inzet van algoritmen en AI-systemen.

Het is van belang dat overheden nadenken over hun besluitvormingsprocessen en dat zij de werking en toegevoegde waarde van het inzetten van een algoritme kunnen uitleggen. Dit is bijzonder relevant als een algoritme of AI-systeem, al dan niet geautomatiseerd, impact heeft op besluitvorming die burgers raakt.

Als burgers geen kennis kunnen nemen van de gebruikte algoritmes en in hoeverre diens output hen raakt, worden ze onrechtmatig beperkt in de mogelijkheid om zicht te verdedigen tegen nadelige gevolgen zoals discriminatie of een onjuist genomen beslissing of besluit. Daarnaast versterkt transparantie de controlerende functie van burgers en journalistiek, omdat burgers kunnen aangeven of een uitleg over een algoritmisch systeem duidelijk is en of zij de werking van het systeem hetzelfde ervaren.

Transparantie bij algoritmes en AI gaat zowel over het bekendmaken van de inzet en bijbehorende doelen, als ook over openheid van het type model en de gebruikte factoren. Gebruikers moeten in staat zijn om de werking en de output van een algoritme of AI-systeem te begrijpen, zodat zij onderbouwde beslissingen of besluiten kunnen nemen. Dit betekent bijvoorbeeld ook dat gebruikers bewust moet worden gemaakt dat zij communiceren of samenwerken met een algoritme of AI-systeem, dat zij worden ge\u00efnformeerd over de mogelijkheden en beperkingen van een systeem en dat betrokkenen worden ge\u00efnformeerd over hun rechten.

In dit bouwblok van het algoritmekader besteden we aandacht aan transparantie naar gebruikers en betrokkenen, transparantie door documentatie en opname in het algoritmeregister, uitlegbaarheid en traceerbaarheid van een besluit. Hier worden de vereisten uitgewerkt die bestaan op basis van wet- en regelgeving en bestaand beleid met betrekking tot transparantie van algoritmen en AI. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen en welke rollen betrokken kunnen zijn. Waar mogelijk worden voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de levenscyclus van een algoritme. Dit geeft een beeld van wanneer vereisten of maatregelen met betrekking tot transparantie, bij het ontwikkelen en gebruiken van algoritmen en AI, moeten en kunnen worden geadresseerd.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/transparantie/#vereisten","title":"Vereisten","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren."},{"location":"onderwerpen/transparantie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterEen politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem."},{"location":"onderwerpen/transparantie/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen.AlgoritmeregisterHet Algoritmeregister is de plek waar overheden informatie over hun algoritmes kunnen publiceren."},{"location":"overhetalgoritmekader/","title":"Over het Algoritmekader","text":"

Het Algoritmekader is een hulpmiddel voor overheden die algoritmes of AI (artifici\u00eble intelligentie) gebruiken. Hierin vind je de wetten en regels, hulpmiddelen en adviezen per situatie. De informatie in het Algoritmekader is nog niet betrouwbaar. Het is een b\u00e8taversie. De definitieve versie verschijnt eind 2024.

"},{"location":"overhetalgoritmekader/#verantwoord-gebruik-van-algoritmes-en-ai","title":"Verantwoord gebruik van algoritmes en AI","text":"

In het Algoritmekader vind je informatie over verantwoord gebruik van algoritmes en AI. Bijvoorbeeld:

De informatie is bedoeld voor medewerkers van de rijksoverheid, provincies, gemeentes en waterschappen.

"},{"location":"overhetalgoritmekader/#informatie-van-de-overheid","title":"Informatie van de overheid","text":"

Het Algoritmekader is een website van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het team Data, AI en Algoritmes stelt de informatie samen, op basis van:

"},{"location":"overhetalgoritmekader/#versies","title":"Versies","text":"

Algoritmekader is de nieuwe naam van het Implementatiekader 'Verantwoorde inzet van algoritmen'. Dit rapport is de eerste versie. Door het verder ontwikkelen van dit rapport ontstond de website Algoritmekader.

Sindsdien verschijnt elke maand een nieuwe b\u00e8taversie van het Algoritmekader. Deze b\u00e8taversies zijn nog niet betrouwbaar. De informatie is onvolledig. Er kunnen fouten in staan.

Versie 2.0 is de definitieve, betrouwbare versie van het Algoritmekader. Deze versie verschijnt eind 2024.

"},{"location":"overhetalgoritmekader/#iedereen-mag-meedenken","title":"Iedereen mag meedenken","text":"

De informatie in het Algoritmekader komt open source tot stand. Dat betekent dat iedereen kan meekijken en zijn mening mag geven, of een voorstel mag doen:

"},{"location":"overhetalgoritmekader/#nieuwsbrief","title":"Nieuwsbrief","text":"

Via onze maandelijkse Nieuwsbrief Algoritmes blijf je op de hoogte over de ontwikkelingen van het Algoritmekader.

"},{"location":"overhetalgoritmekader/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/","title":"Bijdragen aan het Algoritmekader","text":"

Allereerst, bedankt dat je de tijd hebt genomen om een bijdrage te leveren! \u2764\ufe0f

We waarderen alle soorten bijdragen enorm. Zie die Inhoudsopgave voor verschillende manieren waarop je kan bijdragen aan het Algoritmekader. Zorg ervoor dat je de relevante hoofdstukken even leest voordat je een bijdrage levert. Het zal het voor het team van het Algoritmekader een stuk makkelijker maken en de ervaring voor alle betrokkenen soepeler laten verlopen. We kijken uit naar alle bijdragen! \ud83c\udf89

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#opmerking","title":"Opmerking","text":"

Werken in Github is voor het team Algoritmekader nieuw en experimenteel. Dit vraagt voor ons om een aangepaste werkwijze en hier is bepaalde expertise voor nodig. Het begin is gemaakt en het team Algoritmekader is nog lerende om hier optimaal invulling aan te geven. Hierdoor kan het iets langer duren voordat er wordt gereageerd op suggesties of toevoegingen. We werken aan een duidelijk proces om hier goed mee om te gaan (deze guidelines zijn daar een voorbeeld van). Daarnaast werken we niet aan alle bouwblokken tegelijk. Deze worden \u00e9\u00e9n voor \u00e9\u00e9n opgepakt. Aanbevelingen over onderwerpen die later op de planning staan kunnen daardoor ook iets langer duren om te verwerken, en worden mogelijk pas verwerkt wanneer dit bouwblok wordt uitgewerkt.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#inhoudsopgave","title":"Inhoudsopgave","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#code-of-conduct","title":"Code of Conduct","text":"

Dit project en iedereen die eraan deelneemt, valt onder de Code of Conduct. Door deel te nemen, wordt van je verwacht dat je je aan deze code houdt. Meld onacceptabel gedrag aan algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-heb-een-vraag","title":"Ik heb een vraag","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#maak-een-issue-aan","title":"Maak een issue aan","text":"

Voordat je een Issues gaat aanmaken, kan je bekijken of jouw vraag al tussen de bestaande Issues staat. Wellicht staat er al een issue tussen die jou vraag kan beantwoorden.

Als je jouw vraag nog steeds wilt stellen, kan je een Issue aanmaken.

  1. Gebruik daarvoor de knop new issue.
  2. Schrijf je vraag of opmerking is en geef een heldere toelichting.
  3. Anderen kunnen nu opmerkingen toevoegen aan jouw issue.
  4. Het team van het Algoritmekader zal deze issue labelen als question en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#stel-een-vraag-via-mail","title":"Stel een vraag via mail","text":"

Je kan je vragen ook altijd stellen door een mail te sturen naar algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-iets-bijdragen","title":"Ik wil iets bijdragen","text":"

Er zijn verschillende manieren waarop je kan bijdragen. Zie hieronder de mogelijkheden.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ter-kennisgeving","title":"Ter kennisgeving","text":"

Wanneer je bijdraagt aan dit project, moet je ermee akkoord gaan dat je 100% van de inhoud hebt geschreven, dat je de benodigde rechten op de inhoud hebt en dat de inhoud die je bijdraagt mag worden geleverd onder de Code of Conduct.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#sluit-je-aan-bij-een-werkgroep","title":"Sluit je aan bij een werkgroep","text":"

Voor sommige bouwblokken wordt er gewerkt met werkgroepen, om de informatie verder uit te werken. Deelname aan een werkgroep kost tijd. Werkgroepen komen regelmatig bij elkaar, en tussendoor worden bepaalde zaken uitgewerkt door werkgroepleden. Wil je op \u00e9\u00e9n van de onderwerpen meewerken? Stuur dan een bericht naar algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#neem-deel-aan-een-sprint-review-klankbord-demo","title":"Neem deel aan een sprint review / klankbord / demo","text":"

Het team van het algoritmekader werkt in sprints van ongeveer 3 weken. Daarin werken we toe naar de volgende release van het Algoritmekader. Ongeveer eens in de 6 weken vindt er een nieuwe release plaats. Wanneer er een release is, wordt deze altijd toegelicht en gepresenteerd in een open online review / demo. Deze kan je vrijblijvend volgen. Zo blijf je op de hoogte en kun je een bijdrage leveren. Bekijk de agenda op Algoritmes Pleio voor de komende bijeenkomsten.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-fout-of-bug-melden","title":"Ik wil een fout of bug melden","text":"

Heb je een foutje gevonden in het Algoritmekader? Dan kan je deze melden door een Issue aan te maken.

Voordat je een Issues gaat aanmaken, kan je bekijken of jouw gevonden fout al tussen de bestaande Issues staat.

Als je de gevonden fout nog steeds wilt melden, kan je een Issue aanmaken.

  1. Gebruik daarvoor de knop new issue.
  2. Beschrijf de fout duidelijk en geef een heldere toelichting. Voeg waar mogelijk een screenshot toe.
  3. Het team van het Algoritmekader zal deze issue labelen als bug en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-verbetering-voorstellen","title":"Ik wil een verbetering voorstellen","text":"

Heb je een suggestie of wil je een verbetering voorstellen? Dat kan gaan om een compleet nieuwe functionaliteit van de site of om kleine verbeteringen. Het volgen van onderstaande instructie helpt het team van het algoritmekader om je suggestie te begrijpen en gerelateerde suggesties te vinden.

Je kan een suggestie doen door een Issue aan te maken of door een Pull Request te maken.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#voordat-je-een-suggestie-gaat-maken","title":"Voordat je een suggestie gaat maken","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#een-issue-aanmaken","title":"Een issue aanmaken","text":"

Als je jouw suggestie nog steeds wilt doen, kan je een Issue aanmaken.

  1. Gebruik daarvoor de knop new issue.
  2. Beschrijf duidelijk jouw suggestie en geef een heldere toelichting en onderbouwing waarom dit een goede toevoeging zal zijn aan het Algoritmekader
  3. Het team van het Algoritmekader zal deze issue labelen als enhancement en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.

Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#een-pull-request-maken","title":"Een pull-request maken","text":"

Kun je niet uit de voeten met de issues? Bijvoorbeeld omdat je verschillende wijzigingsvoorstellen wilt doen? Je kan ook gebruik maken van een Fork en een Pull Request.

Het team van Algoritmekader bekijkt daarna jouw aanpassingen en kan bij akkoord jouw aanpassingen mergen. Er zijn ook andere manieren om een pull request te doen. Meer daarover.

Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#preview-van-een-pull-request","title":"Preview van een pull-request","text":"

We maken gebruik van de tool pr-preview-action om automatisch previews te maken van een pull-request. Dit maakt het mogelijk om de wijzigingen die zijn gedaan in een pull-request al te bekijken in de uiteindelijke omgeving. Wanneer er een pull-request gedaan wordt via een fork, leidt dit helaas tot een error, zie Issue #79. Dit blokkeert de pull-request niet.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#hoe-we-werken-op-github","title":"Hoe we werken op Github","text":"

We werken met Markdown bestanden. Dit is bestandsformaat voor platte tekstbestanden en wordt door veel verschillende tools ondersteund. Dit maakt het eenvoudig om versiebeheer op het Algoritmekader toe te passen.

Daarnaast maken gebruik van mkdocs en material for mkdocs om de informatie op een interactieve wijze inzichtelijk te maken op de website van het Algoritmekader.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#wil-je-een-nieuwe-pagina-aanmaken","title":"Wil je een nieuwe pagina aanmaken?","text":"

In het mkdocs.yml bestand staan de settings voor deze website. In principe hoef je hier niets aan aan te passen, maar als je een nieuwe pagina wilt aanmaken kan het nodig zijn om hier een aanpassing in te doen. Onderdeel van deze settings is namelijk de navigatie voor de site (welke pagina's zijn zichtbaar, en welke pagina's vallen daaronder). Dit staat in de nav: sectie. Indien je een nieuwe pagina wilt toevoegen, is het vaak nodig deze wijziging ook door te voeren in het mkdocs.yml bestand.

"},{"location":"overhetalgoritmekader/definities/","title":"Definities","text":"

Welke definities gebruikt het Algoritmekader? Je vindt een overzicht op deze pagina. Deze definities komen overeen met de definities van het het Algoritmeregister, zie daarvoor de Handreiking Algoritmeregister.

"},{"location":"overhetalgoritmekader/definities/#definitie-van-een-algoritme","title":"Definitie van een algoritme","text":"

Er zijn veel definities van een algoritme. Voor het algoritmekader hanteren we de definitie van de Algemene Rekenkamer:

'Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden.\u2019

Dit is een brede definitie die de maximale reikwijdte weergeeft van algoritmes waarvoor het Algoritmekader relevant is. Waar de definitie van de Algemene Rekenkamer schrijft \u201com een probleem op te lossen of een vraag te beantwoorden\u201d, verstaan we daar ook onder \u201com een taak of proces uit te voeren of tot een besluit te komen\u201d. In het uitvoeren van een taak of het komen tot een besluit kunnen \u00e9\u00e9n of meer algoritmes voorkomen. Daarnaast hebben we het bij het Algoritmekader over zowel Artifici\u00eble Intelligentie (AI) als algoritmes. De essentie is dat AI is opgebouwd uit algoritmes. Maar niet alle algoritmes zijn AI.

Gebruikte terminologie

De termen hoog-risico, impactvol, AI en Algoritmes worden veel door elkaar gebruikt. Wij hanteren uitsluitend de volgende twee termen:

  1. Hoog-risico AI (-systeem) Hiermee bedoelen we altijd de definitie zoals deze in de AI-verordening wordt gehanteerd.

  2. Impactvolle algoritmes Dit betreft de minimale reikwijdte van het Algoritmekader. Het omvat de hoog-risico AI-systemen zoals gedefinieerd in de AI-verordening \u00e9n de algoritmes die we daarnaast als impactvol beschouwen.

"},{"location":"overhetalgoritmekader/definities/#relatie-scope-algoritmekader-en-de-ai-verordening","title":"Relatie scope Algoritmekader en de AI-Verordening","text":"

Op dit moment wordt op EU-niveau de AI-verordening ontwikkeld, die naar verwachting van toepassing wordt op een deel van de algoritmes in gebruik bij de overheid. In de AI-verordening zijn AI-systemen onderverdeeld in verschillende categorie\u00ebn: verboden praktijken, hoog-risico AI-systemen, AI-systemen met manipulatierisico\u2019s en AI-systemen met geen/minimale risico\u2019s. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen waar die systemen aan moeten voldoen.

Het Algoritmekader is hoe dan ook relevant voor hoog-risico AI-systemen volgens de definitie van de AI-verordening. Een AI-systeem is hoog-risico als het voldoet aan de volgende eisen: 1. Het AI-systeem valt onder de definitie van AI-systemen in artikel 3 lid 1 van de verordening en moet o.a. autonome elementen bevatten, en

  1. Het AI-systeem wordt in een van de toepassingsgebieden van ANNEX III ingezet zoals biometrie, kritieke infrastructuur en rechtshandhaving. Bovenstaande betreft een versimpelde beschrijving van de AI-verordening. In bijlage 2 van de Handreiking Algoritmeregister is meer informatie te vinden over de AI-verordening. Aangezien de AI-verordening nog in onderhandeling is, bestaat de kans dat de classificatie van hoog-risico AI-systemen nog wordt aangepast.
"},{"location":"overhetalgoritmekader/definities/#definitie-van-impactvolle-algoritmes","title":"Definitie van impactvolle algoritmes","text":"

Om te bepalen of een algoritme in aanmerking komt voor publicatie in het Algoritmeregister, is een hulpmiddel 'Selectie' gemaakt. Het zijn dezelfde algoritmes die relevant zijn voor het Algoritmekader. Dit hulpmiddel wordt hieronder weergegeven in de figuur, en is ook leidend voor het Algoritmekader.

Voor meer toelichting over dit hulpmiddel verwijzen we naar de Handreiking Algoritmeregister.

"},{"location":"overhetalgoritmekader/definities/#begrippenlijst","title":"Begrippenlijst","text":"Begrip Definitie aanbieder Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merk, al dan niet tegen betaling. aanbieders Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merknaam, al dan niet tegen betaling. aanbieder verder in de AI-waardeketen Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het AI-model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen aangemelde instantie Een conformiteitsbeoordelingsinstantie die overeenkomstig de AI-verordening en andere relevante harmonisatiewetgeving van de Unie is aangemeld aanmeldende autoriteit De nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan AI-bureau De taak van de Commissie waarbij zij bijdraagt aan de uitvoering van, de monitoring van en het toezicht op AI-systemen en AI-modellen voor algemene doeleinden, en AI-governance, als bepaald in het besluit van de Commissie van 24 januari 2024; verwijzingen in deze verordening naar het AI-bureau worden begrepen als verwijzingen naar de Commissie AI-geletterheid Vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen, rekening houdend met hun respectieve rechten en plichten in het kader van de de AI-verordening, in staat stellen met kennis van zaken AI-systemen in te zetten en zich bewuster te worden van de kansen en risico\u2019s van AI en de mogelijke schade die zij kan veroorzaken AI-model voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-modellen voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-systeem een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen; AI-systeem voor algemene doeleinden Een AI-systeem dat is gebaseerd op een AI-model voor algemene doeleinden en dat verschillende doeleinden kan dienen, zowel voor direct gebruik als voor integratie in andere AI-systemen AI-testomgeving voor regelgeving Een door een bevoegde autoriteit opgezet gecontroleerd kader dat aanbieders of toekomstige aanbieders van AI-systemen de mogelijkheid biedt een innovatief AI-systeem te ontwikkelen, trainen, valideren en testen, zo nodig onder re\u00eble omstandigheden, volgens een testomgevingsplan, voor een beperkte periode en onder begeleiding van een toezichthouder. algoritme Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden auteursrecht Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. beoogd doel Het gebruik waarvoor een AI-systeem door de aanbieder is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de aanbieder in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt bijzondere categorie\u00ebn persoonsgegevens De categorie\u00ebn persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679, artikel 10 van Richtlijn (EU) 2016/680 en artikel 10, lid 1, van Verordening (EU) 2018/1725 biometrische gegevens Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijk persoon, zoals gezichtsafbeeldingen of vingerafdrukgegevens biometrische identificatie De geautomatiseerde herkenning van fysieke, fysiologische, gedragsgerelateerde of psychologische menselijke kenmerken om de identiteit van een natuurlijk persoon vast te stellen door biometrische gegevens van die persoon te vergelijken met in een databank opgeslagen biometrische gegevens van personen biometrische verificatie De geautomatiseerde \u00e9\u00e9n-op-\u00e9\u00e9nverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens capaciteiten met een grote impact Capaciteiten die overeenkomen met of groter zijn dan de capaciteiten die worden opgetekend bij de meest geavanceerde AI-modellen voor algemene doeleinden. CE-markering Een markering waarmee een aanbieder aangeeft dat een AI-systeem in overeenstemming is met de voorschriften van hoofdstuk III, afdeling 2, van de AI-Verordening en andere toepasselijke harmonisatiewetgeving van de Unie, die in het aanbrengen ervan voorzien conformiteitsbeoordeling Het proces waarbij de naleving wordt aangetoond van de voorschriften van hoofdstuk III, afdeling 2 van de AI-Verordening in verband met een AI-systeem met een hoog risico deepfake Door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien direct onderscheid Indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat; directe discriminatie De ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte. distributeur Een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie op de markt aanbiedt downstreamaanbieder Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat geharmoniseerde norm Een geharmoniseerde norm zoals gedefinieerd in artikel 2, lid 1,punt c), van Verordening (EU) nr. 1025/2012 gemeenschappelijke specificatie een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in de AI-verordening gebruiksinstructies de door de aanbieder verstrekte informatie om de gebruiksverantwoordelijke te informeren over met name het beoogde doel en juiste gebruik van een AI-systeem gebruiksverantwoordelijke Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet- beroepsactiviteit. geharmoniseerde norm Een Europese norm die op verzoek van de Commissie is vastgesteld met het oog op de toepassing van harmonisatiewetgeving van de Unie ge\u00efnformeerde toestemming De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing om deel te nemen gemachtigde Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een schriftelijke machtiging heeft gekregen en aanvaard van een aanbieder van een AI-systeem of een AI-model voor algemene doeleinden om namens die aanbieder de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren; gemeenschappelijke specificatie Een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in deze verordening gevoelige operationele gegevens Operationele gegevens met betrekking tot activiteiten op het gebied van preventie, opsporing, onderzoek of vervolging van strafbare feiten waarvan de openbaarmaking de integriteit van strafprocedures in het gedrang zou kunnen brengen governance Governance gaat over de inrichting van een organisatie en daar bijbehorende processen, regels, gebruiken en bijbehorende verantwoordelijkheden importeur Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een AI-systeem in de handel brengt dat de naam of merknaam van een in een derde land gevestigde natuurlijke of rechtspersoon draagt in de handel brengen Het voor het eerst in de Unie op de markt aanbieden van een AI-systeem of een AI-model voor algemene doeleinden in gebruik stellen De directe levering van een AI-systeem door de aanbieder aan de gebruiksverantwoordelijke voor het eerste gebruik of voor eigen gebruik in de Unie voor het beoogde doel indirect onderscheid Indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat in vergelijking met andere personen bijzonder treft. indirecte discriminatie Wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. inputdata Data die in een AI-systeem worden ingevoerd of direct door een AI-systeem worden verworven en op basis waarvan het systeem een output genereert kritieke infrastructuur Kritieke infrastructuur zoals gedefinieerd in artikel 2, punt 4, van Richtlijn (EU) 2022/2557 legaliteitsbeginsel Het legaliteitsbeginsel houdt in dat alle overheidsoptreden moet berusten op een overeenstemmen met - kenbare en voldoende specifieke - algemene regels. markttoezichtautoriteit De nationale autoriteit die de activiteiten verricht en maatregelen neemt als bedoeld in Verordening (EU) 2019/1020 nationale bevoegde autoriteit Een aanmeldende autoriteit of een de markttoezichtautoriteit; wat betreft AI-systemen die door instellingen, organen en instanties van de EU in gebruik worden gesteld of worden gebruikt, worden verwijzingen naar nationale bevoegde autoriteiten of markttoezichtautoriteiten in deze verordening begrepen als verwijzingen naar de Europese Toezichthouder voor gegevensbescherming norm Een norm is een vrijwillige afspraak tussen partijen over een product, dienst of proces. Normen zijn geen wetten, maar \u2019best practices\u2019. Iedereen kan - op vrijwillige basis - hier zijn voordeel mee doen. In zakelijke overeenkomsten hebben normen een belangrijke functie. Ze bieden marktpartijen duidelijkheid over en vertrouwen in producten, diensten of organisaties en dagen de maatschappij uit te innoveren. NEN-normen worden ontwikkeld door inhoudsexperts en specialisten op het gebied van normontwikkeling. normalisatie Normalisatie is het proces om te komen tot een norm. Dit proces is open, transparant en gericht op consensus en vindt plaats in normcommissies die bestaan uit vertegenwoordigers van alle betrokken partijen. Dit gebeurt niet alleen op nationaal niveau, maar ook in Europees en mondiaal verband. objectieve rechtvaardiging Van een objectieve rechtvaardiging voor onderscheid is sprake wanneer onderscheid een legitiem doel nastreeft en er een redelijke relatie van evenredigheid bestaat tussen het gemaakte onderscheid en het nagestreefde doel. op de markt aanbieden Het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een AI-systeem of een AI-model voor algemene doeleinden met het oog op distributie of gebruik op de markt van de Unie operator Een aanbieder, productfabrikant, gebruiksverantwoordelijke, gemachtigde, importeur of distributeur prestaties van een AI-systeem Het vermogen van een AI-systeem om het beoogde doel te verwezenlijken plan voor testen onder re\u00eble omstandigheden Een document waarin de doelstellingen, methode, geografische reikwijdte, betrokken personen, duur, monitoring, organisatie en wijze van uitvoering van een test onder re\u00eble omstandigheden worden omschreven proceseigenaar De proceseigenaar is verantwoordelijk voor de kwaliteit van het proces en de vastlegging daarvan in een processchema proefpersoon In het kader van tests onder re\u00eble omstandigheden: een natuurlijk persoon die deelneemt aan een test onder re\u00eble omstandigheden publieke inkoop De verwerving van werken, leveringen of diensten door een overheid of publieke organisatie, van de markt of een andere externe instantie, terwijl zij tegelijkertijd publieke waarde cre\u00ebren en waarborgen vanuit het perspectief van de eigen organisatie. redelijkerwijs te voorzien misbruik Het gebruik van een AI-systeem op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of redelijkerwijs te voorziene interactie met andere systemen, waaronder andere AI-systemen risico De combinatie van de kans op schade en de ernst van die schade; substanti\u00eble wijziging Een verandering van een AI-systeem nadat dit in de handel is gebracht of in gebruik is gesteld, die door de aanbieder niet is voorzien of gepland in de initi\u00eble conformiteitsbeoordeling en als gevolg waarvan de overeenstemming van het AI-systeem met de voorschriften van hoofdstuk III, afdeling 2, AI-Verordening wordt be\u00efnvloed, of die leidt tot een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld systeem voor monitoring na het in de handel brengen Alle door aanbieders van AI-systemen verrichte activiteiten voor het verzamelen en evalueren van ervaringen met door hen in de handel gebrachte of in gebruik gestelde AI-systemen, teneinde te kunnen vaststellen of er onmiddellijk corrigerende dan wel preventieve maatregelen nodig zijn systeem voor het herkennen van emoties Een AI-systeem dat is bedoeld voor het vaststellen of afleiden van de emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens systeem voor biometrische categorisering Een AI-systeem dat is bedoeld voor het indelen van natuurlijke personen in specifieke categorie\u00ebn op basis van hun biometrische gegevens, tenzij dit een aanvulling vormt op een andere commerci\u00eble dienst en om objectieve technische redenen strikt noodzakelijk is systeem voor biometrische identificatie op afstand Een AI-systeem dat is bedoeld voor het identificeren van natuurlijke personen, zonder dat zij daar actief bij betrokken zijn en doorgaans van een afstand, door middel van vergelijking van de biometrische gegevens van een persoon met de biometrische gegevens die zijn opgenomen in een referentiedatabank systeem voor biometrische identificatie op afstand in real time Een systeem voor biometrische identificatie op afstand, waarbij het vastleggen van biometrische gegevens, de vergelijking en de identificatie zonder significante vertraging plaatsvinden, zowel wanneer de identificatie niet enkel onmiddellijk plaatsvindt, maar ook wanneer de identificatie met beperkte korte vertragingen plaatsvindt, om omzeiling te voorkomen systeem voor biometrische identificatie op afstand achteraf Een ander biometrisch systeem voor de identificatie op afstand dan een systeem voor biometrische identificatie op afstand in real time systeemrisico Een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleinden, die aanzienlijke gevolgen hebben voor de markt van de Unie vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid terugroepen van een AI-systeem Een maatregel gericht op het retourneren aan de aanbieder, het buiten gebruik stellen of het onbruikbaar maken van een AI-systeem dat aan gebruiksverantwoordelijken ter beschikking is gesteld testdata Data die worden gebruikt voor het verrichten van een onafhankelijke evaluatie van het AI-systeem om de verwachte prestaties van dat systeem te bevestigen voordat het in de handel wordt gebracht of in gebruik wordt gesteld testomgevingsplan Tussen de deelnemende aanbieder en de bevoegde autoriteit overeengekomen document waarin de doelstellingen, de voorwaarden, het tijdschema, de methode en de vereisten voor de in de testomgeving uitgevoerde activiteiten worden beschreven testen onder re\u00eble omstandigheden Het tijdelijk testen van een AI-systeem voor zijn beoogde doel onder re\u00eble omstandigheden buiten een laboratorium of anderszins gesimuleerde omgeving teneinde betrouwbare en robuuste gegevens te verkrijgen, en te beoordelen en te verifi\u00ebren of het AI-systeem overeenstemt met de voorschriften van de AI-verordening en het wordt niet aangemerkt als het in de handel brengen of in gebruik stellen van het AI-systeem in de zin van de AI-verordening, mits aan alle in artikel 57 of 60 vastgestelde voorwaarden is voldaan toestemming met kennis van zaken De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing deel te nemen trainingsdata Data die worden gebruikt voor het trainen van een AI-systeem door de leerbare parameters hiervan aan te passen uit de handel nemen van een AI-systeem Een maatregel waarmee wordt beoogd te voorkomen dat een AI-systeem dat zich in de toeleveringsketen bevindt, op de markt wordt aangeboden validatiedata Data die worden gebruikt voor het verrichten van een evaluatie van het getrainde AI-systeem en voor het afstemmen van onder andere de niet-leerbare parameters en het leerproces ervan, om underfitting of overfitting te voorkomen validatiedataset Een afzonderlijke dataset of deel van de trainingsdataset, als vaste of variabele opdeling. veiligheidscomponent Een component van een product of systeem die een veiligheidsfunctie voor dat product of systeem vervult of waarvan het falen of gebrekkig functioneren de gezondheid en veiligheid van personen of eigendom in gevaar brengt verwerker Een .. rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. verwerkersverantwoordelijke Een rechtspersoon of overheidsinstantie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt zwevendekommabewerking of \u201cfloating-point operation (FLOP) Elke wiskundige bewerking of toewijzing met zwevendekommagetallen, die een subset vormen van de re\u00eble getallen die gewoonlijk op computers worden gerepresenteerd door een geheel getal met een vaste precisie, geschaald door een gehele exponent van een vaste basis

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/","title":"Rollen","text":"

Verantwoord gebruik van algoritmes en AI-systemen is mogelijk als mensen in verschillende rollen goed samenwerken, op het juiste moment.

"},{"location":"rollen/#bepaal-zelf-rollen-en-verantwoordelijkheden","title":"Bepaal zelf rollen en verantwoordelijkheden","text":"

Als organisatie bepaal je zelf de namen van je rollen of functies en de taken en verantwoordelijkheden die hierbij horen. Misschien heb je bijvoorbeeld minder rollen, omdat je verschillende expertises combineert in 1 rol. Of rollen hebben andere namen.

"},{"location":"rollen/#voorbeelden-van-rollen","title":"Voorbeelden van rollen","text":"

We adviseren de volgende rollen bij het gebruik van algoritmes. Andere rollen zijn ook mogelijk.

"},{"location":"rollen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"rollen/aanbestedingsjurist/","title":"Aanbestedingsjurist","text":""},{"location":"rollen/aanbestedingsjurist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/aanbestedingsjurist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/aanbieder/","title":"Aanbieder","text":""},{"location":"rollen/aanbieder/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt."},{"location":"rollen/aanbieder/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/archiefdeskundige/","title":"Archiefdeskundige","text":""},{"location":"rollen/archiefdeskundige/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/archiefdeskundige/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/architect/","title":"Architect","text":""},{"location":"rollen/architect/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/architect/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/behoeftesteller/","title":"Behoeftesteller","text":""},{"location":"rollen/behoeftesteller/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/behoeftesteller/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/beleidsmedewerker/","title":"Beleidsmedewerker","text":""},{"location":"rollen/beleidsmedewerker/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/beleidsmedewerker/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/communicatieadviseur/","title":"Communicatieadviseur","text":""},{"location":"rollen/communicatieadviseur/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/communicatieadviseur/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/contractbeheerder/","title":"Contractbeheerder","text":""},{"location":"rollen/contractbeheerder/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/contractbeheerder/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/data-engineer/","title":"Data engineer","text":""},{"location":"rollen/data-engineer/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/data-engineer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/data-scientist/","title":"Data scientist","text":""},{"location":"rollen/data-scientist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/data-scientist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/domeinspecialist/","title":"Domeinspecialist","text":""},{"location":"rollen/domeinspecialist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/domeinspecialist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegFormuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/ethicus/","title":"Ethicus","text":""},{"location":"rollen/ethicus/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/ethicus/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanKwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/gebruiker/","title":"Gebruiker","text":""},{"location":"rollen/gebruiker/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/gebruiker/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/gemandateerd-verantwoordelijke/","title":"Gemandateerd verantwoordelijke(n)","text":""},{"location":"rollen/gemandateerd-verantwoordelijke/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/gemandateerd-verantwoordelijke/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/informatie-analist/","title":"Informatie analist","text":""},{"location":"rollen/informatie-analist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/informatie-analist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/informatiebeheerder/","title":"Informatiebeheerder","text":""},{"location":"rollen/informatiebeheerder/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/informatiebeheerder/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/inkoopadviseur/","title":"Inkoopadviseur","text":""},{"location":"rollen/inkoopadviseur/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/inkoopadviseur/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/jurist/","title":"Jurist","text":""},{"location":"rollen/jurist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/jurist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanControleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/opdrachtgever/","title":"Opdrachtgever","text":""},{"location":"rollen/opdrachtgever/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/opdrachtgever/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegFormuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/opdrachtnemer/","title":"Opdrachtnemer","text":""},{"location":"rollen/opdrachtnemer/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/opdrachtnemer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/privacy-officer/","title":"Privacy-officer","text":""},{"location":"rollen/privacy-officer/#vereisten","title":"Vereisten","text":"VereisteUitlegEen DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd."},{"location":"rollen/privacy-officer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/proceseigenaar/","title":"Proceseigenaar","text":""},{"location":"rollen/proceseigenaar/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/proceseigenaar/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Archiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/projectleider/","title":"Projectleider","text":""},{"location":"rollen/projectleider/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/projectleider/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/security-officer/","title":"Security officer","text":""},{"location":"rollen/security-officer/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/security-officer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"vereisten/","title":"Vereisten","text":"

Overzicht van vereisten voor overheden die algoritmes of AI-systemen ontwikkelen of gebruiken.

"},{"location":"vereisten/#wetten-en-regels","title":"Wetten en regels","text":"

De vereisten zijn gebaseerd op de wetten en regels voor het uitvoeren van wettelijke taken, zoals de:

Bij elke vereiste staat dit er duidelijk bij.

"},{"location":"vereisten/#aantal-vereisten-verschilt-per-situatie","title":"Aantal vereisten verschilt per situatie","text":"

Welke vereisten gelden voor jouw organisatie, hangt af van:

"},{"location":"vereisten/#voorbeeld","title":"Voorbeeld","text":"

Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister.

Deze vereiste geldt alleen voor impactvolle algoritmes en hoog-risico-AI-systemen. Een niet-impactvolle rekenregel hoef je niet te registreren.

"},{"location":"vereisten/#overzicht-vereisten","title":"Overzicht vereisten","text":""},{"location":"vereisten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"vereisten/CE_markering_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem","text":"

OntwikkelenVerificatie en validatieImplementatieGovernance

"},{"location":"vereisten/CE_markering_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.

"},{"location":"vereisten/CE_markering_hoog_risico/#toelichting","title":"Toelichting","text":"

Op AI-systemen met een hoog risico moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met de AI-verordening, zodat het vrije verkeer ervan op de interne markt mogelijk is. Op AI-systemen met een hoog risico die in een product zijn ge\u00efntegreerd moet een fysieke CE-markering worden aangebracht, die kan worden aangevuld met een digitale CE-markering. Voor AI-systemen met een hoog risico die alleen digitaal worden verstrekt, moet een digitale CE-markering worden gebruikt. De lidstaten mogen het in de handel brengen en het in gebruik stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.

"},{"location":"vereisten/CE_markering_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(h) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 48 CE-markering - AI verordening"},{"location":"vereisten/CE_markering_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/CE_markering_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/CE_markering_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op","text":"

Verificatie en validatieImplementatieGovernance

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#toelichting","title":"Toelichting","text":"

Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. De aanbieder stelt voor elk AI-systeem met een hoog risico een schriftelijke machineleesbare, fysieke of elektronisch ondertekende EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in gebruik stellen van het AI-systeem met een hoog risico ter beschikking van de nationale bevoegde autoriteiten. De conformiteitsverklaring bevat de informatie zoals genoemd in bijlage V AI-verordening. Voorbeelden hiervan zijn de naam en type van het AI-systeem, naam en adres van de aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste relevante geharmoniseerde normen of van andere gemeenschappelijke specificaties waarop de conformiteitsverklaring betrekking heeft.

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(g) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 47(1) EU-conformiteitsverklaring - AI verordening Bijlage V AI Verordening"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenAanbiederGovernance

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen voor algemene doeleinden zijn verplicht om gedetailleerde technische documentatie bij te houden, inclusief informatie over hoe het model is getraind, getest en ge\u00ebvalueerd. Deze documentatie moet voldoen aan de minimale vereisten zoals uiteengezet in bijlage XI van de AI-verordening. Hierbij kan worden gedacht aan taken die het model uitvoert en het type en de aard van AI-systemen waarin het kan worden ge\u00efntegreerd, acceptabel gebruiks beleid, architectuur, het aantal paramaters, licentie, specificaties van het ontwerp van het model, het trainingsproces, informatie over de gegevens die zijn verwerkt en een gedetailleerde beschrijving van de evaluatiestrategie\u00ebn. Zie bijlage XI voor het gehele overzicht.

Op verzoek moeten deze documenten beschikbaar zijn voor zowel het AI-bureau als de nationale bevoegde autoriteiten, wat essentieel is om te zorgen voor transparantie en naleving van de voorschriften.

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#bronnen","title":"Bronnen","text":"Bron Artikel 53 Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden- AI verordening Bijlage XI AI Verordening"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#risico","title":"Risico","text":"

Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#toelichting","title":"Toelichting","text":"

Op verzoek van een nationale bevoegde autoriteit moeten aanbieders van AI-systemen met een hoog risico aantonen dat het betreffende systeem voldoet aan de eisen.

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(k) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen. Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potenti\u00eble cyberdreigingen. Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#bronnen","title":"Bronnen","text":"Bron Artikel 55(1d) Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden met een systeemrisico- AI verordening"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#risico","title":"Risico","text":"

Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij","text":"

Verificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#bronnen","title":"Bronnen","text":"Bron Artikel 55(1c) Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden met een systeemrisico- AI verordening"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#risico","title":"Risico","text":"

Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/algoritmeregister/","title":"Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie

"},{"location":"vereisten/algoritmeregister/#vereiste","title":"Vereiste","text":"

Bestuursorganen publiceren algoritmes met impact en hoog-risico AI-systemen in het Nederlandse Algoritmeregister.

"},{"location":"vereisten/algoritmeregister/#toelichting","title":"Toelichting","text":"

Het publiceren van impactvolle algoritmes en AI-systemen draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.

"},{"location":"vereisten/algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Handreiking Algoritmeregister Geactualiseerde Werkagenda Waardengedreven Digitaliseren 2024 Kamerbrieven"},{"location":"vereisten/algoritmeregister/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/algoritmeregister/#risico","title":"Risico","text":"

Door het niet publiceren van impactvolle of hoog risico AI -systemen in het Algoritmeregister, is het voor betrokkenen of belanghebbenden minder goed mogelijk om de overheid kritisch te volgen, te bevragen en te controleren op de inzet van deze technologie\u00ebn die hen kunnen raken. Bij het onjuist of onvolledig publiceren in het Algortimeregister ontstaat er een risico dat betrokkenen en belanghebbenden onjuiste inschattingen maken over het gebruik van het algoritme of het AI-systeem en daardoor in hun rechten worden beperkt.

"},{"location":"vereisten/algoritmeregister/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen."},{"location":"vereisten/algoritmeregister/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegAlgoritmeregisterHet Algoritmeregister is de plek waar overheden informatie over hun algoritmes kunnen publiceren."},{"location":"vereisten/archiefwet/","title":"De archiefwet is ook van toepassing op algoritmes en AI-systemen","text":"

UitfaserenImplementatieMonitoring en beheerTechnische robuustheid en veiligheidGovernanceDataPrivacy en gegevensbescherming

"},{"location":"vereisten/archiefwet/#vereiste","title":"Vereiste","text":"

Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.

