De eerste twee punten zijn breed en geven algemene handvatten voor governance, het laatste punt gaat specifiek in op de vereisten/maatregelen.
Let wel: Het Algoritmekader schrijft niet voor hoe een organisatie ingericht moet worden qua eindverantwoordelijken/governance. We proberen met behulp van voorbeelden praktische handvatten te bieden over hoe organisaties dit kunnen inrichten.
Instrumentgegevensbeschermingseffectbeoordeling (ook wel DPIA).
+Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA).
Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico’s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.
Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Schäfer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.
RelevantieHandreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan.
Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.
Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.
diff --git a/pr-preview/pr-283/javascripts/filtering.js b/pr-preview/pr-283/javascripts/filtering.js
index fe63d64521..6eade7883b 100644
--- a/pr-preview/pr-283/javascripts/filtering.js
+++ b/pr-preview/pr-283/javascripts/filtering.js
@@ -87,10 +87,10 @@ function filterTable() {
var tr = table ? table.getElementsByTagName("tr") : [];
for (var i = 1; i < tr.length; i++) { // Skip header row
- var td = tr[i].getElementsByTagName("td")[0]; // Maatregelen column (td[0])
- var roles = tr[i].getElementsByTagName("td")[1]; // Rollen column (td[1])
- var lc = tr[i].getElementsByTagName("td")[2]; // Levenscyclus column (td[2])
- var onderwerpen = tr[i].getElementsByTagName("td")[3]; // Onderwerpen column (td[3])
+ var td = tr[i].getElementsByTagName("td")[1]; // Maatregelen column (td[0])
+ var roles = tr[i].getElementsByTagName("td")[2]; // Rollen column (td[1])
+ var lc = tr[i].getElementsByTagName("td")[3]; // Levenscyclus column (td[2])
+ var onderwerpen = tr[i].getElementsByTagName("td")[4]; // Onderwerpen column (td[3])
if (td && roles && lc && onderwerpen) {
var txtValue = td.textContent || td.innerText; // Maatregelen value
diff --git a/pr-preview/pr-283/levenscyclus/dataverkenning-en-datapreparatie/index.html b/pr-preview/pr-283/levenscyclus/dataverkenning-en-datapreparatie/index.html
index a6fe7aae82..008065d664 100644
--- a/pr-preview/pr-283/levenscyclus/dataverkenning-en-datapreparatie/index.html
+++ b/pr-preview/pr-283/levenscyclus/dataverkenning-en-datapreparatie/index.html
@@ -1296,10 +1296,10 @@
Dataverkenning en datapreparatie
In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen.
Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme of AI-systeem.
Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme of AI-systeem tot stand.
Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is geïmplementeerd.
Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme of AI-systeem niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren.
Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.
Nadat een besluit is genomen over het definitieve ontwerp van het algoritme of AI-systeem, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie.
Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.
In deze fase is niet alleen het ontwikkelen van een algoritme of AI-systeem, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang.
Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.
In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes.
Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.
Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme of een AI-systeem te ontwikkelen.
Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.
Het algoritme is hiermee niet meer te gebruiken door gebruikers.
Gebruikers moeten hier vooraf over worden geïnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen geïnformeerd over het beëindigen van het gebruik.
Het is ook denkbaar dat het algoritme of AI-systeem onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt beëindigd.
Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.
Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.
Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.
Het algoritme dient niet het beoogde doel en onderliggend probleem.
diff --git a/pr-preview/pr-283/maatregelen/formuleren_probleemdefinitie/index.html b/pr-preview/pr-283/maatregelen/formuleren_probleemdefinitie/index.html
index f0d2553246..ecb41ff638 100644
--- a/pr-preview/pr-283/maatregelen/formuleren_probleemdefinitie/index.html
+++ b/pr-preview/pr-283/maatregelen/formuleren_probleemdefinitie/index.html
@@ -2811,7 +2811,7 @@
Als 'open gaten' worden ervaren, dan is het van belang om hierover met de aanbieder in gesprek te gaan, bijvoorbeeld door een marktconsultatie of algemene materie gerelateerde gesprekken. De ARVODI (24.7) en ARBIT (art 8.5 & 8.6) adresseren het schenden van intellectueel eigendom.
Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.
De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.
Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.
Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.
Het is van belang dat de resterende risico's inzichtelijk zijn gemaakt, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is.
De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of beëindiging van het gebruik van impactvolle algoritmes en AI-systemen, terwijl deze daar niet toe bevoegd is.
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.
Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.
Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.
Wanneer een (externe) leverancier beveiligingseisen niet op orde heeft, is er een risico op de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme en/of de data.
Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.
Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes of AI-systemen.
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.
Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.
Het algoritme of AI-systeem kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vindt je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
In dit bouwblok van het Algoritmekader wordt uitgewerkt aan welke vereisten moet worden voldaan met betrekking menselijke controle.
Dit wordt aangevuld met praktische maatregelen die kunnen worden toegepast ter inspiratie voor organisaties. Deze vereisten en maatregelen worden gekoppeld aan de levenscyclus, zodat zowel bij de ontwikkeling als het gebruik kan worden geraadpleegd hoe organisaties invulling kunnen geven aan menselijk controle.
Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmen en AI-systemen moeten worden toegepast.
Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden geïmplementeerd.
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
diff --git a/pr-preview/pr-283/search/search_index.json b/pr-preview/pr-283/search/search_index.json
index 05c78db793..b2a998b26b 100644
--- a/pr-preview/pr-283/search/search_index.json
+++ b/pr-preview/pr-283/search/search_index.json
@@ -1 +1 @@
-{"config":{"lang":["nl"],"separator":"[\\s\\-]+","pipeline":["stopWordFilter"]},"docs":[{"location":"","title":"Algoritmekader","text":"Wetten en regels, tips en hulpmiddelen voor verantwoord gebruik van algoritmes en AI. B\u00e8taversie
Deze website is in ontwikkeling. Alle versies ontstaan op een open manier. Iedereen mag opmerkingen of suggesties geven.
Over het Algoritmekader Voldoen aan de wetten en regels
Vereisten
Aanbevolen maatregelen
Aanbevolen instrumenten
Informatie per rol
Beleidsmedewerker
Data scientist
Ethici
Jurist
Projectleider
Onderwerpen
Bias en non-discriminatie
Governance
Transparantie
Privacy en gegevensbescherming
Publieke inkoop
Woordenlijst
Vind snel de betekenis van begrippen als algoritme, AI-systeem, hoog-risico-AI-systeem en impactvolle algoritmes.
Help ons deze pagina te verbeteren
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
Governance is een breed begrip, en er bestaan verschillende opvattingen van. In essentie gaat het over het inrichten van de organisatie, processen en bijbehorende verantwoordelijkheden. Een belangrijk aspect van governance is bepalen wie waarvoor verantwoordelijk is. Dit kan op verschillende niveaus: van (inter)nationaal niveau, naar organisatieniveau naar het niveau van het AI-systeem. In het Algoritmekader wordt gefocust op het niveau van organisatie en AI-systeem.
Het Algoritmekader laat zien aan welke vereisten moet worden gedaan, hoe daar invulling aan kan worden gegeven (maatregelen) en welke rollen daar logischerwijs bij betrokken zijn. Governance raakt in zekere zin al deze elementen doordat het deze, op verschillende niveaus, met elkaar verbindt.
In dit deel van het Algoritmekader worden de volgende zaken uitgewerkt;
een verzameling praktijkvoorbeelden die tonen hoe organisaties hun governance kunnen inrichten om verantwoord met algoritmes en AI-systemen om te gaan. Daarbij worden goede praktijkvoorbeelden samengevat op hoofdlijnen;
een handreiking hoe om te gaan met een governancestructuur die rekening houdt met verschillende niveaus van complexiteit van een organisatie.
uitwerken van governance-maatregelen en koppeling aan rollen die hier logischerwijs bij passen, waarmee invulling kan worden gegeven aan een vereiste.
De eerste twee punten zijn breed en geven algemene handvatten voor governance, het laatste punt gaat specifiek in op de vereisten/maatregelen.
Let wel: Het Algoritmekader schrijft niet voor hoe een organisatie ingericht moet worden qua eindverantwoordelijken/governance. We proberen met behulp van voorbeelden praktische handvatten te bieden over hoe organisaties dit kunnen inrichten.
"},{"location":"governance/#vereisten","title":"Vereisten","text":"VereistenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenAutomatische logregistratie voor hoog-risico AIProportionaliteit en subsidiariteitVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitCorrigerende maatregelen voor non-conforme AIDocumentatie beoordeling niet-hoog-risico AIGebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken monitoren werking hoog risico AI-systeemKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikMelden van ernstige incidentenEen besluit berust op een deugdelijke motiveringKlachtrecht aanbieders verder in AI-waardeketenRecht op uitleg AI-besluitenVeilig melden van inbreuk op AI verordeningRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoTechnische documentatie voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIAanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoVerstrekking van informatie op verzoekWerknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetRelevante feiten en belangen zijn bekend"},{"location":"governance/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Configuratie met de mensFormuleren doelstellingFormuleren aanleiding en probleemdefinitieRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentBepaal waarom we gebruik willen maken een algoritmePas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Richt een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen."},{"location":"governance/governance-structuur/","title":"Governance structuur","text":"
Hier komt een tekst.
"},{"location":"governance/interactie-burgers-en-omgeving/","title":"Interactie met burgers en omgeving","text":"
Overzicht van aanbevolen instrumenten voor het verantwoord ontwikkelen, gebruiken, beoordelen en monitoren van algoritmes en AI-systemen.
"},{"location":"instrumenten/#richtlijnen-en-andere-hulpmiddelen","title":"Richtlijnen en andere hulpmiddelen","text":"
Met instrumenten bedoelen we hulpmiddelen voor verantwoord en effectief gebruik van algoritmes en AI-systemen, zoals:
richtlijnen
standaarden
leidraden
handboeken
Deze instrumenten helpen je bij het op een rij zetten, beoordelen en verbeteren van de kenmerken, prestaties, effecten en risico\u2019s van algoritmes en AI.
"},{"location":"instrumenten/#hoe-we-instrumenten-selecteren","title":"Hoe we instrumenten selecteren","text":"
Instrumenten die we aanbevelen, zijn:
relatief bekend onder ambtenaren
in gebruik door overheid, wetenschap of industrie
positief beoordeeld door gebruikers
geschikt voor algoritmes of AI-systemen van overheden
Staat een instrument niet in onze selectie, dan kan het nog steeds een goed instrument zijn voor jouw organisatie. Er zijn dus meer instrumenten mogelijk. We maken een selectie om 2 redenen:
Een selectie is duidelijker. Als we alle instrumenten aanbieden, is het voor gebruikers moeilijker te bepalen welk instrument of welke combinatie het meest geschikt is. Daarvoor lijken de instrumenten te veel op elkaar.
Een selectie kunnen we controleren op kwaliteit. We kunnen niet alle instrumenten controleren.
"},{"location":"instrumenten/#sommige-instrumenten-zijn-verplicht","title":"Sommige instrumenten zijn verplicht","text":"
Als een instrument verplicht is, staat dit er duidelijk bij. Een verplicht hulpmiddel is bijvoorbeeld de Data protection impact assessment (DPIA).
De meeste instrumenten zijn niet verplicht. Bepaal zelf of je er gebruik van maakt.
"},{"location":"instrumenten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:
Wat er in de Algemene verordening gegevensbescherming (AVG) staat over wanneer je een DPIA moet uitvoeren.
De lijst van de Autoriteit Persoonsgegevens (AP) met soorten verwerkingen waarvoor je een DPIA moet uitvoeren.
De 9 criteria voor een DPIA van de Europese privacytoezichthouders.
De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:
Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt en dit gebeurt op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop besluiten baseert die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
Op grote schaal bijzondere persoonsgegevens verwerkt.
Strafrechtelijke gegevens verwerkt.
Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.
Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden ge\u00ebvalueerd.
Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.
De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.
"},{"location":"instrumenten/DPIA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenaanbiederprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieVereistenRollenLevenscyclusOnderwerpenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance Automatische logregistratie voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Proportionaliteit en subsidiariteit probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Verantwoordelijkheden worden toegewezen en beschreven ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beveiliging informatie en informatiesystemen ontwerp implementatie monitoring-en-beheer dataverkenning-en-datapreparatie verificatie-en-validatie uitfaseren technische-robuustheid-en-veiligheid Beveiliging van de verwerking dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren privacy-en-gegevensbescherming data Bevorder AI-geletterdheid van personeel en gebruikers probleemanalyse ontwerp implementatie monitoring-en-beheer menselijke-controle governance Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance Corrigerende maatregelen voor non-conforme AI monitoring-en-beheer ontwerp implementatie governance Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance Een DPIA is verplicht bij hoog risico privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data Kwaliteitsbeheersysteem voor hoog-risico AI probleemanalyse ontwerp governance Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance Melden van ernstige incidenten implementatie monitoring-en-beheer governance Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Monitoring na het in handel brengen monitoring-en-beheer privacy-en-gegevensbescherming Een besluit berust op een deugdelijke motivering ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp dataverkenning-en-datapreparatie ontwikkelen technische-robuustheid-en-veiligheid Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data Klachtrecht aanbieders verder in AI-waardeketen monitoring-en-beheer governance fundamentele-rechten Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming Eenieder heeft recht op toegang tot publieke informatie ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Recht op uitleg AI-besluiten ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer governance fundamentele-rechten Veilig melden van inbreuk op AI verordening ontwerp ontwikkelen monitoring-en-beheer governance fundamentele-rechten Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Toezichtmogelijkheden voor gebruikers ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance fundamentele-rechten Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data Verplicht risicobeheersysteem voor hoog-risico AI probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Verstrekking van informatie op verzoek probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet implementatie ontwerp governance Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten Relevante feiten en belangen zijn bekend probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"instrumenten/IAMA/","title":"Impact Assessment Mensenrechten en Algoritmes","text":"
ProbleemanalyseOntwerpVerificatie en validatieImplementatieProjectleiderAanbiederData engineerData scientistEthicusGemandateerd verantwoordelijkeJuristPrivacy officerProceseigenaarSecurity officerFundamentele rechtenTransparantie
Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen. Het IAMA stelt een reeks vragen die moeten worden besproken en beantwoord om een zorgvuldige afweging van de inzet van algoritmen te waarborgen. Dit proces is onderverdeeld in drie fasen: voorbereiding, input en throughput, en output en toezicht, waarbij steeds aandacht wordt besteed aan het vierde onderdeel van het IAMA: de impact op mensenrechten. Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA). Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico\u2019s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.
Het IAMA kan op dit moment op veel politieke en internationale belangstelling rekenen. In zowel de Eerste als Tweede Kamer zijn hierover moties ingediend en vragen gesteld. Daarbij is het IAMA een van de weinige instrumenten in de EU die een interdisciplinaire discussie rondom (de ontwikkeling, inzet en monitoring van) algoritmes, AI en grondrechten initieert en bevordert.
Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Sch\u00e4fer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.
"},{"location":"instrumenten/IAMA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenaanbiederprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieVereistenRollenLevenscyclusOnderwerpenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance Automatische logregistratie voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Proportionaliteit en subsidiariteit probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Verantwoordelijkheden worden toegewezen en beschreven ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beveiliging informatie en informatiesystemen ontwerp implementatie monitoring-en-beheer dataverkenning-en-datapreparatie verificatie-en-validatie uitfaseren technische-robuustheid-en-veiligheid Beveiliging van de verwerking dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren privacy-en-gegevensbescherming data Bevorder AI-geletterdheid van personeel en gebruikers probleemanalyse ontwerp implementatie monitoring-en-beheer menselijke-controle governance Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance Corrigerende maatregelen voor non-conforme AI monitoring-en-beheer ontwerp implementatie governance Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance Een DPIA is verplicht bij hoog risico privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data Kwaliteitsbeheersysteem voor hoog-risico AI probleemanalyse ontwerp governance Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance Melden van ernstige incidenten implementatie monitoring-en-beheer governance Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Monitoring na het in handel brengen monitoring-en-beheer privacy-en-gegevensbescherming Een besluit berust op een deugdelijke motivering ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp dataverkenning-en-datapreparatie ontwikkelen technische-robuustheid-en-veiligheid Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data Klachtrecht aanbieders verder in AI-waardeketen monitoring-en-beheer governance fundamentele-rechten Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming Eenieder heeft recht op toegang tot publieke informatie ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Recht op uitleg AI-besluiten ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer governance fundamentele-rechten Veilig melden van inbreuk op AI verordening ontwerp ontwikkelen monitoring-en-beheer governance fundamentele-rechten Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Toezichtmogelijkheden voor gebruikers ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance fundamentele-rechten Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data Verplicht risicobeheersysteem voor hoog-risico AI probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Verstrekking van informatie op verzoek probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet implementatie ontwerp governance Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten Relevante feiten en belangen zijn bekend probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"instrumenten/IAMA/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes"},{"location":"instrumenten/IAMA/#voorbeeld","title":"Voorbeeld","text":"
De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Het Algoritmeregister helpt hierbij. Wanneer overheidsorganisaties open zijn over algoritmes en hun toepassing, kunnen burgers, organisaties en media de overheid kritisch volgen.
Je kunt hier meer lezen over de doelen van het Algoritmeregister.
In de Handreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan. Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.
"},{"location":"instrumenten/algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenaanbiederprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieVereistenRollenLevenscyclusOnderwerpenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance Automatische logregistratie voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Proportionaliteit en subsidiariteit probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Verantwoordelijkheden worden toegewezen en beschreven ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beveiliging informatie en informatiesystemen ontwerp implementatie monitoring-en-beheer dataverkenning-en-datapreparatie verificatie-en-validatie uitfaseren technische-robuustheid-en-veiligheid Beveiliging van de verwerking dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren privacy-en-gegevensbescherming data Bevorder AI-geletterdheid van personeel en gebruikers probleemanalyse ontwerp implementatie monitoring-en-beheer menselijke-controle governance Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance Corrigerende maatregelen voor non-conforme AI monitoring-en-beheer ontwerp implementatie governance Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance Een DPIA is verplicht bij hoog risico privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data Kwaliteitsbeheersysteem voor hoog-risico AI probleemanalyse ontwerp governance Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance Melden van ernstige incidenten implementatie monitoring-en-beheer governance Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Monitoring na het in handel brengen monitoring-en-beheer privacy-en-gegevensbescherming Een besluit berust op een deugdelijke motivering ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp dataverkenning-en-datapreparatie ontwikkelen technische-robuustheid-en-veiligheid Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data Klachtrecht aanbieders verder in AI-waardeketen monitoring-en-beheer governance fundamentele-rechten Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming Eenieder heeft recht op toegang tot publieke informatie ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Recht op uitleg AI-besluiten ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer governance fundamentele-rechten Veilig melden van inbreuk op AI verordening ontwerp ontwikkelen monitoring-en-beheer governance fundamentele-rechten Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Toezichtmogelijkheden voor gebruikers ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance fundamentele-rechten Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data Verplicht risicobeheersysteem voor hoog-risico AI probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Verstrekking van informatie op verzoek probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet implementatie ontwerp governance Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten Relevante feiten en belangen zijn bekend probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"instrumenten/algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmeregister"},{"location":"instrumenten/algoritmeregister/#voorbeeld","title":"Voorbeeld","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieVerificatie en validatieAanbestedingsjuristBehoeftestellerContractbeheerderInkoopadviseurProjectleiderPublieke inkoop
Modelbepalingen kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen. Deze bepalingen (of voorwaarden) kunnen opgenomen worden wanneer er een contract wordt afgesloten met een leverancier van een algoritme of algoritmisch systeem. Er kunnen dan bijvoorbeeld beperkingen gelden om onaanvaardbare risico's van AI te vermijden, of bepaalde voorwaarden gesteld worden waaraan een algoritme juist moet voldoen. Ook kunnen bepaalde voorwaarden worden opgenomen op basis van de vereisten in het Algoritmekader.