"},{"location":"vereisten/archiefwet/#toelichting","title":"Toelichting","text":"

Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over en van algoritmes en AI moet daarom bewaard en vernietigd worden.

"},{"location":"vereisten/archiefwet/#bronnen","title":"Bronnen","text":"Bron Artikel 3 Archiefwet 1995 Artikel 15 lid 2 Archiefwet 1995 Archiefbesluit 1995 Archiefregeling"},{"location":"vereisten/archiefwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/archiefwet/#risico","title":"Risico","text":"

Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes en AI aan hebben bijgedragen, tot stand zijn gekomen. Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.

"},{"location":"vereisten/archiefwet/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/auteursrechten/","title":"Auteursrechten mogen niet worden geschonden","text":"

Dataverkenning en datapreparatieOntwerpDataGovernance

"},{"location":"vereisten/auteursrechten/#vereiste","title":"Vereiste","text":"

Auteursrechten mogen niet geschonden worden bij het ontwikkelen en gebruiken van algoritmes en AI.

"},{"location":"vereisten/auteursrechten/#toelichting","title":"Toelichting","text":"

Bepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.

"},{"location":"vereisten/auteursrechten/#bronnen","title":"Bronnen","text":"Bron Artikel 1 Auteurswet Artikel 4-9 Auteurswet Artikel 10 Auteurswet Artikel 13 Auteurswet Artikel 15n jo. 15o Auteurswet Artikel 3 en 4 van de DSM-richtlijn (EU 2019/790)"},{"location":"vereisten/auteursrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/auteursrechten/#risico","title":"Risico","text":"

Het niet voldoen aan het auteursrecht in AI-systemen en algoritmes kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht. Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.

"},{"location":"vereisten/auteursrechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/automatische_logregistratie/","title":"Automatische logregistratie voor hoog-risico AI","text":"

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/automatische_logregistratie/#vereiste","title":"Vereiste","text":"

Algoritmes en AI-systemen zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).

"},{"location":"vereisten/automatische_logregistratie/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als \"logs\". Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken. Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert.

Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in: a) de registratie van de duur van elk gebruik van het systeem; b) de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem; c) de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd; d) de identificatie van natuurlijke personen die betrokken zijn bij de verificatie van de resultaten.

Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systmen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.

"},{"location":"vereisten/automatische_logregistratie/#bronnen","title":"Bronnen","text":"Bron Artikel 12 Registratie- AI verordening Baseline Informatiebeveiliging Overheid hoofdstuk 12.4 Artikel 5 en 32 AVG"},{"location":"vereisten/automatische_logregistratie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/automatische_logregistratie/#risico","title":"Risico","text":"

Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert en betrokkenen wiens persoonsgegevens worden verwerkt of geraakt worden door beslissingen van het AI-systeem in hun rechten kunnen worden beperkt.

"},{"location":"vereisten/automatische_logregistratie/#wanneer-van-toepassing_1","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/automatische_logregistratie/#risico_1","title":"Risico","text":"

Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert.

"},{"location":"vereisten/automatische_logregistratie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/","title":"Proportionaliteit en subsidiariteit","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#vereiste","title":"Vereiste","text":"

Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#toelichting","title":"Toelichting","text":"

Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes en AI moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#bronnen","title":"Bronnen","text":"Bron Overweging 170 Algemene Verordening Gegevensbescherming Artikel 5(4) Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 Artikel 52 Handvest van de Grondrechten van de Europese Unie Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 Artikel 1.10, 1.13 en 1.16 Aanbestedingswet 2012 Artikel 5(1)(c) Algemene Verordening Gegevensbescherming"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#risico","title":"Risico","text":"

Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie."},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/","title":"Beoordeling van grondrechten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerFundamentele rechten

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#vereiste","title":"Vereiste","text":"

Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#toelichting","title":"Toelichting","text":"

Voordat een AI-systeem met een hoog risico in gebruik wordt genomen, moeten publieke instellingen of particuliere entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van de impact op de grondrechten die het gebruik ervan kan hebben. Deze evaluatie is bedoeld om potenti\u00eble risico's te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om deze risico's te beheersen. Het doel is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren waar deze systemen cruciale diensten leveren aan het publiek.

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#bronnen","title":"Bronnen","text":"Bron Artikel 27(1) Beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico- AI verordening Artikel 6 lid 2 AI-verordening Punt 2 en punt 5 bij Bijlage III AI-verordening"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#risico","title":"Risico","text":"

Het niet uitvoeren van deze beoordeling kan leiden tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende entiteiten.

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen."},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/","title":"Beperkte bewaartermijn van persoonsgegevens","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In de context van algoritmes en AI is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan. Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder de AVG"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#risico","title":"Risico","text":"

Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/","title":"Verantwoordelijkheden worden toegewezen en beschreven","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De verantwoordelijkheden bij de verwerking van persoonsgegevens voor algoritmes en AI-systemen moeten zijn beschreven en zijn toegekend.

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen inzake de verwerking van persoonsgegevens en kan deze aantonen (\"verantwoordingsplicht\").

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 24, 26, 27, 28 en 29, 5 lid 2 AVG"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#risico","title":"Risico","text":"

Door rollen en verantwoordelijkheden rondom de verwerking van persoonsgegevens niet te duiden en te beleggen, ontstaat het risico dat persoonsgegevens onrechtmatig on onveilig worden verwerkt.

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/","title":"Beveiliging informatie en informatiesystemen","text":"

OntwerpImplementatieMonitoring en beheerDataverkenning en datapreparatieVerificatie en validatieUitfaserenTechnische robuustheid en veiligheid

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#vereiste","title":"Vereiste","text":"

Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#toelichting","title":"Toelichting","text":"

Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Besluit voorschrift informatiebeveiliging rijksdienst 2007"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#risico","title":"Risico","text":"

Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beveiliging_van_verwerking/","title":"Beveiliging van de verwerking","text":"

Dataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenPrivacy en gegevensbeschermingData

"},{"location":"vereisten/beveiliging_van_verwerking/#vereiste","title":"Vereiste","text":"

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

"},{"location":"vereisten/beveiliging_van_verwerking/#toelichting","title":"Toelichting","text":"

Voor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.

"},{"location":"vereisten/beveiliging_van_verwerking/#bronnen","title":"Bronnen","text":"Bron Artikel 32 Algemene Verordening Gegevensbescherming"},{"location":"vereisten/beveiliging_van_verwerking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beveiliging_van_verwerking/#risico","title":"Risico","text":"

Er kunnen risico's ontstaan zoals potenti\u00eble cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.

"},{"location":"vereisten/beveiliging_van_verwerking/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegZorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/","title":"Bevorder AI-geletterdheid van personeel en gebruikers","text":"

ProbleemanalyseOntwerpImplementatieMonitoring en beheerMenselijke controleGovernance

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#vereiste","title":"Vereiste","text":"

Aanbieders en exploitanten van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#toelichting","title":"Toelichting","text":"

Aanbieders en exploitanten van AI-systemen nemen maatregelen om ervoor te zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Daarnaast moet er worden ingezet op het delen van ervaringen, passend onderwijs en opleiding van inidividuen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#bronnen","title":"Bronnen","text":"Bron Artikel 4 Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#risico","title":"Risico","text":"

Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt. Dit kan leiden tot ineffici\u00ebntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden."},{"location":"vereisten/bewaartermijn_voor_documentatie/","title":"Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie","text":"

OntwerpOntwikkelenMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#vereiste","title":"Vereiste","text":"

De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten: a) de technische documentatie als bedoeld in artikel 11 van de AI-verordening; b) de documentatie betreffende het in artikel 17 bedoelde systeem voor kwaliteitsbeheer; c) in voorkomend geval de documentatie betreffende de door aangemelde instanties goedgekeurde wijzigingen; d) in voorkomend geval de besluiten en andere documenten die door de aangemelde instanties zijn afgegeven; e) de EU-conformiteitsverklaring als bedoeld in artikel 47.

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#toelichting","title":"Toelichting","text":"

De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#bronnen","title":"Bronnen","text":"Bron Artikel 18(1) Verordening Artifi\u00eble Intelligentie Artikel 16(d) Verordening Artifi\u00eble Intelligentie"},{"location":"vereisten/bewaartermijn_voor_documentatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/bewaartermijn_voor_documentatie/#risico","title":"Risico","text":"

Niet voldoen aan de bewaartermijn kan leiden tot juridische consequenties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegVaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegVaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/","title":"Bewaartermijn voor gegenereerde logs","text":"

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen aan de relevante voorschriften en verantwoordingsplicht.

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#bronnen","title":"Bronnen","text":"Bron Artikel 19(1) Automatisch gegenereerde logs- AI verordening Artikel 16(e) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening Artikel 12(1) Registratie- AI verordening"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#risico","title":"Risico","text":"

Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail). MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit","text":"

Verificatie en validatieImplementatieGovernance

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd voor het systeem op de markt wordt gebracht of in gebruik wordt genomen. Dit is mogelijk door middel van een interne controle (als bedoeld in bijlage VI van de AI-verordening) of met betrokkenheid van een aangemelde instantie voor de beoordeling van het systeem voor kwaliteitsbeheer en de technische documentatie (als bedoeld in bijlage VII van de AI-verordening).

AI-systemen met een hoog risico die reeds aan een conformiteitsbeoordelingsprocedure zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke gebruikt blijft worden.

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(f) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 43 Conformiteitsbeoordeling - AI verordening Bijlage VI en VII AI Verordening"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/","title":"Corrigerende maatregelen voor non-conforme AI","text":"

Monitoring en beheerOntwerpImplementatieGovernance

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico die constateren dat hun systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties ondernemen, zoals het terugroepen of uit de handel nemen van het systeem. Ze moeten ook alle relevante partijen, zoals distributeurs, gebruiksverantwoordelijken en importeurs, op de hoogte stellen van deze maatregelen.

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 20(1) Corrigerende maatregelen en mededelingsverplichting- AI verordening Artikel 16(j) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#risico","title":"Risico","text":"

Niet reageren op non-conformiteit kan leiden tot risico's voor gebruikers en derden. Het kan leiden tot juridische procedures en reputatieschade voor organisaties.

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/databankenwet/","title":"Verbod op schenden databankenrechten","text":"

OntwerpDataverkenning en datapreparatieData

"},{"location":"vereisten/databankenwet/#vereiste","title":"Vereiste","text":"

Het is verboden om zonder goedkeuring van de producent een databank op te vragen en/of te hergebruiken.

"},{"location":"vereisten/databankenwet/#toelichting","title":"Toelichting","text":"

De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten van databanken tegen onrechtmatige toe-eigening van een databank. Degene die een substanti\u00eble financi\u00eble en professionele investering heeft verricht om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht en kan zo anderen verbieden de databank te gebruiken. Bij verkrijgen gaat het om \"het verzamelen van de werken, gegevens of andere zelfstandige elementen die tezamen de inhoud van de databank vormen\". Dit recht bestaat naast het recht op bescherming van de originele keuze of rangschikking van de inhoud van databanken (auteurswet).

Voor het ontwikkelen van algoritme en AI is data nodig. De data die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.

"},{"location":"vereisten/databankenwet/#bronnen","title":"Bronnen","text":"Bron Artikel 1 en 2 Databankenwet Artikel 5a en 5b Databankenwet Artikel 7 Databankrichtlijn Overwegingen 39 - 41 Databankrichtlijn"},{"location":"vereisten/databankenwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/databankenwet/#risico","title":"Risico","text":"

Als een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank bij de ontwikkeling van algoritmes en AI, wordt het databankenrecht geschonden van de eigenaar. De eigenaar van de databank kan bijvoorbeeld ontrekking van de data uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing of AI-systeem.

"},{"location":"vereisten/databankenwet/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/","title":"Documentatie beoordeling niet-hoog-risico AI","text":"

OntwerpVerificatie en validatieGovernance

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

Een aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

Een aanbieder die oordeelt dat een AI-systeem niet valt onder hoog-risico zoals gefedinieerd in bijlage III van de AI-verordening, documenteert deze beoordeling voorafgaand aan het in de handel brengen of in gebruik nemen van het systeem. Op verzoek van de nationale autoriteiten verstrekt de aanbieder de documentatie van de beoordeling. De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening). AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 6(4) Classificatieregels voor AI-systemen met een hoog risico - AI verordening Artikel 49(2) AI Verordening Artikel 71 AI Verordening Bijlage III AI Verordening"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#risico","title":"Risico","text":"

Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van risicovolle AI-systemen.

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/","title":"Een DPIA is verplicht bij hoog risico","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatiePrivacy officerPrivacy en gegevensbescherming

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#vereiste","title":"Vereiste","text":"

Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#toelichting","title":"Toelichting","text":"

Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.

Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van \u00e9\u00e9n van de volgende voorwaarden: 1. Evaluatie of scoretoekenning 2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg 3. Stelselmatige monitoring 4. Gevoelige gegevens of gegevens van zeer persoonlijke aard 5. Op grote schaal verwerkte gegevens 6. Matching of samenvoeging van datasets 7. Gegevens met betrekking tot kwetsbare betrokkenen 8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen 9. de situatie waarin als gevolg van de verwerking zelf \"betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst\";

Het is mogelijk dat algoritmes die niet aan \u00e9\u00e9n of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.

Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 35 Algemene Verordening Gegevensbescherming Artikel 26(9) Verordening Artifici\u00eble Intelligentie Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#risico","title":"Risico","text":"

Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potenti\u00eble schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst."},{"location":"vereisten/fundamentele_rechten/","title":"Beschermen van fundamentele rechten en vrijheden","text":"

ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerFundamentele rechten

"},{"location":"vereisten/fundamentele_rechten/#vereiste","title":"Vereiste","text":"

Fundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.

"},{"location":"vereisten/fundamentele_rechten/#toelichting","title":"Toelichting","text":"

Mensenrechten gelden voor alle mensen op de wereld. De mensenrechten in Nederland zijn beschermd door nationale wetten en internationale verdragen. In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet. Deze rechten heten ook wel \u2019grondrechten\u2019. Een bekend voorbeeld is artikel 1 van de Grondwet. Om mensenrechten te beschermen zijn ze op Europees en internationaal niveau in verschillende verklaringen en verdragen vastgelegd.

Mensenrechten kunnen soms onder druk komen te staan. De inzet van algoritmes en AI-systemen kan bijvoorbeeld een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling en voor het recht op behoorlijk bestuur. Het is daarom belangrijk om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.

"},{"location":"vereisten/fundamentele_rechten/#bronnen","title":"Bronnen","text":"Bron Grondwet Europees Verdragvoor de Rechten van de Mens (EVRM) Handvest van de grondrechten van de Europese Unie Universele Verklaring van de Rechten van de Mens (UVRM) Internationaal Statuut van de Rechten van de Mens Internationale Verdrag inzake burgerrechten en politieke rechten (IVBPR) Internationale Verdrag inzake economische, sociale en culturele rechten (IVESCR) Internationaal Verdrag inzake de uitbanning van alle vormen van rassendiscriminatie (CERD) Internationaal Verdrag voor de rechten van het kind (CRC) Internationaal Verdrag voor de Rechten van Mensen met een Handicap (VN-verdrag Handicap) Artikel 27 AI-verordening"},{"location":"vereisten/fundamentele_rechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/fundamentele_rechten/#risico","title":"Risico","text":"

Grondrechten kunnen worden aangetast door de inzet van algoritmes

"},{"location":"vereisten/fundamentele_rechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/fundamentele_rechten/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen."},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/","title":"Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd","text":"

ImplementatieOntwikkelenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#toelichting","title":"Toelichting","text":"

Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem. Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft. De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.

Gebruiksverantwoordelijken die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financi\u00eble diensten.

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#bronnen","title":"Bronnen","text":"Bron Artikel 26(6) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#risico","title":"Risico","text":"

Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/","title":"Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem","text":"

ImplementatieMonitoring en beheerTransparantieGovernance

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#toelichting","title":"Toelichting","text":"

Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals omschreven in artikel 71 AI-verordening). Voordat het betreffende AI-systeem (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties, instellingen, organen of instanties van de Unie, of personen die namens hen optreden, zichzelf en selecteren zij het systeem en registreren zij het gebruik ervan in de in artikel 71 bedoelde EU-databank.

Heeft de aanbieder het betreffende hoog risico AI-systeem niet geregistreerd in de EU-Databank, dan mag het hoog risico AI-systeem niet worden gebruikt. De aanbieder of distributeur wordt door de gebruiksverantwoordelijke ge\u00efnformeerd dat het systeem niet is geregistreerd in de EU-databank.

AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#bronnen","title":"Bronnen","text":"Bron Artikel 26(8) AI Verordening Artikel 49 (3) AI Verordening Artikel 71 AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#risico","title":"Risico","text":"

Zonder registratie van het hoge risico AI-systeem en het registreren welke organisaties of personen hier gebruik van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/","title":"Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning","text":"

ImplementatieMonitoring en beheerGovernanceMenselijke controle

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#toelichting","title":"Toelichting","text":"

Het is van belang dat natuurlijke personen die het menselijk toezicht moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige bekwaamheid, opleiding en autoriteit beschikt. Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze taak.

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#bronnen","title":"Bronnen","text":"Bron Artikel 26(2) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#risico","title":"Risico","text":"

Als de natuurlijke toezichthouder geen effectief toezicht kan houden op het hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen en de organisatie.

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/","title":"Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem","text":"

Monitoring en beheerGovernanceMenselijke controle

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#toelichting","title":"Toelichting","text":"

Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen monitoren. Dit is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld anders gaat functioneren.

Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.

Voor gebruiksverantwoordelijke die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financi\u00eble diensten.

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#bronnen","title":"Bronnen","text":"Bron Artikel 26(5) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#risico","title":"Risico","text":"

Zonder monitoring door gebruiksverantwoordelijken en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit, kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd en hersteld.

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/","title":"Privacyrechten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#vereiste","title":"Vereiste","text":"

Betrokkenen kunnen een beroep doen op hun privacyrechten.

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig. Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 15 - 21 AVG"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#risico","title":"Risico","text":"

Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten.

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/","title":"Juistheid en actualiteit van gegevens","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbeschermingData

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes en AI is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 sub d AVG"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#risico","title":"Risico","text":"

Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden gewaarborgd.

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/","title":"Kwaliteitsbeheersysteem voor hoog-risico AI","text":"

ProbleemanalyseOntwerpGovernance

"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.

"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren om te garanderen dat ze voldoen aan de AI-verordening. Dit systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en behandelt beknopt de volgende aspecten:

  1. een strategie voor de naleving van de regelgeving, inclusief de naleving van de conformiteitsbeoordelingsprocedures en de procedures voor het beheer van de wijzigingen van het AI-systeem met een hoog risico;
  2. technieken, procedures en systematische maatregelen die moeten worden toegepast voor het ontwerp, de controle van het ontwerp en de verificatie van het ontwerp van het AI-systeem met een hoog risico;
  3. technieken, procedures en systematische maatregelen die moeten worden toegepast voor de ontwikkeling, de kwaliteitscontrole en de kwaliteitsborging van het AI-systeem met een hoog risico;
  4. procedures voor het inspecteren, testen en valideren die v\u00f3\u00f3r, tijdens en na de ontwikkeling van het AI-systeem met een hoog risico moeten worden uitgevoerd en de regelmaat waarmee zij moeten worden uitgevoerd;
  5. technische specificaties, met inbegrip van normen, die moeten worden toegepast en, wanneer de relevante geharmoniseerde normen niet volledig worden toegepast of geen betrekking hebben op alle relevante eisen van afdeling 2, de middelen die worden gebruikt om ervoor te zorgen dat het AI-systeem met een hoog risico in overeenstemming is met deze eisen;
  6. systemen en procedures voor databeheer, met inbegrip van dataverwerving, - verzameling, -analyse, -labeling, -opslag, -zuivering, -aggregatie en -behoud en datamining en eventuele andere operaties met betrekking tot de data die worden uitgevoerd voorafgaand aan en met het oog op het in de handel brengen of in gebruik stellen van AI-systemen met een hoog risico;
  7. het systeem voor risicobeheer zoals bedoeld in artikel 9 van de AI-verordening;
  8. het opzetten, toepassen en onderhouden van een systeem voor monitoring na het in de handel brengen, overeenkomstig artikel 72 AI-verordening;
  9. procedures in verband met het melden van een ernstig incident in overeenstemming met artikel 73 van de AI-verordening;
"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 17(1) Systeem voor kwaliteitsbeheer- AI verordening Artikel 16(c) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#risico","title":"Risico","text":"

Zonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit met wet- en regelgeving.

"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/kwaliteitscriteria_voor_data/","title":"Data van hoog-risico ai moet voldoen aan kwaliteitscriteria","text":"

OntwerpDataverkenning en datapreparatieVerificatie en validatieGovernanceData

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets worden gebruikt.

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt.

Deze vereiste houdt in dat de gebruikte datasets onder meer moeten voldoen aan: - datasets voor training, validatie en tests worden onderworpen aan praktijken op het gebied van databeheer die stroken met het beoogde doel van het AI-systeem met een hoog risico. Dit heeft in het bijzonder betrekking op relevante ontwerpkeuzes, processen voor dataverzameling, verwerkingsactiviteiten voor datavoorbereiding, het opstellen van aannames met name betrekking tot de informatie die de data moeten meten en vertegenwoordigen, beschikbaarheid, kwantiteit en geschiktheid van de datasets en een beoordeling op mogelijke vooringenomenheid en passende maatregelen om deze vooringenomenheid op te sporen, te voorkomen en te beperken. - datasets voor training, validatie en tests zijn relevant, voldoende representatief en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde doel. - Er wordt rekening gehouden met de eigenschappen of elementen die specifiek zijn voor een bepaalde geografische, contextuele, functionele of gedragsomgeving waarin het AI-systeem wordt gebruikt.

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#bronnen","title":"Bronnen","text":"Bron Artikel 10(1) Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/kwaliteitscriteria_voor_data/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/kwaliteitscriteria_voor_data/#risico","title":"Risico","text":"

Gebruik van laagkwalitatieve of bevooroordeelde datasets kan leiden tot onbetrouwbare en oneerlijke AI-besluitvorming. Onvoldoende kwaliteitsborging van testdata kan leiden tot vertekende resultaten en gebrekkige prestaties van het AI-systeem bij gebruik in de praktijk.

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/","title":"Maatregelen van gebruiksverantwoordelijken voor gebruik","text":"

ImplementatieGovernance

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#toelichting","title":"Toelichting","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de bijgevoegde instructies. De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft.

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#bronnen","title":"Bronnen","text":"Bron Artikel 26 Verplichtingen van gebruiksverantwoordelijken van AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#risico","title":"Risico","text":"

Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico's voor gebruikers en derden.

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/melding_ernstige_incidenten/","title":"Melden van ernstige incidenten","text":"

ImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/melding_ernstige_incidenten/#vereiste","title":"Vereiste","text":"

Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.

"},{"location":"vereisten/melding_ernstige_incidenten/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico die binnen de EU worden verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten van de lidstaten waar het incident heeft plaatsgevonden. Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:

  1. het overlijden van een persoon of ernstige schade voor de gezondheid van een persoon;
  2. een ernstige en onomkeerbare verstoring van het beheer of de exploitatie van kritieke infrastructuur;
  3. een schending van de uit het recht van de Unie voortvloeiende verplichtingen ter bescherming van de grondrechten;
  4. ernstige schade aan eigendommen of het milieu.

Dit meldingsproces is bedoeld om snel en adequaat te reageren op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen, en om passende maatregelen te nemen ter bescherming van de consumenten en het publiek. Het doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers te minimaliseren.

"},{"location":"vereisten/melding_ernstige_incidenten/#bronnen","title":"Bronnen","text":"Bron Artikel 73(1) Melding van ernstige incidenten AI verordening"},{"location":"vereisten/melding_ernstige_incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/melding_ernstige_incidenten/#risico","title":"Risico","text":"

Het niet melden van ernstige incidenten kan leiden tot vertraagde reactie op potenti\u00eble gevaren voor gebruikers en kan het vertrouwen in AI-systemen ondermijnen.

"},{"location":"vereisten/melding_ernstige_incidenten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/","title":"Persoonsgegevens verzamelen voor specifieke doeleinden","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Het is van belang dat \u00e9nkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking. Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn. Voor het ontwikkelen en gebruiken van algoritmes of AI-systemen is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven.

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder c AVG"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#risico","title":"Risico","text":"

Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/","title":"Monitoring na het in handel brengen","text":"

Monitoring en beheerPrivacy en gegevensbescherming

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#vereiste","title":"Vereiste","text":"

Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#toelichting","title":"Toelichting","text":"

Aanbieders moeten een monitoringssysteem opzetten voor het monitoren na het in de handel brengen. Dit systeem moet documenteren op een wijze die passend is bij de aard van de AI-technologie\u00ebn en de risico's van het betreffende AI-systeem met een hoog risico. Dit monitoringssysteem moet proportioneel zijn aan de complexiteit en potenti\u00eble impact van het AI-systeem.

Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur. Dit stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van de AI-verordening vermelde voorschriften. In voorkomend geval omvat de monitoring na het in de handel brengen een analyse van de interactie met andere AI-systemen. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.

Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#bronnen","title":"Bronnen","text":"Bron Artikel 72(1) Monitoring door aanbieders na het in de handel brengen en plan voor monitoring na het in de handel brengen voor AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#risico","title":"Risico","text":"

Zonder monitoringssysteem voor na het in handel brengen is er een risico dat verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven. Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/motiveringsbeginsel/","title":"Een besluit berust op een deugdelijke motivering","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/motiveringsbeginsel/#vereiste","title":"Vereiste","text":"

Een besluit berust op een deugdelijke motivering

"},{"location":"vereisten/motiveringsbeginsel/#toelichting","title":"Toelichting","text":"

Een bestuursorgaan moet inzichtelijk maken: 1. dat een besluit tot stand is gekomen met behulp van een algoritme; 2. van welke feiten het is uitgegaan en welke gegevens van de burger gebruikt c.q. verwerkt zijn; 3. welke relevante belangen tegen elkaar zijn afgewogen en hoe die afweging is verlopen (bijvoorbeeld het gewicht dat wordt toegekend aan elk afgewogen kenmerk; welke analytische technieken gebruikt zijn; welke specifieke voorspellende data; wat de belangrijkste policy-keuzes waren; een uitleg van het voorspellende algoritme); 4. hoe het algoritme werkt (niet de techniek, maar hoe de uitkomsten van het algoritme tot stand komen). De keuzes en aannames die zijn gemaakt en gedaan moeten worden beschreven en toegelicht.

"},{"location":"vereisten/motiveringsbeginsel/#bronnen","title":"Bronnen","text":"Bron Artikel 3:46 - 3:50 Awb Jurisprudentie over AERIUS (ABRvS 18 juli 2018, ECLI:NL:RVS:2018:2454), Hof van Justitie C-274/18"},{"location":"vereisten/motiveringsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/motiveringsbeginsel/#risico","title":"Risico","text":"

Het is onduidelijk op wat voor manier het algoritmes of AI-systeem heeft bijgedragen aan de totstandkoming van een besluit.

"},{"location":"vereisten/motiveringsbeginsel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/non_discriminatie/","title":"AI-systemen en algoritmes mogen niet discrimineren","text":"

ProbleemanalyseDataverkenning en datapreparatieOntwerpVerificatie en validatieImplementatieMonitoring en beheerFundamentele rechtenBias en non discriminatie

"},{"location":"vereisten/non_discriminatie/#vereiste","title":"Vereiste","text":"

Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.

"},{"location":"vereisten/non_discriminatie/#toelichting","title":"Toelichting","text":"

Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.

"},{"location":"vereisten/non_discriminatie/#bronnen","title":"Bronnen","text":"Bron Artikel 1 Grondwet Artikel 14 Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Rome, 04-11-1950 Artikel 21 Handvest van de Grondrechten van de Europese Unie Artikel 1 Algemene wet gelijke behandeling Artikel 1 Protocol nr. 12 bij het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Rome, 04-11-2000 Artikel 9 Algemene Verordening Gegevensbescherming Artikel 2:4 Algemene wet bestuursrecht"},{"location":"vereisten/non_discriminatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/non_discriminatie/#risico","title":"Risico","text":"

Het risico bestaat dat het model onwenselijke systematische afwijkingen cre\u00ebert voor specifieke personen, groepen of andere eenheden, wat kan duiden op directe of indirecte discriminerende effecten van het algoritme.

"},{"location":"vereisten/non_discriminatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Configuratie met de mensZorg voor complementariteit tussen algoritmische systeem en de mensen die ermee moeten werken.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegConfiguratie met de mensZorg voor complementariteit tussen algoritmische systeem en de mensen die ermee moeten werken.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/","title":"Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenTechnische robuustheid en veiligheid

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden. Dit garandeert consistente prestaties gedurende hun levensduur en minimaliseert risico's met betrekking tot deze aspecten, waardoor de betrouwbaarheid en veiligheid van het systeem worden gewaarborgd.

Technische robuustheid is een essenti\u00eble eis voor AI-systemen met een hoog risico. Deze systemen moeten bestand zijn tegen schadelijk of anderszins ongewenst gedrag dat kan voortvloeien uit de beperkingen binnen de systemen of de omgeving waarin de systemen opereren (bijvoorbeeld fouten, onregelmatigheden, onverwachte situaties). Daarom moeten technische en organisatorische maatregelen worden getroffen om de robuustheid van AI-systemen met een hoog risico te waarborgen. Een technische oplossing kan bijvoorbeeld bestaan uit mechanismen die het systeem in staat stellen zijn werking veilig te onderbreken (storingsbeveiligingsplannen) wanneer zich bepaalde anomalie\u00ebn voordoen of wanneer de werking buiten bepaalde vooraf bepaalde grenzen plaatsvindt.

Cyberbeveiliging is cruciaal om te waarborgen dat AI-systemen bestand zijn tegen pogingen van kwaadwillige derden die gebruikmaken van de kwetsbaarheden van het systeem om het gebruik, het gedrag of de prestaties ervan te wijzigen of de veiligheidskenmerken ervan in gevaar te brengen. Bij cyberaanvallen tegen AI-systemen kunnen AI-specifieke activa worden gebruikt, zoals trainingsdatasets (bv. datavervuiling) of getrainde modellen (bv. vijandige aanvallen of membership inference), of kwetsbaarheden in de digitale activa van het AI-systeem of de onderliggende ICT-infrastructuur worden benut. Om te zorgen voor een niveau van cyberbeveiliging dat aansluit op de risico\u2019s, moeten aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#bronnen","title":"Bronnen","text":"Bron Artikel 15(1) Nauwkeurigheid, robuustheid en cyberbeveiliging- AI verordening"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#risico","title":"Risico","text":"

Gebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's, wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. MaatregelUitlegZorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/","title":"Verwerking van persoonsgegevens moet rechtmatig plaatsvinden","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatiePrivacy en gegevensbescherming

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#vereiste","title":"Vereiste","text":"

De verwerking van persoonsgegevens moet rechtmatig plaatsvinden.

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#toelichting","title":"Toelichting","text":"

De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op \u00e9\u00e9n van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming. Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.

Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes en AI moet worden onderzocht of dit kan worden gebaseerd op \u00e9\u00e9n van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag. Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder a en b AVG Artikel 6 lid 1 onder b AVG Artikel 6 AVG Overweging 39 en 45 AVG"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#risico","title":"Risico","text":"

Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/","title":"Privacy door ontwerp","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenImplementatiePrivacy en gegevensbeschermingData

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden ge\u00efntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie. Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes en AI.

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 25 AVG Toetsingskader Algoritmes Algemene Rekenkamer, 3.06"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#risico","title":"Risico","text":"

Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/","title":"Klachtrecht aanbieders verder in AI-waardeketen","text":"

Monitoring en beheerGovernanceFundamentele rechten

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#vereiste","title":"Vereiste","text":"

Aanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#toelichting","title":"Toelichting","text":"

Aanbieders verder in de AI-waardeketen hebben het recht om een klacht in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening. Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels met betrekking tot AI-modellen voor algemene doeleinden die zij ge\u00efntrigeerd hebben in AI-systemen. Het AI-bureau kan dan passende maatregelen nemen om de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders op te lossen.

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#bronnen","title":"Bronnen","text":"Bron Artikel 89(2) Monitoringmaatregelen- AI verordening"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#risico","title":"Risico","text":"

Gebrek aan klachtrecht verhindert het AI-bureau om tijdig en zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/","title":"Recht op niet geautomatiseerde besluitvorming","text":"

OntwerpOntwikkelenMonitoring en beheerPrivacy en gegevensbescherming

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#vereiste","title":"Vereiste","text":"

Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft.

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#toelichting","title":"Toelichting","text":"

Mensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#bronnen","title":"Bronnen","text":"Bron Artikel 22 Algemene Verordening Gegevensbescherming Artikel 1:3 Algemene wet bestuursrecht"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#risico","title":"Risico","text":"

Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten.

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/","title":"Eenieder heeft recht op toegang tot publieke informatie","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#vereiste","title":"Vereiste","text":"

Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#toelichting","title":"Toelichting","text":"

Bij het ontwikkelen en gebruiken van algoritmes en AI kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. Het kunnen openbaren van publieke informatie is in het belang van een democratische rechtstaat. De Wet open overheid gaat uit van een recht op openbaarheid van publieke informatie. Iedereenkan een verzoek tot openbaarmaking van publieke informatie doen bij een bestuursorgaan zonder daarbij een belang te stellen (artikel 4.1 Woo). De aan een verzoeker verstrekte informatie wordt openbaar voor iedereen. De Woo is niet van toepassing op informatie die al openbaar is (uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 december 2010 (ECLI:NL:RVS:2010:BNS6990) en 20 oktober 2010 (ECLI:NL:RVS:2010:BO1165)). Er kunnen uitsluitingsgronden bestaan voor het openbaarmaken van documenten (artikel 5.1 Woo).

In de context van het ontwikkelen en gebruiken van algoritmes en AI-systemen is het van belang dat tijdig wordt vastgesteld welke documenten in aanmerking komen voor openbaarmaking. Dit moet worden bekeken in het licht van wat 'actief' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op 'verzoek' van iemand moet worden geopenbaard.

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#bronnen","title":"Bronnen","text":"Bron Artikel 1.1, 2.5, 4.1, 5 Woo"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#risico","title":"Risico","text":"

Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden gecontroleerd bij het uitvoeren van wettelijke taken.

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/recht_op_uitleg_AI-besluiten/","title":"Recht op uitleg AI-besluiten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenMonitoring en beheerGovernanceFundamentele rechten

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#vereiste","title":"Vereiste","text":"

Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#toelichting","title":"Toelichting","text":"

Getroffen personen moeten het recht hebben om uitleg te krijgen indien het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening).

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#bronnen","title":"Bronnen","text":"Bron Artikel 86(1) Recht op toelichting bij individuele besluitvorming- AI verordening Artikel 26(11) AI Verordening Bijlage III AI Verordening"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#risico","title":"Risico","text":"

Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, veiligheid of diens grondrechten.

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/","title":"Veilig melden van inbreuk op AI verordening","text":"

OntwerpOntwikkelenMonitoring en beheerGovernanceFundamentele rechten

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#vereiste","title":"Vereiste","text":"

Inbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#toelichting","title":"Toelichting","text":"

Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten worden beschermd uit hoofde van het Unierecht. Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders (\"klokkenluiders\") beschermt tegen represailles of vervolging. Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en draagt bij aan een cultuur van naleving en integriteit.

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#bronnen","title":"Bronnen","text":"Bron Artikel 87 Melding van inbreuken en bescherming van melders- AI verordening"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#risico","title":"Risico","text":"

Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding maken van inbreuk op de AI-verordening. Dit schaadt het rapportagesysteem en heeft negatief effect op het maatschappelijk welzijn.

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/registratieverplichtingen_hoog_risico/","title":"Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico","text":"

OntwikkelenVerificatie en validatieImplementatieGovernanceTransparantie

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#toelichting","title":"Toelichting","text":"

V\u00f3\u00f3r de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van bijlage III, met uitzondering van specifieke gevallen zoals beschreven in punt 2 van bijlage III, is het vereist dat de aanbieder of gemachtigde zichzelf en het systeem registreert in de EU-databank zoals genoemd in art. 71 AI-verordening.

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(i) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 49(1) Registratie - AI verordening"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/registratieverplichtingen_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/","title":"Risicobeoordeling voor jongeren en kwetsbaren","text":"

ProbleemanalyseOntwerpOntwikkelenFundamentele rechtenBias en non discriminatie

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#vereiste","title":"Vereiste","text":"

Bij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#toelichting","title":"Toelichting","text":"

Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen. Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#bronnen","title":"Bronnen","text":"Bron Artikel 9(9) Systeem voor risicobeheer - AI verordening"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#risico","title":"Risico","text":"

Niet adequaat adresseren van risico's voor jongeren en kwetsbare groepen kan leiden tot ernstige ethische en maatschappelijke schade.

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/","title":"Technische documentatie voor hoog-risico AI","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

De technische documentatie van een AI-systeem met een hoog risico wordt opgesteld voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld, en wordt geactualiseerd. De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het AI-systeem met een hoog risico in overeenstemming is met de eisen van Afdeling 2 van de AI-verordening en dat nationale bevoegde autoriteiten en aangemelde instanties over de noodzakelijke, op heldere en begrijpelijke wijze gestelde informatie beschikken om de overeenstemming van het AI-systeem met deze voorschriften te kunnen beoordelen.

"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

De technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen.

De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV:

  1. Een algemene beschrijving van het AI-syseem.
  2. Een gedetailleerde beschrijving van de elementen van het AI-systeem en het proces voor de ontwikkeling ervan.
  3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem.
  4. Een beschrijving van de geschiktheid van de prestatiestatistieken.
  5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening.
  6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht.
  7. Een lijst van normen die worden toegepast.
  8. Een exemplaar van de EU-conformiteitsverklaring.
  9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.
"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 11 Verordening Artifici\u00eble Intelligentie Bijlage IV Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#risico","title":"Risico","text":"

Het ontbreken van de benodigde informatie over de algoritmische toepassing of AI-systeem kan ertoe leiden dat de technische functionering onduidelijk is. Dat kan tot problemen leiden bij de verantwoording, controle en het beheer. Onvolledige of ontoereikende technische documentatie kan leiden tot onduidelijkheid over de conformiteit van het AI-systeem met de regelgeving, wat de veiligheid en naleving in gevaar kan brengen.

"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld."},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat hun systeem toegankelijk is volgens de EU-richtlijnen 2016/2102 en 2019/882. In het kader van Richtlijn 2016/2102 moet onder toegankelijkheid worden verstaan het geheel van principes en technieken die in acht moeten worden genomen bij het ontwerpen, bouwen, beheren en bijwerken van websites en mobiele applicaties om hen voor gebruikers toegankelijker te maken, met name voor personen met een beperking. Bijlage 1 bevat de toegankelijkheidsvoorschriften voor producten en diensten die moeten worden toegepast op hoog-risico AI-systemen.

Richtlijn 2019/882 strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(l) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening EU-richtlijn 2016/2102 Bijlage 1: Toegankelijkheidsvoorschriften voor producten en diensten. EU-richtlijn 2019/882"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/","title":"Toezichtmogelijkheden voor gebruikers","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerMenselijke controle

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#toelichting","title":"Toelichting","text":"

Het menselijk toezicht is gericht op het voorkomen of beperken van de risico\u2019s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico\u2019s blijven bestaan ondanks de toepassing van andere eisen van deze afdeling.

De toezichtmaatregelen staan in verhouding met de risico's, de mate van autonomie en de gebruikscontext van het AI-systeem met een hoog risico. Hierbij kan het gaan om: a) door de aanbieder bepaalde maatregelen die waar technisch haalbaar in het AI-systeem met een hoog risico worden ingebouwd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld; b) door de aanbieder bepaalde maatregelen voordat het AI-systeem met een hoog risico in de handel wordt gebracht of in gebruik wordt gesteld en die passend zijn om door de gebruiksverantwoordelijke te worden uitgevoerd.

De natuurlijke personen die verantwoordelijk zijn voor het menselijk toezicht, moeten in staat worden gesteld om waar passend en in verhouding tot de omstandigheden het volgende te kunnen doen: a) Goed kunnen begrijpen van de relevante capaciteiten en beperkingen van het AI-systeem met een hoog risico. Met het oog op het opsporen en aanpakken van onregelmatigheden, storingen en onverwachte prestaties moet de werking van het AI-systeem goed kunnen worden begrepen; b) Bewust blijven van de mogelijke neiging om automatisch of te veel te vertrouwen op de output van een AI-systeem met hoog risico (automation bias). Dit geldt in het bijzonder voor het gebruik van een hoog risico AI-systeem dat wordt gebruikt om informatie of aanbevelingen te versterkken voor beslisisngen die door natuurlijke personen moeten worden genomen; c) De output juist kunnen interpreteren, bijvoorbeeld met behulp van de juiste instrumenten en methoden voor interpretatie; d) In alle specifieke situaties kunnen besluiten om het hoog risico AI-systeem niet te gebruiken of de output op een andere wijze te negeren, door een andere beslissing te vervangen of terug te draaien; e) ingrijpen in de werking van het hoog risico AI-systeem of het systeem onderbreken door middel van een stopknop of een vergelijkbare procedure waarmee het systeem op een veilige wijze kan worden stopgezet.

In het geval van een hoog risico systeem als bedoeld in bijlage III, punt 1, a (systemen voor biometrische identificatie op afstand) geldt het vereiste dat twee natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie van het systeem verifici\u00ebren en bevestigen, tenzij het wordt gebruikt voor rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht of het nationale recht de toepassing van dit vereiste onevenredig acht.

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#bronnen","title":"Bronnen","text":"Bron Artikel 14 Menselijk toezicht- AI verordening"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#risico","title":"Risico","text":"

Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste of onvoorspelbare uitkomsten.

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/transparantie/","title":"Transparantie in ontwerp voor hoog-risico AI","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie

"},{"location":"vereisten/transparantie/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat de werking ervan voldoende transparant is om gebruiksverantwoordelijken in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken. Een passende soort en mate van transparantie wordt gewaarborgd met het oog op de naleving van de relevante verplichtingen van de aanbieder en de gebruiksverantwoordelijke zoals uiteengezet in afdeling 3 van Artikel 13 van de AI verordening.

"},{"location":"vereisten/transparantie/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.

"},{"location":"vereisten/transparantie/#bronnen","title":"Bronnen","text":"Bron Artikel 13(1) Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/transparantie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/transparantie/#risico","title":"Risico","text":"

Onvoldoende transparantie kan leiden tot een gebrek aan begrip over hoe het AI-systeem functioneert, wat de effectiviteit van de inzet ervan kan belemmeren en de naleving van wettelijke verplichtingen in gevaar kan brengen.

"},{"location":"vereisten/transparantie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie."},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/","title":"Transparantie bij verwerking persoonsgegevens","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerPrivacy en gegevensbeschermingTransparantie

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De verwerking van persoonsgegevens moet transparant zijn.

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes en AI-systemen, zal deze informatie moeten worden verstrekt.

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 AVG Artikel 12, 13 en 14 AVG Overweging 58 AVG"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#risico","title":"Risico","text":"

Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens.

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/","title":"Verantwoordingsplicht voor de rechtmatigheid van de verwerking","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#vereiste","title":"Vereiste","text":"

De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes en AI-systemen kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#toelichting","title":"Toelichting","text":"

Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#bronnen","title":"Bronnen","text":"Bron Artikel 5 AVG Verantwoordingsplicht]"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"

Deze vereiste is van toepassing op alle algoritmen die persoonsgegevens verwerken.

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#risico","title":"Risico","text":"

Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld."},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/","title":"Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernanceFundamentele rechten

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#vereiste","title":"Vereiste","text":"

Het in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft:

  1. de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld;

  2. de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#toelichting","title":"Toelichting","text":"

AI-systemen die door publieke of door private actoren worden gebruikt om een beoordeling van natuurlijke personen (\u201csocial scoring\u201d) uit te voeren, kunnen discriminerende resultaten en de uitsluiting van bepaalde groepen tot gevolg hebben. Deze systemen kunnen een schending inhouden van het recht op waardigheid en nondiscriminatie en van waarden als gelijkheid en rechtvaardigheid. Dergelijke AI-systemen beoordelen of classificeren natuurlijke personen of groepen natuurlijke personen op basis van meerdere datapunten met betrekking tot hun sociale gedrag in meerdere contexten of op basis van bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken gedurende een bepaalde periode. De sociale score die deze AI-systemen opleveren, kan leiden tot een nadelige of ongunstige behandeling van personen of hele groepen personen in sociale contexten die geen verband houden met de context waarin de data oorspronkelijk zijn gegenereerd of verzameld, of tot een nadelige behandeling die onevenredig of ongerechtvaardigd is in verhouding tot de ernst van het sociale gedrag. AI-systemen die onaanvaardbare scoringpraktijken met zich meebrengen en tot dergelijke nadelige of ongunstige resultaten leiden, moeten daarom worden verboden. Dat verbod mag geen afbreuk doen aan wettige praktijken voor de evaluatie van natuurlijke personen die worden verricht voor een specifieke doeleinde in overeenstemming met het Unierecht en het nationale recht.

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 sub c AI Verordening"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#risico","title":"Risico","text":"

Het risico ontstaat dat personen of bepaalde groepen worden gediscrimineerd en uitgesloten, wat een schending kan inhouden van het recht op waardigheid, non-discriminatie en van waarden als gelijkheid en rechtvaardigheid.

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/","title":"Verdere verwerking van persoonsgegevens in AI-testomgevingen","text":"

OntwikkelenDataverkenning en datapreparatiePrivacy en gegevensbeschermingData

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#vereiste","title":"Vereiste","text":"

Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#toelichting","title":"Toelichting","text":"

De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens met passende technische en organisatorische maatregelen, persoonsgegevens die in de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#bronnen","title":"Bronnen","text":"Bron Artikel 57(1) Verdere verwerking van persoonsgegevens voor het ontwikkelen van bepaalde AI-systemen"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#risico","title":"Risico","text":"

Verdere verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk op de privacyrechten van betrokken.

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/","title":"Verplicht risicobeheersysteem voor hoog-risico AI","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

Het systeem voor risicobeheer moet bestaan uit een tijdens de gehele levensduur van een AI-systeem met een hoog risico doorlopend en gepland iteratief proces. Dit proces moet gericht zijn op het vaststellen en beperken van de relevante risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Het systeem voor risicobeheer moet periodiek worden ge\u00ebvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.

Dit proces moet ervoor zorgen dat de aanbieder de risico\u2019s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico\u2019s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. Het systeem voor risicobeheer moet de passendste risicobeheersmaatregelen vaststellen. Bij het vaststellen van de passendste risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes documenteren en toelichten en, in voorkomend geval, deskundigen en externe belanghebbenden betrekken. Bij het vaststellen van het redelijkerwijs te voorzien misbruik van AI-systemen met een hoog risico moet de aanbieder aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 9(1) Systeem voor risicobeheer - AI verordening"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#risico","title":"Risico","text":"

Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenTransparantie

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het algemene systeem. Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie van de modellen in producten als qua naleving van verplichtingen.

Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken in hun product. De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens bijlage XII van de AI-Verordening. Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790).

In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#bronnen","title":"Bronnen","text":"Bron Artikel 53 AI-Verordening"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#risico","title":"Risico","text":"

Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/","title":"Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperken.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#toelichting","title":"Toelichting","text":"

De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico\u2019s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op het identificeren en beperken van die risico\u2019s en op waarborging van een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand model is of ingebed in een AI-systeem of in een product. Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand van de techniek, met specifieke aandacht voor het identificeren en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen in artikel 53 van de AI-verordening.

Systeemrisico betekent: een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid.

Systeemrisico\u2019s nemen logischerwijs toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele levenscyclus van het model en worden be\u00efnvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie ervan. Ook worden ze be\u00efnvloed door de toegang van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategie\u00ebn, en door het potentieel om waarborgen te omzeilen en andere factoren.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#bronnen","title":"Bronnen","text":"Bron Artikel 55 AI-Verordening Overweging 110 AI-Verordening"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#risico","title":"Risico","text":"

Niet voldoen aan deze verplichtingen kan leiden tot negatieve gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/","title":"Verstrekking van informatie op verzoek","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#vereiste","title":"Vereiste","text":"

Op een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een bevoegde autoriteit alle benodigde informatie verstrekken om de conformiteit met de voorschriften van de AI-verordening aan te tonen. Deze informatie moet worden verstrekt in een begrijpelijke offici\u00eble taal van de EU, zoals gekozen door de betrokken lidstaat.

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#bronnen","title":"Bronnen","text":"Bron Artikel 21 Samenwerking met bevoegde autoriteiten- AI verordening"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#risico","title":"Risico","text":"

Weigering om informatie te verstrekken kan leiden tot juridische sancties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/","title":"Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet","text":"

ImplementatieOntwerpGovernance

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#vereiste","title":"Vereiste","text":"

Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#toelichting","title":"Toelichting","text":"

Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#bronnen","title":"Bronnen","text":"Bron Artikel 26(7) AI Verordening"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#risico","title":"Risico","text":"

Als werknemersvertegenwoordigers en werknemers niet worden ge\u00efnformeerd over de inzet van een hoog risico AI-systeem, kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van de inzet van het hoog risico AI-systeem.

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/","title":"Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens","text":"

OntwerpDataverkenning en datapreparatiePrivacy en gegevensbeschermingFundamentele rechten

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#vereiste","title":"Vereiste","text":"

Bijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#toelichting","title":"Toelichting","text":"

Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen.

Bijzondere categorie\u00ebn persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is (art. 9 AVG en art. 30 UAVG). Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes of AI-systemen en stelt daarmee beperkingen aan het mogen verwerken van deze categorie\u00ebn persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output.

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 9 AVG Overweging 51 - 54 AVG Hoofdstuk 22 - 30 UAVG"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#risico","title":"Risico","text":"

Het (onrechtmatige) verwerken van bijzondere categorie\u00ebn persoonsgegevens brengt risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer en discriminatie.

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/zorgvuldigheidsbeginsel/","title":"Relevante feiten en belangen zijn bekend","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#vereiste","title":"Vereiste","text":"

De ontwikkeling en het gebruik van algoritmes en AI-systemen komt zorgvuldig tot stand.

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#toelichting","title":"Toelichting","text":"

Dit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming.

Het doel en eventuele subdoelen van het algoritme of AI-systeem moet helder zijn gedefinieerd, ook in relatie tot het maatschappelijke resultaat (outcome), en wordt gedeeld door de eigenaar, ontwikkelaar en gebruiker van het algoritme. Een bewuste afweging of het algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen is gemaakt en vastgelegd.

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#bronnen","title":"Bronnen","text":"Bron Afdeling 3.2 Algemene wet bestuursrecht Afdeling 3.4 Algemene wet bestuursrecht"},{"location":"vereisten/zorgvuldigheidsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/zorgvuldigheidsbeginsel/#risico","title":"Risico","text":"

De werking van het algoritmes of AI sluit niet of onvoldoende aan bij de juridische en ethische grenzen van de te ondersteunen wettelijke taak. Hierdoor kunnen ongewenste gevolgen ontstaan zoals een onjuist of onzorgvuldig genomen besluit op een aanvraag.

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. MaatregelUitleg"}]} \ No newline at end of file +{"config":{"lang":["nl"],"separator":"[\\s\\-]+","pipeline":["stopWordFilter"]},"docs":[{"location":"","title":"Algoritmekader","text":"Wetten en regels, tips en hulpmiddelen voor verantwoord gebruik van algoritmes en AI. B\u00e8taversie

Deze website is in ontwikkeling. Alle versies ontstaan op een open manier. Iedereen mag opmerkingen of suggesties geven.

Over het Algoritmekader Voldoen aan de wetten en regels Informatie per rol Onderwerpen Woordenlijst

Vind snel de betekenis van begrippen als algoritme, AI-systeem, hoog-risico-AI-systeem en impactvolle algoritmes.

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"governance/","title":"Governance","text":""},{"location":"governance/#leeswijzer","title":"Leeswijzer","text":"

Het onderwerp Governance in het algoritmekader is opgedeeld in twee delen, die in feite twee fases vormen:

Een AI en algoritmegovernance (processen, verantwoordelijken, etc.) ingericht hebben, is een randvoorwaarde om de vereisten die het Algoritmekader noemt verantwoord en gestructureerd aan te pakken. Een AI en algoritmegovernance moet zijn ingericht alvorens te kunnen starten met algoritmes. Kortom: governance is het startpunt.

Aan het einde van ieder subonderwerp binnen het onderwerp governance geven we aandachts- en actiepunten. Daarbij zijn er twee te onderscheiden doelgroepen (invalshoeken) met soms verschillend handelingsperspectief:

  1. Een medewerker CDO/CIO-office met de taak om algoritmegovernance (beter) in te richten. Dit is top-down, bekeken vanuit organisatieperspectief.
  2. Een algoritme-proceseigenaar die wil waarborgen dat de algoritmegovernance aansluit bij de praktijk. Dit is bottom-up, bekeken vanuit het perspectief van het product.
"},{"location":"governance/#wat-is-governance","title":"Wat is governance","text":"

Governance gaat over de inrichting van een organisatie en de daarbij horende processen, regels, gebruiken en bijbehorende verantwoordelijkheden. Dit onderdeel van het Algoritmekader gaat over de governance van AI en algoritmes en systemen waarin deze verwerkt zijn.

Let op!

Governance wordt in verschillende contexten anders gebruikt, daarom spreken van \u201calgoritme en AI governance\u201d. Omdat het Algoritmekdader uitgaat van de brede definitie van een algoritme, hanteren we voor het gemak de term \u201calgoritme-governance\u201d als we het hebben over governance over algoritmes en AI. Dat kan omdat AI-systemen altijd algoritmes zijn, terwijl niet alle algoritmes AI-systemen zijn.

De noodzaak van governance is om grip te hebben (of krijgen) op algoritmes en AI binnen een organisatie en zaken als (onbedoelde) discriminatie te voorkomen. Mede gezien de AI-verordening, die 1 augustus 2024 gefaseerd in werking is getreden, is het van belang dat organisaties zich organiseren om deze wet correct te kunnen uitvoeren. Bewustzijn bij bestuur en organisatie is daarvoor een belangrijk vertrekpunt.

"},{"location":"governance/#verschillende-niveaus-van-governance","title":"Verschillende niveau's van governance","text":"

Algoritme en AI governance bestaat op verschillende niveaus: van (inter)nationaal niveau, naar organisatieniveau naar het niveau van het AI-systeem (zie Figuur hieronder). In het Algoritmekader wordt gefocust op de twee niveaus:

Binnen een organisatie kan algoritme en AI governance niet los worden gezien van de algemene governance, data-governance en IT-governance. Per organisatie zal verschillen in hoeverre dit is ontwikkeld. De omvang van een organisatie is ook een belangrijk aspect. Algoritme en AI governance moet aansluiten bij de strategie, doelstellingen en publieke waarden van een organisatie, waarbij moet worden voldaan aan wettelijke vereisten en ethische principes (M\u00e4ntym\u00e4ki et al., 2022)

In de bijbehorende paragrafen werken we uit welke delen algoritme en AI governance bestaat en hoe dit kan worden toegepast. We geven de hoofdlijnen mee in een \u2018blauwdruk\u2019 afgestemd op o.a. formaat van de organisatie. Let wel: het is altijd een proces om te kijken hoe dit in jouw organisatie in te passen is.

"},{"location":"governance/#governance-in-het-algoritmekader","title":"Governance in het Algoritmekader","text":"

Het onderwerp Governance in het algoritmekader is opgedeeld in twee delen, die in feite twee fases vormen:

Een AI en algoritmegovernance (processen, verantwoordelijken, etc.) ingericht hebben, is een randvoorwaarde om de vereisten die het Algoritmekader noemt verantwoord en gestructureerd aan te pakken. Een AI en algoritmegovernance moet zijn ingericht alvorens te kunnen starten met algoritmes. Kortom: governance is het startpunt.

Aan het einde van ieder subonderwerp binnen het onderwerp governance geven we aandachts- en actiepunten. Daarbij zijn er twee te onderscheiden doelgroepen (invalshoeken) met soms verschillend handelingsperspectief:

  1. Een medewerker CDO/CIO-office met de taak om algoritmegovernance (beter) in te richten. Dit is top-down, bekeken vanuit organisatieperspectief.
  2. Een algoritme-proceseigenaar die wil waarborgen dat de algoritmegovernance aansluit bij de praktijk. Dit is bottom-up, bekeken vanuit het perspectief van het product.
"},{"location":"governance/#huidige-situatie-ai-en-algoritme-governance","title":"Huidige situatie AI en algoritme governance","text":"

Om een goede AI en algoritme governance te realiseren is het van belang eerst de organisatie te kennen. Wat er al is aan governance (processen, rollen, etc.), be\u00efnvloedt hoe AI en algoritme governance daaraan opgehangen kan worden. De eerste fase van het in kaart brengen van de huidige situatie AI en algoritme governance is ingedeeld in:

"},{"location":"governance/#best-practices-en-voorbeelden-van-ai-en-algoritme-governance","title":"Best practices en voorbeelden van AI en algoritme governance","text":"

De tweede fase gaat over het realiseren van een AI en algoritme governance met best practices en voorbeelden van AI en algoritme governance. De volgende onderwerpen komen hier aan de orde:

Voorbeelden bieden in hoofdlijnen een \u2018blauwdruk\u2019 voor hoe algoritmegovernance kan worden ingericht. Belangrijk om te realiseren dat altijd moet worden gekeken hoe dit in de eigen organisatie is in te passen. Het is afhankelijk van onder andere de grootte en inrichting van de organisatie. Waar mogelijk geven we daarom voorbeelden uit een divers scala aan organisaties. De best practices geven handvatten en lessen om ook zelf aan de slag te gaan.

"},{"location":"governance/#wat-algemene-best-practices","title":"Wat algemene best practices","text":""},{"location":"governance/#vereisten","title":"Vereisten","text":""},{"location":"governance/#maatregelen","title":"Maatregelen","text":""},{"location":"governance/governance-realiseren/governance-per-risicogroep/","title":"Governance en risio classificatie","text":"

Er is verschil in de vereisten en maatregelen die nodig zijn afhankelijk van het type risico en impact van algoritmen. Meer risicovolle AI vraagt om meer uitgebreide processen, en dus een meer uitgebreide governance.

De gemeente Rotterdam kiest ervoor om de algoritme en AI governance alleen in te zetten bij hoog-risico (EU?) en AI-toepassingen. Deze risicoclassificatie volgt de AI verordening [bron?? Of is dit juist niet?]. Voor laag-risico toepassingen geldt de standaard governance van de gemeente: de informatiebeveiligings- en privacy governance (Rekenkamer Rotterdam, 2024, p.71). Tabel 1 geeft inzicht in verschillende typen algoritmen en AI-toepassingen.

"},{"location":"governance/governance-realiseren/governance-per-risicogroep/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/governance-per-risicogroep/#bronnen","title":"Bronnen","text":"

Kleur bekennen - vervolgonderzoek algoritmes

"},{"location":"governance/governance-realiseren/governance-structuur/","title":"Governance structuur","text":"

Een mogelijke inrichting van algoritme en AI governance die vaak wordt toegepast is het three lines of defence model: - De eerste linie gaat over eigenaarschap, ontwikkeling, gebruik en risicobeheersing van algoritme en AI toepassingen. - De tweede linie identificeert, beoordeelt en rapporteert over risico\u2019s en het uitgevoerde gebruik algoritmes en AI toepassingen. - De derde verdedigingslinie controleert de werking van de governance en betreft interne advisering en toetsing .

Schuett (2022) presenteert het three lines of defence model als volgt:

Onder andere UWV en de Gemeente Rotterdam hanteren dit model met drie linies. Rekenkamer Rotterdam rapport vat three lines of defence model als volgt samen: \u201ceerste lijn is verantwoordelijk voor het realiseren van doelen. De tweede lijn is, onafhankelijk van de eerste lijn verantwoordelijk voor kaders en adviezen. De derde lijn controleert of de eerste en tweede lijn gezamenlijk doelmatig, doeltreffend en rechtmatig hebben gefunctioneerd.\u201d

Bij de gemeente Rotterdam zijn de drie lijnen ingevuld via de volgende rollen en verantwoordelijkheden: \u201cDe eerste lijn bestaat uit de proceseigenaren en de operationeel verantwoordelijken. Proceseigenaren zijn verantwoordelijk voor de gehele algoritmetoepassing en de operationeel verantwoordelijken voor de ontwikkeling. De tweede lijn is de algoritme expert, die een onafhankelijke toezicht- en adviestaak heeft. De derde lijn wordt volgens de stukken die gaan over de algoritme governance vervuld door Financial audit.\u201d (Rekenkamer Rotterdam, 2024)

De algoritmegovernance van de gemeente Rotterdam bestaat uit de volgende onderdelen: * 1 een visie op de inzet van algoritmes; * 2 instrumentarium voor risicobeheersing dat onder andere bestaat uit een risico-assessment (ARA) en een mensenrechtenassessment (AIMA/IAMA); * 3 een uiteenzetting van rollen en verantwoordelijkheden en; * 4 een omschrijving van de verantwoordelijkheden voor controle en advies. Bron: Rekenkamer Rotterdam, 2024 (Rapport: kleur bekennen)

"},{"location":"governance/governance-realiseren/governance-structuur/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/governance-structuur/#bronnen","title":"Bronnen","text":"

Kleur bekennen - vervolgonderzoek algoritmes

"},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/","title":"Interactie met burgers en omgeving","text":"

Bij het vormgeven van de algoritme en AI governance is het van belang om na te denken over de interactie met burgers en andere belangrijke stakeholder, zowel binnen als buiten de organisatie. Er moet worden nagedacht in welke gevallen dit passend is en welke processen, mechanismen en structuren hierbij kunnen helpen. Bijvoorbeeld het instellen van een centraal contactpunt voor vragen, en de wijze waarop een burger in beroep kan gaan op een besluit.

"},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/#bronnen","title":"Bronnen","text":""},{"location":"governance/governance-realiseren/interactie-burgers-en-omgeving/#voorbeeld","title":"Voorbeeld","text":""},{"location":"governance/governance-realiseren/interactie-met-levenscyclus/","title":"Interactie met de levenscyclus","text":"

Voor effectieve governance van algoritmen en AI-modellen is het essentieel om bij de ontwikkeling en gebruik van algoritmen en AI-modellen i heldere afspraken te hebben over de interactie en informatie-uitwisseling die vereist is om aan de verantwoording te voldoen. Dit moet gebeuren in iedere fase van de levenscyclus, tussen de direct betrokkenen en de stakeholders binnen en buiten de organisatie. Dit vindt plaats via de rollen en verantwoordelijkheden per levenscyclusstap, zie hiervoor de pagina rollen en verantwoordelijkheden.

Het gaat enerzijds om top-down betrokkenheid en verantwoordelijkheid, waarbij wordt gestuurd op de juiste doelstellingen, waarden en principes. Daarnaast worden passende middelen en randvoorwaarden gealloceerd om verantwoorde inzet te waarborgen. Anderzijds gaat het om bottom-up betrokkenheid van de juiste stakeholders binnen de organisatie. Hierbij wordt de benodigde informatie verschaft en worden afwegingen en uitdagingen voorgelegd om de verantwoorde inzet van algoritmen en AI mogelijk te maken.

In elke type levenscyclus vind je een ontwerpfase, een ontwikkelfase en een deployfase (in gebruik nemen).

Veel organisaties hebben al een levenscyclus voor AI-ontwikkeling. AI-governance kan hierop aansluiten door 'gates' of controlepunten in te voeren tussen de verschillende stappen in de levenscyclus waar bepaalde processen worden uitgevoerd door verantwoordelijken, zoals het aanleveren van documenten, het uitvoeren van controles en het maken van afwegingen.

Het BZK AI-validatieteam ontwikkelt de Algorithm Management Toolkit 1 om deze processen te faciliteren en te loggen. Houd er rekening mee dat de 'gates' niet altijd hetzelfde hoeven te zijn tussen verschillende projecten. Zo vereist een algoritme met een hoog-risicoclassificatie andere governance dan minder impactvolle algoritmes. Eveneens vraagt het inkoopproces van een off-the-shelf AI-systeem of SaaS om andere procedures dan de inkoop van software die nog verder ontwikkeld wordt.

Hieronder volgen twee voorbeelden van hoe governance effectief kan worden ge\u00efntegreerd in de levenscyclus van algoritmen en AI-modellen:

"},{"location":"governance/governance-realiseren/interactie-met-levenscyclus/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/interactie-met-levenscyclus/#bronnen","title":"Bronnen","text":"
  1. Algorithm Management Toolkit van het BZK AI-validatieteam is beschikbaar op Github (broncode)\u00a0\u21a9

  2. Hulpmiddel handelingsruimte waardevolle AI in de zorg (presentatie)(samenvatting) is beschikbaar via de NL AI Coalitie en Data voor gezondheid \u21a9

  3. UWV Beleidsdocument model risico management, Modellevenscyclus (blz 21), 29 september 2021\u00a0\u21a9

"},{"location":"governance/governance-realiseren/rollen-en-verantwoordelijkheden/","title":"Rollen en verantwoordelijkheden","text":"

Binnen het vormgeven van effectieve en efficiente governance van algoritmen/AI zijn het beleggen van expliciete rollen en verantwoordelijkheden cruciaal. Het beleggen van deze rollen zorgt voor een actiegerichte structuur waarin zo weinig mogelijk verwarring/onduidelijkheid bestaat over wie wanneer aan zet is. Informatie-uitwisseling en besluitvorming tussen deze rollen zal effectief plaatsvinden.

Het three lines of defence model dat zowel de gemeente Rotterdam als het UWV hanteert biedt hiervoor handvatten. De essentie van dit model is het scheiden van drie niveau\u2019s in verantwoordelijkheden om effectieve governance mogelijk te maken. Daarnaast wordt in veel governance structuren een RACI model opgesteld om rollen en verantwoordelijkheden expliciet te maken. RACI is de afkorting voor Responsible (Verantwoordelijk \u2013 uitvoerder van de taak), Accountable (Aanspreekbaar \u2013 eigenaar van de taak), Consulted (Geconsulteerd) en Informed (Ge\u00efnformeerd). De gemeente Rotterdam heeft de interactie tussen rollen/verantwoordelijkheden van algoritme/AI governance en de volledige datamanagement structuur in een RACI model vormgegeven:

Binnen het Algoritmekader is idealiter ook een RACI model opgenomen die voor alle vereisten/maatregelen in elke fase van de levenscyclus expliciet maakt waar welke rol ligt: Schets hoe dit eruit zou kunnen zien op volgende pagina

"},{"location":"governance/governance-realiseren/rollen-en-verantwoordelijkheden/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/governance-realiseren/rollen-en-verantwoordelijkheden/#bronnen","title":"Bronnen","text":""},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/","title":"Politiek-bestuurlijke verantwoordelijkheden","text":""},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/#belang-bestuurlijke-en-politiek-verantwoordelijkheid","title":"Belang bestuurlijke en politiek verantwoordelijkheid","text":"

Voor een passende algoritme en AI governance is politiek-bestuurlijk bewustzijn, betrokkenheid en verantwoordelijkheid essentieel. De kernvraag voor publieke organisaties bij de inzet van algoritmen en AI is altijd: Hoe wegen we (als publieke organisatie of samenleving) de voordelen en nadelen van de inzet van algoritmen en AI?

Dit is per definitie een kwalitatieve en politieke vraag. Dit gaat niet alleen over direct opbrengsten maar ook over lange termijn en indirecte effecten, de mate waarin de inzet van technologie bijdraagt aan de legitimiteit van publieke organisatie en hoe burgers met deze technologie worden bejegend.

Een van de belangrijkste hoofdconclusies van het rapport \u201cKleur Bekennen\u201d van de gemeente Rotterdam, opgesteld door de Algemene Rekenkamer, onderstreept het belang van actief bestuur binnen algoritme en AI governance:

\"Het ontbreekt aan een politiek-bestuurlijk kader dat duidelijk maakt welke normen en principes leidend zijn bij de ontwikkeling en het gebruik van algoritmes. Dit heeft als effect dat belangrijke besluit over bijvoorbeeld wenselijkheid, haalbaarheid, transparantie en bias bij de ambtelijke organistie komen te liggen. Deze besluiten vragen echt om een politieke afweging\".

Een politiek-bestuurlijk kader is dus noodzakelijk om het voorgaande te bewerkstelligen. Hier tref je enkele voorbeelden aan.

"},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/huidige-situatie/politiek-bestuurlijke-verantwoordelijkheden/#bronnen","title":"Bronnen","text":"

Kleur bekennen - vervolgonderzoek algoritmes

"},{"location":"governance/huidige-situatie/samenhang-governancestructuren/","title":"Samenhang tussen verschillende governance structuren","text":"

Bij vormgeving algoritme en AI governance van een organisatie is het van belang om aansluiting en samenhang te bewerkstelligen met huidige governance structuren binnen de organisatie, zoals IT, data, informatiebeveiliging en privacy governance structuren.

Er zijn diverse normen en standaarden over IT in brede zin of specifiek over AI en algoritmes die mogelijk al vorm geven aan hoe de organisatie is ingericht, of gebruikt kunnen worden deze in te richten. Zo is er de ISO/IEC 42001:2023 (helaas zijn ISO-normen niet vrij beschikbaar).

Van belang is dat de governance van AI en algortimes niet los komt te staan van (de governance van) aanverwante vraagstukken zoals privacy en data omdat informatie en communicatie over deze thema's nodig is voor goede AI-governance. Bij het hoofdstuk rollen en verantwoordelijkheden zie je voorbeelden van hoe verantwoordelijkheden die aan deze thema's raken ingericht kunnen worden.

"},{"location":"governance/huidige-situatie/samenhang-governancestructuren/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten","text":""},{"location":"governance/huidige-situatie/samenhang-governancestructuren/#bronnen","title":"Bronnen","text":""},{"location":"governance/huidige-situatie/volwassenheidsniveau/","title":"Volwassenheidsniveau","text":"

Om tot een passende AI-governance voor een organisatie te komen, moet eerst worden vastgesteld wat op dit moment al is ingericht op het gebied van AI en algoritmes. Dit wordt het bepalen van het zogenaamde 'volwassenheidsniveau' genoemd. Op basis hiervan kunnen vervolgstappen worden gedefinieerd waar een organisatie aan kan gaan werken om zich naar de volgende niveaus voor AI en algoritme governance door te ontwikkelen.

Er zijn verschillende volwassenheidsmodellen hiervoor te gebruiken. Enkele voorbeelden zijn hieronder beschreven. Deze modellen richten zich niet altijd expliciet op AI en algoritme governance, maar kijken naar AI en/of algoritmes in de organisatie in brede zin of naar \u201cAI-ethics\u201d. Governance is echter altijd een onderdeel van deze volwassenheidsmodellen.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#voorbeelden-van-volwassenheidsmodellen","title":"Voorbeelden van volwassenheidsmodellen","text":""},{"location":"governance/huidige-situatie/volwassenheidsniveau/#ai-ethics-maturity-model-van-krijger-thuis-de-ruiter-ligthart-broekman-2023","title":"AI ethics maturity model van Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023).","text":"

Op basis van zes categorie\u00ebn (awareness & culture, Policy, Governance, Communication & Training, Development Proces, en Tooling) op verschillende niveau\u2019s.

Bron: uit Krijger, Thuis, de Ruiter, Ligthart & Broekman (2023) (Krijger, J., Thuis, T., de Ruiter, M. et al. The AI ethics maturity model: a holistic approach to advancing ethical data science in organizations. AI Ethics 3, 355\u2013367 (2023).

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#het-datavolwassenheidsmodel-van-de-ibds","title":"Het Datavolwassenheidsmodel van de IBDS","text":"

Richt zich op datavolwassenheid, maar heeft daarin veel raakvlakken met AI waar voor data een belangrijk component is. Heeft een eigen beslishulp datavolwassenheid maar ook een meetgids met verschillende methoden.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#flexible-maturity-model-for-ai-governance-based-on-the-nist-ai-risk-management-framework-van-de-ieee-usa","title":"Flexible Maturity Model for AI Governance Based on the NIST AI Risk Management Framework van de IEEE-USA.","text":"

De NIST is een zeer veel gebruikte standaard voor cybersecurity (onlangs ge\u00fcpdatet en nu soms NIS2 of NIST2 genoemd). Dit model bekijkt AI governance volwassenheid aan de hand van categorie\u00ebn uit de NIST.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#responsible-ai-maturity-model-van-microsoft-research","title":"Responsible AI Maturity Model van Microsoft Research","text":"

Dit model (link) is onderverdeeld in drie onderdelen (organisational foundation, team approach, en RAI practice) waarvan organisational foundation ingaat op AI Governance.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#innovatie-en-volwassenheid","title":"Innovatie en volwassenheid","text":"

Inzet van AI kan vaak worden gezien als innovatie. Hoe kunnen innovatieve idee\u00ebn worden ondersteund door AI en hoe kan AI worden gebruikt om nieuwe innovatieve toepassingen te vinden? Ook voor innovatie bestaan er volwassenheidsmodellen. Een voorbeeld van een volwassenheidsmodel voor innovatie is de Innovatie Maturity Scan van Innoveren met Impact.

Om zowel op AI als op innovatie te verbeteren, kunnen volwassenheidsmodellen voor AI en voor innovatie worden ge\u00efntegreerd. Om dat te doen is het goed om te kijken naar de overlap en de verschillen tussen de twee modellen. Vul het ene model aan met de nog ontbrekende elementen uit het andere model. Bepaal het huidige niveau van de organisatie op beide modellen. Vergelijk voor beide modellen het huidige niveau met het gewenste niveau en ontwikkel een roadmap om de doelen te bereiken.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#verdere-stappen","title":"Verdere stappen","text":"

Nadat een volwassenheidsniveau van de AI-governance is vastgesteld kunnen hier concrete taken aan worden verbonden. Het realiseren van AI-governance vraagt zeer waarschijnlijk om een organisatieverandering. Het is aan te raden om verantwoordelijkheid te beleggen voor het realiseren van AI-governance. Dit is mogelijk te koppelen aan de implementatie van de AI-verordening binnen de organisatie. Bewustzijn over de noodzaak voor AI-governance moet op bestuurlijk niveau helder zijn. Een analyse van volwassenheidsniveau kan helpen input te geven waar eerst op te richten.

"},{"location":"governance/huidige-situatie/volwassenheidsniveau/#aandachts-en-actiepunten","title":"Aandachts- en actiepunten:","text":""},{"location":"instrumenten/","title":"Instrumenten","text":"

Overzicht van aanbevolen instrumenten voor het verantwoord ontwikkelen, gebruiken, beoordelen en monitoren van algoritmes en AI-systemen.

"},{"location":"instrumenten/#richtlijnen-en-andere-hulpmiddelen","title":"Richtlijnen en andere hulpmiddelen","text":"

Met instrumenten bedoelen we hulpmiddelen voor verantwoord en effectief gebruik van algoritmes en AI-systemen, zoals:

Deze instrumenten helpen je bij het op een rij zetten, beoordelen en verbeteren van de kenmerken, prestaties, effecten en risico\u2019s van algoritmes en AI.

"},{"location":"instrumenten/#hoe-we-instrumenten-selecteren","title":"Hoe we instrumenten selecteren","text":"

Instrumenten die we aanbevelen, zijn:

Staat een instrument niet in onze selectie, dan kan het nog steeds een goed instrument zijn voor jouw organisatie. Er zijn dus meer instrumenten mogelijk. We maken een selectie om 2 redenen:

"},{"location":"instrumenten/#sommige-instrumenten-zijn-verplicht","title":"Sommige instrumenten zijn verplicht","text":"

Als een instrument verplicht is, staat dit er duidelijk bij. Een verplicht hulpmiddel is bijvoorbeeld de Data protection impact assessment (DPIA).

De meeste instrumenten zijn niet verplicht. Bepaal zelf of je er gebruik van maakt.

"},{"location":"instrumenten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"instrumenten/DPIA/","title":"Data Protection Impact Assessment","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieEthicusJuristPrivacy officerPrivacy en gegevensbescherming

Direct naar de DPIA

"},{"location":"instrumenten/DPIA/#instrument","title":"Instrument","text":"

Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:

De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:

Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden ge\u00ebvalueerd.

"},{"location":"instrumenten/DPIA/#relevantie","title":"Relevantie","text":"

Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.

"},{"location":"instrumenten/DPIA/#auteur","title":"Auteur","text":"

De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.

"},{"location":"instrumenten/DPIA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitlegBeperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenTransparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan."},{"location":"instrumenten/IAMA/","title":"Impact Assessment Mensenrechten en Algoritmes","text":"

ProbleemanalyseOntwerpVerificatie en validatieImplementatieProjectleiderAanbiederData engineerData scientistEthicusGemandateerd verantwoordelijkeJuristPrivacy officerProceseigenaarSecurity officerFundamentele rechtenTransparantie

Direct naar het IAMA

"},{"location":"instrumenten/IAMA/#instrument","title":"Instrument","text":"

Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen. Het IAMA stelt een reeks vragen die moeten worden besproken en beantwoord om een zorgvuldige afweging van de inzet van algoritmen te waarborgen. Dit proces is onderverdeeld in drie fasen: voorbereiding, input en throughput, en output en toezicht, waarbij steeds aandacht wordt besteed aan het vierde onderdeel van het IAMA: de impact op mensenrechten. Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA). Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico\u2019s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.

"},{"location":"instrumenten/IAMA/#relevantie","title":"Relevantie","text":"

Het IAMA kan op dit moment op veel politieke en internationale belangstelling rekenen. In zowel de Eerste als Tweede Kamer zijn hierover moties ingediend en vragen gesteld. Daarbij is het IAMA een van de weinige instrumenten in de EU die een interdisciplinaire discussie rondom (de ontwikkeling, inzet en monitoring van) algoritmes, AI en grondrechten initieert en bevordert.

"},{"location":"instrumenten/IAMA/#auteur","title":"Auteur","text":"

Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Sch\u00e4fer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.

"},{"location":"instrumenten/IAMA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitlegBeoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI."},{"location":"instrumenten/IAMA/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes"},{"location":"instrumenten/IAMA/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"instrumenten/algoritmeregister/","title":"Algoritmeregister","text":"

Monitoring en beheerProjectleiderGemandateerd verantwoordelijkePrivacy officerProceseigenaarInformatiebeheerderTransparantie

Direct naar het Algoritmeregister

"},{"location":"instrumenten/algoritmeregister/#instrument","title":"Instrument","text":"

De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Het Algoritmeregister helpt hierbij. Wanneer overheidsorganisaties open zijn over algoritmes en hun toepassing, kunnen burgers, organisaties en media de overheid kritisch volgen.

Je kunt hier meer lezen over de doelen van het Algoritmeregister.

"},{"location":"instrumenten/algoritmeregister/#relevantie","title":"Relevantie","text":"

In de Handreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan. Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.

"},{"location":"instrumenten/algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen."},{"location":"instrumenten/algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmeregister"},{"location":"instrumenten/algoritmeregister/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"instrumenten/modelcontractbepalingen/","title":"Modelcontractbepalingen","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieVerificatie en validatieAanbestedingsjuristBehoeftestellerContractbeheerderInkoopadviseurProjectleiderPublieke inkoop

"},{"location":"instrumenten/modelcontractbepalingen/#instrument","title":"Instrument","text":"

Modelbepalingen kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen. Deze bepalingen (of voorwaarden) kunnen opgenomen worden wanneer er een contract wordt afgesloten met een leverancier van een algoritme of algoritmisch systeem. Er kunnen dan bijvoorbeeld beperkingen gelden om onaanvaardbare risico's van AI te vermijden, of bepaalde voorwaarden gesteld worden waaraan een algoritme juist moet voldoen. Ook kunnen bepaalde voorwaarden worden opgenomen op basis van de vereisten in het Algoritmekader.

"},{"location":"instrumenten/modelcontractbepalingen/#europese-commissie","title":"Europese Commissie","text":"

De Europese contractvoorwaarden voor AI bieden aanbestedende organisaties de mogelijkheid om specifieke clausules op te nemen in de overeenkomst. Op deze manier worden afspraken gemaakt over onderwerpen die in lijn zijn met de aankomende AI-Act. Er zijn 2 versies van de AI-inkoopvoorwaarden opgesteld: een set voorwaarden voor AI-toepassingen met een hoog-risicoprofiel en een set voorwaarden voor AI-toepassingen met een laag-risicoprofiel.

"},{"location":"instrumenten/modelcontractbepalingen/#gemeente-amsterdam","title":"Gemeente Amsterdam","text":"

De Europese contractvoorwaarden voor AI zijn gebaseerd op onder andere de modelbepalingen die de Gemeente Amsterdam al eerder opstelde. Deze dienen als voorbeeld voor andere gemeenten die algoritmische toepassingen willen inkopen.