De Europese contractvoorwaarden voor AI bieden aanbestedende organisaties de mogelijkheid om specifieke clausules op te nemen in de overeenkomst. Op deze manier worden afspraken gemaakt over onderwerpen die in lijn zijn met de aankomende AI-Act. Er zijn 2 versies van de AI-inkoopvoorwaarden opgesteld: een set voorwaarden voor AI-toepassingen met een hoog-risicoprofiel en een set voorwaarden voor AI-toepassingen met een laag-risicoprofiel.
De Europese contractvoorwaarden voor AI zijn gebaseerd op onder andere de modelbepalingen die de Gemeente Amsterdam al eerder opstelde. Deze dienen als voorbeeld voor andere gemeenten die algoritmische toepassingen willen inkopen.
"},{"location":"instrumenten/modelcontractbepalingen/#ai-module-bij-arbit-2022","title":"AI-module bij ARBIT-2022","text":"
De AI-module bij de ARBIT is gebaseerd op het gepubliceerd model van de Europese Commissie dat hierboven beschreven wordt. Via een verwijzing in de gebruikte modelovereenkomst kan de AI-module onderdeel gaan uitmaken van een onder de ARBIT te sluiten overeenkomst.
De ARBIT zijn de Algemene Rijksinkoopvoorwaarden bij IT\u2011overeenkomsten (ARBIT) en zijn bedoeld voor kleine en middelgrote IT-inkopen door de overheid. Lees meer hierover op de website van PIANOo.
Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.
"},{"location":"instrumenten/modelcontractbepalingen/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenaanbiederprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieVereistenRollenLevenscyclusOnderwerpenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance Automatische logregistratie voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Proportionaliteit en subsidiariteit probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Verantwoordelijkheden worden toegewezen en beschreven ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beveiliging informatie en informatiesystemen ontwerp implementatie monitoring-en-beheer dataverkenning-en-datapreparatie verificatie-en-validatie uitfaseren technische-robuustheid-en-veiligheid Beveiliging van de verwerking dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren privacy-en-gegevensbescherming data Bevorder AI-geletterdheid van personeel en gebruikers probleemanalyse ontwerp implementatie monitoring-en-beheer menselijke-controle governance Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance Corrigerende maatregelen voor non-conforme AI monitoring-en-beheer ontwerp implementatie governance Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance Een DPIA is verplicht bij hoog risico privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data Kwaliteitsbeheersysteem voor hoog-risico AI probleemanalyse ontwerp governance Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance Melden van ernstige incidenten implementatie monitoring-en-beheer governance Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Monitoring na het in handel brengen monitoring-en-beheer privacy-en-gegevensbescherming Een besluit berust op een deugdelijke motivering ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp dataverkenning-en-datapreparatie ontwikkelen technische-robuustheid-en-veiligheid Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data Klachtrecht aanbieders verder in AI-waardeketen monitoring-en-beheer governance fundamentele-rechten Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming Eenieder heeft recht op toegang tot publieke informatie ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Recht op uitleg AI-besluiten ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer governance fundamentele-rechten Veilig melden van inbreuk op AI verordening ontwerp ontwikkelen monitoring-en-beheer governance fundamentele-rechten Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Toezichtmogelijkheden voor gebruikers ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance fundamentele-rechten Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data Verplicht risicobeheersysteem voor hoog-risico AI probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Verstrekking van informatie op verzoek probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet implementatie ontwerp governance Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten Relevante feiten en belangen zijn bekend probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"instrumenten/modelcontractbepalingen/#bronnen","title":"Bronnen","text":"Bron Modelbepalingen voor gemeenten voor verantwoord gebruik van Algoritmische toepassingen Contractvoorwaarden voor het inkopen van artifici\u00eble intelligentie (AI) AI-module bij de modelovereenkomst ARBIT-2022"},{"location":"instrumenten/modelcontractbepalingen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld van het gebruik van modelbepalingen of contractvoorwaarden op het gebied van algoritmen? Laat het ons weten!
"},{"location":"levenscyclus/","title":"Levenscyclus algoritmes en AI","text":"
Om algoritmes op een verantwoorde manier te gebruiken, zul je op de juiste momenten aandacht moeten hebben voor de juiste onderwerpen en risico's. Van het ontwikkelen van een oplossing, tot het in gebruik nemen van die oplossing en er uiteindelijk weer mee stoppen. Door al in een vroeg stadium aandacht besteden aan bijvoorbeeld een eventuele inbreuk op mensenrechten kan je hier gedurende het hele proces al rekening mee houden.
De levenscyclus helpt je om te bepalen wat je wanneer moet doen.
In de praktijk herhaal je soms fases of ga je terug naar een eerdere fase. Mislukt bijvoorbeeld het valideren (fase 5), dan moet je terug naar de ontwerpfase (fase 2) omdat het product nog niet voldoet aan de wensen of vereisten.
"},{"location":"levenscyclus/#fases-van-de-levenscyclus","title":"Fases van de levenscyclus","text":"
Organisatieverantwoordelijkheden
Probleemanalyse
Ontwerpen
Dataverkenning en datapreparatie
Ontwikkelen
Verficatie en validatie
Implementeren
Monitoring en beheer
Uitfaseren
"},{"location":"levenscyclus/#systeemniveau-en-organisatieniveau","title":"Systeemniveau en organisatieniveau","text":"
De levenscyclus kent twee verschillende niveau's:
organisatieniveau: Sommige vereisten zijn algemeen en vragen om een organisatiebrede aanpak. Dit gaat bijvoorbeeld om passende processen en risicomanagment in je organisatie. Of het cre\u00eberen van bewustzijn en kennis binnen je organisatie. In het ideale geval besteed je hier al aandacht aan voordat je begint met de ontwikkeling of het gebruik van algoritmes. Bij deze fase horen maatregelen die je niet voor ieder systeem opnieuw zal hoeven te bekijken.
systeemniveau: Sommige vereisten voor verantwoorde inzet van algoritmes zul je bij ieder algoritme weer opnieuw aandacht moeten geven. Dat geldt bijvoorbeeld voor het beschermen van grondrechten.
De 9 fasen van de levenscyclus zijn gebaseerd op 10 belangrijke levenscyclusmodellen voor het ontwikkelen van AI, zoals:
CRISP-DM (cross-industry standard process for data mining)
ASUM-DM (analytics solutions unified method)
SEMMA (Sample, Explore, Modify, Model, and Assess)
Microsoft TDSP (Team Data Science Process)
MDLM (mobile device lifecycle management)
NIST (National Institute of Standards and Technology)
ISO/IEC 22989
Deze 9 fasen passen zo goed mogelijk bij de manier van werken van overheden. Het is geen verplicht model. Mogelijk past een ander levenscyclusmodel beter bij jouw organisatie.
"},{"location":"levenscyclus/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/","title":"Dataverkenning en datapreparatie","text":"
In deze fase worden relevante datasets ge\u00efdentificeerd en wanneer nodig wordt nieuwe data verzameld. In deze fase zal ook de ontwikkelomgeving (verder) worden ingericht indien nodig. Het is van belang dat voorafgaand aan verzameling is vastgesteld dat de benodigde data mag worden verwerkt en dat de juiste maatregelen worden getroffen, zodra de data kan worden verwerkt. Denk hierbij aan het anonimiseren, pseudonimiseren of aggregeren van persoonsgegevens. De data zullen vervolgens worden opgeschoond, geanalyseerd en voorbereid voor verdere verwerking.
Het is van belang dat dataverzameling op de juiste manier gebeurt, en dat datasets die gebruikt gaan worden van goede kwaliteit zijn. In deze fase is het van belang om de datakwaliteit en eventuele bias in de dataset te onderzoeken. Indien er risico's optreden door bijvoorbeeld missende data of niet representatieve data, is het belangrijk om te kijken wat voor effecten dit heeft op het oorspronkelijke ontwerp van het algoritme of AI-systeem. Dit kan betekenen dat nieuwe keuzes moeten worden gemaakt in het ontwerp en eventueel eerste deze fase van ontwerp (deels) opnieuw moet worden doorlopen.
Met voorgaande handelingen wordt het fundament gelegd om het algoritme of AI-systeem te kunnen ontwikkelen. In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen. Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme of AI-systeem.
"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#vereisten","title":"Vereisten","text":"VereistenVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAuteursrechten mogen niet worden geschondenProportionaliteit en subsidiariteitBeoordeling van grondrechtenBeperkte bewaartermijn van persoonsgegevensVerantwoordelijkheden worden toegewezen en beschrevenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingVerbod op schenden databankenrechtenEen DPIA is verplicht bij hoog risicoPrivacyrechtenJuistheid en actualiteit van gegevensData van hoog-risico ai moet voldoen aan kwaliteitscriteriaPersoonsgegevens verzamelen voor specifieke doeleindenEen besluit berust op een deugdelijke motiveringAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingVerwerking van persoonsgegevens moet rechtmatig plaatsvindenPrivacy door ontwerpEenieder heeft recht op toegang tot publieke informatieRecht op uitleg AI-besluitenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikersTransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerdere verwerking van persoonsgegevens in AI-testomgevingenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerstrekking van informatie op verzoekWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#maatregelen","title":"Maatregelen","text":"MaatregelenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenControleren eigen data op schending auteursrechtenData is van voldoende kwaliteitHet doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Pas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
In deze fase wordt het algoritme of AI-systeem in de praktijk gebracht en duurzaam ge\u00efntegreerd in het bedrijfsproces. In de praktijk worden veelal eerst een pilot uitgevoerd voor een afgebakende periode of over een beperkt aan zaken. In deze situatie, een pilot, wordt tijdelijk productiedata verwerkt. Dit vraagt om een goede samenwerking tussen het ontwikkelteam en de gebruikers van het algoritme of AI-systeem. Niet alleen de prestaties van het algoritme of AI-systeem worden nogmaals gevalideerd, maar bijvoorbeeld ook of de output zodanig wordt gepresenteerd dat gebruikers hiermee kunnen werken. Na deze pilot wordt onderzocht in hoeverre het algoritme of AI-systeem presteert conform wens en verwachting. Er kan worden gekozen om het algoritme eerst nog door te ontwikkelen op basis van de bevindingen, uit te faseren of om de oplossing structureel onderdeel te maken van de bedrijfsvoering door het te implementeren.
Als een besluit wordt genomen om de oplossing te implementeren, dan is het van belang dat gebruikers goed begrijpen hoe de resultaten van het algoritme of AI-systeem moeten worden ge\u00efnterpreteerd, dat de rest-risico's bekend zijn, de verantwoordelijkheden belegd zijn en dat er duidelijke werkinstructies zijn over het gebruik van het algoritme of AI-systeem. Service- en incidentmanagement moet volledig worden geoperationaliseerd, zodat gebruikers kunnen worden geholpen bij vragen of incidenten. Een kenmerkend element van deze fase is dat vanaf nu betrokkenen onderhevig zijn aan de werking van het algoritme of AI-systeem. Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme of AI-systeem tot stand. Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is ge\u00efmplementeerd.
"},{"location":"levenscyclus/implementatie/#vereisten","title":"Vereisten","text":"VereistenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterDe archiefwet is ook van toepassing op algoritmes en AI-systemenProportionaliteit en subsidiariteitBeveiliging informatie en informatiesystemenBevorder AI-geletterdheid van personeel en gebruikersAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitCorrigerende maatregelen voor non-conforme AIGebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningMaatregelen van gebruiksverantwoordelijken voor gebruikMelden van ernstige incidentenEen besluit berust op een deugdelijke motiveringAI-systemen en algoritmes mogen niet discriminerenPrivacy door ontwerpEenieder heeft recht op toegang tot publieke informatieRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoTechnische documentatie voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoVerstrekking van informatie op verzoekWerknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/implementatie/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingAselecte steekproevenMaak back-ups van algoritmesBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Configuratie met de mensHet doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Neem technische documentatie op in het algoritmeregisterPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"levenscyclus/monitoring-en-beheer/","title":"Monitoring en beheer","text":"
Het algoritme of AI-systeem wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme of AI-systeem wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme of AI-systeem.
Het is van belang dat beheer wordt uitgevoerd over het algoritme of AI-systeem, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme of AI-systeem niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.
"},{"location":"levenscyclus/monitoring-en-beheer/#vereisten","title":"Vereisten","text":"VereistenVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterDe archiefwet is ook van toepassing op algoritmes en AI-systemenAutomatische logregistratie voor hoog-risico AIProportionaliteit en subsidiariteitBeoordeling van grondrechtenVerantwoordelijkheden worden toegewezen en beschrevenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIBeschermen van fundamentele rechten en vrijhedenGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken monitoren werking hoog risico AI-systeemMelden van ernstige incidentenMonitoring na het in handel brengenEen besluit berust op een deugdelijke motiveringAI-systemen en algoritmes mogen niet discriminerenKlachtrecht aanbieders verder in AI-waardeketenRecht op niet geautomatiseerde besluitvormingEenieder heeft recht op toegang tot publieke informatieRecht op uitleg AI-besluitenVeilig melden van inbreuk op AI verordeningTechnische documentatie voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoVerstrekking van informatie op verzoekRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/monitoring-en-beheer/#maatregelen","title":"Maatregelen","text":"MaatregelenAselecte steekproevenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bepaal of de output bepalende invloed heeft in een besluit richting personenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Contractuele afspraken over data en artefactenRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem technische documentatie op in het algoritmeregisterPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht. Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.
Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme of AI-systeem. Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.
Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.
Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme of AI-systeem. Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk ge\u00ebvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme of AI-systeem voldoet aan bijvoorbeeld het vereiste van non-discriminatie.
Nadat een besluit is genomen over het definitieve ontwerp van het algoritme of AI-systeem, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.
"},{"location":"levenscyclus/ontwerp/#vereisten","title":"Vereisten","text":"VereistenVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAuteursrechten mogen niet worden geschondenAutomatische logregistratie voor hoog-risico AIProportionaliteit en subsidiariteitBeoordeling van grondrechtenBeperkte bewaartermijn van persoonsgegevensVerantwoordelijkheden worden toegewezen en beschrevenBeveiliging informatie en informatiesystemenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIVerbod op schenden databankenrechtenDocumentatie beoordeling niet-hoog-risico AIEen DPIA is verplicht bij hoog risicoBeschermen van fundamentele rechten en vrijhedenPrivacyrechtenJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaPersoonsgegevens verzamelen voor specifieke doeleindenEen besluit berust op een deugdelijke motiveringAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingVerwerking van persoonsgegevens moet rechtmatig plaatsvindenPrivacy door ontwerpRecht op niet geautomatiseerde besluitvormingEenieder heeft recht op toegang tot publieke informatieRecht op uitleg AI-besluitenVeilig melden van inbreuk op AI verordeningRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerstrekking van informatie op verzoekWerknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezetWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/ontwerp/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden vaststellenMaak back-ups van algoritmesBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerBetrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Contractuele afspraken over data en artefactenControleren eigen data op schending auteursrechtenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Kwetsbare groepen in kaart brengen en beschermenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataPas het principe van security by design toeStel archiefbescheiden vastTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenStel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam. Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.
Het algoritme of AI-systeem technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme of AI-systeem functioneert) van een machine learning model of algoritme. Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme of AI-systeem op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.
In deze fase is niet alleen het ontwikkelen van een algoritme of AI-systeem, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.
"},{"location":"levenscyclus/ontwikkelen/#vereisten","title":"Vereisten","text":"VereistenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterAutomatische logregistratie voor hoog-risico AIProportionaliteit en subsidiariteitBeoordeling van grondrechtenBeperkte bewaartermijn van persoonsgegevensVerantwoordelijkheden worden toegewezen en beschrevenBeveiliging van de verwerkingHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsEen DPIA is verplicht bij hoog risicoGebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdPrivacyrechtenJuistheid en actualiteit van gegevensPersoonsgegevens verzamelen voor specifieke doeleindenEen besluit berust op een deugdelijke motiveringOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPrivacy door ontwerpRecht op niet geautomatiseerde besluitvormingEenieder heeft recht op toegang tot publieke informatieRecht op uitleg AI-besluitenVeilig melden van inbreuk op AI verordeningRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerdere verwerking van persoonsgegevens in AI-testomgevingenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoVerstrekking van informatie op verzoekRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/ontwikkelen/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bepaal of de output bepalende invloed heeft in een besluit richting personenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerBetrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputPas het principe van security by design toeStel archiefbescheiden vastTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen. In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes. Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.
"},{"location":"levenscyclus/organisatieverantwoordelijkheden/#vereisten","title":"Vereisten","text":"Vereisten"},{"location":"levenscyclus/organisatieverantwoordelijkheden/#maatregelen","title":"Maatregelen","text":"MaatregelenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Richt gebruikersbeheer inRicht wachtwoordbeheer inPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven. Er wordt bijvoorbeeld onderzocht welke publieke taak moet worden ondersteund en welke publieke waarden daarbij moeten worden beschermd of juist gerealiseerd. In deze fase wordt onderzocht of het ontwikkelen van een algoritme of AI-systeem een geschikt middel is om het doel te realiseren en het probleem op te lossen. Dat hangt van verschillende zaken af. Hierbij kan worden gedacht aan de middelen (capaciteit en financi\u00eble middelen) die nodig zijn om algoritmen en AI op een verantwoorde wijze te ontwikkelen, de complexiteit van de oplossing, het in beeld brengen van de verwachte risico's (hoog over), een eerste beeld krijgen bij wat voor data nodig zijn en het in kaart brengen en beleggen van de verschillende verantwoordelijkheden. Daarnaast is het van belang om het beleid met betrekking tot de inzet van algoritme en AI van een organisatie te raadplegen.
Er zal een conclusie moeten volgen of de ontwikkeling van een algoritme of AI-systeem passend is. Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme of een AI-systeem te ontwikkelen. Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.
"},{"location":"levenscyclus/probleemanalyse/#vereisten","title":"Vereisten","text":"VereistenProportionaliteit en subsidiariteitBevorder AI-geletterdheid van personeel en gebruikersBeschermen van fundamentele rechten en vrijhedenJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIAI-systemen en algoritmes mogen niet discriminerenVerwerking van persoonsgegevens moet rechtmatig plaatsvindenRisicobeoordeling voor jongeren en kwetsbarenVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerstrekking van informatie op verzoekRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/probleemanalyse/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBetrek belanghebbendenFormuleren doelstellingFormuleren aanleiding en probleemdefinitieVerken maatregelen van aanbieder om schending auteursrechten te voorkomenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentBepaal waarom we gebruik willen maken een algoritme
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Als wordt besloten dat het algoritme of AI-systeem niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd. Hiermee wordt ervoor gezocht dat later kan worden gereconstrueerd hoe het algoritme of AI-systeem heeft gefunctioneerd en dat gebruikers er geen gebruik meer van kunnen maken.
Archiveren betekent dat documentatie en eventuele relevante artefacten (zoals logbestanden en de parameters van het model) worden bewaard voor een bepaalde periode. Het gaat daarbij ook om informatie over het algoritme of AI-systeem, bijvoorbeeld het besluit en onderbouwing waarom het niet meer wordt gebruikt en waarom het in het verleden wel gebruikt werd. Archiveren is niet enkel relevant aan het einde van de levenscyclus, maar is ook gedurende het gebruik van het algoritme of AI-systeem van belang. Er moet tijdig worden vastgesteld welke versies van een model moeten worden gearchiveerd, bijvoorbeeld al tijdens de ontwerpfase.
Bij AI-systemen is er in praktijk vaak sprake van hertrainen op nieuwe data, wat het model anders maakt en andere voorspellingen kan doen geven. Ook meer eenvoudige algoritmes kunnen gedurende de tijd veranderen en andere voorspellingen geven, bijvoorbeeld door veranderende data of veranderende rekenregels. Er moet worden vastgesteld welke versies van een model moet gearchiveerd.