"},{"location":"instrumenten/modelcontractbepalingen/#ai-module-bij-arbit-2022","title":"AI-module bij ARBIT-2022","text":"

De AI-module bij de ARBIT is gebaseerd op het gepubliceerd model van de Europese Commissie dat hierboven beschreven wordt. Via een verwijzing in de gebruikte modelovereenkomst kan de AI-module onderdeel gaan uitmaken van een onder de ARBIT te sluiten overeenkomst.

De ARBIT zijn de Algemene Rijksinkoopvoorwaarden bij IT\u2011overeenkomsten (ARBIT) en zijn bedoeld voor kleine en middelgrote IT-inkopen door de overheid. Lees meer hierover op de website van PIANOo.

"},{"location":"instrumenten/modelcontractbepalingen/#relevantie","title":"Relevantie","text":"

Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.

"},{"location":"instrumenten/modelcontractbepalingen/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"VereisteUitleg"},{"location":"instrumenten/modelcontractbepalingen/#bronnen","title":"Bronnen","text":"Bron Modelbepalingen voor gemeenten voor verantwoord gebruik van Algoritmische toepassingen Contractvoorwaarden voor het inkopen van artifici\u00eble intelligentie (AI) AI-module bij de modelovereenkomst ARBIT-2022"},{"location":"instrumenten/modelcontractbepalingen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld van het gebruik van modelbepalingen of contractvoorwaarden op het gebied van algoritmen? Laat het ons weten!

"},{"location":"levenscyclus/","title":"Levenscyclus algoritmes en AI","text":"

Bij verantwoord gebruik van algoritmes en AI voldoe je tijdens elke fase van de levenscyclus aan de vereisten. Van het ontwikkelen van een oplossing, tot het in gebruik nemen van die oplossing en er uiteindelijk weer mee stoppen. De levenscyclus helpt je om te bepalen in welke fase jouw product zit en welke beslissingen hierbij horen.

"},{"location":"levenscyclus/#fases-van-de-levenscyclus","title":"Fases van de levenscyclus","text":"
  1. Probleemanalyse
  2. Ontwerpen
  3. Dataverkenning en datapreparatie
  4. Ontwikkelen
  5. Verficatie en validatie
  6. Implementeren
  7. Monitoring en beheer
  8. Uitfaseren

Tip

In de praktijk herhaal je soms fases of ga je terug naar een eerdere fase. Mislukt bijvoorbeeld het valideren (fase 5), dan moet je terug naar de ontwerpfase (fase 2) omdat het product nog niet voldoet aan de wensen of vereisten.

"},{"location":"levenscyclus/#andere-levenscyclusmodellen","title":"Andere levenscyclusmodellen","text":"

De 8 fasen van de levenscyclus zijn gebaseerd op 10 belangrijke levenscyclusmodellen voor het ontwikkelen van AI, zoals:

Deze 8 fasen passen zo goed mogelijk bij de manier van werken van overheden. Het is geen verplicht model. Mogelijk past een ander levenscyclusmodel beter bij jouw organisatie.

"},{"location":"levenscyclus/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"levenscyclus/archiveren/","title":"Archiveren","text":"

Wanneer het algoritme of AI-model niet langer nodig is of wordt vervangen door een verbeterde versie, wordt het gearchiveerd. Dit omvat het behouden van documentatie en eventuele relevante artefacten.

"},{"location":"levenscyclus/archiveren/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"levenscyclus/archiveren/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/","title":"Dataverkenning en datapreparatie","text":"

In deze fase worden relevante datasets ge\u00efdentificeerd en wanneer nodig wordt nieuwe data verzameld. In deze fase zal ook de ontwikkelomgeving (verder) worden ingericht indien nodig. Het is van belang dat voorafgaand aan verzameling is vastgesteld dat de benodigde data mag worden verwerkt en dat de juiste maatregelen worden getroffen, zodra de data kan worden verwerkt. Denk hierbij aan het anonimiseren, pseudonimiseren of aggregeren van persoonsgegevens. De data zullen vervolgens worden opgeschoond, geanalyseerd en voorbereid voor verdere verwerking.

Het is van belang dat dataverzameling op de juiste manier gebeurt, en dat datasets die gebruikt gaan worden van goede kwaliteit zijn. In deze fase is het van belang om de datakwaliteit en eventuele bias in de dataset te onderzoeken. Indien er risico's optreden door bijvoorbeeld missende data of niet representatieve data, is het belangrijk om te kijken wat voor effecten dit heeft op het oorspronkelijke ontwerp van het algoritme of AI-systeem. Dit kan betekenen dat nieuwe keuzes moeten worden gemaakt in het ontwerp en eventueel eerste deze fase van ontwerp (deels) opnieuw moet worden doorlopen.

Met voorgaande handelingen wordt het fundament gelegd om het algoritme of AI-systeem te kunnen ontwikkelen. In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen. Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme of AI-systeem.

"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenEenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/implementatie/","title":"Implementatie","text":"

In deze fase wordt het algoritme of AI-systeem in de praktijk gebracht en duurzaam ge\u00efntegreerd in het bedrijfsproces. In de praktijk worden veelal eerst een pilot uitgevoerd voor een afgebakende periode of over een beperkt aan zaken. In deze situatie, een pilot, wordt tijdelijk productiedata verwerkt. Dit vraagt om een goede samenwerking tussen het ontwikkelteam en de gebruikers van het algoritme of AI-systeem. Niet alleen de prestaties van het algoritme of AI-systeem worden nogmaals gevalideerd, maar bijvoorbeeld ook of de output zodanig wordt gepresenteerd dat gebruikers hiermee kunnen werken. Na deze pilot wordt onderzocht in hoeverre het algoritme of AI-systeem presteert conform wens en verwachting. Er kan worden gekozen om het algoritme eerst nog door te ontwikkelen op basis van de bevindingen, uit te faseren of om de oplossing structureel onderdeel te maken van de bedrijfsvoering door het te implementeren.

Als een besluit wordt genomen om de oplossing te implementeren, dan is het van belang dat gebruikers goed begrijpen hoe de resultaten van het algoritme of AI-systeem moeten worden ge\u00efnterpreteerd, dat de rest-risico's bekend zijn, de verantwoordelijkheden belegd zijn en dat er duidelijke werkinstructies zijn over het gebruik van het algoritme of AI-systeem. Service- en incidentmanagement moet volledig worden geoperationaliseerd, zodat gebruikers kunnen worden geholpen bij vragen of incidenten. Een kenmerkend element van deze fase is dat vanaf nu betrokkenen onderhevig zijn aan de werking van het algoritme of AI-systeem. Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme of AI-systeem tot stand. Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is ge\u00efmplementeerd.

"},{"location":"levenscyclus/implementatie/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenEenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetVoordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/implementatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Aselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectieMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Configuratie met de mensZorg voor complementariteit tussen algoritmische systeem en de mensen die ermee moeten werken.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/monitoren/","title":"Monitoren","text":"

Het algoritme of AI-model wordt voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht. Eventuele afwijkingen of verslechtering van prestaties worden ge\u00efdentificeerd en aangepakt.

"},{"location":"levenscyclus/monitoren/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"levenscyclus/monitoren/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/monitoring-en-beheer/","title":"Monitoring en beheer","text":"

Het algoritme of AI-systeem wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme of AI-systeem wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme of AI-systeem.

Het is van belang dat beheer wordt uitgevoerd over het algoritme of AI-systeem, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme of AI-systeem niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.

"},{"location":"levenscyclus/monitoring-en-beheer/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningMelden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Klachtrecht aanbieders verder in AI-waardeketenAanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.Recht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/monitoring-en-beheer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectieMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/ontwerp/","title":"Ontwerp","text":"

In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht. Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.

Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme of AI-systeem. Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.

Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.

Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme of AI-systeem. Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk ge\u00ebvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme of AI-systeem voldoet aan bijvoorbeeld het vereiste van non-discriminatie.

Nadat een besluit is genomen over het definitieve ontwerp van het algoritme of AI-systeem, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.

"},{"location":"levenscyclus/ontwerp/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetVoordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/ontwerp/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/ontwikkelen/","title":"Ontwikkelen","text":"

Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam. Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.

Het algoritme of AI-systeem technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme of AI-systeem functioneert) van een machine learning model of algoritme. Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme of AI-systeem op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.

In deze fase is niet alleen het ontwikkelen van een algoritme of AI-systeem, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.

"},{"location":"levenscyclus/ontwikkelen/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensPrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/ontwikkelen/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/probleemanalyse/","title":"Probleemanalyse","text":"

In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven. Er wordt bijvoorbeeld onderzocht welke publieke taak moet worden ondersteund en welke publieke waarden daarbij moeten worden beschermd of juist gerealiseerd. In deze fase wordt onderzocht of het ontwikkelen van een algoritme of AI-systeem een geschikt middel is om het doel te realiseren en het probleem op te lossen. Dat hangt van verschillende zaken af. Hierbij kan worden gedacht aan de middelen (capaciteit en financi\u00eble middelen) die nodig zijn om algoritmen en AI op een verantwoorde wijze te ontwikkelen, de complexiteit van de oplossing, het in beeld brengen van de verwachte risico's (hoog over), een eerste beeld krijgen bij wat voor data nodig zijn en het in kaart brengen en beleggen van de verschillende verantwoordelijkheden. Daarnaast is het van belang om het beleid met betrekking tot de inzet van algoritme en AI van een organisatie te raadplegen.

Er zal een conclusie moeten volgen of de ontwikkeling van een algoritme of AI-systeem passend is. Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme of een AI-systeem te ontwikkelen. Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.

"},{"location":"levenscyclus/probleemanalyse/#vereisten","title":"Vereisten","text":"VereisteUitlegProportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/probleemanalyse/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/uitfaseren/","title":"Uitfaseren","text":"

Als wordt besloten dat het algoritme of AI-systeem niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd. Hiermee wordt ervoor gezocht dat later kan worden gereconstrueerd hoe het algoritme of AI-systeem heeft gefunctioneerd en dat gebruikers er geen gebruik meer van kunnen maken.

Archiveren betekent dat documentatie en eventuele relevante artefacten (zoals logbestanden en de parameters van het model) worden bewaard voor een bepaalde periode. Het gaat daarbij ook om informatie over het algoritme of AI-systeem, bijvoorbeeld het besluit en onderbouwing waarom het niet meer wordt gebruikt en waarom het in het verleden wel gebruikt werd. Archiveren is niet enkel relevant aan het einde van de levenscyclus, maar is ook gedurende het gebruik van het algoritme of AI-systeem van belang. Er moet tijdig worden vastgesteld welke versies van een model moeten worden gearchiveerd, bijvoorbeeld al tijdens de ontwerpfase.

Bij AI-systemen is er in praktijk vaak sprake van hertrainen op nieuwe data, wat het model anders maakt en andere voorspellingen kan doen geven. Ook meer eenvoudige algoritmes kunnen gedurende de tijd veranderen en andere voorspellingen geven, bijvoorbeeld door veranderende data of veranderende rekenregels. Er moet worden vastgesteld welke versies van een model moet gearchiveerd.

Bij uitfaseren wordt het algoritme of AI-systeem verwijderd uit de productieomgeving en, na archivering, wordt de trainingsdata uit de ontwikkelomgeving verwijderd. Het algoritme is hiermee niet meer te gebruiken door gebruikers. Gebruikers moeten hier vooraf over worden ge\u00efnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen ge\u00efnformeerd over het be\u00ebindigen van het gebruik.

"},{"location":"levenscyclus/uitfaseren/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/uitfaseren/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"levenscyclus/verificatie-en-validatie/","title":"Verificatie en validatie","text":"

Bij de verificatie en validatie van het algoritme of AI-systeem dient bepaald te worden of het algoritme of AI-systeem gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen. Hiervoor moeten technische, maar ook organisatorische maatregelen worden getroffen.

Bij verificatie kan worden gedacht aan het (laten) controleren of het algoritme of AI-systeem voldoet aan de (technische) specificaties, bijvoorbeeld door een interne of externe audit of in de toekomst een conformiteitsbeoordeling voor hoog risico AI-systemen. Hiermee kan (onafhankelijk) worden vastgesteld of het systeem voldoet aan de vereisten die organisaties daaraan stellen. Op basis van bevindingen uit een audit of conformiteitsbeoordeling, is het denkbaar dat het ontwikkelteam nog bepaalde maatregelen moet treffen om te voldoen aan de specificaties.

Bij het valideren van een algoritme of AI-systeem moet worden bepaald of het goed genoeg presteert en of het geschikt is voor het beoogde doel van het systeem. Wanneer het een AI-systeem betreft, is het belangrijk dat dit gevalideerd wordt op nieuwe, niet eerder geziene data. Het valideren betreft het iteratief evalueren van de nauwkeurigheid en prestaties van het systeem. Daarnaast is het ook belangrijk om te valideren of het algoritme gelijke prestaties toont voor verschillende groepen en om te testen hoe het algoritme presteert in uitzonderlijke gevallen. Het is net als in de ontwerpfase belangrijk dat een multidisciplinair team beoordeelt of de werking passend en bijvoorbeeld non-discriminatoir is. In het geval van impactvolle algoritmen of hoog risico AI-systemen, is het raadzaam om een onafhankelijke commissie of partij te betrekken die een advies geeft over de werking van het algoritme of AI-systeem.

In praktijk zal vaak na validatie weer worden teruggegaan naar de ontwikkelfase om prestaties van het model te verbeteren voorafgaand aan implementatie van de oplossing. Het is ook denkbaar dat het algoritme of AI-systeem onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt be\u00ebindigd. Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.

"},{"location":"levenscyclus/verificatie-en-validatie/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldDocumentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"levenscyclus/verificatie-en-validatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterRestrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"maatregelen/","title":"Maatregelen","text":"

Overzicht van aanbevolen maatregelen voor verantwoord gebruik van algoritmes en AI-systemen. Het zijn adviezen om te voldoen aan de vereisten voor overheden. Andere maatregelen zijn ook mogelijk.

"},{"location":"maatregelen/#alle-maatregelen-zijn-adviezen","title":"Alle maatregelen zijn adviezen","text":"

De maatregelen zijn niet verplicht. Het zijn adviezen uit:

"},{"location":"maatregelen/#voorbeeld","title":"Voorbeeld","text":"

Onderzoek het ontwikkelde algoritme op onbewuste vooringenomenheid (discriminatie) door middel van een bias-analyse.

Deze maatregel helpt om te voldoen aan de vereiste om niet te discrimineren. Maar deze maatregel is niet verplicht. Je organisatie mag ook eigen maatregelen nemen. Zolang je uiteindelijk maar voldoet aan de vereiste.

Tip

Aantal maatregelen verschilt per situatie

Welke maatregelen handig zijn in jouw situatie, hangt af van:

Tip

Met \u00e9\u00e9n maatregel voldoe je soms aan meerdere vereisten.

"},{"location":"maatregelen/#overzicht-maatregelen","title":"Overzicht maatregelen","text":""},{"location":"maatregelen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/","title":"Aansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding","text":"

ProbleemanalyseImplementatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#maatregel","title":"Maatregel","text":"

Maak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#toelichting","title":"Toelichting","text":"

Eindgebruikers kunnen er niet altijd op vertrouwen, en ook niet (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme of AI-systeem laten genereren, inbreuk maakt op rechten van derden. Hoe groot de kans is dat zij vanwege het gebruik van gegenereerde output aansprakelijk worden gesteld, is in het verlengde daarvan evenmin vast te stellen. Er zijn wel voorbeelden waarbij gebruikers voor een eventuele inbreuk aansprakelijk kunnen worden gesteld.

Op dit moment zijn ons (nog) geen gevallen of rechtszaken bekend waarin eindgebruikers (of hun werkgevers) aansprakelijk werden gesteld voor een inbreuk op het intellectuele-eigendomsrecht vanwege het gebruik van op basis van algoritme of AI gegenereerde inhoud. Feit is echter wel dat een dergelijke aansprakelijkstelling in voorkomende gevallen dus mogelijk zullen zijn, te meer nu de aanbieders van algoritmen en AI in hun algemene voorwaarden het risico voor aansprakelijkheid (waaronder vanwege inbreuken op intellectuele eigendom) volledig of grotendeels uitsluiten, of zelfs verlangen dat gebruikers hen vrijwaren voor de gevolgen van eventuele aansprakelijkstellingen.

Maak een beoordeling in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend worden geacht gezien de toepassing. Maak een jurist onderdeel van de beoordeling hiervan.

"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/","title":"Archiveren beperkingen openbaarheid","text":"

OntwerpOntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeJuristGovernance

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#maatregel","title":"Maatregel","text":"

Stel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#toelichting","title":"Toelichting","text":"

Er zijn gevallen waarbij het openbaren van archiefbescheiden is uitgesloten. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Stem in het begin van het proces (pro-actief) met de opdrachtgever af wat de wenselijkheid is t.a.v. transparantie/openheid (uitgangspunt zou 'open, tenzij' moeten zijn).

"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden."},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#voorbeeld","title":"Voorbeeld","text":"

Heb je een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_bewaartermijnen/","title":"Vaststellen bewaartermijnen voor archiefbescheiden","text":"

OntwerpOntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeGovernance

"},{"location":"maatregelen/archiveren_bewaartermijnen/#maatregel","title":"Maatregel","text":"

Stel de bewaartermijnen vast voor de archiefbescheiden.

"},{"location":"maatregelen/archiveren_bewaartermijnen/#toelichting","title":"Toelichting","text":"

Archiefbescheiden moeten voor een bepaalde tijd worden bewaard. Dit wordt de bewaartermijn genoemd. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Zorg dat de ter zake c.q. van toepassing zijnde formeel vastgesteld selectielijst wordt toegepast en pas de informatie rondom algoritmes en AI hierop toe. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden bewaard en dat hier dus ook nog geen termijnen aan zijn gekoppeld.

"},{"location":"maatregelen/archiveren_bewaartermijnen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode."},{"location":"maatregelen/archiveren_bewaartermijnen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_bewaartermijnen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/","title":"Archiefbescheiden zijn duurzaam toegankelijk","text":"

OntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeGovernance

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#maatregel","title":"Maatregel","text":"

Stel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#toelichting","title":"Toelichting","text":"

Het moet mogelijk zijn dat de archiefbescheiden daadwerkelijk overhandigd kunnen worden aan betrokken partijen. Denk hierbij aan burgers, onderneming, toezichthouder of rechters. Duurzaam betekent hier met behoud van functie en kwaliteit voor langere tijd. Onderzoek welke voorziening hiervoor beschikbaar is binnen de organisatie.

"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden."},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/archiveren_vaststellen_documenten/","title":"Archiefbescheiden vaststellen","text":"

OntwerpOntwikkelenProceseigenaarInformatiebeheerderArchiefdeskundigeData scientistJuristGovernance

"},{"location":"maatregelen/archiveren_vaststellen_documenten/#maatregel","title":"Maatregel","text":"

Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.

"},{"location":"maatregelen/archiveren_vaststellen_documenten/#toelichting","title":"Toelichting","text":"

Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden toegepast. Formeer hierbij een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist, proceseigenaar en archief deskundige) om deze maatregel toe te passen.

"},{"location":"maatregelen/archiveren_vaststellen_documenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode."},{"location":"maatregelen/archiveren_vaststellen_documenten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_vaststellen_documenten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/aselecte_steekproeven/","title":"Aselecte steekproeven","text":"

ImplementatieMonitoring en beheerBias en non discriminatieTechnische robuustheid en veiligheid

"},{"location":"maatregelen/aselecte_steekproeven/#maatregel","title":"Maatregel","text":"

Uitvoeren van aselecte steekproeven als aanvulling wanneer gebruik gemaakt wordt van risicogestuurde selectie.

"},{"location":"maatregelen/aselecte_steekproeven/#toelichting","title":"Toelichting","text":"

Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde selectie.

Het toevoegen van aselecte steekproeven maakt het mogelijk om over tijd te beoordelen of het algoritme nog voldoende effectief is. Populaties veranderen immers over tijd. Een selectie die het meest effectief was bij ingebruikname, kan over tijd dat niet meer zijn. Door alleen risicogestuurd te selecteren, wordt dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden. Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden of er nog steeds sprake is van de meest proportionele vorm. Als dat niet zo is, kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie of overgaan op volledig aselect.

De maatregel gaat daarmee niet direct discriminatie tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van de risicogestuurde selectie. Een lagere effectiviteit maakt het echter lastiger het gemaakte onderscheid te rechtvaardigen.

Het gebruik van een aselecte steekproef is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid. Een aselecte steekproef geeft ook inzicht in heel deel van de populatie dat doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde algoritme. Dit maakt het mogelijk om te toetsen of er sprake is van een over- of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde typen fouten vaker gemaakt worden in bepaalde groepen.

Bij AI-systemen die verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing feedbackloop, omdat zij geen representatieve data krijgen. Het toevoegen van aselecte steekproeven kan deze feedbackloop doorbreken.

Het is aan te bevelen om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is op basis van een risicogestuurd of aselecte selectie. Daardoor wordt beperkt dat een behandelaar met tunnelvisie een zaak bekijkt. De behandelaar weet immers dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico. Op die manier kan automation bias beperkt te worden. Niet in alle gevallen zal dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan halen op basis waarvan een casus geselecteerd is. Het is dan belang om op andere wijze de tunnelvisie tegen te gaan.

De precieze inzet van aselecte steekproeven zal afhangen van de context. Zo verschilt het per context hoeveel zaken aselect geselecteerd moeten worden. Bepaal welke groepen er precies vergeleken dienen te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig dat er gesproken kan worden over statistische significantie.

In sommige gevallen zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor aselecte steekproef. Zo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek, maar mogelijk niet als enige basis voor een huisbezoek. Deze belangenenafweging moet per context gemaakt worden.

"},{"location":"maatregelen/aselecte_steekproeven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitleg"},{"location":"maatregelen/aselecte_steekproeven/#bronnen","title":"Bronnen","text":"Bron Rapportage Algoritmerisico's Nederland voorjaar 2024 (pp. 36-41)"},{"location":"maatregelen/aselecte_steekproeven/#risico","title":"Risico","text":""},{"location":"maatregelen/aselecte_steekproeven/#voorbeeld","title":"Voorbeeld","text":"

In het onderzoek van zowel Algorithm Audit als PricewaterhouseCoopers naar de Controle Uitwonendenbeurs is het belang van de aselecte steekproef duidelijk geworden.

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/backups_maken/","title":"Maak back-ups van algoritmes","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarProjectleiderInformatiebeheerderData engineerSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/backups_maken/#maatregel","title":"Maatregel","text":"

Back-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid. Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme en de data hersteld kunnen worden.

"},{"location":"maatregelen/backups_maken/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/backups_maken/#risico","title":"Risico","text":"

Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.

"},{"location":"maatregelen/backups_maken/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/backups_maken/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, 12.3.1.1, 12.3.1.4, 12.3.1.5. Onderzoekskader Algoritmes Auditdienst Rijk, IB.26 Toetsingskader Algoritmes Algemene Rekenkamer, 4.08"},{"location":"maatregelen/backups_maken/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/","title":"Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.","text":"

ProbleemanalyseOntwerpOntwikkelenProceseigenaarBehoeftestellerBeleidsmedewerkerInkoopadviseurAanbiederData scientistData engineerGovernance

"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#maatregel","title":"Maatregel","text":"

Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.

"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.12 Toetsingskader Algoritmes Algemene Rekenkamer, 3.02 Algoritmekader"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/","title":"Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.","text":"

OntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistSecurity officerTechnische robuustheid en veiligheidPrivacy en gegevensbescherming

"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#maatregel","title":"Maatregel","text":"

Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.

"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode."},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11 Toetsingskader Algoritmes Algemene Rekenkamer, 3.17 Algoritmekader"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/","title":"Bepaal of de output bepalende invloed heeft in een besluit richting personen","text":"

OntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarGebruikerInkoopadviseurEthicusJuristPublieke inkoop

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#maatregel","title":"Maatregel","text":"

Ga na of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#toelichting","title":"Toelichting","text":"

Maak een beoordeling in hoeverre de mate waarin menselijke tussenkomst is of kan worden gerealiseerd. Raadpleeg voor deze beoordeling verschillende experts, zoals een gebruiker, proceseigenaar, ethicus en jurist.

"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen."},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/","title":"Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenProceseigenaarAanbiederData scientistData engineerSecurity officerPrivacy officerPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid

"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#maatregel","title":"Maatregel","text":"

Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens toe bij het verwerken van de data.

"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn."},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/","title":"Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerInkoopadviseurContractbeheerderAanbiederPrivacy en gegevensbeschermingGovernance

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#maatregel","title":"Maatregel","text":"

Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#risico","title":"Risico","text":"

De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten.

"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.06 Onderzoekskader Algoritmes Auditdienst Rijk, SV.9 Algoritmekader"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#voorbeeld","title":"Voorbeeld","text":"

Rapport Kleur Bekennen, Algemene Rekenkamer, p. 114, figuur 5-4

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/","title":"Bespreek de vereiste met aanbieder of opdrachtnemer","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederOpdrachtnemerPublieke inkoop

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#maatregel","title":"Maatregel","text":"

Bespreek de vereiste met aanbieder.

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#toelichting","title":"Toelichting","text":"

Ga met een aanbieder en/of met opdrachtnemers in gesprek over in hoeverre deze invulling heeft gegeven of gaat geven aan de vereiste. Op basis van nieuwe of gewijzigde wet- en regelgeving is het denkbaar dat een aanbieder van algoritmes of AI-systemen nog niet of niet meer voldoet aan deze vereiste. Indien van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.

"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/betrek_belanghebbenden/","title":"Betrek belanghebbenden","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderGovernanceFundamentele rechten

"},{"location":"maatregelen/betrek_belanghebbenden/#maatregel","title":"Maatregel","text":"

Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus. Belanghebbenden zijn onder meer eindgebruikers, mensen en rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende organisaties.

"},{"location":"maatregelen/betrek_belanghebbenden/#toelichting","title":"Toelichting","text":"

Algoritmes worden vaak gebruikt binnen een (specifieke) context waar deze invloed op uitoefenen. Medewerkers moeten bijvoorbeeld werken met de uitkomsten of anderen zijn onderwerp van het algoritme. Om te voorkomen dat er een mismatch ontstaat met de realiteit, is het van belang om specifieke domeinkennis te betrekken.

Het betrekken van belanghebbenden is van belang in bijna alle fasen van de levenscyclus.

In de fase van de probleemanalyse is het allereerst van belang in kaart te brengen welke stakeholders er zijn. Wie gaan bijvoorbeeld werken met het algoritme (eindgebruikers)? En welke demografie\u00ebn worden geraakt door een algoritme? Bij wie liggen de voordelen en bij wie liggen de nadelen? Ga vervolgens in gesprek met belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context waarin het gebruikt wordt. Bespreek daarbij welke definitie en metriek van fairness past bij de context.

In de fase van dataverkenning en datapreparatie is het van belang om domeinexpertise te betrekken, om zo in kaart te brengen wat de data features betekenen en waar zij vandaan komen. Op basis daarvan kan in kaart gebracht worden of er sprake is van bias en/of links met beschermde persoonskenmerken.

In de fase van implementatie is het van belang de eindgebruikers te betrekken. Het is dan vooral van belang om maatregelen te nemen om automation bias, deployment bias en reinforcing feedback loop te voorkomen of te beperken.

In de fase van monitoren is het van belang belanghebbenden te betrekken bij de evaluatie. Dit kan bijvoorbeeld in de vorm van een survey of focusgroep. Zij kunnen problemen in de praktijk naar voren brengen, die niet altijd terug te vinden zijn in de data.

Terugkoppelen aan buitenwereld.

"},{"location":"maatregelen/betrek_belanghebbenden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitleg"},{"location":"maatregelen/betrek_belanghebbenden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 2.12 The Fairness Handbook Handreiking non-discriminatie by design Ethics Guidelines for Trustworthy AI Onderzoekskader Algoritmes Auditdienst Rijk, SV.10"},{"location":"maatregelen/betrek_belanghebbenden/#risico","title":"Risico","text":"

De mismatch kan nadelige gevolgen hebben voor de effectiviteit van het algoritme binnen een context. Het kan daarnaast ook ongerechtvaardigde discriminatie in de hand werken. Ontwikkelaars kunnen bijvoorbeeld missen dat in de context van het algoritme een variabele een proxy is voor een discriminatiegrond.

"},{"location":"maatregelen/betrek_belanghebbenden/#voorbeeld","title":"Voorbeeld","text":"

Richt een burgerpanel in.

Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder. Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/beveiliging_van_componenten/","title":"Zorg voor een goede beveiliging van een algoritme.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerPrivacy officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/beveiliging_van_componenten/#maatregel","title":"Maatregel","text":"

Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem. Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.

"},{"location":"maatregelen/beveiliging_van_componenten/#toelichting","title":"Toelichting","text":"

Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme of systeem. Hierbij kan worden gedacht aan: Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.)

"},{"location":"maatregelen/beveiliging_van_componenten/#risico","title":"Risico","text":"

Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.

"},{"location":"maatregelen/beveiliging_van_componenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten."},{"location":"maatregelen/beveiliging_van_componenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.18 t/m IB.25 NCSC Handreiking voor implementatie van detectieoplossingen Handleiding Quickscan Information Security"},{"location":"maatregelen/beveiliging_van_componenten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/configuratie_met_de_mens/","title":"Configuratie met de mens","text":"

ImplementatieGovernanceMenselijke controle

"},{"location":"maatregelen/configuratie_met_de_mens/#maatregel","title":"Maatregel","text":""},{"location":"maatregelen/configuratie_met_de_mens/#toelichting","title":"Toelichting","text":"

Zorg voor complementariteit tussen medewerkers en systemen. Dit helpt bij het voorkomen van (automation) bias en discriminatie, het signaleren van algoritmische problemen, en het vermijden van de facto automatische besluitvorming.

"},{"location":"maatregelen/configuratie_met_de_mens/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat."},{"location":"maatregelen/configuratie_met_de_mens/#bronnen","title":"Bronnen","text":"Bron Handreiking non-discriminatie by design Impact Assessment Mensenrechten en Algoritmes Ethics Guidelines of Trustworthy AI"},{"location":"maatregelen/configuratie_met_de_mens/#risico","title":"Risico","text":"

Bias, discriminatie, de facto automatische besluitvorming.

"},{"location":"maatregelen/configuratie_met_de_mens/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/","title":"Contractuele afspraken over data en artefacten","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederInformatiebeheerderPublieke inkoop

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#maatregel","title":"Maatregel","text":"

Maak (contractuele) afspraken met de aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#toelichting","title":"Toelichting","text":"

Hier kan worden gedacht aan de initi\u00eble trainingsdataset, outputdata (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers).

"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/","title":"Controleren eigen data op schending auteursrechten","text":"

OntwerpDataverkenning en datapreparatieProceseigenaarInformatiebeheerderJuristData

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#maatregel","title":"Maatregel","text":"

Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#toelichting","title":"Toelichting","text":"

Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen worden gebruikt voor de ontwikkeling van een algoritme of AI-systeem.

"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/","title":"Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#maatregel","title":"Maatregel","text":"

Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#toelichting","title":"Toelichting","text":"

Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten, kan het noodzakelijk zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) moeten samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) kunnen aanbieders mogelijk nog niet voldoen aan deze nieuwe vereisten of is onduidelijk op welke manier hier invulling aan moet worden gegeven. In de context van algoritmes en AI kan het voor bepaalde onderwerpen zoals non-discriminatie, transparantie en eerbiedigen van fundamentele rechten van belang zijn om samen te verkennen hoe hier invulling aan moet worden gegeven. Het is belangrijk om bij de behoeftestelling al te verkennen op welke onderwerpen dit mogelijk van toepassing is.

"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Ruimte voor Innovatie in het contract"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/","title":"Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarPrivacy officerPrivacy en gegevensbescherming

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#maatregel","title":"Maatregel","text":"

Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#risico","title":"Risico","text":"

Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.

"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 3.01, 3.05 Onderzoekskader Algoritmes Auditdienst Rijk, PRI.4 Algoritmekader"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/formuleren_doelstellling/","title":"Formuleren doelstelling","text":"

ProbleemanalyseProjectleiderOpdrachtgeverDomeinspecialistGovernance

"},{"location":"maatregelen/formuleren_doelstellling/#maatregel","title":"Maatregel","text":"

Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. Maak de consequenties van het algoritme specifiek en zorg dat het doel van het algoritme formeel is vastgesteld en vastgelegd.

"},{"location":"maatregelen/formuleren_doelstellling/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/formuleren_doelstellling/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/formuleren_doelstellling/#risico","title":"Risico","text":"

Het algoritme dient niet het beoogde doel en onderliggend probleem. Zonder eenduidigheid over het doel is geen sturing op en verantwoording over het algoritme mogelijk. Er is dan een groter risico op fouten en/of verschillen in interpretatie.

Wanneer doelstellingen niet meetbaar zijn gemaakt, is het onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. Doelstellingen zijn in dat geval moeilijk bespreekbaar.

"},{"location":"maatregelen/formuleren_doelstellling/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.01, 1.02 Impact Assessment Mensenrechten en Algoritmes, 1.2 Onderzoekskader Algoritmes Auditdienst Rijk, SV.3"},{"location":"maatregelen/formuleren_doelstellling/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/formuleren_probleemdefinitie/","title":"Formuleren aanleiding en probleemdefinitie","text":"

ProbleemanalyseProjectleiderOpdrachtgeverDomeinspecialistGovernance

"},{"location":"maatregelen/formuleren_probleemdefinitie/#maatregel","title":"Maatregel","text":"

Formuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten. Formuleer duidelijk de probleemdefinitie en probleemafbakening waarvoor het algoritme een oplossing zou moeten vormen.

"},{"location":"maatregelen/formuleren_probleemdefinitie/#toelichting","title":"Toelichting","text":"

Formuleer de probleemdefinitie en probleemafbakening zo concreet en precies mogelijk. Maak dit waar mogelijk kwantificeerbaar.

"},{"location":"maatregelen/formuleren_probleemdefinitie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/formuleren_probleemdefinitie/#risico","title":"Risico","text":"

Het algoritme dient niet het onderliggende probleem. Zonder eenduidigheid over het op te lossen probleem is geen sturing op en verantwoording over het algoritme mogelijk.

"},{"location":"maatregelen/formuleren_probleemdefinitie/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes, 1.1 Onderzoekskader Algoritmes Auditdienst Rijk, SV.1"},{"location":"maatregelen/formuleren_probleemdefinitie/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/","title":"Verken maatregelen van aanbieder om schending auteursrechten te voorkomen","text":"

ProbleemanalyseImplementatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederPublieke inkoop

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#maatregel","title":"Maatregel","text":"

Verken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#toelichting","title":"Toelichting","text":"

Als 'open gaten' worden ervaren, dan is het van belang om hierover met de aanbieder in gesprek te gaan, bijvoorbeeld door een marktconsultatie of algemene materie gerelateerde gesprekken. De ARVODI (24.7) en ARBIT (art 8.5 & 8.6) adresseren het schenden van intellectueel eigendom.

"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/informatiebeveiligingsincidenten/","title":"Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerProceseigenaarTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/informatiebeveiligingsincidenten/#maatregel","title":"Maatregel","text":"

Richt een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.

"},{"location":"maatregelen/informatiebeveiligingsincidenten/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/informatiebeveiligingsincidenten/#risico","title":"Risico","text":"

Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.

"},{"location":"maatregelen/informatiebeveiligingsincidenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten."},{"location":"maatregelen/informatiebeveiligingsincidenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5 Onderzoekskader Algoritmes Auditdienst Rijk, IB.30 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/informatiebeveiligingsincidenten/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/","title":"Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.","text":"

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistPrivacy officerPrivacy en gegevensbescherming

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#maatregel","title":"Maatregel","text":"

Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen worden ontwikkeld of gebruikt.

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegPrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten."},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#risico","title":"Risico","text":"

Betrokkenen hebben geen controle over hun persoonsgegevens doordat ze geen beroep kunnen doen op hun privacyrechten.

"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.9 Algoritmekader"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/#voorbeeld","title":"Voorbeeld","text":"

| Privacyverzoek Gemeente Amsterdam |

"},{"location":"maatregelen/kwetsbare_groepen/","title":"Kwetsbare groepen in kaart brengen en beschermen","text":"

OntwerpProjectleiderOpdrachtgeverEthicusFundamentele rechten

"},{"location":"maatregelen/kwetsbare_groepen/#maatregel","title":"Maatregel","text":"

Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.

"},{"location":"maatregelen/kwetsbare_groepen/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/kwetsbare_groepen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitleg"},{"location":"maatregelen/kwetsbare_groepen/#risico","title":"Risico","text":"

De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.

"},{"location":"maatregelen/kwetsbare_groepen/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.4 Kamerstukken II 2023/24, 31066-1374 Impact Assessment Mensenrechten en Algoritmes, 4.1 Handreiking non-discriminatie by design, 1.7 en 1.8 en 1.15"},{"location":"maatregelen/kwetsbare_groepen/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de output","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristGemandateerd verantwoordelijkePublieke inkoop

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#maatregel","title":"Maatregel","text":"

Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#toelichting","title":"Toelichting","text":"

Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen of de output van een algoritme een (potenti\u00eble) inbreuk maakt op auteursrechten. Maak een jurist onderdeel van de beoordeling hiervan.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#maatregel","title":"Maatregel","text":"

Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#toelichting","title":"Toelichting","text":"

Algoritmen en AI worden veelal getraind aan de hand van een omvangrijke hoeveelheid data. Op basis van de data wordt het algoritme of AI getraind om, op een later moment, de (door de eindgebruiker gewenste) uitkomsten te kunnen genereren.

Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, worden gebruikt voor de training van algoritmen of AI, is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme of AI gebruikt worden.

Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijke beschermde werken ter training van algoritme of AI (waarschijnlijk) een verveelvoudigingshandeling is die de rechthebbende kan verbieden. Dat betekent dat aanbieders van algoritmen en AI het gebruik van auteursrechtelijk beschermd materiaal in de inputfase steeds zullen moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht.

Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.

"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/","title":"Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistEthicusPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#maatregel","title":"Maatregel","text":"

Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#toelichting","title":"Toelichting","text":"

Door de inschrijver/aanbieder bewijs te laten leveren dat deze voldoet aan de vereiste, kan worden beoordeeld door opdrachtgever in hoeverre daadwerkelijk wordt voldaan aan deze vereiste. Op deze manier worden inschrijvers/aanbieders aangespoord om te motiveren wat zij hebben gedaan om te voldoen aan de vereiste.

"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico."},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/logging/","title":"Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerArchiefdeskundigeTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle

"},{"location":"maatregelen/logging/#maatregel","title":"Maatregel","text":"

Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem.

"},{"location":"maatregelen/logging/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/logging/#risico","title":"Risico","text":"

Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.

"},{"location":"maatregelen/logging/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAutomatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens."},{"location":"maatregelen/logging/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5, 12.4.1.1, 12.4.2.2, Onderzoekskader Algoritmes Auditdienst Rijk, IB.27 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/logging/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/","title":"Maak de vereiste onderdeel van het programma van eisen","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van het programma van eisen

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#toelichting","title":"Toelichting","text":"

Door de vereiste onderdeel te maken van het programma van eisen, is het voor aanbieders duidelijk dat hun oplossing hieraan moet voldoen. Afhankelijk van de specifieke toepassing, context en noodzaak kan een vereiste in het programma van eisen concreet worden gemaakt. Het is hierbij van belang om dit af te wegen tegen zaken die mogelijk al zijn geregeld door middel van algemene inkoopvoorwaarden die gelden voor algoritmes en AI.

"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/","title":"Maak de vereiste onderdeel van de contractovereenkomst","text":"

OntwerpOntwikkelenBehoeftestellerData scientistPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van de contractovereenkomst

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#toelichting","title":"Toelichting","text":"

Door de vereiste onderdeel te namen van de contractovereenkomst, zijn deze voorwaarden voor opdrachtgever richting aanbieder/opdrachtnemer afdwingbaar. Het is van belang dat bij de behoeftestelling een afweging wordt gemaakt in hoeverre de betreffende vereiste van toepassing is.

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/","title":"Maak de vereiste onderdeel van Service Level Agreement","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristData scientistAanbiederPublieke inkoop

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van Service Level Agreement

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#toelichting","title":"Toelichting","text":"

Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement (SLA). Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. Hierbij kan worden gedacht aan onderwerpen als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd, prestatiecriteria, reproduceerbaarheid, versiebeheer van de gebruikte algoritmes en AI-modellen en beveiliging. Laat de aanbieder aangeven welke vormen van onderhoud aan het algoritme of AI-systeem nodig zijn en de snelheid waarmee signalen vanuit gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise hiervoor beschikbaar is.

"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAutomatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico."},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.11 Algoritmekader"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/","title":"Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#maatregel","title":"Maatregel","text":"

Maak de vereiste onderdeel van contractvoorwaarden

"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Onderzoekskader Algoritmes Auditdienst Rijk, SV.11"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/menselijke_tussenkomst/","title":"Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarGebruikerAanbiederMenselijke controleGovernance

"},{"location":"maatregelen/menselijke_tussenkomst/#maatregel","title":"Maatregel","text":"

Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.

"},{"location":"maatregelen/menselijke_tussenkomst/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/menselijke_tussenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/menselijke_tussenkomst/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 2.01 Onderzoekskader Algoritmes Auditdienst Rijk, SV.05 Advies over geautomatiseerde selectietechniek Pels Rijcken, p.9 Kamerstukken IT 2017-2018, 34 851, nr. (MvT UAVG), p. 120-121 Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst/#voorbeeld","title":"Voorbeeld","text":"

HvJEU december 2023, ECLI:EU:C:2023:957 (SCHUFA Scoring)

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/","title":"Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument","text":"

ProbleemanalyseOntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarInkoopadviseurGovernancePublieke inkoop

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#maatregel","title":"Maatregel","text":"

Neem het element van menselijke tussenkomst op in het projectplan en d\u00e9chargedocument.

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#toelichting","title":"Toelichting","text":"

Dit punt is onderdeel van een procesinrichting bij de gebruiksverantwoordelijke of gebruiker van het altgoritme of AI-systeem en zou technisch gefaciliteerd moeten kunnen worden. Het inrichten van menselijke tussenkomst ligt niet enkel bij de aanbieder en kan contractueel niet enkel bij de aanbieder worden neergelegd. Overweeg om een waarschuwingsplicht te expliciteren, in geval de aanbieder ziet dat geautomatiseerde besluiten aan geautomatiseerde berichtgeving is gekoppeld zonder menselijke tussenkomst. Ook dan ligt het in beginsel bij de gebruiksverantwoordelijke, maar maken de omstandigheden een grijzer gebied.

"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen."},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/","title":"Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt","text":"

OntwerpMonitoring en beheerProceseigenaarPrivacy officerInkoopadviseurPublieke inkoopPrivacy en gegevensbescherming

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#maatregel","title":"Maatregel","text":"

Inventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#toelichting","title":"Toelichting","text":"

Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.

"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegEen DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd."},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/","title":"Neem technische documentatie op in het algoritmeregister","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerBeleidsmedewerkerTransparantie

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#maatregel","title":"Maatregel","text":"

Neem geschikte informatie uit technische documentatie op in het algoritmeregister.

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#toelichting","title":"Toelichting","text":"

Met het opstellen van technische documentatie over algoritmes en AI-systemen wordt belangrijke informatie vastgelegd die moet worden opgenomen of kan worden opgenomen in het Algoritmeregister. De Handreiking Algoritmeregister en de Publicatiestandaard van het register kan worden geraadpleegd om te bepalen of en welke informatie van een algoritme of AI-systeem moet worden gepubliceerd. Door dit goed af te stemmen kan hergebruik worden gemaakt van al gedocumenteerde informatie.

"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen."},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Handreiking Algoritmeregister Publicatiestandaard"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/","title":"Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistEthicusPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#maatregel","title":"Maatregel","text":"

Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.

"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#toelichting","title":"Toelichting","text":"

Door de vereiste op te nemen als subgunningscriteria, ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden. In de context van algoritmes en AI is dit in het bijzonder relevant, bijvoorbeeld in relatie tot vereisten als non-discriminatie, eerbiedigen privacyrechten of het verbod op schenden auteursrechten. Door vereisten te vertalen naar een subgunningscriteria, kan een inhoudelijke beoordeling worden gemaakt in hoeverre een aanbieder hier invulling aan geeft.

"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico."},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/","title":"Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt","text":"

OntwikkelenVerificatie en validatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#maatregel","title":"Maatregel","text":"

Maak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#toelichting","title":"Toelichting","text":"

Het is van belang dat de resterende risico's inzichtelijk zijn gemaakt, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is.

"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/","title":"Bepaal waarom we gebruik willen maken een algoritme","text":"

ProbleemanalyseProjectleiderOpdrachtgeverDomeinspecialistGovernance

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#maatregel","title":"Maatregel","text":"

Bepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#risico","title":"Risico","text":"

Het algoritme is niet het juiste middel om het probleem op te lossen. Het risico daarbij bestaat dat het probleem niet wordt opgelost.

"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes, 1.1 Onderzoekskader Algoritmes Auditdienst Rijk, SV.2"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/","title":"Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusArchitectGovernance

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#maatregel","title":"Maatregel","text":"

Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#toelichting","title":"Toelichting","text":"

## Bijbehorende vereiste(n)

VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#risico","title":"Risico","text":"

De in te zetten algoritmes of AI-systemen voldoen niet aan vastgestelde beleidskaders.

"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.8"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/","title":"Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurContractbeheerderGovernance

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#maatregel","title":"Maatregel","text":"

Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#toelichting","title":"Toelichting","text":"

Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#risico","title":"Risico","text":"

Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem.

"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningJuistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.16, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.08 Algoritmekader"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/","title":"Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieProceseigenaarInformatie analistData engineerPrivacy officerPrivacy en gegevensbescherming

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#maatregel","title":"Maatregel","text":"

Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt en om welke categorie persoonsgegevens het gaat. Het principe van dataminimalisatie is toegepast, zodat het minimum aantal persoonsgegevens wordt verwerkt om het beoogde doel te bereiken.

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegVerwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG."},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#risico","title":"Risico","text":"

Het algoritme of AI-systeem verwerkt persoonsgegevens die het niet mag verwerken.

"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.7 Algoritmekader"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/","title":"Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederGovernanceTransparantie

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#maatregel","title":"Maatregel","text":"

Een politieke-bestuurlijk besluit wordt genomen over de inzet van een impactvol algoritme en hoog risico AI-systemen.

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/politiek-bestuurlijk_besluit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegEen besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/politiek-bestuurlijk_besluit/#risico","title":"Risico","text":"

De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of be\u00ebindiging van het gebruik van impactvolle algoritmes en AI-systemen, terwijl deze daar niet toe bevoegd is.

"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#bronnen","title":"Bronnen","text":"Bron [Algoritmekader] Algemene Rekenkamer"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#voorbeeld","title":"Voorbeeld","text":"

Besluit College van Burgemeester en Wethouders Gemeente Amsterdam

"},{"location":"maatregelen/publiceren_in_algoritmeregister/","title":"Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantie

"},{"location":"maatregelen/publiceren_in_algoritmeregister/#maatregel","title":"Maatregel","text":"

Publiceer de ontwikkeling en gebruik van een algoritme of AI-systeem in het Algoritmeregister.

"},{"location":"maatregelen/publiceren_in_algoritmeregister/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/publiceren_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/publiceren_in_algoritmeregister/#risico","title":"Risico","text":"

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.

"},{"location":"maatregelen/publiceren_in_algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Handreiking Algoritmeregister Algoritmeregister Publicatiestandaard Toetsingskader Algoritmes Algemene Rekenkamer, 3.12 Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 Toetsingskader Algoritmes Algemene Rekenkamer, 3.14, 3.16"},{"location":"maatregelen/publiceren_in_algoritmeregister/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/","title":"Richt een wijzigingenproces in voor codewijzigingen","text":"

OntwerpOntwerpOntwikkelenImplementatieMonitoring en beheerProjectleiderProceseigenaarProceseigenaarData scientistData engineerSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#maatregel","title":"Maatregel","text":"

Richt een wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#toelichting","title":"Toelichting","text":"

Bij het inrichten van een proces om wijzigingen aan de code te mogen aanbrengen, kunnen aan de volgende elementen worden gedacht:

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#risico","title":"Risico","text":"

Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.

"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.1 t/m IB.5 Toetsingskader Algoritmes Algemene Rekenkamer, 4.07"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/richt_gebruikersbeheer_in/","title":"Richt gebruikersbeheer in","text":"

OntwerpDataverkenning en datapreparatieDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerProjectleiderProceseigenaarProceseigenaarInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#maatregel","title":"Maatregel","text":"

Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#toelichting","title":"Toelichting","text":"

Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij toegang en gebruik van het algoritme, de data of de uitkomsten van een algoritme.

Bij het inrichten van gebruikersbeheer moeten aan de volgende elementen worden gedacht:

Voor deze maatregelen is het van belang om aandacht te hebben voor de volgende zaken:

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#risico","title":"Risico","text":"

Er bestaan meerdere risico's wanneer er geen gebruikersbeheer is: - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme hebben die zij niet zouden mogen hebben. - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd aan het algoritme, de data of de uitkomsten van het algoritme. - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke persoon.

"},{"location":"maatregelen/richt_gebruikersbeheer_in/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/richt_gebruikersbeheer_in/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.10 t/m IB.17 Toetsingskader Algoritmes Algemene Rekenkamer, 4.01, 4.02, 4.04, 4.05"},{"location":"maatregelen/richt_gebruikersbeheer_in/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/","title":"Richt wachtwoordbeheer in","text":"

OntwerpOntwikkelenImplementatieMonitoring en beheerProjectleiderSecurity officerTechnische robuustheid en veiligheidGovernance

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#maatregel","title":"Maatregel","text":"

Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige manier.

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#toelichting","title":"Toelichting","text":"

Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden toegepast:

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#risico","title":"Risico","text":"

Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.

"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/richt_wachtwoordbeheer_in/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.6 t/m IB.9 Toetsingskader Algoritmes Algemene Rekenkamer, 4.03 NIST 5.1.1.2"},{"location":"maatregelen/richt_wachtwoordbeheer_in/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/","title":"Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerProceseigenaarAanbestedingsjuristInkoopadviseurOpdrachtnemerBehoeftestellerTechnische robuustheid en veiligheidGovernancePublieke inkoop

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#maatregel","title":"Maatregel","text":"

Voer een risico-analyse uit op het gebied van informatiebeveiliging bij een uitbestedingstraject

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#risico","title":"Risico","text":"

Wanneer een (externe) leverancier beveiligingseisen niet op orde heeft, is er een risico op de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme en/of de data.

"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBeveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen."},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 15.1.1.1 Onderzoekskader Algoritmes Auditdienst Rijk, IB.29"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output","text":"

OntwikkelenMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#maatregel","title":"Maatregel","text":"

Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#toelichting","title":"Toelichting","text":"

Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. oor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.

Het is moeilijk om te bepalen wanneer en of de output van een algoritme of AI een inbreuk maakt op auteursrechten. Reden hiervoor is dat onduidelijk is of de uiteindelijk gegenereerde output naar auteursrechtelijke maatstaven (of in andere gevallen: naar maatstaven van andere intellectuele-eigendomsrechten, zoals databankenrechten, merkrechten of modelrechten) voldoende afstand houdt van (onder andere) de originele werken die ooit aan de training van de generatieve AI-tool ten grondslag hebben gelegen. Is dat niet het geval, dan kan bij veel vormen van gebruik van de output immers sprake zijn van een inbreuk op intellectuele eigendomsrechten.

"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata","text":"

OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurAanbestedingsjuristContractbeheerderPublieke inkoop

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#maatregel","title":"Maatregel","text":"

Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#toelichting","title":"Toelichting","text":"

Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. Voor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.

"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten."},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/security_by_design/","title":"Pas het principe van security by design toe","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle

"},{"location":"maatregelen/security_by_design/#maatregel","title":"Maatregel","text":"

Hanteer principes van \u2018security by design\u2019 (informatiebeveiligingsmaatregelen) als uitgangspunten bij de ontwikkeling van het algoritme. Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes kunnen interviews met de ontwikkelaar en software-architecten helpen.

"},{"location":"maatregelen/security_by_design/#toelichting","title":"Toelichting","text":"

Security by design benadrukt het belang van het in een vroeg stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd. In een vroeg stadium nadenken over security betekent dat vroeg al de benodigde expertise wordt betrokken, zoals een security-officer.

"},{"location":"maatregelen/security_by_design/#risico","title":"Risico","text":"

Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.

"},{"location":"maatregelen/security_by_design/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAutomatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn."},{"location":"maatregelen/security_by_design/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, (BIO 14.2.1.1) Onderzoekskader Algoritmes Auditdienst Rijk, IB.28 Toetsingskader Algoritmes Algemene Rekenkamer, 4.09"},{"location":"maatregelen/security_by_design/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/stel_archiefbescheiden_vast/","title":"Stel archiefbescheiden vast","text":"

OntwerpOntwikkelenPublieke inkoop

"},{"location":"maatregelen/stel_archiefbescheiden_vast/#maatregel","title":"Maatregel","text":"

Stel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden. Formeer een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist en archief deskundige) om deze maatregel toe te passen.

"},{"location":"maatregelen/stel_archiefbescheiden_vast/#toelichting","title":"Toelichting","text":"

Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet.

"},{"location":"maatregelen/stel_archiefbescheiden_vast/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden."},{"location":"maatregelen/stel_archiefbescheiden_vast/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 4.01"},{"location":"maatregelen/stel_archiefbescheiden_vast/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/stopzetten_gebruik/","title":"Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurContractbeheerderGovernance

"},{"location":"maatregelen/stopzetten_gebruik/#maatregel","title":"Maatregel","text":"

Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.

"},{"location":"maatregelen/stopzetten_gebruik/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/stopzetten_gebruik/#risico","title":"Risico","text":"

Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme of AI-systeem dat onjuist functioneert en niet tijdig kan worden stopgezet.

"},{"location":"maatregelen/stopzetten_gebruik/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAuteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningJuistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/stopzetten_gebruik/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.18, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/stopzetten_gebruik/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/toepassen_risicobeheer/","title":"Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurGovernance

"},{"location":"maatregelen/toepassen_risicobeheer/#maatregel","title":"Maatregel","text":"

Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.

"},{"location":"maatregelen/toepassen_risicobeheer/#toelichting","title":"Toelichting","text":"

Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.

"},{"location":"maatregelen/toepassen_risicobeheer/#risico","title":"Risico","text":"

Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.

"},{"location":"maatregelen/toepassen_risicobeheer/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Corrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperkenVerstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/toepassen_risicobeheer/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.13 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/toepassen_risicobeheer/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/","title":"Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerData scientistPrivacy officerSecurity officerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#maatregel","title":"Maatregel","text":"

Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#toelichting","title":"Toelichting","text":"

Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden

"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.De archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Bevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteldCorrigerende maatregelen voor non-conforme AIAanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Documentatie beoordeling niet-hoog-risico AIEen aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Kwaliteitsbeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Maatregelen van gebruiksverantwoordelijken voor gebruikGebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.Melden van ernstige incidentenAanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenAanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882Toezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Verplicht risicobeheersysteem voor hoog-risico AIVoor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.Verstrekking van informatie op verzoekOp een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#voorbeeld","title":"Voorbeeld","text":"

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/","title":"Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarData scientistData engineerAanbiederPrivacy officerSecurity officerEthicusBeleidsmedewerkerPrivacy en gegevensbescherming

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#maatregel","title":"Maatregel","text":"

Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegEen DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd."},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#risico","title":"Risico","text":"

Privacyrisico's met de inzet van algoritmes en AI-systemen worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.

"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.2, PRI.3 Toetsingskader Algoritmes Algemene Rekenkamer, 3.04, 3.13 Algoritmekader Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Model DPIA Rijksdienst"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/","title":"Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke","text":"

OntwerpMonitoring en beheerBehoeftestellerInkoopadviseurAanbiederPublieke inkoop

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#maatregel","title":"Maatregel","text":"

Bespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#toelichting","title":"Toelichting","text":"

Bij publieke inkoop is het nodig duidelijke afspraken te hebben over wie dit document invult en welke informatie bij welke partij vandaan komt. De aanbieder zal een belangrijk deel van de technische documentatie moeten aanleveren, maar bij gebruik door de gebruiksverantwoordelijken zal deze informatie moeten worden aangevuld.

Hierbij is het van belang dat de documentatie aansluit bij de verschillende gebruikers van het systeem, waarbij rekening wordt gehouden met verschillende toepassingen of versies.

"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegTechnische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening."},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/","title":"De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding","text":"

OntwerpMonitoring en beheerProceseigenaarAanbiederBehoeftestellerInkoopadviseurContractbeheerderPublieke inkoop

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#maatregel","title":"Maatregel","text":"

Laat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald kan worden na implementatie als het systeem in productie c.q. in gebruik is.

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#toelichting","title":"Toelichting","text":"

Sommige algoritmen of AI-systemen zijn zeer specialistisch, hierbij is het van belang dat afspraken worden gemaakt in hoeverre ondersteuning bij het gebruik onderdeel is van de inkoop. Hierbij is ook van belang dit onderdeel geactualiseerd wordt gedurende de contractperiode i.v.m. de technologische ontwikkelingen.

"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's."},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/","title":"Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen","text":"

OntwerpMonitoring en beheerAanbiederProceseigenaarInkoopadviseurPublieke inkoop

"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#maatregel","title":"Maatregel","text":"

Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.

"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegBevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's."},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/","title":"De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerVerificatie en validatieProceseigenaarGovernancePrivacy en gegevensbescherming

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#maatregel","title":"Maatregel","text":"

De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#toelichting","title":"Toelichting","text":"

Verwerking van persoonsgegevens - Bij het verwerken van persoonsgegevens moet nadat is vastgesteld wie in een samenwerking feitelijk het doel en middelen van een verwerking bepalen wordt vastgelegd wie de (gezamelijke) verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststeling van de rolverdeling volgen onder de AVG verschillende rechten en plichten. - Bij de ontwikkeling en gebruiken van algoritmes en AI-systemen is het denkbaar dat de noodzaak voor het verwerken van persoonsgegevens wijzigt en dat meer of andere verwerkingen moeten plaatsvinden. Het is van belang dat wederom wordt beoordeeld wat dit betekent voor de bijbehorende verantwoordelijkheden. Als er sprake is van een wezenlijke wijziging ten opzichte van de al vastgestelde situatie, bijvoorbeeld doordat er meer persoonsgegevens worden verwerkt door een andere partij, dan zal de verwerkingsverantwoordelijke opnieuw tot vaststelling moeten overgaan om de afspraken te formaliseren.

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#risico","title":"Risico","text":"

Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes of AI-systemen.

"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.06, 3.02 Onderzoekskader Algoritmes Auditdienst Rijk, SV.19, PRI.1 Algoritmekader"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/","title":"Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.","text":"

OntwerpOntwikkelenPublieke inkoopGovernance

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#maatregel","title":"Maatregel","text":"

Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#toelichting","title":"Toelichting","text":"

Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. Hiervoor kan in de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'. Deze stap is van groot belang, omdat dit ook bepalend is welke contractuele verplichtingen moeten worden gecre\u00eberd tussen opdrachtgever en opdrachtnemer/aanbieder.

"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegProportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten."},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/vermelding_in_privacyverklaring/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederPrivacy en gegevensbescherming

"},{"location":"maatregelen/vermelding_in_privacyverklaring/#maatregel","title":"Maatregel","text":"

Neem het gebruik van een algoritme of AI-systeem op in de privacyverklaring als hierbij persoonsgegevens worden verwerkt.

"},{"location":"maatregelen/vermelding_in_privacyverklaring/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vermelding_in_privacyverklaring/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegTransparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn."},{"location":"maatregelen/vermelding_in_privacyverklaring/#risico","title":"Risico","text":"

Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.

"},{"location":"maatregelen/vermelding_in_privacyverklaring/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 Autoriteit Persoonsgegevens Algoritmekader Toetsingskader Algoritmes Algemene Rekenkamer, 3.12"},{"location":"maatregelen/vermelding_in_privacyverklaring/#voorbeeld","title":"Voorbeeld","text":"

Heb jij een goed voorbeeld? Laat het ons weten!

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantiePrivacy en gegevensbescherming

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#maatregel","title":"Maatregel","text":"

Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#toelichting","title":"Toelichting","text":" VereisteUitlegTransparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn."},{"location":"maatregelen/vermelding_in_verwerkingsregister/#risico","title":"Risico","text":"

Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.

"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.8 Autoriteit Persoonsgegevens Toetsingskader Algoritmes Algemene Rekenkamer, 3.04 [Algoritmekader]"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/","title":"Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarBeleidsmedewerkerInformatie analistJuristEthicusData engineerData scientistGovernanceTransparantie

"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#maatregel","title":"Maatregel","text":"

Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.

"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegData van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Een besluit berust op een deugdelijke motiveringEen besluit dat tot stand is gekomen door of met behulp van een algoritme of AI-systeem, dient te berusten op een deugdelijke motivering.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Relevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#risico","title":"Risico","text":"

Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.

"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#bron","title":"Bron","text":"Bron Wetsanalyse"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#voorbeeld","title":"Voorbeeld","text":"

Handleiding Wetanalyse

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/","title":"Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.","text":"

OntwerpOntwikkelenProceseigenaarBehoeftestellerInformatie analistData scientistInkoopadviseurContractbeheerderAanbestedingsjuristAanbiederOpdrachtnemerArchitectPublieke inkoopData

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#maatregel","title":"Maatregel","text":"

Voer voorafgaand aan een aanbesteding een data beschikbaarheids- en kwaliteitsanalayse uit.

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#toelichting","title":"Toelichting","text":"

Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is, gaat worden en of de data van voldoende kwaliteit is. Het is van belang om te onderzoeken of en hoe data vanuit de eigen organisatie of die van een aanbieder beschikbaar kan worden gesteld, kan worden opgeslagen en er goedkeuring kan worden gegeven voor het verwerken van de data. De infrastructuur van de eigen organisatie en/of die van de aanbieder moeten van voldoende niveau zijn om de beoogde verwerkingen uit te kunnen voeren. Een dergelijke analyse levert inzichten op welke problemen er eventueel op dit vlak kunnen ontstaan.

"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegData van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn."},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bronnen","title":"Bronnen","text":"Bron Towards a Systematic Understanding on the Challenges of Procuring Artificial Intelligence in the Public Sector"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/","title":"Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieProceseigenaarInformatie analistData engineerPrivacy officerSecurity officerInkoopadviseurArchitectPrivacy en gegevensbescherming

"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#maatregel","title":"Maatregel","text":"

Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.

"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteUitlegOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRelevante feiten en belangen zijn bekendDit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming."},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#risico","title":"Risico","text":"

Het algoritme of AI-systeem kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.

"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bronnen","title":"Bronnen","text":"Bron Project Startarchitectuur,NORA PSA Format PSA Handleiding Algoritmekader"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#voorbeeld","title":"Voorbeeld","text":"

Heb je een goed voorbeeld? Laat het ons weten!

"},{"location":"onderwerpen/","title":"Onderwerpen","text":""},{"location":"onderwerpen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"onderwerpen/bias-en-non-discriminatie/","title":"Bias en non-discriminatie","text":"

Algoritmes worden binnen de overheid veelvuldig ingezet om publieke taken uit te voeren. Dit biedt veel kansen, maar er zijn ook risico's aan verbonden. Hoewel algoritmes in sommige gevallen kunnen bijdragen aan het tegengaan van discriminatie, kan bias in het algoritme leiden tot een ongelijke en oneerlijke behandeling van burgers of groepen, en kan er sprake zijn van discriminerende effecten. In dit bouwblok van het algoritmekader besteden we aandacht aan de onderwerpen bias, eerlijkheid en non-discriminatie. We werken uit wat bias is, hoe bias kan ontstaan, hoe we dit kunnen signaleren, welke maatregelen er genomen kunnen worden om dit te voorkomen en geven we handvatten wat te doen wanneer een (onwenselijke) bias is gesignaleerd.

Hierbij is het goed om op te merken dat het omgaan met het thema bias gedurende het ontwikkelen, inkopen of gebruik van het algoritme vraagt om continue aandacht voor dit onderwerp. Het betreft geen probleem dat eenmalig kan worden weggenomen. Het vraagt voortdurend om reflectie op eerlijkheid en rechtvaardigheid van het systeem.

Dit bouwblok wordt uitgewerkt in vereisten die weergeven wat er vanuit wet- en regelgeving en bestaande toetsingskaders vereist is om bias en discriminatie tegen te gaan. Daarbij worden er suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen, en welke actoren daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten of maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd.

Door bij de ontwikkeling van algoritmes rekening te houden met vereisten die voorkomen uit wet- en regelgeving, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen.

De onderwerpen bias en non-discriminatie spelen daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#wat-is-discriminatie-en-bias","title":"Wat is discriminatie en bias?","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatie","title":"Discriminatie","text":"

Artikel 1 van de Nederlandse Grondwet verbiedt discriminatie:

Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.

De prominente positie in de Grondwet benadrukt het belang van het mensenrecht in Nederland. De afgelopen jaren hebben incidenten in de praktijk de aandacht gericht op de discriminatoire effecten die algoritmes en AI-systemen kunnen hebben.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias","title":"Bias","text":"

Bias is een Engelse term die in het Nederlands wordt vertaald als vooroordeel, vooringenomenheid of neiging. Omdat niet \u00e9\u00e9n van die termen helemaal de lading van het begrip bias dekt, maken we in het Algoritmekader gebruik van de term bias. De term bias heeft verschillende betekenissen afhankelijk van de context waarin het gebruikt wordt en de disciplines die daarbij betrokken zijn. Vaak wordt er naar bias gekeken als een technisch concept, maar het omvat daarnaast ook menselijke aspecten. We starten met een verduidelijking hoe het begrip bias in algoritmische context gebruikt wordt en hoe dit in verhouding staat tot discriminatie. Vervolgens maken we onderscheid tussen drie verschillende aspecten van bias: statistische bias, systemische bias en menselijke bias. Deze drie aspecten van bias kunnen los van elkaar bestaan, maar kunnen juist in combinatie met elkaar tot problemen leiden.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias-in-algoritmische-context","title":"Bias in algoritmische context","text":"

Het concept bias wordt in algoritmische context gedefinieerd als een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.1

Dit systematische verschil of onderscheid kan zowel op een directe als op een indirecte manier ontstaan.

De Algemene wet gelijke behandeling spreekt van direct onderscheid wanneer een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat.

De Algemene wet gelijke behandeling spreekt van indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat in vergelijking met andere personen bijzonder treft.

Een geconstateerd systematische onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn. Voor direct onderscheid kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering die het gemaakte onderscheid toelaat. Voor indirect onderscheid geldt dat behalve een wettelijke uitzondering er ook een objectieve rechtvaardiging kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar kan zijn.

Het maken van een eventueel onderscheid is in sommige gevallen nauw verbonden met het gebruik van algoritmes en AI. Soms worden algoritmes en AI bijvoorbeeld juist ingezet om op een zo objectief mogelijke manier te bepalen welke groepen meer of minder belang hebben bij een andere behandeling. In deze gevallen zal er altijd na moeten worden gegaan of er sprake is van een objectieve rechtvaardiging voor het gemaakte onderscheid.

Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. Het algoritme of AI-systeem mag in dat geval niet gebruikt worden. Bias vormt daarmee een risico op discriminatie.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#fairness","title":"Fairness","text":"

In de context van algoritmes en AI wordt de term unfairness gebruikt wanneer er sprake is van een ongerechtvaardigd onderscheid waarbij bepaalde groepen meer bevoordeeld worden dan andere.3 In de Nederlandse taal spreken we dan van oneerlijkheid of onrechtvaardigheid (of in positieve zin van respectievelijk fairness, eerlijkheid en rechtvaardigheid). Wanneer we het hebben over fairness hebben we het minder over de juridische kant van discriminatie en verboden onderscheid. Ook als er wel een objectieve rechtvaardiging bestaat voor een gemaakt onderscheid, kan afgevraagd worden of het gemaakte onderscheid ethisch wenselijk is.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#statistische-bias","title":"Statistische bias","text":"

Statistische bias wordt gedefinieerd als een consistente numerieke afwijking van een schatting ten opzichte van de werkelijke onderliggende waarde.1 Dit fenomeen kan in allerlei verschillende contexten plaatsvinden, niet alleen bij het gebruik van algoritmes of AI. Een voorbeeld is wanneer een bepaalde meting van een waarde niet goed gekalibreerd is en er sprake is van een consistente afwijking van de te meten waarde (bijvoorbeeld dat we consistent 10% hoger meten).

In de context van algoritmes en AI kan deze vorm van bias voorkomen wanneer er een steekproef wordt gebruikt die niet representatief is voor de populatie, en de schattingen op basis van de steekproef vervolgens systematisch afwijken van de werkelijke waarde in de gebruikte doelpopulatie. Statistische bias duidt op een systematische fout die gemaakt wordt door het algoritme. Deze fout kan hetzelfde zijn voor alle groepen en hoeft daardoor niet in alle gevallen te duiden op ongelijke behandeling of discriminerende effecten. Voorbeelden van statistische bias zijn meetfouten (measurement bias), foute data of data op een te simpele manier representeren (representatie bias).

"},{"location":"onderwerpen/bias-en-non-discriminatie/#systemische-bias","title":"Systemische bias","text":"

We spreken van systemische bias wanneer bepaalde processen of systemen op zo'n wijze worden gebruikt dat bepaalde groepen bevoordeeld worden en andere groepen benadeeld worden. Dit is vaak geen bewuste vorm van vooringenomenheid, maar kan bijvoorbeeld ontstaan doordat de meerderheid bestaande regels of normen volgt, en het systeem geoptimaliseerd is op de meerderheid. Systemische bias heeft een sterk institutioneel karakter. Systemische bias wordt daarom ook wel institutionele vooringenomenheid genoemd. Deze vooroordelen zijn vaak verweven in de bredere cultuur en samenleving, en zitten daardoor ook in veel datasets. Een veel voorkomend voorbeeld van systemische bias is historische bias.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#menselijke-bias","title":"Menselijke bias","text":"

Menselijke bias omvat systematische fouten in het menselijk denken. Deze (onbewuste) menselijke vooroordelen zijn vaak impliciet van aard en hebben betrekking op de manier waarop een individu bepaalde informatie waarneemt en verwerkt om bijvoorbeeld een beslissing te nemen. In de context van algoritmes kan deze vorm van bias invloed hebben op de verzamelde data, op de wijze waarop het algoritme wordt geoptimaliseerd en de besluiten die door mensen worden genomen op basis van het algoritme. Voorbeelden van vormen menselijke bias zijn wanneer er voorkeur wordt geven aan de voorspellingen van een algoritme die reeds bestaande overtuigingen bevestigen (bevestigingsbias), of wanneer mensen de neiging hebben om voorkeur te geven aan suggesties die door het algoritme worden gedaan (automatiseringsbias)

"},{"location":"onderwerpen/bias-en-non-discriminatie/#overzicht-van-gebruikte-definities","title":"Overzicht van gebruikte definities","text":"

Onderstaand bieden we een overzicht van de gebruikte definities in het algoritmekader die betrekking hebben op het onderwerp bias en non-discriminatie.

Term of begrip Definitie Bron direct onderscheid indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat Algemene wet gelijke behandeling indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat in vergelijking met andere personen bijzonder treft. Algemene wet gelijke behandeling discriminatie mensen anders behandelen, achterstellen of uitsluiten op basis van (persoonlijke) kenmerken. College voor de rechten van de mens directe discriminatie de ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader indirecte discriminatie wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader algoritmische fairness het vakgebied dat bestudeert hoe algoritmische systemen zich moeten gedragen om mensen eerlijk te behandelen, dat wil zeggen zonder discriminatie op grond van beschermde gevoelige kenmerken zoals leeftijd, geslacht, handicap, etnische of raciale afkomst, religie of geloofsovertuiging, of seksuele geaardheid The fairness handbook ground truth (NL vertaling?) waarde van de doelvariabele voor een bepaald item van gelabelde invoergegevens. 5 NEN-EN-ISO/IEC 22989:2023 en 4 etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader risicoprofiel Een verzameling van \u00e9\u00e9n of meer selectiecriteria op basis waarvan een bepaald risico op normovertreding wordt ingeschat en een selectiebeslissing wordt gemaakt. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader groep deelverzameling van objecten in een domein die zijn gekoppeld omdat ze gemeenschappelijke kenmerken hebben. ISO/IEC TR 24027:2021 en 4"},{"location":"onderwerpen/bias-en-non-discriminatie/#verschillende-vormen-van-bias","title":"Verschillende vormen van bias","text":"

Omdat bias op verschillende manieren kan ontstaan, zijn er allerlei verschillende vormen van bias, die hieronder gedefinieerd worden. Deze lijst is niet uitputtend.

Begrip Definitie Bron automatiseringsbias de neiging van mensen om de voorkeur te geven aan suggesties van geautomatiseerde besluitvormingssystemen en om tegenstrijdige informatie te negeren die zonder automatisering is verkregen, zelfs als deze correct is ISO/IEC TR 24027:2021 en 4 data bias dataeigenschappen die, als ze niet worden aangepakt, leiden tot AI-systemen die beter of slechter presteren voor verschillende groepen ISO/IEC TR 24027:2021 en 4 statistische bias soort consistente numerieke afwijking in een schatting ten opzichte van de werkelijke onderliggende waarde, inherent aan de meeste schattingen ISO/IEC TR 24027:2021 en 4 historische bias verwijzend naar de langdurige vooroordelen die in de loop der tijd in de samenleving zijn gecodeerd. Verwant aan, maar verschillend van, vooroordelen in historische beschrijving, of de interpretatie, analyse en verklaring van de geschiedenis. Een veel voorkomend voorbeeld van historische vooringenomenheid is de neiging om de wereld te bekijken vanuit een Westers of Europees perspectief NIST, Towards a Standard for identifying and managing bias in artificial intelligence activiteitenbias een soort selectievooroordeel dat optreedt wanneer systemen/platforms hun trainingsgegevens krijgen van de meest actieve gebruikers, in plaats van minder actieve (of inactieve) gebruikers. NIST, Towards a Standard for identifying and managing bias in artificial intelligence versterkingsbias ontstaat wanneer de verdeling over voorspellingsoutputs scheef is in vergelijking met de prior-verdeling van het voorspellingsdoel. NIST, Towards a Standard for identifying and managing bias in artificial intelligence cognitieve bias een brede term die in het algemeen verwijst naar een systematisch patroon van afwijking van rationele oordeels- en besluitvorming. In vele decennia van onderzoek naar oordeelsvorming en besluitvorming is een grote verscheidenheid aan cognitieve vertekeningen ge\u00efdentificeerd, waarvan sommige adaptieve mentale snelkoppelingen zijn die bekend staan als heuristieken. NIST, Towards a Standard for identifying and managing bias in artificial intelligence bevestigingsbias soort menselijke cognitieve bias die de voorkeur geeft aan voorspellingen van AI-systemen die reeds bestaande overtuigingen of hypotheses bevestigen ISO/IEC TR 24027:2021 en 4 implementatie bias ontstaat wanneer systemen worden gebruikt als beslissingshulp voor mensen, omdat de menselijke tussenpersoon kan handelen op voorspellingen op manieren die meestal niet zijn gemodelleerd in het systeem. Het zijn echter nog steeds individuen die het gebruikte systeem gebruiken NIST, Towards a Standard for identifying and managing bias in artificial intelligence evaluatie bias ontstaat wanneer de test- of externe benchmarkpopulaties niet in gelijke mate de verschillende delen van de gebruikerspopulatie vertegenwoordigen of door het gebruik van prestatiemaatstaven die niet geschikt zijn voor de manier waarop het model zal worden gebruikt NIST, Towards a Standard for identifying and managing bias in artificial intelligence meetbias ontstaat wanneer kenmerken en labels benaderingen zijn voor gewenste grootheden, waarbij mogelijk belangrijke factoren worden weggelaten of groeps- of ingangsafhankelijke ruis wordt ge\u00efntroduceerd die leidt tot differenti\u00eble prestaties. NIST, Towards a Standard for identifying and managing bias in artificial intelligence representatie bias ontstaat doordat subgroepen niet willekeurig worden geselecteerd in een steekproef, waardoor trends die voor \u00e9\u00e9n populatie worden geschat, niet generaliseerbaar zijn naar gegevens van een nieuwe populatie NIST, Towards a Standard for identifying and managing bias in artificial intelligence"},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatiegrond","title":"Discriminatiegrond","text":"

De discriminatiegrond beschrijft de beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Deze gronden zijn in verschillende bronnen vastgelegd.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#de-grondwet","title":"De grondwet","text":"

De Grondwet stelt dat discriminatie wegens:

niet is toegestaan.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#de-algemene-wet-gelijke-behandeling","title":"De Algemene wet gelijke behandeling","text":"

De Algemene wet gelijke behandeling legt een verbod onderscheid neer op grond van:

Het in deze wet neergelegde verbod van onderscheid geldt niet ten aanzien van indirect onderscheid indien dat onderscheid objectief gerechtvaardigd wordt door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#europees-verdrag-voor-de-rechten-van-de-mens","title":"Europees Verdrag voor de Rechten van de Mens","text":"

Het Europees Verdrag voor de Rechten van de Mens, artikel 14 stelt dat het genot van de rechten en vrijheden die in dat verdrag zijn vermeld, moet worden verzekerd zonder enig onderscheid op welke grond dan ook, zoals:

"},{"location":"onderwerpen/bias-en-non-discriminatie/#handvest-van-de-grondrechten-van-de-europese-unie","title":"Handvest van de grondrechten van de Europese Unie","text":"

Het Handvest van de grondrechten van de Europese Unie, artikel 21 stelt dat iedere discriminatie, met name op grond van:

is verboden. Daarnaast wordt expliciet vermeld dat binnen de werkingssfeer van de Verdragen en onverminderd de bijzondere bepalingen ervan, iedere discriminatie op grond van nationaliteit verboden is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"onderwerpen/bias-en-non-discriminatie/#vereisten","title":"Vereisten","text":"VereisteUitlegAI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen."},{"location":"onderwerpen/bias-en-non-discriminatie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectie"},{"location":"onderwerpen/bias-en-non-discriminatie/#mogelijke-hulpmiddelen-en-methoden","title":"Mogelijke hulpmiddelen en methoden","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#vereisten_1","title":"Vereisten","text":"VereisteUitlegAI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen."},{"location":"onderwerpen/bias-en-non-discriminatie/#maatregelen_1","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectie
  1. Zie ISO/IEC TR 24027:2021 en 4 \u21a9\u21a9

  2. Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9

  3. Zie NEN-EN-ISO/IEC 22989:2023 en 4 \u21a9

  4. Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9

  5. De term ground truth impliceert niet dat de gelabelde invoergegevens consistent overeenkomen met de werkelijke waarde van de doelvariabelen.\u00a0\u21a9

"},{"location":"onderwerpen/data/","title":"Data","text":"

Het ontwikkelen en gebruiken van algoritmes en AI-systemen kan niet gepaard gaan zonder het verwerken van data. In het geval van AI wordt data gebruikt om het algoritme te trainen, te valideren en te testen.

Wanneer beslissingen worden genomen op basis van de output van een algoritme of AI-systeem, dan wordt dit ook gedaan op basis van de onderliggende data. Om algoritmes en AI-systemen op een verantwoorde manier toe te passen, dient dus ook de data op een verantwoorde en rechtmatige manier te worden gebruikt.

In dit bouwblok werken we uit welke vereisten er zijn voor verantwoord datagebruik, en geven we praktische maatregelen hoe dit ingevuld kan worden binnen overheidsorganisaties. We zoeken hierbij de aansluiting op bestaande instrumenten, zoals de Toolbox verantwoord datagebruik.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/data/#vereisten","title":"Vereisten","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Auteursrechten mogen niet worden geschondenBepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Verbod op schenden databankenrechtenHet is verboden om zonder goedkeuring van de producent een databanken op te vragen en/of te hergebruiken.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaAI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria is te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief, accuraat en volledig zijn.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenVerdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan."},{"location":"onderwerpen/data/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegControleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is."},{"location":"onderwerpen/data/#nuttige-informatie","title":"Nuttige informatie","text":""},{"location":"onderwerpen/duurzaamheid/","title":"Duurzaamheid","text":"

Onze impact op natuur en milieu is groot. Er zijn grote doelen gesteld om duurzamer te gaan leven en werken. Binnen alle overheidsorganisaties, op allerlei verschillende gebieden, wordt gekeken hoe er duurzamer te werk kan worden gegaan, dus ook bij ICT-voorzieningen.