Bij uitfaseren wordt het algoritme of AI-systeem verwijderd uit de productieomgeving en, na archivering, wordt de trainingsdata uit de ontwikkelomgeving verwijderd. Het algoritme is hiermee niet meer te gebruiken door gebruikers. Gebruikers moeten hier vooraf over worden ge\u00efnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen ge\u00efnformeerd over het be\u00ebindigen van het gebruik.
"},{"location":"levenscyclus/uitfaseren/#vereisten","title":"Vereisten","text":"VereistenVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingDe archiefwet is ook van toepassing op algoritmes en AI-systemenAutomatische logregistratie voor hoog-risico AIProportionaliteit en subsidiariteitVerantwoordelijkheden worden toegewezen en beschrevenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerstrekking van informatie op verzoekRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/uitfaseren/#maatregelen","title":"Maatregelen","text":"MaatregelenPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"levenscyclus/verificatie-en-validatie/","title":"Verificatie en validatie","text":"
Bij de verificatie en validatie van het algoritme of AI-systeem dient bepaald te worden of het algoritme of AI-systeem gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen. Hiervoor moeten technische, maar ook organisatorische maatregelen worden getroffen.
Bij verificatie kan worden gedacht aan het (laten) controleren of het algoritme of AI-systeem voldoet aan de (technische) specificaties, bijvoorbeeld door een interne of externe audit of in de toekomst een conformiteitsbeoordeling voor hoog risico AI-systemen. Hiermee kan (onafhankelijk) worden vastgesteld of het systeem voldoet aan de vereisten die organisaties daaraan stellen. Op basis van bevindingen uit een audit of conformiteitsbeoordeling, is het denkbaar dat het ontwikkelteam nog bepaalde maatregelen moet treffen om te voldoen aan de specificaties.
Bij het valideren van een algoritme of AI-systeem moet worden bepaald of het goed genoeg presteert en of het geschikt is voor het beoogde doel van het systeem. Wanneer het een AI-systeem betreft, is het belangrijk dat dit gevalideerd wordt op nieuwe, niet eerder geziene data. Het valideren betreft het iteratief evalueren van de nauwkeurigheid en prestaties van het systeem. Daarnaast is het ook belangrijk om te valideren of het algoritme gelijke prestaties toont voor verschillende groepen en om te testen hoe het algoritme presteert in uitzonderlijke gevallen. Het is net als in de ontwerpfase belangrijk dat een multidisciplinair team beoordeelt of de werking passend en bijvoorbeeld non-discriminatoir is. In het geval van impactvolle algoritmen of hoog risico AI-systemen, is het raadzaam om een onafhankelijke commissie of partij te betrekken die een advies geeft over de werking van het algoritme of AI-systeem.
In praktijk zal vaak na validatie weer worden teruggegaan naar de ontwikkelfase om prestaties van het model te verbeteren voorafgaand aan implementatie van de oplossing. Het is ook denkbaar dat het algoritme of AI-systeem onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt be\u00ebindigd. Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.
"},{"location":"levenscyclus/verificatie-en-validatie/#vereisten","title":"Vereisten","text":"VereistenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterAutomatische logregistratie voor hoog-risico AIProportionaliteit en subsidiariteitBeoordeling van grondrechtenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingBewaartermijn voor gegenereerde logsAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitDocumentatie beoordeling niet-hoog-risico AIEen DPIA is verplicht bij hoog risicoBeschermen van fundamentele rechten en vrijhedenData van hoog-risico ai moet voldoen aan kwaliteitscriteriaEen besluit berust op een deugdelijke motiveringAI-systemen en algoritmes mogen niet discriminerenEenieder heeft recht op toegang tot publieke informatieRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoTechnische documentatie voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoVerstrekking van informatie op verzoekRelevante feiten en belangen zijn bekend"},{"location":"levenscyclus/verificatie-en-validatie/#maatregelen","title":"Maatregelen","text":"MaatregelenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Neem technische documentatie op in het algoritmeregisterRestrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Overzicht van aanbevolen maatregelen voor verantwoord gebruik van algoritmes en AI-systemen. Het zijn adviezen om te voldoen aan de vereisten voor overheden. Andere maatregelen zijn ook mogelijk.
"},{"location":"maatregelen/#alle-maatregelen-zijn-adviezen","title":"Alle maatregelen zijn adviezen","text":"
De maatregelen zijn niet verplicht. Het zijn adviezen uit:
Toetsingskader Algoritmes, Algemene Rekenkamer
Onderzoekskader algoritmes, Auditdienst Rijk
nationale en internationale standaarden (NEN, JTC21 en ISO)
Onderzoek het ontwikkelde algoritme op onbewuste vooringenomenheid (discriminatie) door middel van een bias-analyse.
Deze maatregel helpt om te voldoen aan de vereiste om niet te discrimineren. Maar deze maatregel is niet verplicht. Je organisatie mag ook eigen maatregelen nemen. Zolang je uiteindelijk maar voldoet aan de vereiste.
Tip
Aantal maatregelen verschilt per situatie
Welke maatregelen handig zijn in jouw situatie, hangt af van:
de fase in de levenscyclus van je project
de vereisten waar jouw organisatie aan moet voldoen
jouw rol in de organisatie
Tip
Met \u00e9\u00e9n maatregel voldoe je soms aan meerdere vereisten.
"},{"location":"maatregelen/#overzicht-maatregelen","title":"Overzicht maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigearchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistdomeinspecialistethicusgebruikergemandateerd-verantwoordelijkeinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtgeveropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist probleemanalyse implementatie publieke-inkoop Archiveren beperkingen openbaarheid proceseigenaar informatiebeheerder archiefdeskundige jurist ontwerp ontwikkelen governance Vaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden zijn duurzaam toegankelijk proceseigenaar informatiebeheerder archiefdeskundige ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Aselecte steekproeven implementatie monitoring-en-beheer bias-en-non-discriminatie technische-robuustheid-en-veiligheid Maak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. proceseigenaar behoeftesteller beleidsmedewerker inkoopadviseur aanbieder data-scientist data-engineer organisatieverantwoordelijkheden governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bepaal of de output bepalende invloed heeft in een besluit richting personen behoeftesteller proceseigenaar gebruiker inkoopadviseur ethicus jurist ontwikkelen monitoring-en-beheer publieke-inkoop Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Betrek belanghebbenden projectleider probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance fundamentele-rechten Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Configuratie met de mens implementatie governance menselijke-controle Contractuele afspraken over data en artefacten proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder informatiebeheerder ontwerp monitoring-en-beheer publieke-inkoop Controleren eigen data op schending auteursrechten proceseigenaar informatiebeheerder jurist ontwerp dataverkenning-en-datapreparatie data Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Data is van voldoende kwaliteit data-scientist data-engineer dataverkenning-en-datapreparatie data Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Formuleren doelstelling projectleider opdrachtgever domeinspecialist probleemanalyse governance Formuleren aanleiding en probleemdefinitie projectleider opdrachtgever domeinspecialist probleemanalyse governance Verken maatregelen van aanbieder om schending auteursrechten te voorkomen proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder probleemanalyse implementatie publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. proceseigenaar aanbieder data-engineer data-scientist privacy-officer ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer privacy-en-gegevensbescherming Kwetsbare groepen in kaart brengen en beschermen projectleider opdrachtgever ethicus ontwerp fundamentele-rechten Bewijs laten leveren dat auteursrechten niet worden geschonden met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist gemandateerd-verantwoordelijke ontwerp monitoring-en-beheer publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp monitoring-en-beheer publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument behoeftesteller proceseigenaar inkoopadviseur probleemanalyse ontwikkelen monitoring-en-beheer governance publieke-inkoop Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt proceseigenaar privacy-officer inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop privacy-en-gegevensbescherming Neem technische documentatie op in het algoritmeregister proceseigenaar privacy-officer data-scientist data-engineer beleidsmedewerker ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen verificatie-en-validatie publieke-inkoop Bepaal waarom we gebruik willen maken een algoritme projectleider opdrachtgever domeinspecialist probleemanalyse governance Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. proceseigenaar informatie-analist data-engineer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen monitoring-en-beheer publieke-inkoop Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Stel archiefbescheiden vast ontwerp ontwikkelen publieke-inkoop Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke behoeftesteller inkoopadviseur aanbieder ontwerp monitoring-en-beheer publieke-inkoop De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding proceseigenaar aanbieder behoeftesteller inkoopadviseur contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen aanbieder proceseigenaar inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) proceseigenaar organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie uitfaseren privacy-en-gegevensbescherming Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie privacy-en-gegevensbescherming Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit. proceseigenaar behoeftesteller informatie-analist data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer architect ontwerp ontwikkelen publieke-inkoop data Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/","title":"Aansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding","text":"
Maak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.
Eindgebruikers kunnen er niet altijd op vertrouwen, en ook niet (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme of AI-systeem laten genereren, inbreuk maakt op rechten van derden. Hoe groot de kans is dat zij vanwege het gebruik van gegenereerde output aansprakelijk worden gesteld, is in het verlengde daarvan evenmin vast te stellen. Er zijn wel voorbeelden waarbij gebruikers voor een eventuele inbreuk aansprakelijk kunnen worden gesteld.
Op dit moment zijn ons (nog) geen gevallen of rechtszaken bekend waarin eindgebruikers (of hun werkgevers) aansprakelijk werden gesteld voor een inbreuk op het intellectuele-eigendomsrecht vanwege het gebruik van op basis van algoritme of AI gegenereerde inhoud. Feit is echter wel dat een dergelijke aansprakelijkstelling in voorkomende gevallen dus mogelijk zullen zijn, te meer nu de aanbieders van algoritmen en AI in hun algemene voorwaarden het risico voor aansprakelijkheid (waaronder vanwege inbreuken op intellectuele eigendom) volledig of grotendeels uitsluiten, of zelfs verlangen dat gebruikers hen vrijwaren voor de gevolgen van eventuele aansprakelijkstellingen.
Maak een beoordeling in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend worden geacht gezien de toepassing. Maak een jurist onderdeel van de beoordeling hiervan.
"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#voorbeeld","title":"Voorbeeld","text":"
Er zijn gevallen waarbij het openbaren van archiefbescheiden is uitgesloten. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Stem in het begin van het proces (pro-actief) met de opdrachtgever af wat de wenselijkheid is t.a.v. transparantie/openheid (uitgangspunt zou 'open, tenzij' moeten zijn).
"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemen"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#voorbeeld","title":"Voorbeeld","text":"
Heb je een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/archiveren_bewaartermijnen/","title":"Vaststellen bewaartermijnen voor archiefbescheiden","text":"
Archiefbescheiden moeten voor een bepaalde tijd worden bewaard. Dit wordt de bewaartermijn genoemd. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Zorg dat de ter zake c.q. van toepassing zijnde formeel vastgesteld selectielijst wordt toegepast en pas de informatie rondom algoritmes en AI hierop toe. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden bewaard en dat hier dus ook nog geen termijnen aan zijn gekoppeld.
"},{"location":"maatregelen/archiveren_bewaartermijnen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenHoog risico ai systemen voldoen aan bewaartermijn voor documentatie"},{"location":"maatregelen/archiveren_bewaartermijnen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_bewaartermijnen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/","title":"Archiefbescheiden zijn duurzaam toegankelijk","text":"
Het moet mogelijk zijn dat de archiefbescheiden daadwerkelijk overhandigd kunnen worden aan betrokken partijen. Denk hierbij aan burgers, onderneming, toezichthouder of rechters. Duurzaam betekent hier met behoud van functie en kwaliteit voor langere tijd. Onderzoek welke voorziening hiervoor beschikbaar is binnen de organisatie.
"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemen"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#voorbeeld","title":"Voorbeeld","text":"
Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.
Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden toegepast. Formeer hierbij een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist, proceseigenaar en archief deskundige) om deze maatregel toe te passen.
"},{"location":"maatregelen/archiveren_vaststellen_documenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenHoog risico ai systemen voldoen aan bewaartermijn voor documentatie"},{"location":"maatregelen/archiveren_vaststellen_documenten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_vaststellen_documenten/#voorbeeld","title":"Voorbeeld","text":"
Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde selectie.
Het toevoegen van aselecte steekproeven maakt het mogelijk om over tijd te beoordelen of het algoritme nog voldoende effectief is. Populaties veranderen immers over tijd. Een selectie die het meest effectief was bij ingebruikname, kan over tijd dat niet meer zijn. Door alleen risicogestuurd te selecteren, wordt dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden. Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden of er nog steeds sprake is van de meest proportionele vorm. Als dat niet zo is, kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie of overgaan op volledig aselect.
De maatregel gaat daarmee niet direct discriminatie tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van de risicogestuurde selectie. Een lagere effectiviteit maakt het echter lastiger het gemaakte onderscheid te rechtvaardigen.
Het gebruik van een aselecte steekproef is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid. Een aselecte steekproef geeft ook inzicht in heel deel van de populatie dat doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde algoritme. Dit maakt het mogelijk om te toetsen of er sprake is van een over- of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde typen fouten vaker gemaakt worden in bepaalde groepen.
Bij AI-systemen die verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing feedbackloop, omdat zij geen representatieve data krijgen. Het toevoegen van aselecte steekproeven kan deze feedbackloop doorbreken.
Het is aan te bevelen om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is op basis van een risicogestuurd of aselecte selectie. Daardoor wordt beperkt dat een behandelaar met tunnelvisie een zaak bekijkt. De behandelaar weet immers dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico. Op die manier kan automation bias beperkt te worden. Niet in alle gevallen zal dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan halen op basis waarvan een casus geselecteerd is. Het is dan belang om op andere wijze de tunnelvisie tegen te gaan.
De precieze inzet van aselecte steekproeven zal afhangen van de context. Zo verschilt het per context hoeveel zaken aselect geselecteerd moeten worden. Bepaal welke groepen er precies vergeleken dienen te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig dat er gesproken kan worden over statistische significantie.
In sommige gevallen zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor aselecte steekproef. Zo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek, maar mogelijk niet als enige basis voor een huisbezoek. Deze belangenenafweging moet per context gemaakt worden.
"},{"location":"maatregelen/aselecte_steekproeven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteNone"},{"location":"maatregelen/aselecte_steekproeven/#bronnen","title":"Bronnen","text":"Bron Rapportage Algoritmerisico's Nederland voorjaar 2024 (pp. 36-41)"},{"location":"maatregelen/aselecte_steekproeven/#risico","title":"Risico","text":"
In het onderzoek van zowel Algorithm Audit als PricewaterhouseCoopers naar de Controle Uitwonendenbeurs is het belang van de aselecte steekproef duidelijk geworden.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/backups_maken/","title":"Maak back-ups van algoritmes","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarProjectleiderInformatiebeheerderData engineerSecurity officerTechnische robuustheid en veiligheidGovernance
Back-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid. Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme en de data hersteld kunnen worden.
Er is een back-up beleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Dit beleid moet vervolgens worden vertaald naar (technische) maatregelen om het kunnen maken van back-ups te realiseren.
Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.
"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/","title":"Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.","text":"
Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.
Bepaal in een vroege fase (probleemanalyse en ontwerpfase) welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.
Dit is sterk afhankelijk van de specifieke toepassing en de (eerste) inzichten die voortkomen uit risicoanalyses. Hoe complexer en risicovoller de toepassing, des te meer expertise en capaciteit noodzakelijk is.
Interne en externe actoren die betrokken zijn bij het ontwikkelen, inkopen en gebruik moeten over voldoende expertise en capaciteit beschikken om hun taken naar behoren uit te voeren.
Stel vast of er afhankelijkheden van externe aanbieders ontstaan.
Bepaal voorafgaand aan het (laten)ontwikkelen of inkopen van algoritmes en AI-systemen of voldoende expertise en capaciteit beschikbaar is om tot een verantwoorde inzet ervan te komen.
Leg vast of er voldoende expertise en capaciteit beschikbaar is en onderbouw dit in projectdocumentatie.
"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.12 Toetsingskader Algoritmes Algemene Rekenkamer, 3.02 Algoritmekader"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/","title":"Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.","text":"
OntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistSecurity officerTechnische robuustheid en veiligheidPrivacy en gegevensbescherming
(Persoons)gegevens die het algoritme of AI-systeemn verwerkt worden niet langer bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is.
Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende (zaak)systemen.
Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.
"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBeperkte bewaartermijn van persoonsgegevens"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11 Toetsingskader Algoritmes Algemene Rekenkamer, 3.17 Algoritmekader"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/","title":"Bepaal of de output bepalende invloed heeft in een besluit richting personen","text":"
OntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarGebruikerInkoopadviseurEthicusJuristPublieke inkoop
Ga na of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan
Maak een beoordeling in hoeverre de mate waarin menselijke tussenkomst is of kan worden gerealiseerd. Raadpleeg voor deze beoordeling verschillende experts, zoals een gebruiker, proceseigenaar, ethicus en jurist.
"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRecht op niet geautomatiseerde besluitvorming"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/","title":"Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenProceseigenaarAanbiederData scientistData engineerSecurity officerPrivacy officerPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid
Als is vastgesteld welke persoonsgegevens mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen, moet worden nagegaan of er maatregelen kunnen worden getroffen om deze te beschermen.
Hierbij kan worden gedacht aan het pseudonomiseren, anonimiseren of aggregeren van persoonsgegevens.
Het bepalen of persoonsgegevens mogen worden verwerkt voor algoritmes en AI-systemen moet worden bekeken in samenhang met maatregelen die kunnen worden getroffen om deze gegevens te beschermen.
"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteminimale_verwerking_van_persoonsgegevens.mdBeveiliging van de verwerking"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/","title":"Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerInkoopadviseurContractbeheerderAanbiederPrivacy en gegevensbeschermingGovernance
Duidelijkheid en borging van rollen en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van het proces rondom de ontwikkeling, inkoop en gebruik van een algoritme.
Zeker wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van belang.
Een RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd, Informed/Ge\u00efnfomeerd) te bepalen.
Aanvullend hierop kan het wenselijk zijn om specifieke, gevoelige activiteiten nader uit te werken in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar onbwuste vooringenomenheid.
De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten.
"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteVerantwoordelijkheden worden toegewezen en beschrevenRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.06 Onderzoekskader Algoritmes Auditdienst Rijk, SV.9 Algoritmekader"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#voorbeeld","title":"Voorbeeld","text":"
Rapport Kleur Bekennen, Algemene Rekenkamer, p. 114, figuur 5-4
"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/","title":"Bespreek de vereiste met aanbieder of opdrachtnemer","text":"
Ga met een aanbieder en/of met opdrachtnemers in gesprek over in hoeverre deze invulling heeft gegeven of gaat geven aan de vereiste. Op basis van nieuwe of gewijzigde wet- en regelgeving is het denkbaar dat een aanbieder van algoritmes of AI-systemen nog niet of niet meer voldoet aan deze vereiste. Indien van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.
"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenRecht_op_uitleg_AI-besluitenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleindenDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingVerbod op schenden databankenrechtenMelden van ernstige incidentenAutomatische logregistratie voor hoog-risico AIBeperkte bewaartermijn van persoonsgegevensbescherming_van_kwetsbare_groepenVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_ bijzondere_categorieen_persoonsgegevensDocumentatie beoordeling niet-hoog-risico AIVerwerking van persoonsgegevens moet rechtmatig plaatsvindenBeschermen van fundamentele rechten en vrijhedengeb_dpia_verplicht_bij_hoog_risicoJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikBeoordeling van grondrechtenMonitoring na het in handel brengenAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpPrivacyrechtenRecht op niet geautomatiseerde besluitvormingVeilig melden van inbreuk op AI verordeningrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekVerdere verwerking van persoonsgegevens in AI-testomgevingenWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensEenieder heeft recht op toegang tot publieke informatieImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterProportionaliteit en subsidiariteit"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderGovernanceFundamentele rechten
Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus. Belanghebbenden zijn onder meer eindgebruikers, mensen en rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende organisaties.
Algoritmes worden vaak gebruikt binnen een (specifieke) context waar deze invloed op uitoefenen. Medewerkers moeten bijvoorbeeld werken met de uitkomsten of anderen zijn onderwerp van het algoritme. Om te voorkomen dat er een mismatch ontstaat met de realiteit, is het van belang om specifieke domeinkennis te betrekken.
Het betrekken van belanghebbenden is van belang in bijna alle fasen van de levenscyclus.
In de fase van de probleemanalyse is het allereerst van belang in kaart te brengen welke stakeholders er zijn. Wie gaan bijvoorbeeld werken met het algoritme (eindgebruikers)? En welke demografie\u00ebn worden geraakt door een algoritme? Bij wie liggen de voordelen en bij wie liggen de nadelen? Ga vervolgens in gesprek met belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context waarin het gebruikt wordt. Bespreek daarbij welke definitie en metriek van fairness past bij de context.
In de fase van dataverkenning en datapreparatie is het van belang om domeinexpertise te betrekken, om zo in kaart te brengen wat de data features betekenen en waar zij vandaan komen. Op basis daarvan kan in kaart gebracht worden of er sprake is van bias en/of links met beschermde persoonskenmerken.
In de fase van implementatie is het van belang de eindgebruikers te betrekken. Het is dan vooral van belang om maatregelen te nemen om automation bias, deployment bias en reinforcing feedback loop te voorkomen of te beperken.
In de fase van monitoren is het van belang belanghebbenden te betrekken bij de evaluatie. Dit kan bijvoorbeeld in de vorm van een survey of focusgroep. Zij kunnen problemen in de praktijk naar voren brengen, die niet altijd terug te vinden zijn in de data.
"},{"location":"maatregelen/betrek_belanghebbenden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 2.12 The Fairness Handbook Handreiking non-discriminatie by design Ethics Guidelines for Trustworthy AI Onderzoekskader Algoritmes Auditdienst Rijk, SV.10"},{"location":"maatregelen/betrek_belanghebbenden/#risico","title":"Risico","text":"
De mismatch kan nadelige gevolgen hebben voor de effectiviteit van het algoritme binnen een context. Het kan daarnaast ook ongerechtvaardigde discriminatie in de hand werken. Ontwikkelaars kunnen bijvoorbeeld missen dat in de context van het algoritme een variabele een proxy is voor een discriminatiegrond.
Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder. Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/beveiliging_van_componenten/","title":"Zorg voor een goede beveiliging van een algoritme.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerPrivacy officerTechnische robuustheid en veiligheidGovernance
Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem. Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.
Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme of systeem. Hierbij kan worden gedacht aan: Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.)
Inzicht cre\u00ebren in de beoogde opzet van de IT-infrastructuur (de architectuur) en de werkelijk geconfigureerde hard- en software. (CIS Control 1, BIO 8.1.1).
Inrichten van een formeel proces voor het beheer van technische kwetsbaarheden. Dit omvat minimaal periodieke (geautomatiseerde) controle op de aanwezigheid van kwetsbaarheden in de te toetsen systemen, een risicoafweging en navolgbare afwerking daarvan of risicoacceptatie (BIO 12.6).
Beoordelen, patchen en updaten van kwetsbaarheden in IT-systemen als deze bekend zijn. (BIO 12.6.1)
Verwijderen of deactiveren van softwarecomponenten en services die niet noodzakelijk zijn voor het functioneren van het algoritme om beveiligingsrisico\u2019s te beperken. (BIO 12.6.1)
Er vindt zonering plaats binnen de technische infrastructuur conform de uitgangspunten die zijn vastgelegd in een operationeel beleidsdocument, waarbij minimaal sprake is van scheiding tussen vertrouwde en onvertrouwde netwerken (BIO 9.4.2). Denk ook aan het scheiden in netwerken (BIO 13.1.3).
Actieve monitoring van de algoritme data vindt plaats zodat beveiligingsincidenten en -gebeurtenissen in een vroeg stadium worden gedetecteerd. (BIO 12.4.1, NCSC Handreiking voor implementatie van detectieoplossingen).
Netwerkverkeer en componenten worden actief gemonitord. BIO 12.4.1).
Beoordeel of de data ten behoeve van het ontwikkelen en gebruiken van het algoritme voldoende is beveiligd. Maak hierin onderscheid tussen de trainingsdata, inputdata en de outputdata.
Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.
"},{"location":"maatregelen/beveiliging_van_componenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging"},{"location":"maatregelen/beveiliging_van_componenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.18 t/m IB.25 NCSC Handreiking voor implementatie van detectieoplossingen Handleiding Quickscan Information Security"},{"location":"maatregelen/beveiliging_van_componenten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/configuratie_met_de_mens/","title":"Configuratie met de mens","text":"
Maak keuzes rondom de rol van het systeem in de werkwijze van medewerkers.
Gebruik duidelijke werkinstructies en protocollen om te voorkomen dat beslissingen, gebaseerd op de output van het systeem, door (automation) bias worden be\u00efnvloed.
Stel een structuur op voor het melden van mogelijke problemen met het systeem.
Opleiding van medewerkers over:
AI en algoritmes;
het systeem waarmee ze gaan werken;
de rol van het systeem in hun werkwijze;
de risico's die aan het gebruik van een systeem verbonden zijn (bijv. (automation) bias, false positives/negatives);
de maatregelen die genomen zijn om deze risico\u2019s te beperken (bijv. Willekeurige of fictieve casussen, transparantie over de output).
Bespreek regelmatig de uitdagingen die medewerkers ondervinden bij het werken met het systeem (bijv. tijdsdruk).
Documenteer alle keuzes en de onderliggende redenen/afwegingen rondom menselijke tussenkomst en overzicht, bijvoorbeeld in een Algoritme Impact Assessment. Evalueer en pas gemaakte keuzes waar nodig aan.
Zorg voor complementariteit tussen medewerkers en systemen. Dit helpt bij het voorkomen van (automation) bias en discriminatie, het signaleren van algoritmische problemen, en het vermijden van de facto automatische besluitvorming.
"},{"location":"maatregelen/configuratie_met_de_mens/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAI-systemen en algoritmes mogen niet discrimineren"},{"location":"maatregelen/configuratie_met_de_mens/#bronnen","title":"Bronnen","text":"Bron Handreiking non-discriminatie by design Impact Assessment Mensenrechten en Algoritmes Ethics Guidelines of Trustworthy AI"},{"location":"maatregelen/configuratie_met_de_mens/#risico","title":"Risico","text":"
Bias, discriminatie, de facto automatische besluitvorming.
Hier kan worden gedacht aan de initi\u00eble trainingsdataset, outputdata (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers).
"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/","title":"Controleren eigen data op schending auteursrechten","text":"
OntwerpDataverkenning en datapreparatieProceseigenaarInformatiebeheerderJuristData
Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.
Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen worden gebruikt voor de ontwikkeling van een algoritme of AI-systeem.
"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/","title":"Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.","text":"
Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten, kan het noodzakelijk zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) moeten samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) kunnen aanbieders mogelijk nog niet voldoen aan deze nieuwe vereisten of is onduidelijk op welke manier hier invulling aan moet worden gegeven. In de context van algoritmes en AI kan het voor bepaalde onderwerpen zoals non-discriminatie, transparantie en eerbiedigen van fundamentele rechten van belang zijn om samen te verkennen hoe hier invulling aan moet worden gegeven. Het is belangrijk om bij de behoeftestelling al te verkennen op welke onderwerpen dit mogelijk van toepassing is.
"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRecht_op_uitleg_AI-besluitenAuteursrechten mogen niet worden geschondenVerbod op schenden databankenrechtenbescherming_van_kwetsbare_groepenBevorder AI-geletterdheid van personeel en gebruikersCorrigerende maatregelen voor non-conforme AIBeschermen van fundamentele rechten en vrijhedenJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikBeoordeling van grondrechtenMonitoring na het in handel brengenAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpPrivacyrechtenRecht op niet geautomatiseerde besluitvormingrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisicoAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensEenieder heeft recht op toegang tot publieke informatieProportionaliteit en subsidiariteit"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Ruimte voor Innovatie in het contract"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/datakwaliteit/","title":"Data is van voldoende kwaliteit","text":"
Dataverkenning en datapreparatieData scientistData engineerData
Stel functionele eisen voor de data kwaliteit vast en analyseer structureel of er aan deze eisen wordt voldaan.
De kwaliteit van de data die als input voor het algoritme wordt gebruikt is bepalend voor de uitkomsten van het algoritme. Hier wordt soms ook naar gerefereerd als garbage in = garbage out.
Een vraag die gesteld dient te worden: beschrijft de data het fenomeen dat onderzocht dient te worden?
Het Raamwerk gegevenskwaliteit bevat een breed toepasbare set van kwaliteitsdimensies:
juistheid
compleetheid
validiteit
consistentie
actualiteit
precisie
plausibiliteit
traceerbaarheid
begrijpelijkheid
Deze dimensies zijn aangevuld met kwaliteitsattributen welke gebruikt kunnen worden om de verschillende dimensies meetbaar te maken.
De vraag of de data kwaliteit voldoende is hangt sterk samen met de vraag of er bias in de onderliggende data zit. Analyseer daarom ook welke bias en aannames er besloten zijn in de onderliggende data. Denk hierbij onder andere aan de volgende vormen van bias:
historische bias
meetbias
representatie bias
Let op!
Wanneer je een algoritme inkoopt en de ontwikkeling van het algoritme uitbesteedt aan een derde partij, houdt er dan dan rekening mee dat data traceerbaar en reproduceerbaar moet zijn. Maak hier heldere afspraken over met de aanbieder.
"},{"location":"maatregelen/datakwaliteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteJuistheid en actualiteit van gegevensData van hoog-risico ai moet voldoen aan kwaliteitscriteria"},{"location":"maatregelen/datakwaliteit/#risico","title":"Risico","text":"
Door onjuiste beslissingen van gegevens kunnen verkeerde beslissingen genomen worden.
Het model cre\u00ebert onwenselijke systematische afwijking voor specifieke personen, groepen of andere eenheden. Dit kan leiden tot ongelijke behandeling en discriminerende effecten met eventuele schade voor betrokkenen.
"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/","title":"Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarPrivacy officerPrivacy en gegevensbescherming
Persoonsgegevens mogen alleen worden verwerkt voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel;
De wettelijke grondslag / wettelijke taak voor de verwerking van de persoonsgegevens moet zijn beschreven, bijvoorbeeld in een DPIA;
De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van het algoritme of AI-systeem moet verenigbaar met het oorspronkelijke verwerkingsdoel (doelbinding);
Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.
"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteVerwerking van persoonsgegevens moet rechtmatig plaatsvindenRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#risico","title":"Risico","text":"
Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.
Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. Maak de consequenties van het algoritme specifiek en zorg dat het doel van het algoritme formeel is vastgesteld en vastgelegd.
Het doel van de inzet van een algoritme dient zo concreet en specifiek mogelijk gedefinieerd te worden. Indien er meerdere doelen zijn, is het belangrijk om een zekere rangorde te maken: wat zijn de belangrijkste doelen? En waarom? Welke doelen zijn subdoelen, waarvoor het minder belangrijk is om deze te realiseren?
Indien mogelijk, dienen de doelstellingen gekwantificeerd te worden (SMART).
Om te zorgen voor voldoende draagvlak voor de beoogde doelen, is het noodzaak om voldoende belanghebbenden te betrekken. Hierbij kan het ook helpen om burgers te betrekken bij de totstandkoming van de doelstellingen, bijvoorbeeld door middel van een burgerpanel of het betrekken van belangengroepen.
"},{"location":"maatregelen/formuleren_doelstellling/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/formuleren_doelstellling/#risico","title":"Risico","text":"
Het algoritme dient niet het beoogde doel en onderliggend probleem. Zonder eenduidigheid over het doel is geen sturing op en verantwoording over het algoritme mogelijk. Er is dan een groter risico op fouten en/of verschillen in interpretatie.
Wanneer doelstellingen niet meetbaar zijn gemaakt, is het onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. Doelstellingen zijn in dat geval moeilijk bespreekbaar.
Formuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten. Formuleer duidelijk de probleemdefinitie en probleemafbakening waarvoor het algoritme een oplossing zou moeten vormen.
Formuleer de probleemdefinitie en probleemafbakening zo concreet en precies mogelijk. Maak dit waar mogelijk kwantificeerbaar.
"},{"location":"maatregelen/formuleren_probleemdefinitie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/formuleren_probleemdefinitie/#risico","title":"Risico","text":"
Het algoritme dient niet het onderliggende probleem. Zonder eenduidigheid over het op te lossen probleem is geen sturing op en verantwoording over het algoritme mogelijk.
"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/","title":"Verken maatregelen van aanbieder om schending auteursrechten te voorkomen","text":"
Als 'open gaten' worden ervaren, dan is het van belang om hierover met de aanbieder in gesprek te gaan, bijvoorbeeld door een marktconsultatie of algemene materie gerelateerde gesprekken. De ARVODI (24.7) en ARBIT (art 8.5 & 8.6) adresseren het schenden van intellectueel eigendom.
"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/informatiebeveiligingsincidenten/","title":"Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten","text":"
OrganisatieverantwoordelijkhedenProjectleiderInformatiebeheerderSecurity officerProceseigenaarTechnische robuustheid en veiligheidGovernance
Er zijn procedures aanwezig die borgen dat beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk, afhankelijk van de kwalificatie van het incident, worden opgepakt.
Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.
"},{"location":"maatregelen/informatiebeveiligingsincidenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBeveiliging informatie en informatiesystemenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingBeveiliging van de verwerking"},{"location":"maatregelen/informatiebeveiligingsincidenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5 Onderzoekskader Algoritmes Auditdienst Rijk, IB.30 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/informatiebeveiligingsincidenten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/","title":"Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.","text":"
OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistPrivacy officerPrivacy en gegevensbescherming
Betrokkenen moeten hun persoonsgegevens kunnen inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.
Betrokkenen moeten hun verzoek kunnen indienen bij de betreffende organisatie. Denk hierbij aan het inrichten van een privacyloket.
Er zullen afspraken moeten worden gemaakt door servicemanagement in te richten hoe deze verzoeken effectief kunnen worden behandeld door bijvoorbeeld door het ontwikkel- of beheerteam (aanbieder).
Bij het inrichten van servicemanagement moet zijn nagedacht over hoe een verzoek tot het inzien, rectificeren, verwijderen of beperken van de verwerking van persoonsgegevens op een betekenisvolle manier kan of moet worden behandeld.
Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.
Verschillende groepen kunnen op een andere manier geraakt worden door het inzetten van een algoritme. Dit is afhankelijk van de context waarin het algoritme wordt ingezet, en dient daardoor bij iedere toepassing opnieuw bekeken te worden.
Bedenk wat er met de uitkomsten van het algoritme gedaan wordt, en wat de consequenties daarvan zijn voor burgers. Hierbij kan gedacht worden aan de volgende aspecten:
Worden bepaalde groepen sneller gemonitord?
Wat als het model het fout heeft?
Wordt het systeem gebruikt om informatie te verkrijgen, om besluiten voor te bereiden of om zelfstandige besluiten te nemen en welke gevolgen heeft dat voor de mate waarin het algoritme bepalend zal zijn in de praktijk?
Worden de gegevens veilig en vertrouwelijk behandeld; welke gevolgen zou een datalek hebben voor groepen of categorie\u00ebn personen?
Worden data gedeeld met andere partijen en wat is het gevaar dat die misbruik maken van de data met negatieve gevolgen voor groepen of categorie\u00ebn personen?
Houd hierbij ook rekening met de impact van het in te zetten algoritme op de samenleving (vanuit sociaal, democratisch en milieu/ecologisch perspectief).
Om de impact op groepen te bepalen, kan het handig zijn een mensenrechtentoets zoals het Impact Assessment Mensenrechten en Algoritmes toe te passen.
Bepaal of er maatregelen genomen kunnen worden om de ge\u00efdentificeerde groepen extra bescherming te bieden. Hierbij kan men denken aan de volgende aspecten: Kan de (extra) administratieve druk voor bepaalde groepen worden weggenomen? Worden resultaten van het algoritme naast de resultaten van een expert gelegd? Is het wenselijk om een proces in te richten waarbij zowel algoritme als een expert een uitkomst geven? Kunnen we de betreffende groep extra hulp aanbieden? Is het wenselijk bij negatieve uitkomsten een vier-ogen-principe toe te passen?
De impact van het algoritme op de groepen die ge\u00efdentificeerd worden in deze stap, kunnen mogelijk onderzocht worden in een biasanalyse. Daarbij kan geidentificeerd worden of bepaalde groepen oververtegenwoordigd of ondervertegenwoordigd zijn in selecties, of dat het algoritme andere of meer fouten maakt voor bepaalde groepen.
Merk op dat het onmogelijk is om de risico's voor alle specifieke groepen af te vangen. Hierbij kan het helpen om te focussen op de meest kwetsbare groepen.
De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.
"},{"location":"maatregelen/kwetsbare_groepen/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.4 Kamerstukken II 2023/24, 31066-1374 Impact Assessment Mensenrechten en Algoritmes, 4.1 Handreiking non-discriminatie by design, 1.7 en 1.8 en 1.15"},{"location":"maatregelen/kwetsbare_groepen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de output","text":"
OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristGemandateerd verantwoordelijkePublieke inkoop
Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.
Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen of de output van een algoritme een (potenti\u00eble) inbreuk maakt op auteursrechten. Maak een jurist onderdeel van de beoordeling hiervan.
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata","text":"
OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop
Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.
Algoritmen en AI worden veelal getraind aan de hand van een omvangrijke hoeveelheid data. Op basis van de data wordt het algoritme of AI getraind om, op een later moment, de (door de eindgebruiker gewenste) uitkomsten te kunnen genereren.
Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, worden gebruikt voor de training van algoritmen of AI, is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme of AI gebruikt worden.
Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijke beschermde werken ter training van algoritme of AI (waarschijnlijk) een verveelvoudigingshandeling is die de rechthebbende kan verbieden. Dat betekent dat aanbieders van algoritmen en AI het gebruik van auteursrechtelijk beschermd materiaal in de inputfase steeds zullen moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht.
Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/","title":"Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving","text":"
Door de inschrijver/aanbieder bewijs te laten leveren dat deze voldoet aan de vereiste, kan worden beoordeeld door opdrachtgever in hoeverre daadwerkelijk wordt voldaan aan deze vereiste. Op deze manier worden inschrijvers/aanbieders aangespoord om te motiveren wat zij hebben gedaan om te voldoen aan de vereiste.
"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRecht_op_uitleg_AI-besluitenAuteursrechten mogen niet worden geschondenVerbod op schenden databankenrechtenbescherming_van_kwetsbare_groepenBevorder AI-geletterdheid van personeel en gebruikersCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_ bijzondere_categorieen_persoonsgegevensBeschermen van fundamentele rechten en vrijhedenKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaBeoordeling van grondrechtenAI-systemen en algoritmes mogen niet discriminerenPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpRecht op niet geautomatiseerde besluitvormingrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekEenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/logging/","title":"Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerArchiefdeskundigeTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle
Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem.
Met logbestanden is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).
Loginformatie moet worden gegenereerd, bewaard, gemonitord en toegankelijk worden gemaakt.
Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem. loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
Stel vast welke informatie bij het ontwikkelen en gebruiken van algoritmes en AI-systemen relevant is om te loggen.
Log behalve het aanpassen van gegevens ook het uitlezen van gegevens waar dat relevant is. Bijvoorbeeld als persoonsgegevens worden opgevraagd.