Bij het duurzamer maken van ICT kan gedacht worden aan de fysieke kant (hardware) en de digitale kant (software, algoritmes). Met betrekking tot hardware kan men bijvoorbeeld zo duurzaam mogelijk hardware inkopen (circulariteit van apparaten en materialen) en proberen de levensduur van apparaten en onderdelen te maximaliseren. Bij ontwikkeling en inzet van software, zoals algoritmen, zal gekeken moeten worden naar andere zaken, zoals energieverbruik van het trainen van complexe modellen. In het Algoritmekader gaan we specifiek in op deze duurzaamheidsaspecten van algoritmes en AI-systemen.

"},{"location":"onderwerpen/duurzaamheid/#duurzaamheid-algoritmes-en-ai-systemen","title":"Duurzaamheid algoritmes en AI-systemen","text":"

Het concept duurzaamheid is een groot en generiek begrip, dat vele sub-thema\u2019s introduceert. Deze thema\u2019s raken onder andere het ontwerp, de ontwikkeling en de inzet van algoritmes en AI-systemen. Met de opkomst van grotere en ingewikkeldere modellen, grotere datasets, en de groeiende interesse in (generatieve) AI, groeit ook het energie- en waterverbruik. Dit verbruik ontstaat ook bij het trainen van grotere en complexere rekenmodellen zoals Large Language Models, en de opslag van zeer grote (vaak multimediale) datasets in datacenter.

Dit bouwblok van het Algoritmekader biedt een gestructureerd overzicht van vereisten, maatregelen en instrumenten die ondersteunen bij het ontwikkelen en toepassen van algoritmes en AI-systemen op een duurzame wijze. Zo kunnen bewuste keuzes worden gemaakt die niet alleen voldoen aan de functionaliteiten, maar ook bijdragen aan de Sustainable Development Goals (SDG's) en de doelstellingen uit het Nederlandse klimaatakkoord. Bij duurzame ontwikkeling en toepassing van algoritmes kan bijvoorbeeld gedacht worden aan energie-effici\u00ebnte programmering en duurzaam datacenterbeheer.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vindt je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/duurzaamheid/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"onderwerpen/duurzaamheid/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg"},{"location":"onderwerpen/fundamentele-rechten/","title":"Fundamentele rechten","text":"

Wanneer overheden publieke taken uitvoeren, dienen fundamentele rechten van burgers te worden beschermd. Dat geldt ook als overheden gebruik maken van algoritmes of AI-systemen om hun plublieke taken uit te voeren.

In Nederland beschermen we onze grondrechten met de Grondwet en met (internationale) mensenrechtenverdragen, zoals het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Mensenrechtenverdragen bevatten een aantal fundamentele rechten en vrijheden die niet in de Grondwet staan.

Afhankelijk van de werking van algoritmes en AI-systemen en de publieke taak die wordt ondersteund, kunnen verschillende grondrechten worden geraakt. Denk hierbij aan het verbod op ongelijke behandeling of het recht op eerbiediging van de persoonlijke levenssfeer. Het is van belang hier in een vroeg stadium aandacht aan te besteden door dit te analyseren. Een zorgvuldige aanpak tijdens de ontwikkeling van een algoritme kan ervoor zorgen dat er tijdig wordt geanticipeerd en maatregelen worden getroffen om een ongerechtvaardigde inbreuk op grondrechten te voorkomen.

Een aantal wezenlijke grondrechten die vaak worden geraakt met de inzet van algoritmen en AI, komen ook afzonderlijk in andere onderdelen van het Algoritmekader aan bod.

Dit geldt bijvoorbeeld op het recht op persoonsgegevensbescherming in het bouwblok Privacy en gegevensbescherming of het verbod op ongelijke behandeling in het bouwblok Bias en non-discriminatie.

In dit bouwblok van het algoritmekader beschrijven we wat de vereisten zijn rondom het beschermen van fundamentele rechten. Vervolgens worden deze vereisten ook vertaald in praktische maatregelen en instrumenten die overheden kunnen toepassen om invulling te geven aan deze vereisten.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

Onderdeel van het bouwblok Fundamentele rechten is het onderwerp Bias en non-discriminatie.

"},{"location":"onderwerpen/fundamentele-rechten/#vereisten","title":"Vereisten","text":"VereisteUitlegBeoordeling van grondrechtenVoordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.Beschermen van fundamentele rechten en vrijhedenFundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.AI-systemen en algoritmes mogen niet discriminerenOverheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.Klachtrecht aanbieders verder in AI-waardeketenAanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.Recht op uitleg AI-besluitenElke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.Veilig melden van inbreuk op AI verordeningInbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.Risicobeoordeling voor jongeren en kwetsbarenBij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.Verboden toepassingen bij evaluatie of classificatie van personen of groepen personenHet in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft; i) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld; ii) de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"onderwerpen/fundamentele-rechten/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBetrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden."},{"location":"onderwerpen/fundamentele-rechten/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen."},{"location":"onderwerpen/menselijke-controle/","title":"Menselijke controle","text":"

Bij het uitvoeren van publieke taken is het van belang dat natuurlijke personen kunnen controleren of deze taken correct worden uitgevoerd en dat er kan worden bijgestuurd als dat nodig is. Datzelfde geldt voor als een overheidsinstantie algoritmes of AI-systemen gebruiken bij het ondersteunen van deze taken. Het is van belang dat zowel bij de ontwikkeling en als het gebruik door natuurlijke personen kan worden ingegrepen en dat er sprake is van betekenisvolle menselijke tussenkomst waar dat nodig is. Hier kan worden gedacht aan het verkeerd (gaan) werken van een AI-systeem en dat hierdoor de output onbetrouwbaar en onjuist wordt. In dergelijke gevallen zal een natuurlijk persoon in staat moeten zijn om deze situatie te signaleren en het algoritme of AI-systeem (tijdelijk) te kunnen stoppen.

Het verschilt, afgewogen tegen de potenti\u00eble negatieve gevolgen of risico's voor personen, welke mechanismen moeten worden ingericht in en rondom algoritmes en AI-systemen. Hoog risico AI-systemen zullen een intensiever inrichting van menselijke controle nodig hebben, bijvoorbeeld met meerdere mensen die de output controleren, dan algoritmes die niet impact vol zijn. Om deze controles uit te kunnen voeren zullen deze personen moeten beschikken over de noodzakelijke competenties, opleiding en bevoegdheden om deze taak uit te voeren. Er zullen ook functionele eisen aan het systeem moeten worden gesteld, zodat ook daadwerkelijk kan worden ingegrepen. Hierbij kan worden gedacht aan een stopknop die kan worden gebruikt waarmee die werking van het algoritme of AI-systeem kan worden gepauzeerd. Gedurende de gehele levenscyclus is het van belang dat menselijke controle wordt gepositioneerd en dat bijbehorende taken goed kunnen worden uitgevoerd.

In dit bouwblok van het Algoritmekader wordt uitgewerkt aan welke vereisten moet worden voldaan met betrekking menselijke controle. Dit wordt aangevuld met praktische maatregelen die kunnen worden toegepast ter inspiratie voor organisaties. Deze vereisten en maatregelen worden gekoppeld aan de levenscyclus, zodat zowel bij de ontwikkeling als het gebruik kan worden geraadpleegd hoe organisaties invulling kunnen geven aan menselijk controle.

"},{"location":"onderwerpen/menselijke-controle/#vereisten","title":"Vereisten","text":"VereisteUitlegBevorder AI-geletterdheid van personeel en gebruikersAanbieders en exploitanten van AI-systemen moeten ervoor zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemGebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI VerordeningToezichtmogelijkheden voor gebruikersAI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen."},{"location":"onderwerpen/menselijke-controle/#maatregelen","title":"Maatregelen","text":""},{"location":"onderwerpen/privacy-en-gegevensbescherming/","title":"Privacy en gegevensbescherming","text":"

Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te cre\u00ebren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.

Bij het gebruik van algoritmes en AI-systemen is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologie\u00ebn vari\u00ebren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico\u2019s. Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico\u2019s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.

Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.

Het bouwblok privacy en gegevensbescherming van algoritmen en AI-systemen wordt ook ge\u00efntegreerd in de algoritmelevenscyclus. Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmen en AI-systemen moeten worden toegepast. Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden ge\u00efmplementeerd.

"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#vereisten","title":"Vereisten","text":"VereisteUitlegDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Proportionaliteit en subsidiariteitProportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI-systeem en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan redelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritme of AI-systeem moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.Beperkte bewaartermijn van persoonsgegevensPersoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.Verantwoordelijkheden worden toegewezen en beschrevenBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.Beveiliging van de verwerkingVoor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.Een DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.PrivacyrechtenBetrokkenen kunnen een beroep doen op hun privacyrechten.Juistheid en actualiteit van gegevensDe te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.Persoonsgegevens verzamelen voor specifieke doeleindenDe verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.Monitoring na het in handel brengenAanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.Verwerking van persoonsgegevens moet rechtmatig plaatsvindenDe verwerking van persoonsgegevens moet rechtmatig plaatsvinden. De verwerking (inclusief het verzamelen) moet worden gebaseerd op een van de wettelijke grondslagen die zijn genoemd in de AVG.Privacy door ontwerpPas privacy en gegevensbescherming toe door goed ontwerp en door standaardinstellingenRecht op niet geautomatiseerde besluitvormingMensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verantwoordingsplicht voor de rechtmatigheid van de verwerkingBij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijken kunnen aantonen dat de verwerking rechtmatig is.Verdere verwerking van persoonsgegevens in AI-testomgevingenRechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensBijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering."},{"location":"onderwerpen/privacy-en-gegevensbescherming/#maatregelen","title":"Maatregelen","text":""},{"location":"onderwerpen/privacy-en-gegevensbescherming/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegData Protection Impact AssessmentDe DPIA is een instrument om vooraf de privacyrisico\u2019s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico\u2019s te verkleinen. De DPIA zorgt voor naleving van de wetgeving inzake gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie."},{"location":"onderwerpen/publieke-inkoop/","title":"Publieke inkoop","text":"

Door middel van publieke inkoop wordt door overheidsinstellingen software ingekocht. Deze software wordt ingekocht om ambtenaren te ondersteunen met hun werkzaamheden om zo maatschappelijk waarden te cre\u00ebren. Het kan bijvoorbeeld gaan om het inkopen van een systeem waarmee een aanvraag voor een subsidie of vergunning kan worden behandeld. Het virtueel vergaderen of het digitaal samenwerken aan documenten zijn hier ook voorbeelden van.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

Software met algoritmen en AI wordt vaak ontwikkeld door gespecialiseerde aanbieders en bevat steeds meer algoritmen en AI. Het komt ook voor dat de overheid deze technologie zelf ontwikkelt. Deze algoritmen en AI kunnen eenvoudig van aard zijn, zoals het maken van een eenvoudige berekening. Zij kunnen complexer van aard zijn, zoals een voorspelling geven of het genereren van informatie. In het laatste geval kan worden gedacht aan ChatGPT, Google Bard of Co-Pilot. Er zijn verschillende type technologie\u00ebn die vallen onder het bereik van algoritmen en AI. In dit kader drukken we deze uit als \u2018rekenregel\u2019, \u2018machine learning\u2019 en \u2018generatieve AI\u2019. Elke technologie heeft eigen bijzondere aandachtspunten. Ook de bijbehorende risico\u2019s kunnen per type verschillen. Het identificeren van deze risico\u2019s en het treffen van beheersmaatregelen is daarbij van belang. Dat geldt in het bijzonder als algoritmen en AI bijdragen aan de totstandkoming van overheidsbesluitvorming en impactvolle beslissingen die burgers en ondernemingen raken.

Door bij publieke inkoop van software met algoritmen en AI rekening te houden met vereisten die voorkomen uit wet- en regelgeving, toepassen van publieke waarden, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen. Publieke inkoop speelt daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren. In dit deel van het Algoritmekader wordt nader ingegaan op deze vereisten. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd en welke rollen daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is.

Het publiek inkopen van algoritmen en AI wordt ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten en maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd. Door deze vereisten ook te vertalen naar het inkoopproces, zullen de rollen binnen het inkoopproces beter in staat zijn om te duiden wanneer en hoe dit kan worden geadresseerd. Dit moet bijdragen aan een goed samenspel met aanbieders, zodat de kansen van algoritmen en AI worden benut en de negatieve gevolgen worden voorkomen.

"},{"location":"onderwerpen/publieke-inkoop/#algoritme-levenscyclus","title":"Algoritme levenscyclus","text":"

Algoritmen en AI kunnen een grote impact hebben op onze maatschappij. Daarom is het van belang dat deze op een verantwoorde manier worden ontwikkeld en gebruikt. Het toepassen van de algoritme levenscyclus is hierover een bruikbare leidraad. De algoritme levenscyclus bestaat uit meerdere fasen. De werkzaamheden die noodzakelijk zijn om een verantwoord algoritme of AI te ontwikkelen, kunnen logisch worden gekoppeld aan deze fasen. Deze levenscyclus kan worden gebruikt voor alle typen algoritmen en AI. Het verschilt uiteraard wel per type wat moet worden gedaan en dit is mede afhankelijk van de risico classificatie. Bij hoge risico toepassing zal meer moeten worden gedaan om risico\u2019s te mitigeren dan als er sprake is van lage risico toepassingen. De levenscyclus geeft een bruikbaar overzicht voor leveranciers en opdrachtgevers wanneer welke werkzaamheden moeten worden uitgevoerd. Het laat ook zien welke werkzaamheden moeten zijn afgerond als algoritmen en AI in de markt mogen worden gezet en klaar zijn voor gebruik.

Bij het publiek inkopen van software met bijbehorende algoritmen en AI zijn de wensen van de behoeftesteller en de doelstellingen van de organisatie van groot belang. Dit kan tot verschillende situaties leiden:

\u2022 Een al ontwikkelde kant-en-klare oplossing voldoet direct aan deze wensen en doelstellingen;

\u2022 Een al ontwikkelde oplossing moet eerst worden aangepast voordat deze kan worden gebruikt;

\u2022 Er moet een nieuwe oplossing worden ontwikkeld om te voldoen aan de wensen.

Deze inschatting is dus bepalend wat wel en niet van een product mag worden verwacht. Dit is relevant voor zowel de leverancier als de opdrachtgever. Het is aannemelijk dat als het om risicovolle (nog te ontwikkelen) algoritmen of AI gaat, de opdrachtgever een intensieve bijdrage moet leveren aan de samenwerking om het product te kunnen gebruiken. De opdrachtgever zal bijvoorbeeld moeten aangeven wat de juridische en ethische grenzen zijn van de uiteindelijk werking van het algoritme of AI. Als een kant-en-klare oplossing wordt afgenomen, dan zal de leverancier moeten laten zien dat de ontwikkelde algoritmen en AI voldoen aan alle vereisten en moet dit kunnen aantonen.

De inzichten uit de algoritme levenscyclus kunnen ondersteunen bij bijvoorbeeld de behoeftestelling, het maken van make-or-buy beslissingen, de te hanteren aanbestedingsvorm, de totstandkoming van de selectie- en gunningseisen, contractspecificaties en de uitvoering en management van het contract. De algoritme levenscyclus kan worden geraadpleegd via het tabblad boven aan deze pagina. Per fase en per type algoritme of AI kan worden bekeken aan welke vereisten moet worden voldaan en welke beheersmaatregelen kunnen worden getroffen.

"},{"location":"onderwerpen/publieke-inkoop/#vereisten","title":"Vereisten","text":"

Nagenoeg alle vereisten die gelden voor algoritmen en AI kunnen een plek krijgen in het publiek inkoopproces. Daarom is ervoor gekozen om hier niet een opsomming te geven van al deze vereisten, maar verwijzen we naar het onderdeel vereisten in het Algoritmekader.

In de laag van 'maatregelen' wordt ook uitgewerkt wat vanuit publieke inkoop kan worden gedaan om op een betekenisvolle wijze invulling aan te geven aan de betreffende vereiste. Daarvoor kan ook op het tabblad 'publieke inkoop' worden geklikt om deze maatregelen te filteren.

Zie hieronder bij bruikbare informatie en bronnen in het bijzonder de Europese modelcontractbepaling voor (niet) hoog risico AI-systemen en contractvoorwaarden voor algoritmen. Dit geeft een beeld hoe de vereisten onderdeel kunnen worden gemaakt van contractvoorwaarden.

"},{"location":"onderwerpen/publieke-inkoop/#maatregelen","title":"Maatregelen","text":"

Hieronder volgt een overzicht van de maatregelen die (voor zover zijn uitgewerkt) kunnen worden getroffen om invulling te geven aan de vereisten.

MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Er wordt momenteel hard gewerkt, mede door de Werkgroep Publieke Inkoop, om maatregelen te defini\u00ebren vanuit het perspectief publieke inkoop bij de vereisten. Mocht er iets niet kloppen, laat het ons weten via GitHub of via algoritmes@minbzk.nl.

"},{"location":"onderwerpen/publieke-inkoop/#instrumenten","title":"Instrumenten","text":"

Hieronder volgt een overzicht van instrumenten die kunnen worden gebruikt om invulling te geven aan de vereisten en maatregelen.

InstrumentUitlegModelcontractbepalingenModelbepalingen kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen."},{"location":"onderwerpen/publieke-inkoop/#bruikbare-informatie-en-bronnen","title":"Bruikbare informatie en bronnen","text":"

Europese modelcontractbepalingen AI-systemen (hoog risico)

Europese modelcontractbepalingen AI-systemen (niet hoog risico)

Contractvoorwaarden voor algoritmen gemeente Amsterdam

Inkoopproces

Community of Practise Digitale Innovatie

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/","title":"Technische robuustheid en veiligheid","text":"

Wanneer algoritmes of AI-systemen worden gebruikt om publieke taken uit te voeren, dient het onderliggende systeem voldoende robuust en veilig te zijn.

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#technische-robuustheid","title":"Technische robuustheid","text":"

De technische robuustheid van een algoritme of AI-systeem beschrijft het vermogen om het gewenste prestatieniveau onder alle omstandigheden te handhaven 1. Dit betekent dat algoritmes en AI-systemen vergelijkbaar moeten presteren ondanks externe of zware veranderingen in de omgeving. Robuustheid kan daarnaast ook duiden op eigenschappen als veerkracht, betrouwbaarheid en nauwkeurigheid van het systeem.

Wanneer het algoritme of het AI-systeem niet voldoet aan de eisen wat betreft robuustheid, nauwkeurigheid of de prestaties van het systeem, voordat het systeem in gebruik is genomen kan het systeem onbedoelde schade aanrichten voor betrokkenen, bijvoorbeeld door negatieve impact op grondrechten wanneer resultaten onjuist of niet worden gegenereerd of ge\u00efnterpreteerd.

Er moeten technische en organisatorische maatregelen getroffen worden om de robuustheid van algoritmes en AI-systemen te waarborgen. Dit kunnen bijvoorbeeld maatregelen zijn bestaande uit vooraf bepaalde mechanismen die het systeem in staat stellen om de werking veilig te onderbreken wanneer daar redenen voor zijn of wanneer de prestaties van het algoritme buiten vooraf bepaalde grenzen treedt.

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#veiligheid","title":"Veiligheid","text":"

Naast robuustheid dient het onderliggende systeem ook voldoende beveiligd te zijn, zodat het systeem weerbaar is tegen pogingen het systeem te wijzigen en onrechtmatig gebruik door derden, en die onbedoelde schade tot een minimum beperkt. Om te zorgen voor een passend niveau van cyberbeveiliging die aansluit op de risico's van het systeem, dienen er passende maatregelen zoals veiligheidscontroles genomen te worden. Daarbij dient er rekening te worden gehouden met de onderliggende ICT-infrastructuur.

In dit bouwblok van het algoritmekader werken we uit aan welke vereisten er voldaan moet worden om de technische robuustheid en veiligheid te waarborgen. Dit wordt aangevuld met praktische maatregelen en instrumenten die gebruikt en toegepast kunnen worden om invulling te geven aan deze vereisten.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#vereisten","title":"Vereisten","text":"VereisteUitlegAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het modelDe archiefwet is ook van toepassing op algoritmes en AI-systemenVolgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over algoritmes en AI moet daarom bewaard en vernietigd worden.Automatische logregistratie voor hoog-risico AIAI-systemen met een hoog risico zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).Beveiliging informatie en informatiesystemenInformatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieDe aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.Bewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevensOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingAI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.Technische documentatie voor hoog-risico AIDe technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen. De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV. 1. Een algemene beschrijving van het AI-syseem. 2. Een gedetailleerde beschrijving van de elementen van het AI systeem en het proces voor de ontwikkeling ervan. 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem. 4. Een beschrijving van de geschiktheid van de prestatiestatistieken. 5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening. 6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht. 7. Een lijst van normen die worden toegepast. 8. Een exemplaar van de EU-conformiteitsverklaring. 9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening."},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAselecte steekproevenUitvoeren van aselecte steekproeven aanvullend op risicogestuurde selectieMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.
  1. Zie NEN-EN-ISO/IEC 22989:2023 en 2 \u21a9

  2. Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9

"},{"location":"onderwerpen/transparantie/","title":"Transparantie","text":"

Om openheid te bieden en controleerbaar te zijn moeten overheidsinstanties transparant zijn over inzet van algoritmen en AI-systemen.

Het is van belang dat overheden nadenken over hun besluitvormingsprocessen en dat zij de werking en toegevoegde waarde van het inzetten van een algoritme kunnen uitleggen. Dit is bijzonder relevant als een algoritme of AI-systeem, al dan niet geautomatiseerd, impact heeft op besluitvorming die burgers raakt.

Als burgers geen kennis kunnen nemen van de gebruikte algoritmes en in hoeverre diens output hen raakt, worden ze onrechtmatig beperkt in de mogelijkheid om zicht te verdedigen tegen nadelige gevolgen zoals discriminatie of een onjuist genomen beslissing of besluit. Daarnaast versterkt transparantie de controlerende functie van burgers en journalistiek, omdat burgers kunnen aangeven of een uitleg over een algoritmisch systeem duidelijk is en of zij de werking van het systeem hetzelfde ervaren.

Transparantie bij algoritmes en AI gaat zowel over het bekendmaken van de inzet en bijbehorende doelen, als ook over openheid van het type model en de gebruikte factoren. Gebruikers moeten in staat zijn om de werking en de output van een algoritme of AI-systeem te begrijpen, zodat zij onderbouwde beslissingen of besluiten kunnen nemen. Dit betekent bijvoorbeeld ook dat gebruikers bewust moet worden gemaakt dat zij communiceren of samenwerken met een algoritme of AI-systeem, dat zij worden ge\u00efnformeerd over de mogelijkheden en beperkingen van een systeem en dat betrokkenen worden ge\u00efnformeerd over hun rechten.

In dit bouwblok van het algoritmekader besteden we aandacht aan transparantie naar gebruikers en betrokkenen, transparantie door documentatie en opname in het algoritmeregister, uitlegbaarheid en traceerbaarheid van een besluit. Hier worden de vereisten uitgewerkt die bestaan op basis van wet- en regelgeving en bestaand beleid met betrekking tot transparantie van algoritmen en AI. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen en welke rollen betrokken kunnen zijn. Waar mogelijk worden voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de levenscyclus van een algoritme. Dit geeft een beeld van wanneer vereisten of maatregelen met betrekking tot transparantie, bij het ontwikkelen en gebruiken van algoritmen en AI, moeten en kunnen worden geadresseerd.

Opmerking

Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.

"},{"location":"onderwerpen/transparantie/#vereisten","title":"Vereisten","text":"VereisteUitlegImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterHet publiceren van impactvolle algoritmes en AI draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemGebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.Eenieder heeft recht op toegang tot publieke informatieEen bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.Transparantie in ontwerp voor hoog-risico AIAI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.Transparantie bij verwerking persoonsgegevensDe verwerking van persoonsgegevens moet transparant zijn.Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren."},{"location":"onderwerpen/transparantie/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterEen politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem."},{"location":"onderwerpen/transparantie/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen.AlgoritmeregisterHet Algoritmeregister is de plek waar overheden informatie over hun algoritmes kunnen publiceren."},{"location":"overhetalgoritmekader/","title":"Over het Algoritmekader","text":"

Het Algoritmekader is een hulpmiddel voor overheden die algoritmes of AI (artifici\u00eble intelligentie) gebruiken. Hierin vind je de wetten en regels, hulpmiddelen en adviezen per situatie. De informatie in het Algoritmekader is nog niet betrouwbaar. Het is een b\u00e8taversie. De definitieve versie verschijnt eind 2024.

"},{"location":"overhetalgoritmekader/#verantwoord-gebruik-van-algoritmes-en-ai","title":"Verantwoord gebruik van algoritmes en AI","text":"

In het Algoritmekader vind je informatie over verantwoord gebruik van algoritmes en AI. Bijvoorbeeld:

De informatie is bedoeld voor medewerkers van de rijksoverheid, provincies, gemeentes en waterschappen.

"},{"location":"overhetalgoritmekader/#informatie-van-de-overheid","title":"Informatie van de overheid","text":"

Het Algoritmekader is een website van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het team Data, AI en Algoritmes stelt de informatie samen, op basis van:

"},{"location":"overhetalgoritmekader/#versies","title":"Versies","text":"

Algoritmekader is de nieuwe naam van het Implementatiekader 'Verantwoorde inzet van algoritmen'. Dit rapport is de eerste versie. Door het verder ontwikkelen van dit rapport ontstond de website Algoritmekader.

Sindsdien verschijnt elke maand een nieuwe b\u00e8taversie van het Algoritmekader. Deze b\u00e8taversies zijn nog niet betrouwbaar. De informatie is onvolledig. Er kunnen fouten in staan.

Versie 2.0 is de definitieve, betrouwbare versie van het Algoritmekader. Deze versie verschijnt eind 2024.

"},{"location":"overhetalgoritmekader/#iedereen-mag-meedenken","title":"Iedereen mag meedenken","text":"

De informatie in het Algoritmekader komt open source tot stand. Dat betekent dat iedereen kan meekijken en zijn mening mag geven, of een voorstel mag doen:

"},{"location":"overhetalgoritmekader/#nieuwsbrief","title":"Nieuwsbrief","text":"

Via onze maandelijkse Nieuwsbrief Algoritmes blijf je op de hoogte over de ontwikkelingen van het Algoritmekader.

"},{"location":"overhetalgoritmekader/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/","title":"Bijdragen aan het Algoritmekader","text":"

Allereerst, bedankt dat je de tijd hebt genomen om een bijdrage te leveren! \u2764\ufe0f

We waarderen alle soorten bijdragen enorm. Zie die Inhoudsopgave voor verschillende manieren waarop je kan bijdragen aan het Algoritmekader. Zorg ervoor dat je de relevante hoofdstukken even leest voordat je een bijdrage levert. Het zal het voor het team van het Algoritmekader een stuk makkelijker maken en de ervaring voor alle betrokkenen soepeler laten verlopen. We kijken uit naar alle bijdragen! \ud83c\udf89

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#opmerking","title":"Opmerking","text":"

Werken in Github is voor het team Algoritmekader nieuw en experimenteel. Dit vraagt voor ons om een aangepaste werkwijze en hier is bepaalde expertise voor nodig. Het begin is gemaakt en het team Algoritmekader is nog lerende om hier optimaal invulling aan te geven. Hierdoor kan het iets langer duren voordat er wordt gereageerd op suggesties of toevoegingen. We werken aan een duidelijk proces om hier goed mee om te gaan (deze guidelines zijn daar een voorbeeld van). Daarnaast werken we niet aan alle bouwblokken tegelijk. Deze worden \u00e9\u00e9n voor \u00e9\u00e9n opgepakt. Aanbevelingen over onderwerpen die later op de planning staan kunnen daardoor ook iets langer duren om te verwerken, en worden mogelijk pas verwerkt wanneer dit bouwblok wordt uitgewerkt.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#inhoudsopgave","title":"Inhoudsopgave","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#code-of-conduct","title":"Code of Conduct","text":"

Dit project en iedereen die eraan deelneemt, valt onder de Code of Conduct. Door deel te nemen, wordt van je verwacht dat je je aan deze code houdt. Meld onacceptabel gedrag aan algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-heb-een-vraag","title":"Ik heb een vraag","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#maak-een-issue-aan","title":"Maak een issue aan","text":"

Voordat je een Issues gaat aanmaken, kan je bekijken of jouw vraag al tussen de bestaande Issues staat. Wellicht staat er al een issue tussen die jou vraag kan beantwoorden.

Als je jouw vraag nog steeds wilt stellen, kan je een Issue aanmaken.

  1. Gebruik daarvoor de knop new issue.
  2. Schrijf je vraag of opmerking is en geef een heldere toelichting.
  3. Anderen kunnen nu opmerkingen toevoegen aan jouw issue.
  4. Het team van het Algoritmekader zal deze issue labelen als question en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#stel-een-vraag-via-mail","title":"Stel een vraag via mail","text":"

Je kan je vragen ook altijd stellen door een mail te sturen naar algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-iets-bijdragen","title":"Ik wil iets bijdragen","text":"

Er zijn verschillende manieren waarop je kan bijdragen. Zie hieronder de mogelijkheden.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ter-kennisgeving","title":"Ter kennisgeving","text":"

Wanneer je bijdraagt aan dit project, moet je ermee akkoord gaan dat je 100% van de inhoud hebt geschreven, dat je de benodigde rechten op de inhoud hebt en dat de inhoud die je bijdraagt mag worden geleverd onder de Code of Conduct.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#sluit-je-aan-bij-een-werkgroep","title":"Sluit je aan bij een werkgroep","text":"

Voor sommige bouwblokken wordt er gewerkt met werkgroepen, om de informatie verder uit te werken. Deelname aan een werkgroep kost tijd. Werkgroepen komen regelmatig bij elkaar, en tussendoor worden bepaalde zaken uitgewerkt door werkgroepleden. Wil je op \u00e9\u00e9n van de onderwerpen meewerken? Stuur dan een bericht naar algoritmes@minbzk.nl.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#neem-deel-aan-een-sprint-review-klankbord-demo","title":"Neem deel aan een sprint review / klankbord / demo","text":"

Het team van het algoritmekader werkt in sprints van ongeveer 3 weken. Daarin werken we toe naar de volgende release van het Algoritmekader. Ongeveer eens in de 6 weken vindt er een nieuwe release plaats. Wanneer er een release is, wordt deze altijd toegelicht en gepresenteerd in een open online review / demo. Deze kan je vrijblijvend volgen. Zo blijf je op de hoogte en kun je een bijdrage leveren. Bekijk de agenda op Algoritmes Pleio voor de komende bijeenkomsten.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-fout-of-bug-melden","title":"Ik wil een fout of bug melden","text":"

Heb je een foutje gevonden in het Algoritmekader? Dan kan je deze melden door een Issue aan te maken.

Voordat je een Issues gaat aanmaken, kan je bekijken of jouw gevonden fout al tussen de bestaande Issues staat.

Als je de gevonden fout nog steeds wilt melden, kan je een Issue aanmaken.

  1. Gebruik daarvoor de knop new issue.
  2. Beschrijf de fout duidelijk en geef een heldere toelichting. Voeg waar mogelijk een screenshot toe.
  3. Het team van het Algoritmekader zal deze issue labelen als bug en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-verbetering-voorstellen","title":"Ik wil een verbetering voorstellen","text":"

Heb je een suggestie of wil je een verbetering voorstellen? Dat kan gaan om een compleet nieuwe functionaliteit van de site of om kleine verbeteringen. Het volgen van onderstaande instructie helpt het team van het algoritmekader om je suggestie te begrijpen en gerelateerde suggesties te vinden.

Je kan een suggestie doen door een Issue aan te maken of door een Pull Request te maken.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#voordat-je-een-suggestie-gaat-maken","title":"Voordat je een suggestie gaat maken","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#een-issue-aanmaken","title":"Een issue aanmaken","text":"

Als je jouw suggestie nog steeds wilt doen, kan je een Issue aanmaken.

  1. Gebruik daarvoor de knop new issue.
  2. Beschrijf duidelijk jouw suggestie en geef een heldere toelichting en onderbouwing waarom dit een goede toevoeging zal zijn aan het Algoritmekader
  3. Het team van het Algoritmekader zal deze issue labelen als enhancement en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.

Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#een-pull-request-maken","title":"Een pull-request maken","text":"

Kun je niet uit de voeten met de issues? Bijvoorbeeld omdat je verschillende wijzigingsvoorstellen wilt doen? Je kan ook gebruik maken van een Fork en een Pull Request.

Het team van Algoritmekader bekijkt daarna jouw aanpassingen en kan bij akkoord jouw aanpassingen mergen. Er zijn ook andere manieren om een pull request te doen. Meer daarover.

Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#preview-van-een-pull-request","title":"Preview van een pull-request","text":"

We maken gebruik van de tool pr-preview-action om automatisch previews te maken van een pull-request. Dit maakt het mogelijk om de wijzigingen die zijn gedaan in een pull-request al te bekijken in de uiteindelijke omgeving. Wanneer er een pull-request gedaan wordt via een fork, leidt dit helaas tot een error, zie Issue #79. Dit blokkeert de pull-request niet.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#hoe-we-werken-op-github","title":"Hoe we werken op Github","text":"

We werken met Markdown bestanden. Dit is bestandsformaat voor platte tekstbestanden en wordt door veel verschillende tools ondersteund. Dit maakt het eenvoudig om versiebeheer op het Algoritmekader toe te passen.

Daarnaast maken gebruik van mkdocs en material for mkdocs om de informatie op een interactieve wijze inzichtelijk te maken op de website van het Algoritmekader.

"},{"location":"overhetalgoritmekader/CONTRIBUTING/#wil-je-een-nieuwe-pagina-aanmaken","title":"Wil je een nieuwe pagina aanmaken?","text":"

In het mkdocs.yml bestand staan de settings voor deze website. In principe hoef je hier niets aan aan te passen, maar als je een nieuwe pagina wilt aanmaken kan het nodig zijn om hier een aanpassing in te doen. Onderdeel van deze settings is namelijk de navigatie voor de site (welke pagina's zijn zichtbaar, en welke pagina's vallen daaronder). Dit staat in de nav: sectie. Indien je een nieuwe pagina wilt toevoegen, is het vaak nodig deze wijziging ook door te voeren in het mkdocs.yml bestand.

"},{"location":"overhetalgoritmekader/definities/","title":"Definities","text":"

Welke definities gebruikt het Algoritmekader? Je vindt een overzicht op deze pagina. Deze definities komen overeen met de definities van het het Algoritmeregister, zie daarvoor de Handreiking Algoritmeregister.

"},{"location":"overhetalgoritmekader/definities/#definitie-van-een-algoritme","title":"Definitie van een algoritme","text":"

Er zijn veel definities van een algoritme. Voor het algoritmekader hanteren we de definitie van de Algemene Rekenkamer:

'Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden.\u2019

Dit is een brede definitie die de maximale reikwijdte weergeeft van algoritmes waarvoor het Algoritmekader relevant is. Waar de definitie van de Algemene Rekenkamer schrijft \u201com een probleem op te lossen of een vraag te beantwoorden\u201d, verstaan we daar ook onder \u201com een taak of proces uit te voeren of tot een besluit te komen\u201d. In het uitvoeren van een taak of het komen tot een besluit kunnen \u00e9\u00e9n of meer algoritmes voorkomen. Daarnaast hebben we het bij het Algoritmekader over zowel Artifici\u00eble Intelligentie (AI) als algoritmes. De essentie is dat AI is opgebouwd uit algoritmes. Maar niet alle algoritmes zijn AI.

Gebruikte terminologie

De termen hoog-risico, impactvol, AI en Algoritmes worden veel door elkaar gebruikt. Wij hanteren uitsluitend de volgende twee termen:

  1. Hoog-risico AI (-systeem) Hiermee bedoelen we altijd de definitie zoals deze in de AI-verordening wordt gehanteerd.

  2. Impactvolle algoritmes Dit betreft de minimale reikwijdte van het Algoritmekader. Het omvat de hoog-risico AI-systemen zoals gedefinieerd in de AI-verordening \u00e9n de algoritmes die we daarnaast als impactvol beschouwen.

"},{"location":"overhetalgoritmekader/definities/#relatie-scope-algoritmekader-en-de-ai-verordening","title":"Relatie scope Algoritmekader en de AI-Verordening","text":"

Op dit moment wordt op EU-niveau de AI-verordening ontwikkeld, die naar verwachting van toepassing wordt op een deel van de algoritmes in gebruik bij de overheid. In de AI-verordening zijn AI-systemen onderverdeeld in verschillende categorie\u00ebn: verboden praktijken, hoog-risico AI-systemen, AI-systemen met manipulatierisico\u2019s en AI-systemen met geen/minimale risico\u2019s. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen waar die systemen aan moeten voldoen.

Het Algoritmekader is hoe dan ook relevant voor hoog-risico AI-systemen volgens de definitie van de AI-verordening. Een AI-systeem is hoog-risico als het voldoet aan de volgende eisen: 1. Het AI-systeem valt onder de definitie van AI-systemen in artikel 3 lid 1 van de verordening en moet o.a. autonome elementen bevatten, en

  1. Het AI-systeem wordt in een van de toepassingsgebieden van ANNEX III ingezet zoals biometrie, kritieke infrastructuur en rechtshandhaving. Bovenstaande betreft een versimpelde beschrijving van de AI-verordening. In bijlage 2 van de Handreiking Algoritmeregister is meer informatie te vinden over de AI-verordening. Aangezien de AI-verordening nog in onderhandeling is, bestaat de kans dat de classificatie van hoog-risico AI-systemen nog wordt aangepast.
"},{"location":"overhetalgoritmekader/definities/#definitie-van-impactvolle-algoritmes","title":"Definitie van impactvolle algoritmes","text":"

Om te bepalen of een algoritme in aanmerking komt voor publicatie in het Algoritmeregister, is een hulpmiddel 'Selectie' gemaakt. Het zijn dezelfde algoritmes die relevant zijn voor het Algoritmekader. Dit hulpmiddel wordt hieronder weergegeven in de figuur, en is ook leidend voor het Algoritmekader.

Voor meer toelichting over dit hulpmiddel verwijzen we naar de Handreiking Algoritmeregister.