Logs dienen periodiek (of doorlopend) gecontroleerd to worden op relevante incidenten. Dat betekent dat wat er gelogd wordt geschikt moet zijn om relevante beveiligingsincidenten op te merken.
Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.
"},{"location":"maatregelen/logging/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBeveiliging informatie en informatiesystemenAutomatische logregistratie voor hoog-risico AIBewaartermijn voor gegenereerde logs"},{"location":"maatregelen/logging/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5, 12.4.1.1, 12.4.2.2, Onderzoekskader Algoritmes Auditdienst Rijk, IB.27 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/logging/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/","title":"Maak de vereiste onderdeel van het programma van eisen","text":"
Door de vereiste onderdeel te maken van het programma van eisen, is het voor aanbieders duidelijk dat hun oplossing hieraan moet voldoen. Afhankelijk van de specifieke toepassing, context en noodzaak kan een vereiste in het programma van eisen concreet worden gemaakt. Het is hierbij van belang om dit af te wegen tegen zaken die mogelijk al zijn geregeld door middel van algemene inkoopvoorwaarden die gelden voor algoritmes en AI.
"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenRecht_op_uitleg_AI-besluitenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleindenDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingVerbod op schenden databankenrechtenMelden van ernstige incidentenAutomatische logregistratie voor hoog-risico AIBeperkte bewaartermijn van persoonsgegevensbescherming_van_kwetsbare_groepenVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_ bijzondere_categorieen_persoonsgegevensDocumentatie beoordeling niet-hoog-risico AIVerwerking van persoonsgegevens moet rechtmatig plaatsvindenBeschermen van fundamentele rechten en vrijhedengeb_dpia_verplicht_bij_hoog_risicoJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikBeoordeling van grondrechtenMonitoring na het in handel brengenAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpPrivacyrechtenRecht op niet geautomatiseerde besluitvormingVeilig melden van inbreuk op AI verordeningrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensEenieder heeft recht op toegang tot publieke informatieImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterProportionaliteit en subsidiariteit"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/","title":"Maak de vereiste onderdeel van de contractovereenkomst","text":"
Door de vereiste onderdeel te namen van de contractovereenkomst, zijn deze voorwaarden voor opdrachtgever richting aanbieder/opdrachtnemer afdwingbaar. Het is van belang dat bij de behoeftestelling een afweging wordt gemaakt in hoeverre de betreffende vereiste van toepassing is.
"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenRecht_op_uitleg_AI-besluitenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleindenDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingVerbod op schenden databankenrechtenMelden van ernstige incidentenAutomatische logregistratie voor hoog-risico AIBeperkte bewaartermijn van persoonsgegevensbescherming_van_kwetsbare_groepenVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_bijzondere_categorieen_persoonsgegevensDocumentatie beoordeling niet-hoog-risico AIVerwerking van persoonsgegevens moet rechtmatig plaatsvindenBeschermen van fundamentele rechten en vrijhedengeb_dpia_verplicht_bij_hoog_risicoJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikBeoordeling van grondrechtenMonitoring na het in handel brengenAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpPrivacyrechtenRecht op niet geautomatiseerde besluitvormingVeilig melden van inbreuk op AI verordeningrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekVerdere verwerking van persoonsgegevens in AI-testomgevingenWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensEenieder heeft recht op toegang tot publieke informatieProportionaliteit en subsidiariteit"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/","title":"Maak de vereiste onderdeel van Service Level Agreement","text":"
Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement (SLA). Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. Hierbij kan worden gedacht aan onderwerpen als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd, prestatiecriteria, reproduceerbaarheid, versiebeheer van de gebruikte algoritmes en AI-modellen en beveiliging. Laat de aanbieder aangeven welke vormen van onderhoud aan het algoritme of AI-systeem nodig zijn en de snelheid waarmee signalen vanuit gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise hiervoor beschikbaar is.
"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingMelden van ernstige incidentenAutomatische logregistratie voor hoog-risico AIVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersCorrigerende maatregelen voor non-conforme AIKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMonitoring na het in handel brengenrisicobeheersingToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekEenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.11 Algoritmekader"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/","title":"Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden","text":"
Er moeten heldere afspraken zijn gemaakt met de aanbieder van het algoritme of AI-systeem. Dit geldt in het bijzonder als het algorimte of AI-systeem is ontwikkeld door een externe aanbieder.
Door vereisten die gelden voor algoritmes en AI-systemen onderdeel te maken van contractvoorwaarden, is voor aanbieder vooraf duidelijk aan welke voorwaarden zij moeten voldoen als zijn algoritmes en AI-systemen willen aanbieden aan overheidsorganisaties.
Het is van belang om een afweging te maken in welke gevallen de contractvoorwaarden worden ingezet en welke vereisten daar onderdeel van moeten worden gemaakt.
Welke vereisten onderdeel moeten worden gemaakt van contractvoorwaarden is afhankelijk van de beoogde toepassing, de technologie en de bijbehorende risicoclassificatie.
Er zijn meer vereiste van toepassing bij impactvolle en hoog risico AI-systemen, waarmee burgers potentieel in aanmerkelijke mate kunnen worden getroffen dan bij geen impactvolle of laag risico AI-systemen.
"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenRecht_op_uitleg_AI-besluitenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleindenDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingVerbod op schenden databankenrechtenMelden van ernstige incidentenAutomatische logregistratie voor hoog-risico AIBeperkte bewaartermijn van persoonsgegevensbescherming_van_kwetsbare_groepenVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_bijzondere_categorieen_persoonsgegevensDocumentatie beoordeling niet-hoog-risico AIVerwerking van persoonsgegevens moet rechtmatig plaatsvindenBeschermen van fundamentele rechten en vrijhedengeb_dpia_verplicht_bij_hoog_risicoJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikBeoordeling van grondrechtenMonitoring na het in handel brengenAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpPrivacyrechtenRecht op niet geautomatiseerde besluitvormingVeilig melden van inbreuk op AI verordeningrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekVerdere verwerking van persoonsgegevens in AI-testomgevingenWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensEenieder heeft recht op toegang tot publieke informatieProportionaliteit en subsidiariteit"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Onderzoekskader Algoritmes Auditdienst Rijk, SV.11"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#voorbeeld","title":"Voorbeeld","text":"
Contractvoorwaarden gemeente Amsterdam
Europese Inkoopvoorwaarden Hoog Risico
Europese Inkoopvoorwaarden Laag Risico
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/menselijke_tussenkomst/","title":"Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarGebruikerAanbiederMenselijke controleGovernance
Algoritmes en AI-systemen worden vaak ingezet om beslissingen of besluitvorming van overheidsorganisaties te ondersteunen.
Als overheidsorganisaties beslissingen of besluiten nemen, kan dit rechtsgevolgen hebben voor een betrokkene of deze op een andere manier in aanmerkelijke mate treffen.
Algoritmes en AI-systemen zijn in de meeste gevallen niet foutloos.
Daarom is het van belang dat deze output wordt gecontroleerd door een mens, zodat dit kan worden gecorrigeerd. Dit wordt 'menselijke tussenkomst' genoemd.
Er is sprake van menselijke tussenkomst wanneer het menselijke toezicht op beslissingen of besluitvorming betekenisvol of zinvol is, en niet slechts symbolisch is.
Menselijke tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om een beslissing of besluit te veranderen.
Als een automatisch gegenereerde aanbeveling van een algoritme of AI-systeem (output) praktisch gezien standaard wordt overgenomen (bijvoorbeeld door deze al klikkend te accepteren), is er geen sprake meer van betekenisvolle menselijke tussenkomst. Hier is meer voor nodig.
Het is van belang dat in een vroeg stadia wordt vastgesteld, bijvoorbeeld in de ontwerpfase, welke vormen van menselijke tussenkomst moeten worden ingezet en passend zijn gezien de specifieke algoritmische toepassing of AI-systeem. Dit kan worden gedaan op basis van uit te voeren risico analyses.
In het geval van het uitoefenen van 'gebonden bevoegdheden', waarbij er weinig of geen beoordelingsruimte is om de beslissing of het besluit te wijzigen, kan het zijn dat menselijke tussenkomst geen meerwaarde heeft en kan worden volstaan met de automatisch gegenereerde output.
Hierbij kan worden gedacht aan het opleggen van een boete in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Wahv) of het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders.
Er zullen technische en organisatorische maatregelen moeten worden getroffen om menselijke tussenkomst in te richten.
Dit is ook het geval als een (externe) aanbieder algorimtes of AI-systemen levert. De gebruiksverantwoordelijke zal dan samen met aanbieder moeten onderzoeken hoe menselijke tussenkomst betekenisvol moet worden ingericht.
"},{"location":"maatregelen/menselijke_tussenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRecht op niet geautomatiseerde besluitvormingBeschermen van fundamentele rechten en vrijhedenGebruiksverantwoordelijken monitoren werking hoog risico AI-systeemRelevante feiten en belangen zijn bekendToezichtmogelijkheden voor gebruikers"},{"location":"maatregelen/menselijke_tussenkomst/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 2.01 Onderzoekskader Algoritmes Auditdienst Rijk, SV.05 Advies over geautomatiseerde selectietechniek Pels Rijcken, p.9 Kamerstukken IT 2017-2018, 34 851, nr. (MvT UAVG), p. 120-121 Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst/#voorbeeld","title":"Voorbeeld","text":"
HvJEU december 2023, ECLI:EU:C:2023:957 (SCHUFA Scoring)
"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/","title":"Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument","text":"
ProbleemanalyseOntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarInkoopadviseurGovernancePublieke inkoop
Dit punt is onderdeel van een procesinrichting bij de gebruiksverantwoordelijke of gebruiker van het altgoritme of AI-systeem en zou technisch gefaciliteerd moeten kunnen worden. Het inrichten van menselijke tussenkomst ligt niet enkel bij de aanbieder en kan contractueel niet enkel bij de aanbieder worden neergelegd. Overweeg om een waarschuwingsplicht te expliciteren, in geval de aanbieder ziet dat geautomatiseerde besluiten aan geautomatiseerde berichtgeving is gekoppeld zonder menselijke tussenkomst. Ook dan ligt het in beginsel bij de gebruiksverantwoordelijke, maar maken de omstandigheden een grijzer gebied.
"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRecht op niet geautomatiseerde besluitvorming"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/","title":"Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt","text":"
OntwerpMonitoring en beheerProceseigenaarPrivacy officerInkoopadviseurPublieke inkoopPrivacy en gegevensbescherming
Inventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.
Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.
"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteEen DPIA is verplicht bij hoog risico"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/","title":"Neem technische documentatie op in het algoritmeregister","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerBeleidsmedewerkerTransparantie
Met het opstellen van technische documentatie over algoritmes en AI-systemen wordt belangrijke informatie vastgelegd die moet worden opgenomen of kan worden opgenomen in het Algoritmeregister. De Handreiking Algoritmeregister en de Publicatiestandaard van het register kan worden geraadpleegd om te bepalen of en welke informatie van een algoritme of AI-systeem moet worden gepubliceerd. Door dit goed af te stemmen kan hergebruik worden gemaakt van al gedocumenteerde informatie.
"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistealgoritmeregister"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Handreiking Algoritmeregister Publicatiestandaard"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/","title":"Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.","text":"
Door de vereiste op te nemen als subgunningscriteria, ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden. In de context van algoritmes en AI is dit in het bijzonder relevant, bijvoorbeeld in relatie tot vereisten als non-discriminatie, eerbiedigen privacyrechten of het verbod op schenden auteursrechten. Door vereisten te vertalen naar een subgunningscriteria, kan een inhoudelijke beoordeling worden gemaakt in hoeverre een aanbieder hier invulling aan geeft.
"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRecht_op_uitleg_AI-besluitenAuteursrechten mogen niet worden geschondenVerbod op schenden databankenrechtenbescherming_van_kwetsbare_groepenBevorder AI-geletterdheid van personeel en gebruikersCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_ bijzondere_categorieen_persoonsgegevensBeschermen van fundamentele rechten en vrijhedenKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaBeoordeling van grondrechtenAI-systemen en algoritmes mogen niet discriminerenPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpRecht op niet geautomatiseerde besluitvormingrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekEenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/","title":"Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt","text":"
OntwikkelenVerificatie en validatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop
Maak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.
Het is van belang dat de resterende risico's inzichtelijk zijn gemaakt, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is.
"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/","title":"Bepaal waarom we gebruik willen maken een algoritme","text":"
Bepaal waarom het gewenst of nodig is om een algoritme in te zetten, en of er ook alternatieven zijn om het probleem op te lossen. Documenteer de onderbouwing waarom een algoritme een betere oplossing zou bieden dan een niet-geautomatiseerd of niet-digitaal proces.
Maak een bewuste afweging of een algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen, en documenteer deze afweging.
"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#risico","title":"Risico","text":"
Het algoritme is niet het juiste middel om het probleem op te lossen. Het risico daarbij bestaat dat het probleem niet wordt opgelost.
"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/","title":"Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.","text":"
Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.
Interne vastgestelde beleidskaders moeten worden toegepast bij het ontwikkelen, inkopen of gebruiken van algoritmes en AI-systemen.
Het is van belang dat tijdig, bijvoorbeeld in de probleemanalyse fase, inzichtelijk wordt gemaakt welke interne beleidskaders moeten worden toegepast.
Hierbij kan worden gedacht aan definities die moet worden gehanteerd, het naleven van inkoopbeleid, strategisch beleid volgen met betrekking tot het mogen inzetten van algoritmes en AI-systemen binnen de organisaties of het doorlopen van processen en protocollen die moeten worden toegepast.
Vraag de betrokken experts welke beleidskaders van toepassing zijn vanuit diens specifieke expertise.
Ten behoeve van controles en audits is het van belang dat aantoonbaar wordt gemaakt dat de vastgestelde beleidskaders zijn nageleefd.
## Bijbehorende vereiste(n)
VereisteRelevante feiten en belangen zijn bekendKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMelden van ernstige incidentenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPrivacy door ontwerpVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIBeschermen van fundamentele rechten en vrijhedenBeveiliging informatie en informatiesystemenPrivacyrechtenAI-systemen en algoritmes mogen niet discriminerenAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AIVerstrekking van informatie op verzoek"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#risico","title":"Risico","text":"
De in te zetten algoritmes of AI-systemen voldoen niet aan vastgestelde beleidskaders.
"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/","title":"Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.","text":"
Het is van belang dat een proces wordt ingericht waarmee periodiek de kwaliteit van algoritmes of AI-systemen wordt ge\u00ebvalueerd.
Bij kwaliteit van een algoritme of AI-systeem kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.
Hieronder vallen het analyseren en evalueren van ingediende klachten en incidenten.
Na verloop van tijd kan de accuraatheid van machine learning modellen bijvoorbeeld wijzigen of kan het gebeuren dat bepaalde groepen (indien van toepassing) anders worden behandeld.
Het is van belang dat monitoringsactiviteiten worden ingericht om deze kwaliteitsaspecten tijdig te beoordelen.
Als er ongewenste wijzigingen plaatsvinden met betrekking tot de kwaliteit, moeten die worden ge\u00ebvalueerd en zullen maatregelen moeten worden getroffen om deze te herstellen.
Het proces moet er voor zorgen dat de juiste experts of stakeholders worden betrokken bij het proces van evaluatie en het treffen van passende maatregelen.
Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem.
"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekendKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaBeschermen van fundamentele rechten en vrijhedenBeoordeling van grondrechtenAI-systemen en algoritmes mogen niet discriminerenAuteursrechten mogen niet worden geschondenAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersProportionaliteit en subsidiariteitVerbod op schenden databankenrechtenNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken monitoren werking hoog risico AI-systeemJuistheid en actualiteit van gegevensAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.16, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.08 Algoritmekader"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/","title":"Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieProceseigenaarInformatie analistData engineerPrivacy officerPrivacy en gegevensbescherming
Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt en om welke categorie persoonsgegevens het gaat. Het principe van dataminimalisatie is toegepast, zodat het minimum aantal persoonsgegevens wordt verwerkt om het beoogde doel te bereiken.
Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt mogen worden verwerkt.
Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat.
Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme of AI-systeem.
Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven.
Voor het beschermen van deze persoonsgegevens wordt per kenmerk aangegeven op welke manier deze kan worden beschermd (anonimiseren, pseudonomiseren, aggregeren).
Een DPIA kan worden gebruikt om bovenstaande activiteiten uit te voeren.
"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteVerwerking van persoonsgegevens moet rechtmatig plaatsvindenbeginsel_van_proportionaliteit_en_subsidiariteit.md"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#risico","title":"Risico","text":"
Het algoritme of AI-systeem verwerkt persoonsgegevens die het niet mag verwerken.
"},{"location":"maatregelen/politiek-bestuurlijk_besluit/","title":"Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.","text":"
OrganisatieverantwoordelijkhedenVerificatie en validatieProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederGovernanceTransparantie
Door een politiek-bestuurlijk besluit te nemen over de inzet of be\u00ebindiging van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomenheid van het betreffende algoritme of AI-systeem.
Impactvolle algoritmes en hoog risico AI-systemen bevatten aspecten die vragen om politieke afwegingen, en niet enkel door de ambtelijke organistie mogen worden beoordeeld.
Een voorbeeld van een politiek afweging is wanneer er wel of geen sprake is van een gerechtvaardigd onderscheid wat wordt gemaakt door een algoritme of AI-systeem.
Het is van belang dat overheidsorganisaties een politiek-bestuurlijk kader opstellen waarin wordt beschreven hoe wordt omgegaan met dergelijke gevallen.
Een openbaar besluit draagt bij aan de legitimiteit van de inzet van het algoritme of AI-systeem en de controleerbaarheid van de overheidsorganisatie.
"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekendTransparantie in ontwerp voor hoog-risico AIEen besluit berust op een deugdelijke motivering"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#risico","title":"Risico","text":"
De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of be\u00ebindiging van het gebruik van impactvolle algoritmes en AI-systemen, terwijl deze daar niet toe bevoegd is.
Besluit College van Burgemeester en Wethouders Gemeente Amsterdam
"},{"location":"maatregelen/publiceren_in_algoritmeregister/","title":"Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantie
De regering wil dat de overheid algoritmes en AI-systemen verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving.
Wanneer de overheid open is over algoritmes en hun toepassing, kunnen burgers, organisaties en media haar kritisch volgen.
Impactvolle algoritmes en hoog risico AI-systemen moeten daarom worden gepubliceerd in het Algoritmeregister.
In het Algoritmeregister moet uitleg zijn over hoe algoritmes en AI-systemen, of het proces wat hiermee wordt ondersteund werkt.
Er is een Handreiking Algoritmeregister opgesteld met informatie over het publiceren van algoritmes en AI-systemen in het Algoritmeregister.
De Algoritmeregister Publicatiestandaard kan overheidsorganisaties ondersteunen bij het helpen invullen van het Algoritmeregister.
Er zijn gevallen waarin het publiceren van algoritmes of AI-systemen in het Algoritmeregister achterwege moet blijven. Deze gevallen zijn beschreven in de Handreiking van het Algoritmeregister.
Impactvolle algoritmes en hoog risico AI-systemen moet al tijdens de ontwikkeling ervan worden gepubliceerd in het Algoritmeregister.
"},{"location":"maatregelen/publiceren_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/publiceren_in_algoritmeregister/#risico","title":"Risico","text":"
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.
Gemeente Groningen, Algoritmeregister: Eerste Hulp bij Geldzaken|
Gemeente Amsterdam, Algoritemregister: Blurring as a Service|
Juryrapport Best Beschreven Algoritme |
"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/","title":"Richt een wijzigingenproces in voor codewijzigingen","text":"
OntwerpOntwerpOntwikkelenImplementatieMonitoring en beheerProjectleiderProceseigenaarProceseigenaarData scientistData engineerSecurity officerTechnische robuustheid en veiligheidGovernance
Bij het inrichten van een proces om wijzigingen aan de code te mogen aanbrengen, kunnen aan de volgende elementen worden gedacht:
Wijzigingen dienen van te voren te worden geautoriseerd door de systeemeigenaar of product owner. (BIO 12.1.2)
Wijzigingen worden getest in een andere omgeving dan de productieomgeving. (BIO 12.1.4, 14.2.3, 14.2.9, 14.3.1)
Wijzigingen worden door de systeemeigenaar of product owner goedgekeurd op basis van gedocumenteerde testresultaten en pas daarna doorgevoerd in de productieomgeving. (BIO 12.1.2, 14.2.2, 14.2.9)
Er dient functiescheiding te zijn ingericht tussen het aanvragen, goedkeuren en doorvoeren van wijzigingen om onbevoegde en onbedoelde wijzigingen te beperken. (BIO 6.1.2, 14.2.2)
Er dient periodiek controle plaats te vinden op wijzigingen aan het systeem, zodanig dat oneigenlijke wijzigingen worden gesignaleerd. (BIO 9.4.4, 12.4.1)
Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.
OrganisatieverantwoordelijkhedenProjectleiderProceseigenaarProceseigenaarInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernance
Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.
Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij toegang en gebruik van het algoritme, de data of de uitkomsten van een algoritme.
Bij het inrichten van gebruikersbeheer moeten aan de volgende elementen worden gedacht:
Gebruikers en beheerders krijgen slechts toegang tot functionaliteit die zij uit hoofde van hun functie nodig hebben (need to know, need to use). Daartoe is een beschrijving beschikbaar welke rollen en rechten per applicatie bij een functie horen (BIO 6.1.2, 9.2.2 en 9.4).
Het verlenen en muteren van accounts en toegangsrechten vindt plaats na goedkeuring door een bevoegde functionaris. Dit aan de hand van een actueel mandaatregister waaruit blijkt welke personen beslissende bevoegdheden hebben voor het verlenen van een bepaald type (niveau) toegangsrechten danwel functieprofielen (BIO 9.2.1.2, 9.2.2.1, 9.4).
Er bestaat functiescheiding tussen het aanvragen, autoriseren en doorvoeren van wijzigingen in gebruikersaccounts en toegangsrechten (BIO 9.2.1.2, 9.2.2.1, 9.2.3).
Functiewijzigingen en uitdiensttredingen worden bewaakt voor aanpassen van de toegangsrechten en voor intrekken van de identiteits- en authenticatiemiddelen (BIO 9.2.2, 9.2.6).
Het aantal accounts met verhoogde rechten is beperkt en verklaard, en staat in logische verhouding tot de beheerders en of ICT-afdeling (BIO 9.1.2.(1), 9.2.3, 9.2.4).
Gebruikersaccounts en beheeraccounts dienen altijd persoonsgebonden en verklaard te zijn, zodat handelingen altijd te herleiden zijn naar \u00e9\u00e9n verantwoordelijke (BIO 9.1, 9.4.2).
Eindgebruikers hebben geen directe toegang tot de onderliggende componenten (zoals de database) (BIO 9.2.3, 13.1.3).
Toegangsrechten op onderliggende componenten dienen periodiek, minimaal jaarlijks, ge\u00ebvalueerd te worden. Dit interval dient te zijn beschreven in het toegangsbeleid en zijn bepaald op basis van het risiconiveau. De uitkomsten van de evaluatie en de opvolging daarvan worden vastgelegd (BIO 9.2.5).
Voor deze maatregelen is het van belang om aandacht te hebben voor de volgende zaken:
Autorisatiematrix en beschrijving rollen/rechten per systeem(laag)
Lijst met wijzigingen rollen en bijbehorende goedkeuringen
Er bestaan meerdere risico's wanneer er geen gebruikersbeheer is: - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme hebben die zij niet zouden mogen hebben. - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd aan het algoritme, de data of de uitkomsten van het algoritme. - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke persoon.
Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige manier.
Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden toegepast:
Alle wachtwoorden van gebruikers en beheerders dienen periodiek te worden gewijzigd, met een maximum van 1 jaar (BIO 9.4.3). Initi\u00eble wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van 24 uur en moeten bij het eerste gebruik worden gewijzigd.
Voor toegang vanuit een onvertrouwde omgeving dient twee-factor authenticatie te worden gebruikt (BIO 9.4.2.1). Als er geen gebruik wordt gemaakt van two-factor authenticatie, is de wachtwoordlengte minimaal 8 posities en complex van samenstelling. In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.
Na een periode van maximaal 15 minuten inactiviteit dient de toegang tot de applicatie te worden vergrendeld en na 10 foutieve inlogpogingen dient het account geblokkeerd te worden (BIO 11.2.9, BIO 9.4.3). De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
Wachtwoorden mogen niet in originele vorm (plaintext) worden opgeslagen, maar dienen versleuteld te worden. (NIST 5.1.1.2)
De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.
Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.
"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/","title":"Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerProceseigenaarAanbestedingsjuristInkoopadviseurOpdrachtnemerBehoeftestellerTechnische robuustheid en veiligheidGovernancePublieke inkoop
Stel vast of een leverancier voldoet aan de Baseline Informatiebeveiliging Overheid.
Bespreek de informatiebeveiligingseisen met een eventuele leverancier die verband houden met de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en de informatiesystemen.
Bepaal of er, mede gezien de inzet van algoritmes en AI-systemen, aanvullende beveiligingsmaatregelen (door de leverancier of opdrachtgever) moeten worden getroffen om deze te beschermen.
Wanneer een (externe) leverancier beveiligingseisen niet op orde heeft, is er een risico op de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme en/of de data.
"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBeveiliging informatie en informatiesystemen"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 15.1.1.1 Onderzoekskader Algoritmes Auditdienst Rijk, IB.29"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output","text":"
OntwikkelenMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop
Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.
Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. oor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.
Het is moeilijk om te bepalen wanneer en of de output van een algoritme of AI een inbreuk maakt op auteursrechten. Reden hiervoor is dat onduidelijk is of de uiteindelijk gegenereerde output naar auteursrechtelijke maatstaven (of in andere gevallen: naar maatstaven van andere intellectuele-eigendomsrechten, zoals databankenrechten, merkrechten of modelrechten) voldoende afstand houdt van (onder andere) de originele werken die ooit aan de training van de generatieve AI-tool ten grondslag hebben gelegen. Is dat niet het geval, dan kan bij veel vormen van gebruik van de output immers sprake zijn van een inbreuk op intellectuele eigendomsrechten.
"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata","text":"
OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurAanbestedingsjuristContractbeheerderPublieke inkoop
Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.
Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. Voor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.
"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAuteursrechten mogen niet worden geschonden"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/security_by_design/","title":"Pas het principe van security by design toe","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle
Hanteer principes van \u2018security by design\u2019 (informatiebeveiligingsmaatregelen) als uitgangspunten bij de ontwikkeling van het algoritme. Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes kunnen interviews met de ontwikkelaar en software-architecten helpen.
Security by design is gehanteerd en terug te zien als uitgangspunt. (BIO 14.2.1.1)
Security by design benadrukt het belang van het in een vroeg stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd. In een vroeg stadium nadenken over security betekent dat vroeg al de benodigde expertise wordt betrokken, zoals een security-officer.
Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.
"},{"location":"maatregelen/security_by_design/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingBeveiliging van de verwerkingAutomatische logregistratie voor hoog-risico AI"},{"location":"maatregelen/security_by_design/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, (BIO 14.2.1.1) Onderzoekskader Algoritmes Auditdienst Rijk, IB.28 Toetsingskader Algoritmes Algemene Rekenkamer, 4.09"},{"location":"maatregelen/security_by_design/#voorbeeld","title":"Voorbeeld","text":"
Stel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden. Formeer een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist en archief deskundige) om deze maatregel toe te passen.
Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet.
"},{"location":"maatregelen/stel_archiefbescheiden_vast/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemen"},{"location":"maatregelen/stel_archiefbescheiden_vast/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 4.01"},{"location":"maatregelen/stel_archiefbescheiden_vast/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/stopzetten_gebruik/","title":"Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurContractbeheerderGovernance
Er moet in een proces zijn beschreven wanneer het gebruik van algoritmes en AI-systemen moet worden stopgezet.
Het is van belang dat bij het ontwerp van algoritmes en AI-systemen er rekening wordt gehouden met dat het werkproces ook zonder het algoritme of AI-systeem kan worden uitgevoerd.
Als blijkt dat het algoritme of AI-systeem ongewenst functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik daadwerkelijk kan worden stopgezet. Denk hierbij aan een stopknop en werkinstructies hoe het gebruik kan worden be\u00ebindigd.
Maak aantoonbaar dat deze maatregelen zijn getroffen.
De proceseigenaar of een menselijk toezichthouder moet in staat zijn om het algoritme of AI-systeem op elk moment te kunnen be\u00ebindigen.
Het stopzetten van het gebruik van een algoritme mag niet tot gevolg hebben dat betrokkenen niet meer kunnen achterhalen hoe besluiten tot stand zijn gekomen of dat gevolgen niet meer kunnen worden gecorrigeerd als dat noodzakelijk is.
Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme of AI-systeem dat onjuist functioneert en niet tijdig kan worden stopgezet.
"},{"location":"maatregelen/stopzetten_gebruik/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekendKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaBeschermen van fundamentele rechten en vrijhedenBeoordeling van grondrechtenAI-systemen en algoritmes mogen niet discriminerenAuteursrechten mogen niet worden geschondenAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersProportionaliteit en subsidiariteitVerbod op schenden databankenrechtenNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken monitoren werking hoog risico AI-systeemJuistheid en actualiteit van gegevensAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen"},{"location":"maatregelen/stopzetten_gebruik/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.18, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/stopzetten_gebruik/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/toepassen_risicobeheer/","title":"Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.","text":"
Bepaal tijdig, bijvoorbeeld in de probleemanalyse- of ontwikkelfase, om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie hierbij hoort.
Bepaal op basis van de toepassing en de risicoclassificatie, welke aspecten van risicobeheer moeten worden toegepast.
Inventariseer tijdig, bijvoorbeeld in de probleemanalayse- of ontwikkelfase, bij betrokken experts welke beleidskaders en instrumenten binnen de organisatie moeten worden ingezet om risicobeheer toe te passen.
Bepaal op basis van de levenscyclus van een algoritme of AI-systeem wanneer welke aspecten van risicobeheer moeten worden toegepast.
Maak inzichtelijk op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en gebruiken van algoritmes en AI-systemen.
Daarbij gaat het om het identificeren, analyseren, evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a. maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's.
Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer periodiek wordt toegepast.
Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.
"},{"location":"maatregelen/toepassen_risicobeheer/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteAutomatische logregistratie voor hoog-risico AIRelevante feiten en belangen zijn bekendKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMelden van ernstige incidentenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingBeschermen van fundamentele rechten en vrijhedenBeoordeling van grondrechtenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingAI-systemen en algoritmes mogen niet discriminerenDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenProportionaliteit en subsidiariteitVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieCorrigerende maatregelen voor non-conforme AIVerbod op schenden databankenrechtenEen DPIA is verplicht bij hoog risicoGebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuninggebruiksverantwoordelijken_monitoren_werking_hoog_risico_AI-systeemPrivacyrechtenJuistheid en actualiteit van gegevensPersoonsgegevens verzamelen voor specifieke doeleindenVerwerking van persoonsgegevens moet rechtmatig plaatsvindenPrivacy door ontwerpRecht op niet geautomatiseerde besluitvormingEenieder heeft recht op toegang tot publieke informatieVeilig melden van inbreuk op AI verordeningRisicobeoordeling voor jongeren en kwetsbarenAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenToezichtmogelijkheden voor gebruikersTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenAanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoVerstrekking van informatie op verzoekWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens"},{"location":"maatregelen/toepassen_risicobeheer/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.13 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/toepassen_risicobeheer/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/","title":"Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst","text":"
Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden
"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteDe archiefwet is ook van toepassing op algoritmes en AI-systemenRecht_op_uitleg_AI-besluitenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleindenAuteursrechten mogen niet worden geschondenBeveiliging informatie en informatiesystemenBeveiliging van de verwerkingVerbod op schenden databankenrechtenMelden van ernstige incidentenAutomatische logregistratie voor hoog-risico AIBeperkte bewaartermijn van persoonsgegevensbescherming_van_kwetsbare_groepenVerantwoordelijkheden worden toegewezen en beschrevenBevorder AI-geletterdheid van personeel en gebruikersHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsCorrigerende maatregelen voor non-conforme AIuitzonderlijk_verwerken_bijzondere_categorieen_persoonsgegevensDocumentatie beoordeling niet-hoog-risico AIVerwerking van persoonsgegevens moet rechtmatig plaatsvindenBeschermen van fundamentele rechten en vrijhedengeb_dpia_verplicht_bij_hoog_risicoJuistheid en actualiteit van gegevensKwaliteitsbeheersysteem voor hoog-risico AIData van hoog-risico ai moet voldoen aan kwaliteitscriteriaMaatregelen van gebruiksverantwoordelijken voor gebruikBeoordeling van grondrechtenMonitoring na het in handel brengenAI-systemen en algoritmes mogen niet discriminerenOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingPersoonsgegevens verzamelen voor specifieke doeleindenPrivacy door ontwerpPrivacyrechtenRecht op niet geautomatiseerde besluitvormingVeilig melden van inbreuk op AI verordeningrisicobeheersingRisicobeoordeling voor jongeren en kwetsbarenTechnische documentatie voor hoog-risico AIToezichtmogelijkheden voor gebruikerstraceerbare_besluitvormingTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplicht risicobeheersysteem voor hoog-risico AIVerplichtingen van aanbieders van AI-modellen voor algemene doeleindenVerplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisicoAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoAanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opAanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitAanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningAanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenVerstrekking van informatie op verzoekVerdere verwerking van persoonsgegevens in AI-testomgevingenWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensEenieder heeft recht op toegang tot publieke informatieProportionaliteit en subsidiariteit"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/","title":"Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarData scientistData engineerAanbiederPrivacy officerSecurity officerEthicusBeleidsmedewerkerPrivacy en gegevensbescherming
Verifieer of een DPIA is uitgevoerd over het werkproces dat wordt of zal worden ondersteund met een algoritme of AI-systeem. Zo nee, voer een risico analyse (DPIA) uit om de risico's voor de rechten en vrijheden van betrokkenen met de inzet van algoritmes en AI-systemen in beeld te brengen.
Organisatorische en technische maatregelen moeten worden getroffen om persoonsgegevens bij de ontwikkeling en het gebruik van het algoritme of AI-systeem te beschermen.
Beleg de mitigerende maatregelen bij betrokken actoren. Denk bijvoorbeeld aan het toekennen van de maatregelen als anonimiseren en pseudonimiseren van persoonsgegevens aan een data engineer, voordat deze kunnen worden gebruikt ten behoeve van het ontwikkelen of controleren van het algoritme of AI-systeem.
Bepaal welke maatregelen moeten zijn gerealiseerd voordat mag worden gestart met de verwerking van de persoonsgegevens en welke moeten worden gemonitord.
Monitor de voortgang op het realiseren van de maatregelen en zorg voor bewijsstuken als deze zijn gerealiseerd. Deze bewijsstukken kunnen onderdeel worden van een audit.
Als er een noodzaak is om na verloop van tijd meer persoonsgegevens te verwerken of om andere verwerkingen uit te voeren, zal opnieuw een beoordeling moeten plaatsvinden of er privacyrisico's ontstaan en hoe deze kunnen worden gemitigeerd. Gedurende de levenscyclus van het algoritme of AI-systeem moet aandacht blijven voor het uitvoeren van de risicoanalyse voor privacyrisico's.
Bij hoge risico's voor het verwerken van persoonsgegevens is een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens onder artikel 36 AVG verplicht. Bepaal of raadpleging noodzakelijk is.
"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteEen DPIA is verplicht bij hoog risico"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#risico","title":"Risico","text":"
Privacyrisico's met de inzet van algoritmes en AI-systemen worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.
"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.2, PRI.3 Toetsingskader Algoritmes Algemene Rekenkamer, 3.04, 3.13 Algoritmekader Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Model DPIA Rijksdienst"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/","title":"Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke","text":"
OntwerpMonitoring en beheerBehoeftestellerInkoopadviseurAanbiederPublieke inkoop
Bespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.
Bij publieke inkoop is het nodig duidelijke afspraken te hebben over wie dit document invult en welke informatie bij welke partij vandaan komt. De aanbieder zal een belangrijk deel van de technische documentatie moeten aanleveren, maar bij gebruik door de gebruiksverantwoordelijken zal deze informatie moeten worden aangevuld.
Hierbij is het van belang dat de documentatie aansluit bij de verschillende gebruikers van het systeem, waarbij rekening wordt gehouden met verschillende toepassingen of versies.
"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteTechnische documentatie voor hoog-risico AI"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/","title":"De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding","text":"
OntwerpMonitoring en beheerProceseigenaarAanbiederBehoeftestellerInkoopadviseurContractbeheerderPublieke inkoop
Laat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald kan worden na implementatie als het systeem in productie c.q. in gebruik is.
Sommige algoritmen of AI-systemen zijn zeer specialistisch, hierbij is het van belang dat afspraken worden gemaakt in hoeverre ondersteuning bij het gebruik onderdeel is van de inkoop. Hierbij is ook van belang dit onderdeel geactualiseerd wordt gedurende de contractperiode i.v.m. de technologische ontwikkelingen.
"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBevorder AI-geletterdheid van personeel en gebruikers"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/","title":"Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen","text":"
OntwerpMonitoring en beheerAanbiederProceseigenaarInkoopadviseurPublieke inkoop
Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.
"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteBevorder AI-geletterdheid van personeel en gebruikers"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/","title":"De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)","text":"
OrganisatieverantwoordelijkhedenProceseigenaarGovernancePrivacy en gegevensbescherming
Het doel van vaststelling is dat de verantwoordelijke(n) de verantwoordelijkheid neemt en actief een keuze maakt om het algoritme of AI-systemen te (laten) ontwikkelen of gebruiken op de beoogde wijze en met de bijbehorende verantwoordelijkheden.
Hiermee worden afspraken geformaliseerd.
Vaststelling van de verantwoordelijkheden kan plaatsvinden door beleidsdocumenten, werkinstructies, verwerkersovereenkomst of een PIA/DPIA, mits de verantwoordelijkheden voldoende duidelijk zijn beschreven.
Vaststelling door de verantwoordelijke(n) is verplicht voorafgaand aan het (laten) ontwikkelen of gebruiken van algoritmes of AI-systemen.
Gedurende de levenscyclus kan het voorkomen dat rollen en verantwoordelijkheden opnieuw moet worden beschreven en vastgesteld.
Verwerking van persoonsgegevens - Bij het verwerken van persoonsgegevens moet nadat is vastgesteld wie in een samenwerking feitelijk het doel en middelen van een verwerking bepalen wordt vastgelegd wie de (gezamelijke) verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststeling van de rolverdeling volgen onder de AVG verschillende rechten en plichten. - Bij de ontwikkeling en gebruiken van algoritmes en AI-systemen is het denkbaar dat de noodzaak voor het verwerken van persoonsgegevens wijzigt en dat meer of andere verwerkingen moeten plaatsvinden. Het is van belang dat wederom wordt beoordeeld wat dit betekent voor de bijbehorende verantwoordelijkheden. Als er sprake is van een wezenlijke wijziging ten opzichte van de al vastgestelde situatie, bijvoorbeeld doordat er meer persoonsgegevens worden verwerkt door een andere partij, dan zal de verwerkingsverantwoordelijke opnieuw tot vaststelling moeten overgaan om de afspraken te formaliseren.