"},{"location":"overhetalgoritmekader/definities/#begrippenlijst","title":"Begrippenlijst","text":"Begrip Definitie aanbieder Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merk, al dan niet tegen betaling. aanbieders Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merknaam, al dan niet tegen betaling. aanbieder verder in de AI-waardeketen Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het AI-model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen aangemelde instantie Een conformiteitsbeoordelingsinstantie die overeenkomstig de AI-verordening en andere relevante harmonisatiewetgeving van de Unie is aangemeld aanmeldende autoriteit De nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan AI-bureau De taak van de Commissie waarbij zij bijdraagt aan de uitvoering van, de monitoring van en het toezicht op AI-systemen en AI-modellen voor algemene doeleinden, en AI-governance, als bepaald in het besluit van de Commissie van 24 januari 2024; verwijzingen in deze verordening naar het AI-bureau worden begrepen als verwijzingen naar de Commissie AI-geletterheid Vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen, rekening houdend met hun respectieve rechten en plichten in het kader van de de AI-verordening, in staat stellen met kennis van zaken AI-systemen in te zetten en zich bewuster te worden van de kansen en risico\u2019s van AI en de mogelijke schade die zij kan veroorzaken AI-model voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-modellen voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-systeem een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen; AI-systeem voor algemene doeleinden Een AI-systeem dat is gebaseerd op een AI-model voor algemene doeleinden en dat verschillende doeleinden kan dienen, zowel voor direct gebruik als voor integratie in andere AI-systemen AI-testomgeving voor regelgeving Een door een bevoegde autoriteit opgezet gecontroleerd kader dat aanbieders of toekomstige aanbieders van AI-systemen de mogelijkheid biedt een innovatief AI-systeem te ontwikkelen, trainen, valideren en testen, zo nodig onder re\u00eble omstandigheden, volgens een testomgevingsplan, voor een beperkte periode en onder begeleiding van een toezichthouder. algoritme Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden auteursrecht Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. beoogd doel Het gebruik waarvoor een AI-systeem door de aanbieder is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de aanbieder in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt bijzondere categorie\u00ebn persoonsgegevens De categorie\u00ebn persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679, artikel 10 van Richtlijn (EU) 2016/680 en artikel 10, lid 1, van Verordening (EU) 2018/1725 biometrische gegevens Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijk persoon, zoals gezichtsafbeeldingen of vingerafdrukgegevens biometrische identificatie De geautomatiseerde herkenning van fysieke, fysiologische, gedragsgerelateerde of psychologische menselijke kenmerken om de identiteit van een natuurlijk persoon vast te stellen door biometrische gegevens van die persoon te vergelijken met in een databank opgeslagen biometrische gegevens van personen biometrische verificatie De geautomatiseerde \u00e9\u00e9n-op-\u00e9\u00e9nverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens capaciteiten met een grote impact Capaciteiten die overeenkomen met of groter zijn dan de capaciteiten die worden opgetekend bij de meest geavanceerde AI-modellen voor algemene doeleinden. CE-markering Een markering waarmee een aanbieder aangeeft dat een AI-systeem in overeenstemming is met de voorschriften van hoofdstuk III, afdeling 2, van de AI-Verordening en andere toepasselijke harmonisatiewetgeving van de Unie, die in het aanbrengen ervan voorzien conformiteitsbeoordeling Het proces waarbij de naleving wordt aangetoond van de voorschriften van hoofdstuk III, afdeling 2 van de AI-Verordening in verband met een AI-systeem met een hoog risico deepfake Door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien direct onderscheid Indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat; directe discriminatie De ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte. distributeur Een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie op de markt aanbiedt downstreamaanbieder Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat geharmoniseerde norm Een geharmoniseerde norm zoals gedefinieerd in artikel 2, lid 1,punt c), van Verordening (EU) nr. 1025/2012 gemeenschappelijke specificatie een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in de AI-verordening gebruiksinstructies de door de aanbieder verstrekte informatie om de gebruiksverantwoordelijke te informeren over met name het beoogde doel en juiste gebruik van een AI-systeem gebruiksverantwoordelijke Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet- beroepsactiviteit. geharmoniseerde norm Een Europese norm die op verzoek van de Commissie is vastgesteld met het oog op de toepassing van harmonisatiewetgeving van de Unie ge\u00efnformeerde toestemming De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing om deel te nemen gemachtigde Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een schriftelijke machtiging heeft gekregen en aanvaard van een aanbieder van een AI-systeem of een AI-model voor algemene doeleinden om namens die aanbieder de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren; gemeenschappelijke specificatie Een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in deze verordening gevoelige operationele gegevens Operationele gegevens met betrekking tot activiteiten op het gebied van preventie, opsporing, onderzoek of vervolging van strafbare feiten waarvan de openbaarmaking de integriteit van strafprocedures in het gedrang zou kunnen brengen governance Governance gaat over de inrichting van een organisatie en daar bijbehorende processen, regels, gebruiken en bijbehorende verantwoordelijkheden importeur Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een AI-systeem in de handel brengt dat de naam of merknaam van een in een derde land gevestigde natuurlijke of rechtspersoon draagt in de handel brengen Het voor het eerst in de Unie op de markt aanbieden van een AI-systeem of een AI-model voor algemene doeleinden in gebruik stellen De directe levering van een AI-systeem door de aanbieder aan de gebruiksverantwoordelijke voor het eerste gebruik of voor eigen gebruik in de Unie voor het beoogde doel indirect onderscheid Indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat in vergelijking met andere personen bijzonder treft. indirecte discriminatie Wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. inputdata Data die in een AI-systeem worden ingevoerd of direct door een AI-systeem worden verworven en op basis waarvan het systeem een output genereert kritieke infrastructuur Kritieke infrastructuur zoals gedefinieerd in artikel 2, punt 4, van Richtlijn (EU) 2022/2557 legaliteitsbeginsel Het legaliteitsbeginsel houdt in dat alle overheidsoptreden moet berusten op een overeenstemmen met - kenbare en voldoende specifieke - algemene regels. markttoezichtautoriteit De nationale autoriteit die de activiteiten verricht en maatregelen neemt als bedoeld in Verordening (EU) 2019/1020 nationale bevoegde autoriteit Een aanmeldende autoriteit of een de markttoezichtautoriteit; wat betreft AI-systemen die door instellingen, organen en instanties van de EU in gebruik worden gesteld of worden gebruikt, worden verwijzingen naar nationale bevoegde autoriteiten of markttoezichtautoriteiten in deze verordening begrepen als verwijzingen naar de Europese Toezichthouder voor gegevensbescherming norm Een norm is een vrijwillige afspraak tussen partijen over een product, dienst of proces. Normen zijn geen wetten, maar \u2019best practices\u2019. Iedereen kan - op vrijwillige basis - hier zijn voordeel mee doen. In zakelijke overeenkomsten hebben normen een belangrijke functie. Ze bieden marktpartijen duidelijkheid over en vertrouwen in producten, diensten of organisaties en dagen de maatschappij uit te innoveren. NEN-normen worden ontwikkeld door inhoudsexperts en specialisten op het gebied van normontwikkeling. normalisatie Normalisatie is het proces om te komen tot een norm. Dit proces is open, transparant en gericht op consensus en vindt plaats in normcommissies die bestaan uit vertegenwoordigers van alle betrokken partijen. Dit gebeurt niet alleen op nationaal niveau, maar ook in Europees en mondiaal verband. objectieve rechtvaardiging Van een objectieve rechtvaardiging voor onderscheid is sprake wanneer onderscheid een legitiem doel nastreeft en er een redelijke relatie van evenredigheid bestaat tussen het gemaakte onderscheid en het nagestreefde doel. op de markt aanbieden Het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een AI-systeem of een AI-model voor algemene doeleinden met het oog op distributie of gebruik op de markt van de Unie operator Een aanbieder, productfabrikant, gebruiksverantwoordelijke, gemachtigde, importeur of distributeur prestaties van een AI-systeem Het vermogen van een AI-systeem om het beoogde doel te verwezenlijken plan voor testen onder re\u00eble omstandigheden Een document waarin de doelstellingen, methode, geografische reikwijdte, betrokken personen, duur, monitoring, organisatie en wijze van uitvoering van een test onder re\u00eble omstandigheden worden omschreven proceseigenaar De proceseigenaar is verantwoordelijk voor de kwaliteit van het proces en de vastlegging daarvan in een processchema proefpersoon In het kader van tests onder re\u00eble omstandigheden: een natuurlijk persoon die deelneemt aan een test onder re\u00eble omstandigheden publieke inkoop De verwerving van werken, leveringen of diensten door een overheid of publieke organisatie, van de markt of een andere externe instantie, terwijl zij tegelijkertijd publieke waarde cre\u00ebren en waarborgen vanuit het perspectief van de eigen organisatie. redelijkerwijs te voorzien misbruik Het gebruik van een AI-systeem op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of redelijkerwijs te voorziene interactie met andere systemen, waaronder andere AI-systemen risico De combinatie van de kans op schade en de ernst van die schade; substanti\u00eble wijziging Een verandering van een AI-systeem nadat dit in de handel is gebracht of in gebruik is gesteld, die door de aanbieder niet is voorzien of gepland in de initi\u00eble conformiteitsbeoordeling en als gevolg waarvan de overeenstemming van het AI-systeem met de voorschriften van hoofdstuk III, afdeling 2, AI-Verordening wordt be\u00efnvloed, of die leidt tot een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld systeem voor monitoring na het in de handel brengen Alle door aanbieders van AI-systemen verrichte activiteiten voor het verzamelen en evalueren van ervaringen met door hen in de handel gebrachte of in gebruik gestelde AI-systemen, teneinde te kunnen vaststellen of er onmiddellijk corrigerende dan wel preventieve maatregelen nodig zijn systeem voor het herkennen van emoties Een AI-systeem dat is bedoeld voor het vaststellen of afleiden van de emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens systeem voor biometrische categorisering Een AI-systeem dat is bedoeld voor het indelen van natuurlijke personen in specifieke categorie\u00ebn op basis van hun biometrische gegevens, tenzij dit een aanvulling vormt op een andere commerci\u00eble dienst en om objectieve technische redenen strikt noodzakelijk is systeem voor biometrische identificatie op afstand Een AI-systeem dat is bedoeld voor het identificeren van natuurlijke personen, zonder dat zij daar actief bij betrokken zijn en doorgaans van een afstand, door middel van vergelijking van de biometrische gegevens van een persoon met de biometrische gegevens die zijn opgenomen in een referentiedatabank systeem voor biometrische identificatie op afstand in real time Een systeem voor biometrische identificatie op afstand, waarbij het vastleggen van biometrische gegevens, de vergelijking en de identificatie zonder significante vertraging plaatsvinden, zowel wanneer de identificatie niet enkel onmiddellijk plaatsvindt, maar ook wanneer de identificatie met beperkte korte vertragingen plaatsvindt, om omzeiling te voorkomen systeem voor biometrische identificatie op afstand achteraf Een ander biometrisch systeem voor de identificatie op afstand dan een systeem voor biometrische identificatie op afstand in real time systeemrisico Een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleinden, die aanzienlijke gevolgen hebben voor de markt van de Unie vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid terugroepen van een AI-systeem Een maatregel gericht op het retourneren aan de aanbieder, het buiten gebruik stellen of het onbruikbaar maken van een AI-systeem dat aan gebruiksverantwoordelijken ter beschikking is gesteld testdata Data die worden gebruikt voor het verrichten van een onafhankelijke evaluatie van het AI-systeem om de verwachte prestaties van dat systeem te bevestigen voordat het in de handel wordt gebracht of in gebruik wordt gesteld testomgevingsplan Tussen de deelnemende aanbieder en de bevoegde autoriteit overeengekomen document waarin de doelstellingen, de voorwaarden, het tijdschema, de methode en de vereisten voor de in de testomgeving uitgevoerde activiteiten worden beschreven testen onder re\u00eble omstandigheden Het tijdelijk testen van een AI-systeem voor zijn beoogde doel onder re\u00eble omstandigheden buiten een laboratorium of anderszins gesimuleerde omgeving teneinde betrouwbare en robuuste gegevens te verkrijgen, en te beoordelen en te verifi\u00ebren of het AI-systeem overeenstemt met de voorschriften van de AI-verordening en het wordt niet aangemerkt als het in de handel brengen of in gebruik stellen van het AI-systeem in de zin van de AI-verordening, mits aan alle in artikel 57 of 60 vastgestelde voorwaarden is voldaan toestemming met kennis van zaken De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing deel te nemen trainingsdata Data die worden gebruikt voor het trainen van een AI-systeem door de leerbare parameters hiervan aan te passen uit de handel nemen van een AI-systeem Een maatregel waarmee wordt beoogd te voorkomen dat een AI-systeem dat zich in de toeleveringsketen bevindt, op de markt wordt aangeboden validatiedata Data die worden gebruikt voor het verrichten van een evaluatie van het getrainde AI-systeem en voor het afstemmen van onder andere de niet-leerbare parameters en het leerproces ervan, om underfitting of overfitting te voorkomen validatiedataset Een afzonderlijke dataset of deel van de trainingsdataset, als vaste of variabele opdeling. veiligheidscomponent Een component van een product of systeem die een veiligheidsfunctie voor dat product of systeem vervult of waarvan het falen of gebrekkig functioneren de gezondheid en veiligheid van personen of eigendom in gevaar brengt verwerker Een .. rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. verwerkersverantwoordelijke Een rechtspersoon of overheidsinstantie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt zwevendekommabewerking of \u201cfloating-point operation (FLOP) Elke wiskundige bewerking of toewijzing met zwevendekommagetallen, die een subset vormen van de re\u00eble getallen die gewoonlijk op computers worden gerepresenteerd door een geheel getal met een vaste precisie, geschaald door een gehele exponent van een vaste basis

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/","title":"Rollen","text":"

Verantwoord gebruik van algoritmes en AI-systemen is mogelijk als mensen in verschillende rollen goed samenwerken, op het juiste moment.

"},{"location":"rollen/#bepaal-zelf-rollen-en-verantwoordelijkheden","title":"Bepaal zelf rollen en verantwoordelijkheden","text":"

Als organisatie bepaal je zelf de namen van je rollen of functies en de taken en verantwoordelijkheden die hierbij horen. Misschien heb je bijvoorbeeld minder rollen, omdat je verschillende expertises combineert in 1 rol. Of rollen hebben andere namen.

"},{"location":"rollen/#voorbeelden-van-rollen","title":"Voorbeelden van rollen","text":"

We adviseren de volgende rollen bij het gebruik van algoritmes. Andere rollen zijn ook mogelijk.

"},{"location":"rollen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"rollen/aanbestedingsjurist/","title":"Aanbestedingsjurist","text":""},{"location":"rollen/aanbestedingsjurist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/aanbestedingsjurist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/aanbieder/","title":"Aanbieder","text":""},{"location":"rollen/aanbieder/#vereisten","title":"Vereisten","text":"VereisteUitlegVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt."},{"location":"rollen/aanbieder/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/archiefdeskundige/","title":"Archiefdeskundige","text":""},{"location":"rollen/archiefdeskundige/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/archiefdeskundige/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/architect/","title":"Architect","text":""},{"location":"rollen/architect/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/architect/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/behoeftesteller/","title":"Behoeftesteller","text":""},{"location":"rollen/behoeftesteller/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/behoeftesteller/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/beleidsmedewerker/","title":"Beleidsmedewerker","text":""},{"location":"rollen/beleidsmedewerker/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/beleidsmedewerker/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/communicatieadviseur/","title":"Communicatieadviseur","text":""},{"location":"rollen/communicatieadviseur/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/communicatieadviseur/#maatregelen","title":"Maatregelen","text":"MaatregelUitleg

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/contractbeheerder/","title":"Contractbeheerder","text":""},{"location":"rollen/contractbeheerder/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/contractbeheerder/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/data-engineer/","title":"Data engineer","text":""},{"location":"rollen/data-engineer/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/data-engineer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/data-scientist/","title":"Data scientist","text":""},{"location":"rollen/data-scientist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/data-scientist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/domeinspecialist/","title":"Domeinspecialist","text":""},{"location":"rollen/domeinspecialist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/domeinspecialist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegFormuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/ethicus/","title":"Ethicus","text":""},{"location":"rollen/ethicus/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/ethicus/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanKwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/gebruiker/","title":"Gebruiker","text":""},{"location":"rollen/gebruiker/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/gebruiker/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/gemandateerd-verantwoordelijke/","title":"Gemandateerd verantwoordelijke(n)","text":""},{"location":"rollen/gemandateerd-verantwoordelijke/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/gemandateerd-verantwoordelijke/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/informatie-analist/","title":"Informatie analist","text":""},{"location":"rollen/informatie-analist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/informatie-analist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/informatiebeheerder/","title":"Informatiebeheerder","text":""},{"location":"rollen/informatiebeheerder/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/informatiebeheerder/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/inkoopadviseur/","title":"Inkoopadviseur","text":""},{"location":"rollen/inkoopadviseur/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/inkoopadviseur/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/jurist/","title":"Jurist","text":""},{"location":"rollen/jurist/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/jurist/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanControleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/opdrachtgever/","title":"Opdrachtgever","text":""},{"location":"rollen/opdrachtgever/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/opdrachtgever/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegFormuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/opdrachtnemer/","title":"Opdrachtnemer","text":""},{"location":"rollen/opdrachtnemer/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/opdrachtnemer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/privacy-officer/","title":"Privacy-officer","text":""},{"location":"rollen/privacy-officer/#vereisten","title":"Vereisten","text":"VereisteUitlegEen DPIA is verplicht bij hoog risicoEen Data Protection Impact Assessment (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd."},{"location":"rollen/privacy-officer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/proceseigenaar/","title":"Proceseigenaar","text":""},{"location":"rollen/proceseigenaar/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/proceseigenaar/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Archiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Maak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is of gaat worden en van voldoende kwaliteit is.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/projectleider/","title":"Projectleider","text":""},{"location":"rollen/projectleider/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/projectleider/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Betrek belanghebbendenBreng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Kwetsbare groepen in kaart brengen en beschermenBepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of de er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"rollen/security-officer/","title":"Security officer","text":""},{"location":"rollen/security-officer/#vereisten","title":"Vereisten","text":"VereisteUitleg"},{"location":"rollen/security-officer/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.

"},{"location":"vereisten/","title":"Vereisten","text":"

Overzicht van vereisten voor overheden die algoritmes of AI-systemen ontwikkelen of gebruiken.

"},{"location":"vereisten/#wetten-en-regels","title":"Wetten en regels","text":"

De vereisten zijn gebaseerd op de wetten en regels voor het uitvoeren van wettelijke taken, zoals de:

Bij elke vereiste staat dit er duidelijk bij.

"},{"location":"vereisten/#aantal-vereisten-verschilt-per-situatie","title":"Aantal vereisten verschilt per situatie","text":"

Welke vereisten gelden voor jouw organisatie, hangt af van:

"},{"location":"vereisten/#voorbeeld","title":"Voorbeeld","text":"

Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister.

Deze vereiste geldt alleen voor impactvolle algoritmes en hoog-risico-AI-systemen. Een niet-impactvolle rekenregel hoef je niet te registreren.

"},{"location":"vereisten/#overzicht-vereisten","title":"Overzicht vereisten","text":""},{"location":"vereisten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.

"},{"location":"vereisten/CE_markering_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem","text":"

OntwikkelenVerificatie en validatieImplementatieGovernance

"},{"location":"vereisten/CE_markering_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.

"},{"location":"vereisten/CE_markering_hoog_risico/#toelichting","title":"Toelichting","text":"

Op AI-systemen met een hoog risico moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met de AI-verordening, zodat het vrije verkeer ervan op de interne markt mogelijk is. Op AI-systemen met een hoog risico die in een product zijn ge\u00efntegreerd moet een fysieke CE-markering worden aangebracht, die kan worden aangevuld met een digitale CE-markering. Voor AI-systemen met een hoog risico die alleen digitaal worden verstrekt, moet een digitale CE-markering worden gebruikt. De lidstaten mogen het in de handel brengen en het in gebruik stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.

"},{"location":"vereisten/CE_markering_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(h) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 48 CE-markering - AI verordening"},{"location":"vereisten/CE_markering_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/CE_markering_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/CE_markering_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op","text":"

Verificatie en validatieImplementatieGovernance

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op.

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#toelichting","title":"Toelichting","text":"

Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. De aanbieder stelt voor elk AI-systeem met een hoog risico een schriftelijke machineleesbare, fysieke of elektronisch ondertekende EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in gebruik stellen van het AI-systeem met een hoog risico ter beschikking van de nationale bevoegde autoriteiten. De conformiteitsverklaring bevat de informatie zoals genoemd in bijlage V AI-verordening. Voorbeelden hiervan zijn de naam en type van het AI-systeem, naam en adres van de aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste relevante geharmoniseerde normen of van andere gemeenschappelijke specificaties waarop de conformiteitsverklaring betrekking heeft.

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(g) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 47(1) EU-conformiteitsverklaring - AI verordening Bijlage V AI Verordening"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenAanbiederGovernance

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen voor algemene doeleinden zijn verplicht om gedetailleerde technische documentatie bij te houden, inclusief informatie over hoe het model is getraind, getest en ge\u00ebvalueerd. Deze documentatie moet voldoen aan de minimale vereisten zoals uiteengezet in bijlage XI van de AI-verordening. Hierbij kan worden gedacht aan taken die het model uitvoert en het type en de aard van AI-systemen waarin het kan worden ge\u00efntegreerd, acceptabel gebruiks beleid, architectuur, het aantal paramaters, licentie, specificaties van het ontwerp van het model, het trainingsproces, informatie over de gegevens die zijn verwerkt en een gedetailleerde beschrijving van de evaluatiestrategie\u00ebn. Zie bijlage XI voor het gehele overzicht.

Op verzoek moeten deze documenten beschikbaar zijn voor zowel het AI-bureau als de nationale bevoegde autoriteiten, wat essentieel is om te zorgen voor transparantie en naleving van de voorschriften.

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#bronnen","title":"Bronnen","text":"Bron Artikel 53 Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden- AI verordening Bijlage XI AI Verordening"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#risico","title":"Risico","text":"

Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.

"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#toelichting","title":"Toelichting","text":"

Op verzoek van een nationale bevoegde autoriteit moeten aanbieders van AI-systemen met een hoog risico aantonen dat het betreffende systeem voldoet aan de eisen.

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(k) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen. Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potenti\u00eble cyberdreigingen. Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#bronnen","title":"Bronnen","text":"Bron Artikel 55(1d) Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden met een systeemrisico- AI verordening"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#risico","title":"Risico","text":"

Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij","text":"

Verificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#bronnen","title":"Bronnen","text":"Bron Artikel 55(1c) Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden met een systeemrisico- AI verordening"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#risico","title":"Risico","text":"

Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.

"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/algoritmeregister/","title":"Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie

"},{"location":"vereisten/algoritmeregister/#vereiste","title":"Vereiste","text":"

Bestuursorganen publiceren algoritmes met impact en hoog-risico AI-systemen in het Nederlandse Algoritmeregister.

"},{"location":"vereisten/algoritmeregister/#toelichting","title":"Toelichting","text":"

Het publiceren van impactvolle algoritmes en AI-systemen draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.

"},{"location":"vereisten/algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Handreiking Algoritmeregister Geactualiseerde Werkagenda Waardengedreven Digitaliseren 2024 Kamerbrieven"},{"location":"vereisten/algoritmeregister/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/algoritmeregister/#risico","title":"Risico","text":"

Door het niet publiceren van impactvolle of hoog risico AI -systemen in het Algoritmeregister, is het voor betrokkenen of belanghebbenden minder goed mogelijk om de overheid kritisch te volgen, te bevragen en te controleren op de inzet van deze technologie\u00ebn die hen kunnen raken. Bij het onjuist of onvolledig publiceren in het Algortimeregister ontstaat er een risico dat betrokkenen en belanghebbenden onjuiste inschattingen maken over het gebruik van het algoritme of het AI-systeem en daardoor in hun rechten worden beperkt.

"},{"location":"vereisten/algoritmeregister/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Neem technische documentatie op in het algoritmeregisterNeem geschikte informatie uit technische documentatie op in het algoritmeregisterPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen."},{"location":"vereisten/algoritmeregister/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegAlgoritmeregisterHet Algoritmeregister is de plek waar overheden informatie over hun algoritmes kunnen publiceren."},{"location":"vereisten/archiefwet/","title":"De archiefwet is ook van toepassing op algoritmes en AI-systemen","text":"

UitfaserenImplementatieMonitoring en beheerTechnische robuustheid en veiligheidGovernanceDataPrivacy en gegevensbescherming

"},{"location":"vereisten/archiefwet/#vereiste","title":"Vereiste","text":"

Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.

"},{"location":"vereisten/archiefwet/#toelichting","title":"Toelichting","text":"

Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over en van algoritmes en AI moet daarom bewaard en vernietigd worden.

"},{"location":"vereisten/archiefwet/#bronnen","title":"Bronnen","text":"Bron Artikel 3 Archiefwet 1995 Artikel 15 lid 2 Archiefwet 1995 Archiefbesluit 1995 Archiefregeling"},{"location":"vereisten/archiefwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/archiefwet/#risico","title":"Risico","text":"

Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes en AI aan hebben bijgedragen, tot stand zijn gekomen. Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.

"},{"location":"vereisten/archiefwet/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegArchiveren beperkingen openbaarheidStel vast of beperkingen aan openbaarheid van de archiefbescheiden moeten worden gesteld.Vaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden zijn duurzaam toegankelijkStel vast hoe de archiefbescheiden op een duurzame wijze toegankelijk kunnen worden gemaakt.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Stel archiefbescheiden vastStel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/auteursrechten/","title":"Auteursrechten mogen niet worden geschonden","text":"

Dataverkenning en datapreparatieOntwerpDataGovernance

"},{"location":"vereisten/auteursrechten/#vereiste","title":"Vereiste","text":"

Auteursrechten mogen niet geschonden worden bij het ontwikkelen en gebruiken van algoritmes en AI.

"},{"location":"vereisten/auteursrechten/#toelichting","title":"Toelichting","text":"

Bepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.

"},{"location":"vereisten/auteursrechten/#bronnen","title":"Bronnen","text":"Bron Artikel 1 Auteurswet Artikel 4-9 Auteurswet Artikel 10 Auteurswet Artikel 13 Auteurswet Artikel 15n jo. 15o Auteurswet Artikel 3 en 4 van de DSM-richtlijn (EU 2019/790)"},{"location":"vereisten/auteursrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/auteursrechten/#risico","title":"Risico","text":"

Het niet voldoen aan het auteursrecht in AI-systemen en algoritmes kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht. Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.

"},{"location":"vereisten/auteursrechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Controleren eigen data op schending auteursrechtenControleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingMaak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Contractuele afspraken over data en artefactenMaak (contractuele) afspraken met aanbieder wie eigenaar is van de data en artefacten die ontstaan bij het gebruik van algoritmen en AI-systemen.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenVerken of aanbieder maatregelen heeft genomen om te voorkomen dat auteursrechten worden geschonden.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktMaak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/automatische_logregistratie/","title":"Automatische logregistratie voor hoog-risico AI","text":"

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/automatische_logregistratie/#vereiste","title":"Vereiste","text":"

Algoritmes en AI-systemen zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).

"},{"location":"vereisten/automatische_logregistratie/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als \"logs\". Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken. Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert.

Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in: a) de registratie van de duur van elk gebruik van het systeem; b) de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem; c) de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd; d) de identificatie van natuurlijke personen die betrokken zijn bij de verificatie van de resultaten.

Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systmen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.

"},{"location":"vereisten/automatische_logregistratie/#bronnen","title":"Bronnen","text":"Bron Artikel 12 Registratie- AI verordening Baseline Informatiebeveiliging Overheid hoofdstuk 12.4 Artikel 5 en 32 AVG"},{"location":"vereisten/automatische_logregistratie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/automatische_logregistratie/#risico","title":"Risico","text":"

Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert en betrokkenen wiens persoonsgegevens worden verwerkt of geraakt worden door beslissingen van het AI-systeem in hun rechten kunnen worden beperkt.

"},{"location":"vereisten/automatische_logregistratie/#wanneer-van-toepassing_1","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/automatische_logregistratie/#risico_1","title":"Risico","text":"

Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert.

"},{"location":"vereisten/automatische_logregistratie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/","title":"Proportionaliteit en subsidiariteit","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#vereiste","title":"Vereiste","text":"

Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#toelichting","title":"Toelichting","text":"

Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes en AI moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#bronnen","title":"Bronnen","text":"Bron Overweging 170 Algemene Verordening Gegevensbescherming Artikel 5(4) Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 Artikel 52 Handvest van de Grondrechten van de Europese Unie Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 Artikel 1.10, 1.13 en 1.16 Aanbestedingswet 2012 Artikel 5(1)(c) Algemene Verordening Gegevensbescherming"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#risico","title":"Risico","text":"

Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.

"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie."},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/","title":"Beoordeling van grondrechten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerFundamentele rechten

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#vereiste","title":"Vereiste","text":"

Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#toelichting","title":"Toelichting","text":"

Voordat een AI-systeem met een hoog risico in gebruik wordt genomen, moeten publieke instellingen of particuliere entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van de impact op de grondrechten die het gebruik ervan kan hebben. Deze evaluatie is bedoeld om potenti\u00eble risico's te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om deze risico's te beheersen. Het doel is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren waar deze systemen cruciale diensten leveren aan het publiek.

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#bronnen","title":"Bronnen","text":"Bron Artikel 27(1) Beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico- AI verordening Artikel 6 lid 2 AI-verordening Punt 2 en punt 5 bij Bijlage III AI-verordening"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#risico","title":"Risico","text":"

Het niet uitvoeren van deze beoordeling kan leiden tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende entiteiten.

"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen."},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/","title":"Beperkte bewaartermijn van persoonsgegevens","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.

In de context van algoritmes en AI is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan. Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder de AVG"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#risico","title":"Risico","text":"

Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.

"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/","title":"Verantwoordelijkheden worden toegewezen en beschreven","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De verantwoordelijkheden bij de verwerking van persoonsgegevens voor algoritmes en AI-systemen moeten zijn beschreven en zijn toegekend.

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen inzake de verwerking van persoonsgegevens en kan deze aantonen (\"verantwoordingsplicht\").

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 24, 26, 27, 28 en 29, 5 lid 2 AVG"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#risico","title":"Risico","text":"

Door rollen en verantwoordelijkheden rondom de verwerking van persoonsgegevens niet te duiden en te beleggen, ontstaat het risico dat persoonsgegevens onrechtmatig on onveilig worden verwerkt.

"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/","title":"Beveiliging informatie en informatiesystemen","text":"

OntwerpImplementatieMonitoring en beheerDataverkenning en datapreparatieVerificatie en validatieUitfaserenTechnische robuustheid en veiligheid

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#vereiste","title":"Vereiste","text":"

Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#toelichting","title":"Toelichting","text":"

Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Besluit voorschrift informatiebeveiliging rijksdienst 2007"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#risico","title":"Risico","text":"

Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.

"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegMaak back-ups van algoritmesBack-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen liefst regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een wijzigingenproces in voor codewijzigingenRicht een formeel wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden.Richt gebruikersbeheer inRicht gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat.Richt wachtwoordbeheer inRicht wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectHet is van belang dat een risico-analyse op het gebied van informatiebeveiliging wordt uitgevoerd met een aanbieder van algoritmes of AI-systemen in het geval van een uitbestedingstraject.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/beveiliging_van_verwerking/","title":"Beveiliging van de verwerking","text":"

Dataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenPrivacy en gegevensbeschermingData

"},{"location":"vereisten/beveiliging_van_verwerking/#vereiste","title":"Vereiste","text":"

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

"},{"location":"vereisten/beveiliging_van_verwerking/#toelichting","title":"Toelichting","text":"

Voor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.

"},{"location":"vereisten/beveiliging_van_verwerking/#bronnen","title":"Bronnen","text":"Bron Artikel 32 Algemene Verordening Gegevensbescherming"},{"location":"vereisten/beveiliging_van_verwerking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beveiliging_van_verwerking/#risico","title":"Risico","text":"

Er kunnen risico's ontstaan zoals potenti\u00eble cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.

"},{"location":"vereisten/beveiliging_van_verwerking/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren van persoonsgegevens bij het verwerken van de data.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegZorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Pas het principe van security by design toeDoor security by design toe te passen, kunnen kwetsbaarheden in de software worden voorkomen nog voordat deze wordt ontwikkeld.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/","title":"Bevorder AI-geletterdheid van personeel en gebruikers","text":"

ProbleemanalyseOntwerpImplementatieMonitoring en beheerMenselijke controleGovernance

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#vereiste","title":"Vereiste","text":"

Aanbieders en exploitanten van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#toelichting","title":"Toelichting","text":"

Aanbieders en exploitanten van AI-systemen nemen maatregelen om ervoor te zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Daarnaast moet er worden ingezet op het delen van ervaringen, passend onderwijs en opleiding van inidividuen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#bronnen","title":"Bronnen","text":"Bron Artikel 4 Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#risico","title":"Risico","text":"

Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt. Dit kan leiden tot ineffici\u00ebntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.

"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingLaat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald gebruikt kan worden na implementatie als het systeem in productie c.q. in gebruik is.Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenLaat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden."},{"location":"vereisten/bewaartermijn_voor_documentatie/","title":"Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie","text":"

OntwerpOntwikkelenMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#vereiste","title":"Vereiste","text":"

De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten: a) de technische documentatie als bedoeld in artikel 11 van de AI-verordening; b) de documentatie betreffende het in artikel 17 bedoelde systeem voor kwaliteitsbeheer; c) in voorkomend geval de documentatie betreffende de door aangemelde instanties goedgekeurde wijzigingen; d) in voorkomend geval de besluiten en andere documenten die door de aangemelde instanties zijn afgegeven; e) de EU-conformiteitsverklaring als bedoeld in artikel 47.

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#toelichting","title":"Toelichting","text":"

De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#bronnen","title":"Bronnen","text":"Bron Artikel 18(1) Verordening Artifi\u00eble Intelligentie Artikel 16(d) Verordening Artifi\u00eble Intelligentie"},{"location":"vereisten/bewaartermijn_voor_documentatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/bewaartermijn_voor_documentatie/#risico","title":"Risico","text":"

Niet voldoen aan de bewaartermijn kan leiden tot juridische consequenties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.

"},{"location":"vereisten/bewaartermijn_voor_documentatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegVaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen en de vernietiging correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende systemen. Controleer of deze maatregelen zijn getroffen en zorg dat dit aantoonbaar is.Bespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegVaststellen bewaartermijnen voor archiefbescheidenStel de bewaartermijnen vast voor de archiefbescheiden.Archiefbescheiden vaststellenStel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/","title":"Bewaartermijn voor gegenereerde logs","text":"

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen aan de relevante voorschriften en verantwoordingsplicht.

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#bronnen","title":"Bronnen","text":"Bron Artikel 19(1) Automatisch gegenereerde logs- AI verordening Artikel 16(e) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening Artikel 12(1) Registratie- AI verordening"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#risico","title":"Risico","text":"

Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.

"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenDoor goede logging is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail). MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit","text":"

Verificatie en validatieImplementatieGovernance

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd voor het systeem op de markt wordt gebracht of in gebruik wordt genomen. Dit is mogelijk door middel van een interne controle (als bedoeld in bijlage VI van de AI-verordening) of met betrokkenheid van een aangemelde instantie voor de beoordeling van het systeem voor kwaliteitsbeheer en de technische documentatie (als bedoeld in bijlage VII van de AI-verordening).

AI-systemen met een hoog risico die reeds aan een conformiteitsbeoordelingsprocedure zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke gebruikt blijft worden.

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(f) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 43 Conformiteitsbeoordeling - AI verordening Bijlage VI en VII AI Verordening"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/","title":"Corrigerende maatregelen voor non-conforme AI","text":"

Monitoring en beheerOntwerpImplementatieGovernance

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico die constateren dat hun systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties ondernemen, zoals het terugroepen of uit de handel nemen van het systeem. Ze moeten ook alle relevante partijen, zoals distributeurs, gebruiksverantwoordelijken en importeurs, op de hoogte stellen van deze maatregelen.

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 20(1) Corrigerende maatregelen en mededelingsverplichting- AI verordening Artikel 16(j) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#risico","title":"Risico","text":"

Niet reageren op non-conformiteit kan leiden tot risico's voor gebruikers en derden. Het kan leiden tot juridische procedures en reputatieschade voor organisaties.

"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/databankenwet/","title":"Verbod op schenden databankenrechten","text":"

OntwerpDataverkenning en datapreparatieData

"},{"location":"vereisten/databankenwet/#vereiste","title":"Vereiste","text":"

Het is verboden om zonder goedkeuring van de producent een databank op te vragen en/of te hergebruiken.

"},{"location":"vereisten/databankenwet/#toelichting","title":"Toelichting","text":"

De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten van databanken tegen onrechtmatige toe-eigening van een databank. Degene die een substanti\u00eble financi\u00eble en professionele investering heeft verricht om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht en kan zo anderen verbieden de databank te gebruiken. Bij verkrijgen gaat het om \"het verzamelen van de werken, gegevens of andere zelfstandige elementen die tezamen de inhoud van de databank vormen\". Dit recht bestaat naast het recht op bescherming van de originele keuze of rangschikking van de inhoud van databanken (auteurswet).

Voor het ontwikkelen van algoritme en AI is data nodig. De data die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.

"},{"location":"vereisten/databankenwet/#bronnen","title":"Bronnen","text":"Bron Artikel 1 en 2 Databankenwet Artikel 5a en 5b Databankenwet Artikel 7 Databankrichtlijn Overwegingen 39 - 41 Databankrichtlijn"},{"location":"vereisten/databankenwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/databankenwet/#risico","title":"Risico","text":"

Als een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank bij de ontwikkeling van algoritmes en AI, wordt het databankenrecht geschonden van de eigenaar. De eigenaar van de databank kan bijvoorbeeld ontrekking van de data uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing of AI-systeem.

"},{"location":"vereisten/databankenwet/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/","title":"Documentatie beoordeling niet-hoog-risico AI","text":"

OntwerpVerificatie en validatieGovernance

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

Een aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

Een aanbieder die oordeelt dat een AI-systeem niet valt onder hoog-risico zoals gefedinieerd in bijlage III van de AI-verordening, documenteert deze beoordeling voorafgaand aan het in de handel brengen of in gebruik nemen van het systeem. Op verzoek van de nationale autoriteiten verstrekt de aanbieder de documentatie van de beoordeling. De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening). AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 6(4) Classificatieregels voor AI-systemen met een hoog risico - AI verordening Artikel 49(2) AI Verordening Artikel 71 AI Verordening Bijlage III AI Verordening"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#risico","title":"Risico","text":"

Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van risicovolle AI-systemen.

"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/","title":"Een DPIA is verplicht bij hoog risico","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatiePrivacy officerPrivacy en gegevensbescherming

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#vereiste","title":"Vereiste","text":"

Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#toelichting","title":"Toelichting","text":"

Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.

Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van \u00e9\u00e9n van de volgende voorwaarden: 1. Evaluatie of scoretoekenning 2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg 3. Stelselmatige monitoring 4. Gevoelige gegevens of gegevens van zeer persoonlijke aard 5. Op grote schaal verwerkte gegevens 6. Matching of samenvoeging van datasets 7. Gegevens met betrekking tot kwetsbare betrokkenen 8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen 9. de situatie waarin als gevolg van de verwerking zelf \"betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst\";

Het is mogelijk dat algoritmes die niet aan \u00e9\u00e9n of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.

Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 35 Algemene Verordening Gegevensbescherming Artikel 26(9) Verordening Artifici\u00eble Intelligentie Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#risico","title":"Risico","text":"

Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potenti\u00eble schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.

"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sBij het uitvoeren van een risicoanalyse voor privacyrisico's is het van belang dat de ge\u00efdentificeerde risico's worden vertaald naar concrete, mitigerende maatregelen om persoonsgegevens te beschermen. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktInventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst."},{"location":"vereisten/fundamentele_rechten/","title":"Beschermen van fundamentele rechten en vrijheden","text":"

ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerFundamentele rechten

"},{"location":"vereisten/fundamentele_rechten/#vereiste","title":"Vereiste","text":"

Fundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes en AI.

"},{"location":"vereisten/fundamentele_rechten/#toelichting","title":"Toelichting","text":"

Mensenrechten gelden voor alle mensen op de wereld. De mensenrechten in Nederland zijn beschermd door nationale wetten en internationale verdragen. In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet. Deze rechten heten ook wel \u2019grondrechten\u2019. Een bekend voorbeeld is artikel 1 van de Grondwet. Om mensenrechten te beschermen zijn ze op Europees en internationaal niveau in verschillende verklaringen en verdragen vastgelegd.

Mensenrechten kunnen soms onder druk komen te staan. De inzet van algoritmes en AI-systemen kan bijvoorbeeld een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling en voor het recht op behoorlijk bestuur. Het is daarom belangrijk om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.

"},{"location":"vereisten/fundamentele_rechten/#bronnen","title":"Bronnen","text":"Bron Grondwet Europees Verdragvoor de Rechten van de Mens (EVRM) Handvest van de grondrechten van de Europese Unie Universele Verklaring van de Rechten van de Mens (UVRM) Internationaal Statuut van de Rechten van de Mens Internationale Verdrag inzake burgerrechten en politieke rechten (IVBPR) Internationale Verdrag inzake economische, sociale en culturele rechten (IVESCR) Internationaal Verdrag inzake de uitbanning van alle vormen van rassendiscriminatie (CERD) Internationaal Verdrag voor de rechten van het kind (CRC) Internationaal Verdrag voor de Rechten van Mensen met een Handicap (VN-verdrag Handicap) Artikel 27 AI-verordening"},{"location":"vereisten/fundamentele_rechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/fundamentele_rechten/#risico","title":"Risico","text":"

Grondrechten kunnen worden aangetast door de inzet van algoritmes

"},{"location":"vereisten/fundamentele_rechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/fundamentele_rechten/#instrumenten","title":"Instrumenten","text":"InstrumentUitlegImpact Assessment Mensenrechten en AlgoritmesHet Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen."},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/","title":"Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd","text":"

ImplementatieOntwikkelenGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#toelichting","title":"Toelichting","text":"

Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem. Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft. De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.

Gebruiksverantwoordelijken die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financi\u00eble diensten.

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#bronnen","title":"Bronnen","text":"Bron Artikel 26(6) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#risico","title":"Risico","text":"

Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.

"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/","title":"Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem","text":"

ImplementatieMonitoring en beheerTransparantieGovernance

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#toelichting","title":"Toelichting","text":"

Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals omschreven in artikel 71 AI-verordening). Voordat het betreffende AI-systeem (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties, instellingen, organen of instanties van de Unie, of personen die namens hen optreden, zichzelf en selecteren zij het systeem en registreren zij het gebruik ervan in de in artikel 71 bedoelde EU-databank.