"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekend"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#risico","title":"Risico","text":"
Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes of AI-systemen.
"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/","title":"Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.","text":"
Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.
Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. Hiervoor kan in de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'. Deze stap is van groot belang, omdat dit ook bepalend is welke contractuele verplichtingen moeten worden gecre\u00eberd tussen opdrachtgever en opdrachtnemer/aanbieder.
"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteTransparantie in ontwerp voor hoog-risico AIProportionaliteit en subsidiariteit"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/vermelding_in_privacyverklaring/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederPrivacy en gegevensbescherming
Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.
Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.
In een privacyverklaring wordt in ieder geval het volgende opgenomen:
de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.
de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
de doeleinden van de verwerking en de AVG-grondslag.
de (categorie\u00ebn van) ontvangers van de persoonsgegevens.
of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
de bewaartermijn van de gegevens.
de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.
als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.
Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme of AI-systeem, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.
Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.
"},{"location":"maatregelen/vermelding_in_privacyverklaring/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteTransparantie bij verwerking persoonsgegevens"},{"location":"maatregelen/vermelding_in_privacyverklaring/#risico","title":"Risico","text":"
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
"},{"location":"maatregelen/vermelding_in_verwerkingsregister/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantiePrivacy en gegevensbescherming
Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens
Hiermee is ook voor de organisatie intern inzichtelijk welke persoonsgegevens voor welke toepassingen worden verwerkt;
Het is van belang dat vanaf het moment dat persoonsgegevens worden verwerkt, meteen een vermelding hiervan wordt gemaakt in het verwerkingsregister;
Dat betekent dat als persoonsgegevens worden verwerkt bij het ontwikkelen en trainen van het algoritme of AI-systeem, en deze nog niet in gebruik zijn genomen, al een vermelding moet worden gedaan in het verwerkingsregister;
Bij be\u00ebindiging van het gebruik van het algoritme of AI-systeem, moet het verwerkingsregister worden aangepast.
## Bijbehorende vereiste(n)
VereisteTransparantie bij verwerking persoonsgegevens"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#risico","title":"Risico","text":"
Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.
Blurring as a Service, Verwerkingsregister gemeente Amsterdam
"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/","title":"Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarBeleidsmedewerkerInformatie analistJuristEthicusData engineerData scientistGovernanceTransparantie
Systemen die overheidsorganisaties inzetten voor bijvoorbeeld het verlenen van subsidies, vergunningen of bijstandsuitkeringen moeten de regels en processtappen volgen die in wetgeving zijn voorgeschreven.
Er is een vertaling nodig van deze regels en processtappen naar de uitvoering van het werkproces, het datagebruik en onderliggende systemen.
Algoritmes en AI-systemen moeten ook voldoen aan deze regels en processtappen.
Als algoritmes of AI-systemen worden ontwikkeld, moet worden onderzocht wat deze regels zijn en hoe deze moeten worden toegepast bij het ontwikkelen van algoritmes of AI-systemen.
Het moeten voldoen aan wetgeving en beleid kan dus in zekere zin 'begrenzend' werken op wat mag worden gedaan met algoritmes en AI-systemen. Dit is mede afhankelijk van de risico classificatie van de specifieke toepassing.
Voor algoritmes, bijvoorbeeld regelgebaseerde rekenregels, moet bijvoorbeeld nauwkeurig worden geprogrammeerd in welke gevallen welke bedragen moeten worden uitgekeerd voor een bijstandsuitkering.
Voor AI-modellen moet bijvoorbeeld worden vastgesteld of de trainingsdata wel tot stand is gekomen in lijn met wetgeving en vastgesteld beleid (datakwaliteit) en welke verbanden en patronen (inputvariabelen) al dan niet passend zijn bij het ondersteunen van wettelijke taken.
Er is een multidisciplinaire samenwerking nodig tussen de proceseigenaar, gebruikers, juristen, informatieanalisten en ontwikkelaar om deze vertaling zorgvuldig en doorlopend te maken.
Voorafgaand aan het (laten) ontwikkelen van een algoritme of AI-systeem moet dit zijn uitgevoerd.
De toegepaste 'business rules' en de verwerkte data voor de uitvoering van het te ondersteunen werkproces met algoritmes en AI-systemen moeten worden onderzocht en beoordeeld.
Diepgaande procesanalyses (Bv. BPMN niveau Analytisch) en procesbeschrijvingen kunnen hierbij ondersteunen.
Als blijkt dat een werkproces niet (meer) conform (gewijzigde) wetgeving of beleid wordt uitgevoerd, dan moet worden beoordeeld of de verworven data of welke deel van de data geschikt is voor het ontwikkelen een AI-model.
Het is dan raadzaam om de uitvoering van het betreffende werkproces en de werking van onderliggende systemen eerst te 'herstellen' en om hiermee een nieuw datafundament te cre\u00eberen (eerst een groot aantal zaken behandelen) die later als trainingsdata kan worden gebruikt.
"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteRelevante feiten en belangen zijn bekendTransparantie in ontwerp voor hoog-risico AIEen besluit berust op een deugdelijke motiveringData van hoog-risico ai moet voldoen aan kwaliteitscriteria"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#risico","title":"Risico","text":"
Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.
"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/","title":"Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.","text":"
Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is, gaat worden en of de data van voldoende kwaliteit is. Het is van belang om te onderzoeken of en hoe data vanuit de eigen organisatie of die van een aanbieder beschikbaar kan worden gesteld, kan worden opgeslagen en er goedkeuring kan worden gegeven voor het verwerken van de data. De infrastructuur van de eigen organisatie en/of die van de aanbieder moeten van voldoende niveau zijn om de beoogde verwerkingen uit te kunnen voeren. Een dergelijke analyse levert inzichten op welke problemen er eventueel op dit vlak kunnen ontstaan.
"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteData van hoog-risico ai moet voldoen aan kwaliteitscriteria"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bronnen","title":"Bronnen","text":"Bron Towards a Systematic Understanding on the Challenges of Procuring Artificial Intelligence in the Public Sector"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/","title":"Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieProceseigenaarInformatie analistData engineerPrivacy officerSecurity officerInkoopadviseurArchitectPrivacy en gegevensbescherming
Een Project Startarchitectuur (PSA) is een hulpmiddel dat bij een project wordt ingezet om veranderingen van A naar Beter te faciliteren.
De PSA richt zich daarbij op de kaders die op een project van toepassing zijn en wat de oplossing bijdraagt aan het realiseren van de gewenste, toekomstige architectuur, wat de implicaties zullen zijn voor bestaande voorzieningen en waar het project zal afwijken van bestaande beelden.
Met de PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.
De PSA maakt concreet wat architectuur voor een project betekent.
Door een PSA uit te voeren ontstaan inzichten hoe het betreffende algoritme of AI-systeem zo optimaal mogelijk onderdeel kan worden gemaakt van het bestaande applicatielandschap, waarmee bijvoorbeeld kan worden voorkomen dat het algoritme of AI-systeem na verloop van tijd geen input meer kan ontvangen door onverwachte wijzigingen in systemen.
Onderwerpen als privacy, informatiebeheer en beheer worden hierin ook globaal meegenomen.
"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"VereisteOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingRelevante feiten en belangen zijn bekendPrivacy door ontwerp"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#risico","title":"Risico","text":"
Het algoritme of AI-systeem kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.
"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bronnen","title":"Bronnen","text":"Bron Project Startarchitectuur,NORA PSA Format PSA Handleiding Algoritmekader"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#voorbeeld","title":"Voorbeeld","text":"
Hulp bij het voorkomen van bias en discriminatie in algoritmes en AI. Met aanbevelingen en hulpmiddelen zoals het toetsingskader van het College voor de Rechten van de Mens.
Data
Hulp bij het verantwoord selecteren en verwerken van data voor je algoritmes en AI-systemen. Gebruik bijvoorbeeld de toolbox verantwoord datagebruik.
Duurzaamheid
Hulp bij het maken van duurzame keuzes voor hardware en software. Bijvoorbeeld voor de aanschaf van apparaten of het energieverbruik van trainen en data-opslag.
Governance
Hulp bij het verantwoordelijk omgaan met algoritmes en AI-systemen. Bijvoorbeeld het vastleggen van rollen en verantwoordelijkheden.
Fundamentele rechten
Hulp bij het beschermen van grondrechten en mensenrechten in algoritmes of AI. Bijvoorbeeld het beoordelen van de gevolgen per grondrecht.
Menselijke controle
Hulp bij de controle als mens over algoritmes en AI-systemen. Bijvoorbeeld kunnen ingrijpen bij onbetrouwbare resultaten.
Privacy en gegevensbescherming
Hulp bij verantwoord gebruik van gegevens voor algoritmes en AI-systemen, zoals persoonsgegevens en privacygevoelige gegevens.
Publieke inkoop
Hulp bij het publiek inkopen van software met algoritmen en AI. Met hulpmiddelen zoals modelcontracten en de PIANOo-handreiking Inkoop van algoritmes en AI.
Technische robuustheid en veiligheid
Hulp bij het bewaken van de prestaties van algoritmes en AI. En beveiliging van de systemen tegen bijvoorbeeld cyberaanvallen.
Transparantie
Hulp bij transparant zijn over algoritmes en AI-systemen, zoals gebruikers informeren en publiceren in het algoritmeregister.
"},{"location":"onderwerpen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/bias-en-non-discriminatie/","title":"Bias en non-discriminatie","text":"
Algoritmes worden binnen de overheid veelvuldig ingezet om publieke taken uit te voeren. Dit biedt veel kansen, maar er zijn ook risico's aan verbonden. Hoewel algoritmes in sommige gevallen kunnen bijdragen aan het tegengaan van discriminatie, kan bias in het algoritme leiden tot een ongelijke en oneerlijke behandeling van burgers of groepen, en kan er sprake zijn van discriminerende effecten. In dit bouwblok van het algoritmekader besteden we aandacht aan de onderwerpen bias, eerlijkheid en non-discriminatie. We werken uit wat bias is, hoe bias kan ontstaan, hoe we dit kunnen signaleren, welke maatregelen er genomen kunnen worden om dit te voorkomen en geven we handvatten wat te doen wanneer een (onwenselijke) bias is gesignaleerd.
Hierbij is het goed om op te merken dat het omgaan met het thema bias gedurende het ontwikkelen, inkopen of gebruik van het algoritme vraagt om continue aandacht voor dit onderwerp. Het betreft geen probleem dat eenmalig kan worden weggenomen. Het vraagt voortdurend om reflectie op eerlijkheid en rechtvaardigheid van het systeem.
Dit bouwblok wordt uitgewerkt in vereisten die weergeven wat er vanuit wet- en regelgeving en bestaande toetsingskaders vereist is om bias en discriminatie tegen te gaan. Daarbij worden er suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen, en welke actoren daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten of maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd.
Door bij de ontwikkeling van algoritmes rekening te houden met vereisten die voorkomen uit wet- en regelgeving, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen.
De onderwerpen bias en non-discriminatie spelen daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#wat-is-discriminatie-en-bias","title":"Wat is discriminatie en bias?","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatie","title":"Discriminatie","text":"
Artikel 1 van de Nederlandse Grondwet verbiedt discriminatie:
Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
De prominente positie in de Grondwet benadrukt het belang van het mensenrecht in Nederland. De afgelopen jaren hebben incidenten in de praktijk de aandacht gericht op de discriminatoire effecten die algoritmes en AI-systemen kunnen hebben.
Bias is een Engelse term die in het Nederlands wordt vertaald als vooroordeel, vooringenomenheid of neiging. Omdat niet \u00e9\u00e9n van die termen helemaal de lading van het begrip bias dekt, maken we in het Algoritmekader gebruik van de term bias. De term bias heeft verschillende betekenissen afhankelijk van de context waarin het gebruikt wordt en de disciplines die daarbij betrokken zijn. Vaak wordt er naar bias gekeken als een technisch concept, maar het omvat daarnaast ook menselijke aspecten. We starten met een verduidelijking hoe het begrip bias in algoritmische context gebruikt wordt en hoe dit in verhouding staat tot discriminatie. Vervolgens maken we onderscheid tussen drie verschillende aspecten van bias: statistische bias, systemische bias en menselijke bias. Deze drie aspecten van bias kunnen los van elkaar bestaan, maar kunnen juist in combinatie met elkaar tot problemen leiden.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias-in-algoritmische-context","title":"Bias in algoritmische context","text":"
Het concept bias wordt in algoritmische context gedefinieerd als een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.1
Dit systematische verschil of onderscheid kan zowel op een directe als op een indirecte manier ontstaan.
De Algemene wet gelijke behandeling spreekt van direct onderscheid wanneer een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat.
De Algemene wet gelijke behandeling spreekt van indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat in vergelijking met andere personen bijzonder treft.
Een geconstateerd systematische onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn. Voor direct onderscheid kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering die het gemaakte onderscheid toelaat. Voor indirect onderscheid geldt dat behalve een wettelijke uitzondering er ook een objectieve rechtvaardiging kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar kan zijn.
Het maken van een eventueel onderscheid is in sommige gevallen nauw verbonden met het gebruik van algoritmes en AI. Soms worden algoritmes en AI bijvoorbeeld juist ingezet om op een zo objectief mogelijke manier te bepalen welke groepen meer of minder belang hebben bij een andere behandeling. In deze gevallen zal er altijd na moeten worden gegaan of er sprake is van een objectieve rechtvaardiging voor het gemaakte onderscheid.
Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. Het algoritme of AI-systeem mag in dat geval niet gebruikt worden. Bias vormt daarmee een risico op discriminatie.
In de context van algoritmes en AI wordt de term unfairness gebruikt wanneer er sprake is van een ongerechtvaardigd onderscheid waarbij bepaalde groepen meer bevoordeeld worden dan andere.3 In de Nederlandse taal spreken we dan van oneerlijkheid of onrechtvaardigheid (of in positieve zin van respectievelijk fairness, eerlijkheid en rechtvaardigheid). Wanneer we het hebben over fairness hebben we het minder over de juridische kant van discriminatie en verboden onderscheid. Ook als er wel een objectieve rechtvaardiging bestaat voor een gemaakt onderscheid, kan afgevraagd worden of het gemaakte onderscheid ethisch wenselijk is.
Statistische bias wordt gedefinieerd als een consistente numerieke afwijking van een schatting ten opzichte van de werkelijke onderliggende waarde.1 Dit fenomeen kan in allerlei verschillende contexten plaatsvinden, niet alleen bij het gebruik van algoritmes of AI. Een voorbeeld is wanneer een bepaalde meting van een waarde niet goed gekalibreerd is en er sprake is van een consistente afwijking van de te meten waarde (bijvoorbeeld dat we consistent 10% hoger meten).
In de context van algoritmes en AI kan deze vorm van bias voorkomen wanneer er een steekproef wordt gebruikt die niet representatief is voor de populatie, en de schattingen op basis van de steekproef vervolgens systematisch afwijken van de werkelijke waarde in de gebruikte doelpopulatie. Statistische bias duidt op een systematische fout die gemaakt wordt door het algoritme. Deze fout kan hetzelfde zijn voor alle groepen en hoeft daardoor niet in alle gevallen te duiden op ongelijke behandeling of discriminerende effecten. Voorbeelden van statistische bias zijn meetfouten (measurement bias), foute data of data op een te simpele manier representeren (representatie bias).
We spreken van systemische bias wanneer bepaalde processen of systemen op zo'n wijze worden gebruikt dat bepaalde groepen bevoordeeld worden en andere groepen benadeeld worden. Dit is vaak geen bewuste vorm van vooringenomenheid, maar kan bijvoorbeeld ontstaan doordat de meerderheid bestaande regels of normen volgt, en het systeem geoptimaliseerd is op de meerderheid. Systemische bias heeft een sterk institutioneel karakter. Systemische bias wordt daarom ook wel institutionele vooringenomenheid genoemd. Deze vooroordelen zijn vaak verweven in de bredere cultuur en samenleving, en zitten daardoor ook in veel datasets. Een veel voorkomend voorbeeld van systemische bias is historische bias.
Menselijke bias omvat systematische fouten in het menselijk denken. Deze (onbewuste) menselijke vooroordelen zijn vaak impliciet van aard en hebben betrekking op de manier waarop een individu bepaalde informatie waarneemt en verwerkt om bijvoorbeeld een beslissing te nemen. In de context van algoritmes kan deze vorm van bias invloed hebben op de verzamelde data, op de wijze waarop het algoritme wordt geoptimaliseerd en de besluiten die door mensen worden genomen op basis van het algoritme. Voorbeelden van vormen menselijke bias zijn wanneer er voorkeur wordt geven aan de voorspellingen van een algoritme die reeds bestaande overtuigingen bevestigen (bevestigingsbias), of wanneer mensen de neiging hebben om voorkeur te geven aan suggesties die door het algoritme worden gedaan (automatiseringsbias)
"},{"location":"onderwerpen/bias-en-non-discriminatie/#overzicht-van-gebruikte-definities","title":"Overzicht van gebruikte definities","text":"
Onderstaand bieden we een overzicht van de gebruikte definities in het algoritmekader die betrekking hebben op het onderwerp bias en non-discriminatie.
Term of begrip Definitie Bron direct onderscheid indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat Algemene wet gelijke behandeling indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat in vergelijking met andere personen bijzonder treft. Algemene wet gelijke behandeling discriminatie mensen anders behandelen, achterstellen of uitsluiten op basis van (persoonlijke) kenmerken. College voor de rechten van de mens directe discriminatie de ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader indirecte discriminatie wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader algoritmische fairness het vakgebied dat bestudeert hoe algoritmische systemen zich moeten gedragen om mensen eerlijk te behandelen, dat wil zeggen zonder discriminatie op grond van beschermde gevoelige kenmerken zoals leeftijd, geslacht, handicap, etnische of raciale afkomst, religie of geloofsovertuiging, of seksuele geaardheid The fairness handbook ground truth (NL vertaling?) waarde van de doelvariabele voor een bepaald item van gelabelde invoergegevens. 5 NEN-EN-ISO/IEC 22989:2023 en 4 etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader risicoprofiel Een verzameling van \u00e9\u00e9n of meer selectiecriteria op basis waarvan een bepaald risico op normovertreding wordt ingeschat en een selectiebeslissing wordt gemaakt. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader groep deelverzameling van objecten in een domein die zijn gekoppeld omdat ze gemeenschappelijke kenmerken hebben. ISO/IEC TR 24027:2021 en 4"},{"location":"onderwerpen/bias-en-non-discriminatie/#verschillende-vormen-van-bias","title":"Verschillende vormen van bias","text":"
Omdat bias op verschillende manieren kan ontstaan, zijn er allerlei verschillende vormen van bias, die hieronder gedefinieerd worden. Deze lijst is niet uitputtend.