Heeft de aanbieder het betreffende hoog risico AI-systeem niet geregistreerd in de EU-Databank, dan mag het hoog risico AI-systeem niet worden gebruikt. De aanbieder of distributeur wordt door de gebruiksverantwoordelijke ge\u00efnformeerd dat het systeem niet is geregistreerd in de EU-databank.

AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#bronnen","title":"Bronnen","text":"Bron Artikel 26(8) AI Verordening Artikel 49 (3) AI Verordening Artikel 71 AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#risico","title":"Risico","text":"

Zonder registratie van het hoge risico AI-systeem en het registreren welke organisaties of personen hier gebruik van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.

"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/","title":"Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning","text":"

ImplementatieMonitoring en beheerGovernanceMenselijke controle

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#toelichting","title":"Toelichting","text":"

Het is van belang dat natuurlijke personen die het menselijk toezicht moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige bekwaamheid, opleiding en autoriteit beschikt. Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze taak.

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#bronnen","title":"Bronnen","text":"Bron Artikel 26(2) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#risico","title":"Risico","text":"

Als de natuurlijke toezichthouder geen effectief toezicht kan houden op het hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen en de organisatie.

"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/","title":"Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem","text":"

Monitoring en beheerGovernanceMenselijke controle

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#toelichting","title":"Toelichting","text":"

Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen monitoren. Dit is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld anders gaat functioneren.

Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.

Voor gebruiksverantwoordelijke die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financi\u00eble diensten.

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#bronnen","title":"Bronnen","text":"Bron Artikel 26(5) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#risico","title":"Risico","text":"

Zonder monitoring door gebruiksverantwoordelijken en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit, kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd en hersteld.

"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/","title":"Privacyrechten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#vereiste","title":"Vereiste","text":"

Betrokkenen kunnen een beroep doen op hun privacyrechten.

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig. Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 15 - 21 AVG"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#risico","title":"Risico","text":"

Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten.

"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Betrokkenen kunnen hun persoonsgegevens inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/","title":"Juistheid en actualiteit van gegevens","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbeschermingData

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo nodig geactualiseerd of gewist.

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes en AI is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 sub d AVG"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#risico","title":"Risico","text":"

Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden gewaarborgd.

"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/","title":"Kwaliteitsbeheersysteem voor hoog-risico AI","text":"

ProbleemanalyseOntwerpGovernance

"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.

"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren om te garanderen dat ze voldoen aan de AI-verordening. Dit systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en behandelt beknopt de volgende aspecten:

  1. een strategie voor de naleving van de regelgeving, inclusief de naleving van de conformiteitsbeoordelingsprocedures en de procedures voor het beheer van de wijzigingen van het AI-systeem met een hoog risico;
  2. technieken, procedures en systematische maatregelen die moeten worden toegepast voor het ontwerp, de controle van het ontwerp en de verificatie van het ontwerp van het AI-systeem met een hoog risico;
  3. technieken, procedures en systematische maatregelen die moeten worden toegepast voor de ontwikkeling, de kwaliteitscontrole en de kwaliteitsborging van het AI-systeem met een hoog risico;
  4. procedures voor het inspecteren, testen en valideren die v\u00f3\u00f3r, tijdens en na de ontwikkeling van het AI-systeem met een hoog risico moeten worden uitgevoerd en de regelmaat waarmee zij moeten worden uitgevoerd;
  5. technische specificaties, met inbegrip van normen, die moeten worden toegepast en, wanneer de relevante geharmoniseerde normen niet volledig worden toegepast of geen betrekking hebben op alle relevante eisen van afdeling 2, de middelen die worden gebruikt om ervoor te zorgen dat het AI-systeem met een hoog risico in overeenstemming is met deze eisen;
  6. systemen en procedures voor databeheer, met inbegrip van dataverwerving, - verzameling, -analyse, -labeling, -opslag, -zuivering, -aggregatie en -behoud en datamining en eventuele andere operaties met betrekking tot de data die worden uitgevoerd voorafgaand aan en met het oog op het in de handel brengen of in gebruik stellen van AI-systemen met een hoog risico;
  7. het systeem voor risicobeheer zoals bedoeld in artikel 9 van de AI-verordening;
  8. het opzetten, toepassen en onderhouden van een systeem voor monitoring na het in de handel brengen, overeenkomstig artikel 72 AI-verordening;
  9. procedures in verband met het melden van een ernstig incident in overeenstemming met artikel 73 van de AI-verordening;
"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 17(1) Systeem voor kwaliteitsbeheer- AI verordening Artikel 16(c) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#risico","title":"Risico","text":"

Zonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit met wet- en regelgeving.

"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/kwaliteitscriteria_voor_data/","title":"Data van hoog-risico ai moet voldoen aan kwaliteitscriteria","text":"

OntwerpDataverkenning en datapreparatieVerificatie en validatieGovernanceData

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets worden gebruikt.

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt.

Deze vereiste houdt in dat de gebruikte datasets onder meer moeten voldoen aan: - datasets voor training, validatie en tests worden onderworpen aan praktijken op het gebied van databeheer die stroken met het beoogde doel van het AI-systeem met een hoog risico. Dit heeft in het bijzonder betrekking op relevante ontwerpkeuzes, processen voor dataverzameling, verwerkingsactiviteiten voor datavoorbereiding, het opstellen van aannames met name betrekking tot de informatie die de data moeten meten en vertegenwoordigen, beschikbaarheid, kwantiteit en geschiktheid van de datasets en een beoordeling op mogelijke vooringenomenheid en passende maatregelen om deze vooringenomenheid op te sporen, te voorkomen en te beperken. - datasets voor training, validatie en tests zijn relevant, voldoende representatief en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde doel. - Er wordt rekening gehouden met de eigenschappen of elementen die specifiek zijn voor een bepaalde geografische, contextuele, functionele of gedragsomgeving waarin het AI-systeem wordt gebruikt.

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#bronnen","title":"Bronnen","text":"Bron Artikel 10(1) Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/kwaliteitscriteria_voor_data/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/kwaliteitscriteria_voor_data/#risico","title":"Risico","text":"

Gebruik van laagkwalitatieve of bevooroordeelde datasets kan leiden tot onbetrouwbare en oneerlijke AI-besluitvorming. Onvoldoende kwaliteitsborging van testdata kan leiden tot vertekende resultaten en gebrekkige prestaties van het AI-systeem bij gebruik in de praktijk.

"},{"location":"vereisten/kwaliteitscriteria_voor_data/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/","title":"Maatregelen van gebruiksverantwoordelijken voor gebruik","text":"

ImplementatieGovernance

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#vereiste","title":"Vereiste","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#toelichting","title":"Toelichting","text":"

Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de bijgevoegde instructies. De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft.

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#bronnen","title":"Bronnen","text":"Bron Artikel 26 Verplichtingen van gebruiksverantwoordelijken van AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#risico","title":"Risico","text":"

Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico's voor gebruikers en derden.

"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/melding_ernstige_incidenten/","title":"Melden van ernstige incidenten","text":"

ImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/melding_ernstige_incidenten/#vereiste","title":"Vereiste","text":"

Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.

"},{"location":"vereisten/melding_ernstige_incidenten/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico die binnen de EU worden verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten van de lidstaten waar het incident heeft plaatsgevonden. Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:

  1. het overlijden van een persoon of ernstige schade voor de gezondheid van een persoon;
  2. een ernstige en onomkeerbare verstoring van het beheer of de exploitatie van kritieke infrastructuur;
  3. een schending van de uit het recht van de Unie voortvloeiende verplichtingen ter bescherming van de grondrechten;
  4. ernstige schade aan eigendommen of het milieu.

Dit meldingsproces is bedoeld om snel en adequaat te reageren op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen, en om passende maatregelen te nemen ter bescherming van de consumenten en het publiek. Het doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers te minimaliseren.

"},{"location":"vereisten/melding_ernstige_incidenten/#bronnen","title":"Bronnen","text":"Bron Artikel 73(1) Melding van ernstige incidenten AI verordening"},{"location":"vereisten/melding_ernstige_incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/melding_ernstige_incidenten/#risico","title":"Risico","text":"

Het niet melden van ernstige incidenten kan leiden tot vertraagde reactie op potenti\u00eble gevaren voor gebruikers en kan het vertrouwen in AI-systemen ondermijnen.

"},{"location":"vereisten/melding_ernstige_incidenten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/","title":"Persoonsgegevens verzamelen voor specifieke doeleinden","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Het is van belang dat \u00e9nkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking. Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn. Voor het ontwikkelen en gebruiken van algoritmes of AI-systemen is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven.

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder c AVG"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#risico","title":"Risico","text":"

Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.

"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/","title":"Monitoring na het in handel brengen","text":"

Monitoring en beheerPrivacy en gegevensbescherming

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#vereiste","title":"Vereiste","text":"

Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#toelichting","title":"Toelichting","text":"

Aanbieders moeten een monitoringssysteem opzetten voor het monitoren na het in de handel brengen. Dit systeem moet documenteren op een wijze die passend is bij de aard van de AI-technologie\u00ebn en de risico's van het betreffende AI-systeem met een hoog risico. Dit monitoringssysteem moet proportioneel zijn aan de complexiteit en potenti\u00eble impact van het AI-systeem.

Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur. Dit stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van de AI-verordening vermelde voorschriften. In voorkomend geval omvat de monitoring na het in de handel brengen een analyse van de interactie met andere AI-systemen. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.

Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#bronnen","title":"Bronnen","text":"Bron Artikel 72(1) Monitoring door aanbieders na het in de handel brengen en plan voor monitoring na het in de handel brengen voor AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#risico","title":"Risico","text":"

Zonder monitoringssysteem voor na het in handel brengen is er een risico dat verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven. Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.

"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/motiveringsbeginsel/","title":"Een besluit berust op een deugdelijke motivering","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/motiveringsbeginsel/#vereiste","title":"Vereiste","text":"

Een besluit berust op een deugdelijke motivering

"},{"location":"vereisten/motiveringsbeginsel/#toelichting","title":"Toelichting","text":"

Een bestuursorgaan moet inzichtelijk maken: 1. dat een besluit tot stand is gekomen met behulp van een algoritme; 2. van welke feiten het is uitgegaan en welke gegevens van de burger gebruikt c.q. verwerkt zijn; 3. welke relevante belangen tegen elkaar zijn afgewogen en hoe die afweging is verlopen (bijvoorbeeld het gewicht dat wordt toegekend aan elk afgewogen kenmerk; welke analytische technieken gebruikt zijn; welke specifieke voorspellende data; wat de belangrijkste policy-keuzes waren; een uitleg van het voorspellende algoritme); 4. hoe het algoritme werkt (niet de techniek, maar hoe de uitkomsten van het algoritme tot stand komen). De keuzes en aannames die zijn gemaakt en gedaan moeten worden beschreven en toegelicht.

"},{"location":"vereisten/motiveringsbeginsel/#bronnen","title":"Bronnen","text":"Bron Artikel 3:46 - 3:50 Awb Jurisprudentie over AERIUS (ABRvS 18 juli 2018, ECLI:NL:RVS:2018:2454), Hof van Justitie C-274/18"},{"location":"vereisten/motiveringsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/motiveringsbeginsel/#risico","title":"Risico","text":"

Het is onduidelijk op wat voor manier het algoritmes of AI-systeem heeft bijgedragen aan de totstandkoming van een besluit.

"},{"location":"vereisten/motiveringsbeginsel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/non_discriminatie/","title":"AI-systemen en algoritmes mogen niet discrimineren","text":"

ProbleemanalyseDataverkenning en datapreparatieOntwerpVerificatie en validatieImplementatieMonitoring en beheerFundamentele rechtenBias en non discriminatie

"},{"location":"vereisten/non_discriminatie/#vereiste","title":"Vereiste","text":"

Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.

"},{"location":"vereisten/non_discriminatie/#toelichting","title":"Toelichting","text":"

Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.

"},{"location":"vereisten/non_discriminatie/#bronnen","title":"Bronnen","text":"Bron Artikel 1 Grondwet Artikel 14 Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Rome, 04-11-1950 Artikel 21 Handvest van de Grondrechten van de Europese Unie Artikel 1 Algemene wet gelijke behandeling Artikel 1 Protocol nr. 12 bij het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Rome, 04-11-2000 Artikel 9 Algemene Verordening Gegevensbescherming Artikel 2:4 Algemene wet bestuursrecht"},{"location":"vereisten/non_discriminatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/non_discriminatie/#risico","title":"Risico","text":"

Het risico bestaat dat het model onwenselijke systematische afwijkingen cre\u00ebert voor specifieke personen, groepen of andere eenheden, wat kan duiden op directe of indirecte discriminerende effecten van het algoritme.

"},{"location":"vereisten/non_discriminatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Configuratie met de mensZorg voor complementariteit tussen algoritmische systeem en de mensen die ermee moeten werken.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegConfiguratie met de mensZorg voor complementariteit tussen algoritmische systeem en de mensen die ermee moeten werken.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/","title":"Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenTechnische robuustheid en veiligheid

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden. Dit garandeert consistente prestaties gedurende hun levensduur en minimaliseert risico's met betrekking tot deze aspecten, waardoor de betrouwbaarheid en veiligheid van het systeem worden gewaarborgd.

Technische robuustheid is een essenti\u00eble eis voor AI-systemen met een hoog risico. Deze systemen moeten bestand zijn tegen schadelijk of anderszins ongewenst gedrag dat kan voortvloeien uit de beperkingen binnen de systemen of de omgeving waarin de systemen opereren (bijvoorbeeld fouten, onregelmatigheden, onverwachte situaties). Daarom moeten technische en organisatorische maatregelen worden getroffen om de robuustheid van AI-systemen met een hoog risico te waarborgen. Een technische oplossing kan bijvoorbeeld bestaan uit mechanismen die het systeem in staat stellen zijn werking veilig te onderbreken (storingsbeveiligingsplannen) wanneer zich bepaalde anomalie\u00ebn voordoen of wanneer de werking buiten bepaalde vooraf bepaalde grenzen plaatsvindt.

Cyberbeveiliging is cruciaal om te waarborgen dat AI-systemen bestand zijn tegen pogingen van kwaadwillige derden die gebruikmaken van de kwetsbaarheden van het systeem om het gebruik, het gedrag of de prestaties ervan te wijzigen of de veiligheidskenmerken ervan in gevaar te brengen. Bij cyberaanvallen tegen AI-systemen kunnen AI-specifieke activa worden gebruikt, zoals trainingsdatasets (bv. datavervuiling) of getrainde modellen (bv. vijandige aanvallen of membership inference), of kwetsbaarheden in de digitale activa van het AI-systeem of de onderliggende ICT-infrastructuur worden benut. Om te zorgen voor een niveau van cyberbeveiliging dat aansluit op de risico\u2019s, moeten aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#bronnen","title":"Bronnen","text":"Bron Artikel 15(1) Nauwkeurigheid, robuustheid en cyberbeveiliging- AI verordening"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#risico","title":"Risico","text":"

Gebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's, wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.

"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Zorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. MaatregelUitlegZorg voor een goede beveiliging van een algoritme.Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk worden opgelost.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/","title":"Verwerking van persoonsgegevens moet rechtmatig plaatsvinden","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatiePrivacy en gegevensbescherming

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#vereiste","title":"Vereiste","text":"

De verwerking van persoonsgegevens moet rechtmatig plaatsvinden.

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#toelichting","title":"Toelichting","text":"

De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op \u00e9\u00e9n van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming. Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.

Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes en AI moet worden onderzocht of dit kan worden gebaseerd op \u00e9\u00e9n van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag. Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder a en b AVG Artikel 6 lid 1 onder b AVG Artikel 6 AVG Overweging 39 en 45 AVG"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#risico","title":"Risico","text":"

Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.

"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Er is een overzicht opgesteld welke persoonsgegevens worden verwerkt, om welke categorie persoonsgegevens het gaat en er is een onderbouwing gegeven waarom deze passend zijn voor verwerking.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/","title":"Privacy door ontwerp","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenImplementatiePrivacy en gegevensbeschermingData

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#vereiste","title":"Vereiste","text":"

Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden ge\u00efntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie. Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes en AI.

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 25 AVG Toetsingskader Algoritmes Algemene Rekenkamer, 3.06"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#risico","title":"Risico","text":"

Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.

"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/","title":"Klachtrecht aanbieders verder in AI-waardeketen","text":"

Monitoring en beheerGovernanceFundamentele rechten

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#vereiste","title":"Vereiste","text":"

Aanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen wegens inbreuk op de AI verordening bij het AI-bureau.

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#toelichting","title":"Toelichting","text":"

Aanbieders verder in de AI-waardeketen hebben het recht om een klacht in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening. Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels met betrekking tot AI-modellen voor algemene doeleinden die zij ge\u00efntrigeerd hebben in AI-systemen. Het AI-bureau kan dan passende maatregelen nemen om de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders op te lossen.

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#bronnen","title":"Bronnen","text":"Bron Artikel 89(2) Monitoringmaatregelen- AI verordening"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#risico","title":"Risico","text":"

Gebrek aan klachtrecht verhindert het AI-bureau om tijdig en zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.

"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/","title":"Recht op niet geautomatiseerde besluitvorming","text":"

OntwerpOntwikkelenMonitoring en beheerPrivacy en gegevensbescherming

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#vereiste","title":"Vereiste","text":"

Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft.

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#toelichting","title":"Toelichting","text":"

Mensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#bronnen","title":"Bronnen","text":"Bron Artikel 22 Algemene Verordening Gegevensbescherming Artikel 1:3 Algemene wet bestuursrecht"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#risico","title":"Risico","text":"

Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten.

"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBepaal of de output bepalende invloed heeft in een besluit richting personenVergewis of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervanBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem het element van menselijke tussenkomst op in het projectplan en dchargedocument.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/","title":"Eenieder heeft recht op toegang tot publieke informatie","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#vereiste","title":"Vereiste","text":"

Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#toelichting","title":"Toelichting","text":"

Bij het ontwikkelen en gebruiken van algoritmes en AI kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. Het kunnen openbaren van publieke informatie is in het belang van een democratische rechtstaat. De Wet open overheid gaat uit van een recht op openbaarheid van publieke informatie. Iedereenkan een verzoek tot openbaarmaking van publieke informatie doen bij een bestuursorgaan zonder daarbij een belang te stellen (artikel 4.1 Woo). De aan een verzoeker verstrekte informatie wordt openbaar voor iedereen. De Woo is niet van toepassing op informatie die al openbaar is (uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 december 2010 (ECLI:NL:RVS:2010:BNS6990) en 20 oktober 2010 (ECLI:NL:RVS:2010:BO1165)). Er kunnen uitsluitingsgronden bestaan voor het openbaarmaken van documenten (artikel 5.1 Woo).

In de context van het ontwikkelen en gebruiken van algoritmes en AI-systemen is het van belang dat tijdig wordt vastgesteld welke documenten in aanmerking komen voor openbaarmaking. Dit moet worden bekeken in het licht van wat 'actief' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op 'verzoek' van iemand moet worden geopenbaard.

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#bronnen","title":"Bronnen","text":"Bron Artikel 1.1, 2.5, 4.1, 5 Woo"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#risico","title":"Risico","text":"

Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden gecontroleerd bij het uitvoeren van wettelijke taken.

"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/recht_op_uitleg_AI-besluiten/","title":"Recht op uitleg AI-besluiten","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenMonitoring en beheerGovernanceFundamentele rechten

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#vereiste","title":"Vereiste","text":"

Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#toelichting","title":"Toelichting","text":"

Getroffen personen moeten het recht hebben om uitleg te krijgen indien het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening).

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#bronnen","title":"Bronnen","text":"Bron Artikel 86(1) Recht op toelichting bij individuele besluitvorming- AI verordening Artikel 26(11) AI Verordening Bijlage III AI Verordening"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#risico","title":"Risico","text":"

Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, veiligheid of diens grondrechten.

"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/","title":"Veilig melden van inbreuk op AI verordening","text":"

OntwerpOntwikkelenMonitoring en beheerGovernanceFundamentele rechten

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#vereiste","title":"Vereiste","text":"

Inbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#toelichting","title":"Toelichting","text":"

Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten worden beschermd uit hoofde van het Unierecht. Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders (\"klokkenluiders\") beschermt tegen represailles of vervolging. Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en draagt bij aan een cultuur van naleving en integriteit.

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#bronnen","title":"Bronnen","text":"Bron Artikel 87 Melding van inbreuken en bescherming van melders- AI verordening"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#risico","title":"Risico","text":"

Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding maken van inbreuk op de AI-verordening. Dit schaadt het rapportagesysteem en heeft negatief effect op het maatschappelijk welzijn.

"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/registratieverplichtingen_hoog_risico/","title":"Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico","text":"

OntwikkelenVerificatie en validatieImplementatieGovernanceTransparantie

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#toelichting","title":"Toelichting","text":"

V\u00f3\u00f3r de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van bijlage III, met uitzondering van specifieke gevallen zoals beschreven in punt 2 van bijlage III, is het vereist dat de aanbieder of gemachtigde zichzelf en het systeem registreert in de EU-databank zoals genoemd in art. 71 AI-verordening.

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(i) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 49(1) Registratie - AI verordening"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/registratieverplichtingen_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/","title":"Risicobeoordeling voor jongeren en kwetsbaren","text":"

ProbleemanalyseOntwerpOntwikkelenFundamentele rechtenBias en non discriminatie

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#vereiste","title":"Vereiste","text":"

Bij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#toelichting","title":"Toelichting","text":"

Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen. Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#bronnen","title":"Bronnen","text":"Bron Artikel 9(9) Systeem voor risicobeheer - AI verordening"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#risico","title":"Risico","text":"

Niet adequaat adresseren van risico's voor jongeren en kwetsbare groepen kan leiden tot ernstige ethische en maatschappelijke schade.

"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/","title":"Technische documentatie voor hoog-risico AI","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernanceTechnische robuustheid en veiligheid

"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

De technische documentatie van een AI-systeem met een hoog risico wordt opgesteld voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld, en wordt geactualiseerd. De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het AI-systeem met een hoog risico in overeenstemming is met de eisen van Afdeling 2 van de AI-verordening en dat nationale bevoegde autoriteiten en aangemelde instanties over de noodzakelijke, op heldere en begrijpelijke wijze gestelde informatie beschikken om de overeenstemming van het AI-systeem met deze voorschriften te kunnen beoordelen.

"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

De technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen.

De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV:

  1. Een algemene beschrijving van het AI-syseem.
  2. Een gedetailleerde beschrijving van de elementen van het AI-systeem en het proces voor de ontwikkeling ervan.
  3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem.
  4. Een beschrijving van de geschiktheid van de prestatiestatistieken.
  5. Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening.
  6. Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht.
  7. Een lijst van normen die worden toegepast.
  8. Een exemplaar van de EU-conformiteitsverklaring.
  9. Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.
"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 11 Verordening Artifici\u00eble Intelligentie Bijlage IV Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#risico","title":"Risico","text":"

Het ontbreken van de benodigde informatie over de algoritmische toepassing of AI-systeem kan ertoe leiden dat de technische functionering onduidelijk is. Dat kan tot problemen leiden bij de verantwoording, controle en het beheer. Onvolledige of ontoereikende technische documentatie kan leiden tot onduidelijkheid over de conformiteit van het AI-systeem met de regelgeving, wat de veiligheid en naleving in gevaar kan brengen.

"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeBespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld."},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat hun systeem toegankelijk is volgens de EU-richtlijnen 2016/2102 en 2019/882. In het kader van Richtlijn 2016/2102 moet onder toegankelijkheid worden verstaan het geheel van principes en technieken die in acht moeten worden genomen bij het ontwerpen, bouwen, beheren en bijwerken van websites en mobiele applicaties om hen voor gebruikers toegankelijker te maken, met name voor personen met een beperking. Bijlage 1 bevat de toegankelijkheidsvoorschriften voor producten en diensten die moeten worden toegepast op hoog-risico AI-systemen.

Richtlijn 2019/882 strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(l) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening EU-richtlijn 2016/2102 Bijlage 1: Toegankelijkheidsvoorschriften voor producten en diensten. EU-richtlijn 2019/882"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#risico","title":"Risico","text":"

Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.

"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/","title":"Toezichtmogelijkheden voor gebruikers","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerMenselijke controle

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#toelichting","title":"Toelichting","text":"

Het menselijk toezicht is gericht op het voorkomen of beperken van de risico\u2019s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico\u2019s blijven bestaan ondanks de toepassing van andere eisen van deze afdeling.

De toezichtmaatregelen staan in verhouding met de risico's, de mate van autonomie en de gebruikscontext van het AI-systeem met een hoog risico. Hierbij kan het gaan om: a) door de aanbieder bepaalde maatregelen die waar technisch haalbaar in het AI-systeem met een hoog risico worden ingebouwd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld; b) door de aanbieder bepaalde maatregelen voordat het AI-systeem met een hoog risico in de handel wordt gebracht of in gebruik wordt gesteld en die passend zijn om door de gebruiksverantwoordelijke te worden uitgevoerd.

De natuurlijke personen die verantwoordelijk zijn voor het menselijk toezicht, moeten in staat worden gesteld om waar passend en in verhouding tot de omstandigheden het volgende te kunnen doen: a) Goed kunnen begrijpen van de relevante capaciteiten en beperkingen van het AI-systeem met een hoog risico. Met het oog op het opsporen en aanpakken van onregelmatigheden, storingen en onverwachte prestaties moet de werking van het AI-systeem goed kunnen worden begrepen; b) Bewust blijven van de mogelijke neiging om automatisch of te veel te vertrouwen op de output van een AI-systeem met hoog risico (automation bias). Dit geldt in het bijzonder voor het gebruik van een hoog risico AI-systeem dat wordt gebruikt om informatie of aanbevelingen te versterkken voor beslisisngen die door natuurlijke personen moeten worden genomen; c) De output juist kunnen interpreteren, bijvoorbeeld met behulp van de juiste instrumenten en methoden voor interpretatie; d) In alle specifieke situaties kunnen besluiten om het hoog risico AI-systeem niet te gebruiken of de output op een andere wijze te negeren, door een andere beslissing te vervangen of terug te draaien; e) ingrijpen in de werking van het hoog risico AI-systeem of het systeem onderbreken door middel van een stopknop of een vergelijkbare procedure waarmee het systeem op een veilige wijze kan worden stopgezet.

In het geval van een hoog risico systeem als bedoeld in bijlage III, punt 1, a (systemen voor biometrische identificatie op afstand) geldt het vereiste dat twee natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie van het systeem verifici\u00ebren en bevestigen, tenzij het wordt gebruikt voor rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht of het nationale recht de toepassing van dit vereiste onevenredig acht.

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#bronnen","title":"Bronnen","text":"Bron Artikel 14 Menselijk toezicht- AI verordening"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#risico","title":"Risico","text":"

Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste of onvoorspelbare uitkomsten.

"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/transparantie/","title":"Transparantie in ontwerp voor hoog-risico AI","text":"

OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie

"},{"location":"vereisten/transparantie/#vereiste","title":"Vereiste","text":"

AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat de werking ervan voldoende transparant is om gebruiksverantwoordelijken in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken. Een passende soort en mate van transparantie wordt gewaarborgd met het oog op de naleving van de relevante verplichtingen van de aanbieder en de gebruiksverantwoordelijke zoals uiteengezet in afdeling 3 van Artikel 13 van de AI verordening.

"},{"location":"vereisten/transparantie/#toelichting","title":"Toelichting","text":"

AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.

"},{"location":"vereisten/transparantie/#bronnen","title":"Bronnen","text":"Bron Artikel 13(1) Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/transparantie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/transparantie/#risico","title":"Risico","text":"

Onvoldoende transparantie kan leiden tot een gebrek aan begrip over hoe het AI-systeem functioneert, wat de effectiviteit van de inzet ervan kan belemmeren en de naleving van wettelijke verplichtingen in gevaar kan brengen.

"},{"location":"vereisten/transparantie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing zijn en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie."},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/","title":"Transparantie bij verwerking persoonsgegevens","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerPrivacy en gegevensbeschermingTransparantie

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#vereiste","title":"Vereiste","text":"

De verwerking van persoonsgegevens moet transparant zijn.

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#toelichting","title":"Toelichting","text":"

Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes en AI-systemen, zal deze informatie moeten worden verstrekt.

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 AVG Artikel 12, 13 en 14 AVG Overweging 58 AVG"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#risico","title":"Risico","text":"

Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens.

"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens en is intern inzichtelijk welke persoonsgegevens worden verwerkt. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/","title":"Verantwoordingsplicht voor de rechtmatigheid van de verwerking","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#vereiste","title":"Vereiste","text":"

De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes en AI-systemen kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#toelichting","title":"Toelichting","text":"

Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#bronnen","title":"Bronnen","text":"Bron Artikel 5 AVG Verantwoordingsplicht]"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"

Deze vereiste is van toepassing op alle algoritmen die persoonsgegevens verwerken.

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#risico","title":"Risico","text":"

Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:

"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#maatregelen","title":"Maatregelen","text":"MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld."},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/","title":"Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernanceFundamentele rechten

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#vereiste","title":"Vereiste","text":"

Het in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft:

  1. de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld;

  2. de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#toelichting","title":"Toelichting","text":"

AI-systemen die door publieke of door private actoren worden gebruikt om een beoordeling van natuurlijke personen (\u201csocial scoring\u201d) uit te voeren, kunnen discriminerende resultaten en de uitsluiting van bepaalde groepen tot gevolg hebben. Deze systemen kunnen een schending inhouden van het recht op waardigheid en nondiscriminatie en van waarden als gelijkheid en rechtvaardigheid. Dergelijke AI-systemen beoordelen of classificeren natuurlijke personen of groepen natuurlijke personen op basis van meerdere datapunten met betrekking tot hun sociale gedrag in meerdere contexten of op basis van bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken gedurende een bepaalde periode. De sociale score die deze AI-systemen opleveren, kan leiden tot een nadelige of ongunstige behandeling van personen of hele groepen personen in sociale contexten die geen verband houden met de context waarin de data oorspronkelijk zijn gegenereerd of verzameld, of tot een nadelige behandeling die onevenredig of ongerechtvaardigd is in verhouding tot de ernst van het sociale gedrag. AI-systemen die onaanvaardbare scoringpraktijken met zich meebrengen en tot dergelijke nadelige of ongunstige resultaten leiden, moeten daarom worden verboden. Dat verbod mag geen afbreuk doen aan wettige praktijken voor de evaluatie van natuurlijke personen die worden verricht voor een specifieke doeleinde in overeenstemming met het Unierecht en het nationale recht.

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 sub c AI Verordening"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#risico","title":"Risico","text":"

Het risico ontstaat dat personen of bepaalde groepen worden gediscrimineerd en uitgesloten, wat een schending kan inhouden van het recht op waardigheid, non-discriminatie en van waarden als gelijkheid en rechtvaardigheid.

"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/","title":"Verdere verwerking van persoonsgegevens in AI-testomgevingen","text":"

OntwikkelenDataverkenning en datapreparatiePrivacy en gegevensbeschermingData

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#vereiste","title":"Vereiste","text":"

Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#toelichting","title":"Toelichting","text":"

De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens met passende technische en organisatorische maatregelen, persoonsgegevens die in de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#bronnen","title":"Bronnen","text":"Bron Artikel 57(1) Verdere verwerking van persoonsgegevens voor het ontwikkelen van bepaalde AI-systemen"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#risico","title":"Risico","text":"

Verdere verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk op de privacyrechten van betrokken.

"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitleg MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/","title":"Verplicht risicobeheersysteem voor hoog-risico AI","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#vereiste","title":"Vereiste","text":"

Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#toelichting","title":"Toelichting","text":"

Het systeem voor risicobeheer moet bestaan uit een tijdens de gehele levensduur van een AI-systeem met een hoog risico doorlopend en gepland iteratief proces. Dit proces moet gericht zijn op het vaststellen en beperken van de relevante risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Het systeem voor risicobeheer moet periodiek worden ge\u00ebvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.

Dit proces moet ervoor zorgen dat de aanbieder de risico\u2019s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico\u2019s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. Het systeem voor risicobeheer moet de passendste risicobeheersmaatregelen vaststellen. Bij het vaststellen van de passendste risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes documenteren en toelichten en, in voorkomend geval, deskundigen en externe belanghebbenden betrekken. Bij het vaststellen van het redelijkerwijs te voorzien misbruik van AI-systemen met een hoog risico moet de aanbieder aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 9(1) Systeem voor risicobeheer - AI verordening"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#risico","title":"Risico","text":"

Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.

"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"

OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenTransparantie

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het algemene systeem. Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie van de modellen in producten als qua naleving van verplichtingen.

Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken in hun product. De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens bijlage XII van de AI-Verordening. Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790).

In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#bronnen","title":"Bronnen","text":"Bron Artikel 53 AI-Verordening"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#risico","title":"Risico","text":"

Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/","title":"Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico","text":"

OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#vereiste","title":"Vereiste","text":"

Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperken.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#toelichting","title":"Toelichting","text":"

De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico\u2019s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op het identificeren en beperken van die risico\u2019s en op waarborging van een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand model is of ingebed in een AI-systeem of in een product. Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand van de techniek, met specifieke aandacht voor het identificeren en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen in artikel 53 van de AI-verordening.

Systeemrisico betekent: een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid.

Systeemrisico\u2019s nemen logischerwijs toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele levenscyclus van het model en worden be\u00efnvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie ervan. Ook worden ze be\u00efnvloed door de toegang van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategie\u00ebn, en door het potentieel om waarborgen te omzeilen en andere factoren.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#bronnen","title":"Bronnen","text":"Bron Artikel 55 AI-Verordening Overweging 110 AI-Verordening"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#risico","title":"Risico","text":"

Niet voldoen aan deze verplichtingen kan leiden tot negatieve gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel.

"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitleg"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/","title":"Verstrekking van informatie op verzoek","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#vereiste","title":"Vereiste","text":"

Op een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#toelichting","title":"Toelichting","text":"

Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een bevoegde autoriteit alle benodigde informatie verstrekken om de conformiteit met de voorschriften van de AI-verordening aan te tonen. Deze informatie moet worden verstrekt in een begrijpelijke offici\u00eble taal van de EU, zoals gekozen door de betrokken lidstaat.

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#bronnen","title":"Bronnen","text":"Bron Artikel 21 Samenwerking met bevoegde autoriteiten- AI verordening"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#risico","title":"Risico","text":"

Weigering om informatie te verstrekken kan leiden tot juridische sancties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.

"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingDoor aanbieders bewijs te laten leveren dat zij voldoen aan de vereiste, kan worden beoordeeld in hoeverre daadwerkelijk wordt voldaan aan deze vereiste.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak de vereiste onderdeel van Service Level AgreementOnderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement. Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Door de vereiste op te nemen als subgunningscriteria ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/","title":"Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet","text":"

ImplementatieOntwerpGovernance

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#vereiste","title":"Vereiste","text":"

Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#toelichting","title":"Toelichting","text":"

Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#bronnen","title":"Bronnen","text":"Bron Artikel 26(7) AI Verordening"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#risico","title":"Risico","text":"

Als werknemersvertegenwoordigers en werknemers niet worden ge\u00efnformeerd over de inzet van een hoog risico AI-systeem, kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van de inzet van het hoog risico AI-systeem.

"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitleg MaatregelUitleg MaatregelUitleg"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/","title":"Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens","text":"

OntwerpDataverkenning en datapreparatiePrivacy en gegevensbeschermingFundamentele rechten

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#vereiste","title":"Vereiste","text":"

Bijzondere categorie\u00ebn van persoonsgegevens mogen alleen worden verwerkt op basis van een wettelijke uitzondering.

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#toelichting","title":"Toelichting","text":"

Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen.

Bijzondere categorie\u00ebn persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is (art. 9 AVG en art. 30 UAVG). Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes of AI-systemen en stelt daarmee beperkingen aan het mogen verwerken van deze categorie\u00ebn persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output.

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 9 AVG Overweging 51 - 54 AVG Hoofdstuk 22 - 30 UAVG"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#risico","title":"Risico","text":"

Het (onrechtmatige) verwerken van bijzondere categorie\u00ebn persoonsgegevens brengt risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer en discriminatie.

"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste. MaatregelUitlegPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld. MaatregelUitlegBespreek de vereiste met aanbieder of opdrachtnemerGa met aanbieder of opdrachtnemer in gesprek over in hoeverre invulling is gegeven of kan worden gegeven aan de vereiste.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Om op een betekenisvolle manier invulling te geven bepaalde vereisten, kan het nodig zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) samenwerken om deze vereiste te realiseren.Maak de vereiste onderdeel van het programma van eisenDoor de vereiste onderdeel te maken van het programma van eisen bij de aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen hun oplossing moet voldoen.Maak de vereiste onderdeel van de contractovereenkomstDoor de vereiste onderdeel te maken van de contractvereenkomst, worden deze contractueel afdwingbaar.Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenDoor de vereiste onderdeel te maken van contractvoorwaarden, is het voor aanbieders vooraf duidelijk waar zij aan moeten voldoen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstHet is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de vereiste."},{"location":"vereisten/zorgvuldigheidsbeginsel/","title":"Relevante feiten en belangen zijn bekend","text":"

ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#vereiste","title":"Vereiste","text":"

De ontwikkeling en het gebruik van algoritmes en AI-systemen komt zorgvuldig tot stand.

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#toelichting","title":"Toelichting","text":"

Dit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming.

Het doel en eventuele subdoelen van het algoritme of AI-systeem moet helder zijn gedefinieerd, ook in relatie tot het maatschappelijke resultaat (outcome), en wordt gedeeld door de eigenaar, ontwikkelaar en gebruiker van het algoritme. Een bewuste afweging of het algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen is gemaakt en vastgelegd.

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#bronnen","title":"Bronnen","text":"Bron Afdeling 3.2 Algemene wet bestuursrecht Afdeling 3.4 Algemene wet bestuursrecht"},{"location":"vereisten/zorgvuldigheidsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/zorgvuldigheidsbeginsel/#risico","title":"Risico","text":"

De werking van het algoritmes of AI sluit niet of onvoldoende aan bij de juridische en ethische grenzen van de te ondersteunen wettelijke taak. Hierdoor kunnen ongewenste gevolgen ontstaan zoals een onjuist of onzorgvuldig genomen besluit op een aanvraag.

"},{"location":"vereisten/zorgvuldigheidsbeginsel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Persoonsgegevens mogen alleen verzameld worden voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel. De verwerking van persoonsgevens door het algoritme is tevens verenigbaar met het oorspronkelijke doel (doelbinding).Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Door informatie over het algoritme of AI-systeem te vermelden in het Algoritmeregister, kunnen belanghebbenden en ge\u00efnteresseerden informatie vinden over het algoritme en AI-systemen en kunnen zij de overheid controleren.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.Met een PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd. MaatregelUitlegBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.De capaciteit en deskundigheid bij de ontwikkeling, het inkopen en gebruiken van algoritme en AI-systemen moet toereikend zijn om tot een verantwoorde toepassing te komen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Stel een RACI-matrix op waarbij de rollen en verantwoordelijkheden worden beschreven en toebedeeld.Formuleren doelstellingHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd.Formuleren aanleiding en probleemdefinitieFormuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten.Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Als algoritmes of AI-systemen worden ingezet om te ondersteunen bij het nemen van beslissingen en besluiten door overheidsorganisaties, kan het noodzakelijk zijn om menselijke tussenkomst in te richten om foutieve output te signaleren en te corrigeren.Bepaal waarom we gebruik willen maken een algoritmeBepaal en documenteer waarom het gewenst of nodig is om een algoritme in te zetten om het probleem te kunnen aanpakken.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Hierbij kan worden gedacht aan het toepassen van definities, procedures, protocollen die van toepassing zijn binnen de organisatie.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Bij kwaliteit kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Door een politiek-bestuurlijk besluit te nemen over de inzet van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomheid van het betreffende algoritme of AI-systeem. Een openbaar besluit draagt ook bij aan de controleerbaarheid van een overheidsorganisatie.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Als blijkt dat het algoritme of AI-systeem onjuist functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Alle stappen van risicobeheer worden periodiek uitgevoerd en op het juiste niveau in de organisatie behandeld.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Nadat de rollen en verantwoordelijkheden zijn beschreven, zullen deze moeten worden vastgesteld door de verantwoordelijke(n).Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Wet- en regelgeving of beleid bevat de basisregels voor algoritmes en AI-systemen. Het is van belang dat een goede vertaling wordt gemaakt van deze regels naar het algoritme of AI-systeem. MaatregelUitleg"}]} \ No newline at end of file