Begrip Definitie Bron automatiseringsbias de neiging van mensen om de voorkeur te geven aan suggesties van geautomatiseerde besluitvormingssystemen en om tegenstrijdige informatie te negeren die zonder automatisering is verkregen, zelfs als deze correct is ISO/IEC TR 24027:2021 en 4 data bias dataeigenschappen die, als ze niet worden aangepakt, leiden tot AI-systemen die beter of slechter presteren voor verschillende groepen ISO/IEC TR 24027:2021 en 4 statistische bias soort consistente numerieke afwijking in een schatting ten opzichte van de werkelijke onderliggende waarde, inherent aan de meeste schattingen ISO/IEC TR 24027:2021 en 4 historische bias verwijzend naar de langdurige vooroordelen die in de loop der tijd in de samenleving zijn gecodeerd. Verwant aan, maar verschillend van, vooroordelen in historische beschrijving, of de interpretatie, analyse en verklaring van de geschiedenis. Een veel voorkomend voorbeeld van historische vooringenomenheid is de neiging om de wereld te bekijken vanuit een Westers of Europees perspectief NIST, Towards a Standard for identifying and managing bias in artificial intelligence activiteitenbias een soort selectievooroordeel dat optreedt wanneer systemen/platforms hun trainingsgegevens krijgen van de meest actieve gebruikers, in plaats van minder actieve (of inactieve) gebruikers. NIST, Towards a Standard for identifying and managing bias in artificial intelligence versterkingsbias ontstaat wanneer de verdeling over voorspellingsoutputs scheef is in vergelijking met de prior-verdeling van het voorspellingsdoel. NIST, Towards a Standard for identifying and managing bias in artificial intelligence cognitieve bias een brede term die in het algemeen verwijst naar een systematisch patroon van afwijking van rationele oordeels- en besluitvorming. In vele decennia van onderzoek naar oordeelsvorming en besluitvorming is een grote verscheidenheid aan cognitieve vertekeningen ge\u00efdentificeerd, waarvan sommige adaptieve mentale snelkoppelingen zijn die bekend staan als heuristieken. NIST, Towards a Standard for identifying and managing bias in artificial intelligence bevestigingsbias soort menselijke cognitieve bias die de voorkeur geeft aan voorspellingen van AI-systemen die reeds bestaande overtuigingen of hypotheses bevestigen ISO/IEC TR 24027:2021 en 4 implementatie bias ontstaat wanneer systemen worden gebruikt als beslissingshulp voor mensen, omdat de menselijke tussenpersoon kan handelen op voorspellingen op manieren die meestal niet zijn gemodelleerd in het systeem. Het zijn echter nog steeds individuen die het gebruikte systeem gebruiken NIST, Towards a Standard for identifying and managing bias in artificial intelligence evaluatie bias ontstaat wanneer de test- of externe benchmarkpopulaties niet in gelijke mate de verschillende delen van de gebruikerspopulatie vertegenwoordigen of door het gebruik van prestatiemaatstaven die niet geschikt zijn voor de manier waarop het model zal worden gebruikt NIST, Towards a Standard for identifying and managing bias in artificial intelligence meetbias ontstaat wanneer kenmerken en labels benaderingen zijn voor gewenste grootheden, waarbij mogelijk belangrijke factoren worden weggelaten of groeps- of ingangsafhankelijke ruis wordt ge\u00efntroduceerd die leidt tot differenti\u00eble prestaties. NIST, Towards a Standard for identifying and managing bias in artificial intelligence representatie bias ontstaat doordat subgroepen niet willekeurig worden geselecteerd in een steekproef, waardoor trends die voor \u00e9\u00e9n populatie worden geschat, niet generaliseerbaar zijn naar gegevens van een nieuwe populatie NIST, Towards a Standard for identifying and managing bias in artificial intelligence"},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatiegrond","title":"Discriminatiegrond","text":"
De discriminatiegrond beschrijft de beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Deze gronden zijn in verschillende bronnen vastgelegd.
De Algemene wet gelijke behandeling legt een verbod onderscheid neer op grond van:
godsdienst
levensovertuiging
politieke gezindheid
ras
geslacht
nationaliteit
hetero- of homoseksuele gerichtheid 2
of burgelijke staat.
Het in deze wet neergelegde verbod van onderscheid geldt niet ten aanzien van indirect onderscheid indien dat onderscheid objectief gerechtvaardigd wordt door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#europees-verdrag-voor-de-rechten-van-de-mens","title":"Europees Verdrag voor de Rechten van de Mens","text":"
Het Europees Verdrag voor de Rechten van de Mens, artikel 14 stelt dat het genot van de rechten en vrijheden die in dat verdrag zijn vermeld, moet worden verzekerd zonder enig onderscheid op welke grond dan ook, zoals:
geslacht
ras
kleur
taal
godsdienst
politieke of andere mening
nationale of maatschappelijke afkomst
het behoren tot een nationale minderheid
vermogen
geboorte
of andere status.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#handvest-van-de-grondrechten-van-de-europese-unie","title":"Handvest van de grondrechten van de Europese Unie","text":"
Het Handvest van de grondrechten van de Europese Unie, artikel 21 stelt dat iedere discriminatie, met name op grond van:
geslacht
ras
kleur
etnische of sociale afkomst
genetische kenmerken
taal
godsdienst
politieke of andere denkbeelden
het behoren tot een nationale minderheid
vermogen
geboorte
een handicap
leeftijd
of seksuele gerichtheid
is verboden. Daarnaast wordt expliciet vermeld dat binnen de werkingssfeer van de Verdragen en onverminderd de bijzondere bepalingen ervan, iedere discriminatie op grond van nationaliteit verboden is.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#vereisten","title":"Vereisten","text":"VereistenAI-systemen en algoritmes mogen niet discriminerenRisicobeoordeling voor jongeren en kwetsbaren"},{"location":"onderwerpen/bias-en-non-discriminatie/#maatregelen","title":"Maatregelen","text":"MaatregelenAselecte steekproeven"},{"location":"onderwerpen/bias-en-non-discriminatie/#mogelijke-hulpmiddelen-en-methoden","title":"Mogelijke hulpmiddelen en methoden","text":"
Fairness Handbook
Handreiking non-discriminatie-by-design
College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader
Zie ISO/IEC TR 24027:2021 en 4 \u21a9\u21a9
Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9
Zie NEN-EN-ISO/IEC 22989:2023 en 4 \u21a9
Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9
De term ground truth impliceert niet dat de gelabelde invoergegevens consistent overeenkomen met de werkelijke waarde van de doelvariabelen.\u00a0\u21a9
Het ontwikkelen en gebruiken van algoritmes en AI-systemen kan niet gepaard gaan zonder het verwerken van data. In het geval van AI wordt data gebruikt om het algoritme te trainen, te valideren en te testen.
Wanneer beslissingen worden genomen op basis van de output van een algoritme of AI-systeem, dan wordt dit ook gedaan op basis van de onderliggende data. Om algoritmes en AI-systemen op een verantwoorde manier toe te passen, dient dus ook de data op een verantwoorde en rechtmatige manier te worden gebruikt.
In dit bouwblok werken we uit welke vereisten er zijn voor verantwoord datagebruik, en geven we praktische maatregelen hoe dit ingevuld kan worden binnen overheidsorganisaties. We zoeken hierbij de aansluiting op bestaande instrumenten, zoals de Toolbox verantwoord datagebruik.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
"},{"location":"onderwerpen/data/#vereisten","title":"Vereisten","text":"VereistenDe archiefwet is ook van toepassing op algoritmes en AI-systemenAuteursrechten mogen niet worden geschondenBeveiliging van de verwerkingVerbod op schenden databankenrechtenJuistheid en actualiteit van gegevensData van hoog-risico ai moet voldoen aan kwaliteitscriteriaPrivacy door ontwerpVerdere verwerking van persoonsgegevens in AI-testomgevingen"},{"location":"onderwerpen/data/#maatregelen","title":"Maatregelen","text":"MaatregelenControleren eigen data op schending auteursrechtenData is van voldoende kwaliteitVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit."},{"location":"onderwerpen/data/#nuttige-informatie","title":"Nuttige informatie","text":"
Onze impact op natuur en milieu is groot. Er zijn grote doelen gesteld om duurzamer te gaan leven en werken. Binnen alle overheidsorganisaties, op allerlei verschillende gebieden, wordt gekeken hoe er duurzamer te werk kan worden gegaan, dus ook bij ICT-voorzieningen.
Bij het duurzamer maken van ICT kan gedacht worden aan de fysieke kant (hardware) en de digitale kant (software, algoritmes). Met betrekking tot hardware kan men bijvoorbeeld zo duurzaam mogelijk hardware inkopen (circulariteit van apparaten en materialen) en proberen de levensduur van apparaten en onderdelen te maximaliseren. Bij ontwikkeling en inzet van software, zoals algoritmen, zal gekeken moeten worden naar andere zaken, zoals energieverbruik van het trainen van complexe modellen. In het Algoritmekader gaan we specifiek in op deze duurzaamheidsaspecten van algoritmes en AI-systemen.
"},{"location":"onderwerpen/duurzaamheid/#duurzaamheid-algoritmes-en-ai-systemen","title":"Duurzaamheid algoritmes en AI-systemen","text":"
Het concept duurzaamheid is een groot en generiek begrip, dat vele sub-thema\u2019s introduceert. Deze thema\u2019s raken onder andere het ontwerp, de ontwikkeling en de inzet van algoritmes en AI-systemen. Met de opkomst van grotere en ingewikkeldere modellen, grotere datasets, en de groeiende interesse in (generatieve) AI, groeit ook het energie- en waterverbruik. Dit verbruik ontstaat ook bij het trainen van grotere en complexere rekenmodellen zoals Large Language Models, en de opslag van zeer grote (vaak multimediale) datasets in datacenter.
Dit bouwblok van het Algoritmekader biedt een gestructureerd overzicht van vereisten, maatregelen en instrumenten die ondersteunen bij het ontwikkelen en toepassen van algoritmes en AI-systemen op een duurzame wijze. Zo kunnen bewuste keuzes worden gemaakt die niet alleen voldoen aan de functionaliteiten, maar ook bijdragen aan de Sustainable Development Goals (SDG's) en de doelstellingen uit het Nederlandse klimaatakkoord. Bij duurzame ontwikkeling en toepassing van algoritmes kan bijvoorbeeld gedacht worden aan energie-effici\u00ebnte programmering en duurzaam datacenterbeheer.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vindt je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
Wanneer overheden publieke taken uitvoeren, dienen fundamentele rechten van burgers te worden beschermd. Dat geldt ook als overheden gebruik maken van algoritmes of AI-systemen om hun plublieke taken uit te voeren.
In Nederland beschermen we onze grondrechten met de Grondwet en met (internationale) mensenrechtenverdragen, zoals het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Mensenrechtenverdragen bevatten een aantal fundamentele rechten en vrijheden die niet in de Grondwet staan.
Afhankelijk van de werking van algoritmes en AI-systemen en de publieke taak die wordt ondersteund, kunnen verschillende grondrechten worden geraakt. Denk hierbij aan het verbod op ongelijke behandeling of het recht op eerbiediging van de persoonlijke levenssfeer. Het is van belang hier in een vroeg stadium aandacht aan te besteden door dit te analyseren. Een zorgvuldige aanpak tijdens de ontwikkeling van een algoritme kan ervoor zorgen dat er tijdig wordt geanticipeerd en maatregelen worden getroffen om een ongerechtvaardigde inbreuk op grondrechten te voorkomen.
Een aantal wezenlijke grondrechten die vaak worden geraakt met de inzet van algoritmen en AI, komen ook afzonderlijk in andere onderdelen van het Algoritmekader aan bod.
Dit geldt bijvoorbeeld op het recht op persoonsgegevensbescherming in het bouwblok Privacy en gegevensbescherming of het verbod op ongelijke behandeling in het bouwblok Bias en non-discriminatie.
In dit bouwblok van het algoritmekader beschrijven we wat de vereisten zijn rondom het beschermen van fundamentele rechten. Vervolgens worden deze vereisten ook vertaald in praktische maatregelen en instrumenten die overheden kunnen toepassen om invulling te geven aan deze vereisten.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
Onderdeel van het bouwblok Fundamentele rechten is het onderwerp Bias en non-discriminatie.
"},{"location":"onderwerpen/fundamentele-rechten/#vereisten","title":"Vereisten","text":"VereistenBeoordeling van grondrechtenBeschermen van fundamentele rechten en vrijhedenAI-systemen en algoritmes mogen niet discriminerenKlachtrecht aanbieders verder in AI-waardeketenRecht op uitleg AI-besluitenVeilig melden van inbreuk op AI verordeningRisicobeoordeling voor jongeren en kwetsbarenVerboden toepassingen bij evaluatie of classificatie van personen of groepen personenWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens"},{"location":"onderwerpen/fundamentele-rechten/#maatregelen","title":"Maatregelen","text":"MaatregelenBetrek belanghebbendenKwetsbare groepen in kaart brengen en beschermen"},{"location":"onderwerpen/fundamentele-rechten/#instrumenten","title":"Instrumenten","text":""},{"location":"onderwerpen/menselijke-controle/","title":"Menselijke controle","text":"
Bij het uitvoeren van publieke taken is het van belang dat natuurlijke personen kunnen controleren of deze taken correct worden uitgevoerd en dat er kan worden bijgestuurd als dat nodig is. Datzelfde geldt voor als een overheidsinstantie algoritmes of AI-systemen gebruiken bij het ondersteunen van deze taken. Het is van belang dat zowel bij de ontwikkeling en als het gebruik door natuurlijke personen kan worden ingegrepen en dat er sprake is van betekenisvolle menselijke tussenkomst waar dat nodig is. Hier kan worden gedacht aan het verkeerd (gaan) werken van een AI-systeem en dat hierdoor de output onbetrouwbaar en onjuist wordt. In dergelijke gevallen zal een natuurlijk persoon in staat moeten zijn om deze situatie te signaleren en het algoritme of AI-systeem (tijdelijk) te kunnen stoppen.
Het verschilt, afgewogen tegen de potenti\u00eble negatieve gevolgen of risico's voor personen, welke mechanismen moeten worden ingericht in en rondom algoritmes en AI-systemen. Hoog risico AI-systemen zullen een intensiever inrichting van menselijke controle nodig hebben, bijvoorbeeld met meerdere mensen die de output controleren, dan algoritmes die niet impact vol zijn. Om deze controles uit te kunnen voeren zullen deze personen moeten beschikken over de noodzakelijke competenties, opleiding en bevoegdheden om deze taak uit te voeren. Er zullen ook functionele eisen aan het systeem moeten worden gesteld, zodat ook daadwerkelijk kan worden ingegrepen. Hierbij kan worden gedacht aan een stopknop die kan worden gebruikt waarmee die werking van het algoritme of AI-systeem kan worden gepauzeerd. Gedurende de gehele levenscyclus is het van belang dat menselijke controle wordt gepositioneerd en dat bijbehorende taken goed kunnen worden uitgevoerd.
In dit bouwblok van het Algoritmekader wordt uitgewerkt aan welke vereisten moet worden voldaan met betrekking menselijke controle. Dit wordt aangevuld met praktische maatregelen die kunnen worden toegepast ter inspiratie voor organisaties. Deze vereisten en maatregelen worden gekoppeld aan de levenscyclus, zodat zowel bij de ontwikkeling als het gebruik kan worden geraadpleegd hoe organisaties invulling kunnen geven aan menselijk controle.
"},{"location":"onderwerpen/menselijke-controle/#vereisten","title":"Vereisten","text":"VereistenBevorder AI-geletterdheid van personeel en gebruikersNatuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningGebruiksverantwoordelijken monitoren werking hoog risico AI-systeemToezichtmogelijkheden voor gebruikers"},{"location":"onderwerpen/menselijke-controle/#maatregelen","title":"Maatregelen","text":"MaatregelenConfiguratie met de mensZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Pas het principe van security by design toe"},{"location":"onderwerpen/privacy-en-gegevensbescherming/","title":"Privacy en gegevensbescherming","text":"
Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te cre\u00ebren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.
Bij het gebruik van algoritmes en AI-systemen is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologie\u00ebn vari\u00ebren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico\u2019s. Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico\u2019s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.
Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.
Het bouwblok privacy en gegevensbescherming van algoritmen en AI-systemen wordt ook ge\u00efntegreerd in de algoritmelevenscyclus. Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmen en AI-systemen moeten worden toegepast. Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden ge\u00efmplementeerd.
"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#vereisten","title":"Vereisten","text":"VereistenDe archiefwet is ook van toepassing op algoritmes en AI-systemenProportionaliteit en subsidiariteitBeperkte bewaartermijn van persoonsgegevensVerantwoordelijkheden worden toegewezen en beschrevenBeveiliging van de verwerkingEen DPIA is verplicht bij hoog risicoPrivacyrechtenJuistheid en actualiteit van gegevensPersoonsgegevens verzamelen voor specifieke doeleindenMonitoring na het in handel brengenVerwerking van persoonsgegevens moet rechtmatig plaatsvindenPrivacy door ontwerpRecht op niet geautomatiseerde besluitvormingTransparantie bij verwerking persoonsgegevensVerantwoordingsplicht voor de rechtmatigheid van de verwerkingVerdere verwerking van persoonsgegevens in AI-testomgevingenWettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#maatregelen","title":"Maatregelen","text":"MaatregelenBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sDe rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht."},{"location":"onderwerpen/privacy-en-gegevensbescherming/#instrumenten","title":"Instrumenten","text":""},{"location":"onderwerpen/publieke-inkoop/","title":"Publieke inkoop","text":"
Door middel van publieke inkoop wordt door overheidsinstellingen software ingekocht. Deze software wordt ingekocht om ambtenaren te ondersteunen met hun werkzaamheden om zo maatschappelijk waarden te cre\u00ebren. Het kan bijvoorbeeld gaan om het inkopen van een systeem waarmee een aanvraag voor een subsidie of vergunning kan worden behandeld. Het virtueel vergaderen of het digitaal samenwerken aan documenten zijn hier ook voorbeelden van.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Software met algoritmen en AI wordt vaak ontwikkeld door gespecialiseerde aanbieders en bevat steeds meer algoritmen en AI. Het komt ook voor dat de overheid deze technologie zelf ontwikkelt. Deze algoritmen en AI kunnen eenvoudig van aard zijn, zoals het maken van een eenvoudige berekening. Zij kunnen complexer van aard zijn, zoals een voorspelling geven of het genereren van informatie. In het laatste geval kan worden gedacht aan ChatGPT, Google Bard of Co-Pilot. Er zijn verschillende type technologie\u00ebn die vallen onder het bereik van algoritmen en AI. In dit kader drukken we deze uit als \u2018rekenregel\u2019, \u2018machine learning\u2019 en \u2018generatieve AI\u2019. Elke technologie heeft eigen bijzondere aandachtspunten. Ook de bijbehorende risico\u2019s kunnen per type verschillen. Het identificeren van deze risico\u2019s en het treffen van beheersmaatregelen is daarbij van belang. Dat geldt in het bijzonder als algoritmen en AI bijdragen aan de totstandkoming van overheidsbesluitvorming en impactvolle beslissingen die burgers en ondernemingen raken.
Door bij publieke inkoop van software met algoritmen en AI rekening te houden met vereisten die voorkomen uit wet- en regelgeving, toepassen van publieke waarden, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen. Publieke inkoop speelt daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren. In dit deel van het Algoritmekader wordt nader ingegaan op deze vereisten. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd en welke rollen daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is.
Het publiek inkopen van algoritmen en AI wordt ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten en maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd. Door deze vereisten ook te vertalen naar het inkoopproces, zullen de rollen binnen het inkoopproces beter in staat zijn om te duiden wanneer en hoe dit kan worden geadresseerd. Dit moet bijdragen aan een goed samenspel met aanbieders, zodat de kansen van algoritmen en AI worden benut en de negatieve gevolgen worden voorkomen.
Algoritmen en AI kunnen een grote impact hebben op onze maatschappij. Daarom is het van belang dat deze op een verantwoorde manier worden ontwikkeld en gebruikt. Het toepassen van de algoritme levenscyclus is hierover een bruikbare leidraad. De algoritme levenscyclus bestaat uit meerdere fasen. De werkzaamheden die noodzakelijk zijn om een verantwoord algoritme of AI te ontwikkelen, kunnen logisch worden gekoppeld aan deze fasen. Deze levenscyclus kan worden gebruikt voor alle typen algoritmen en AI. Het verschilt uiteraard wel per type wat moet worden gedaan en dit is mede afhankelijk van de risico classificatie. Bij hoge risico toepassing zal meer moeten worden gedaan om risico\u2019s te mitigeren dan als er sprake is van lage risico toepassingen. De levenscyclus geeft een bruikbaar overzicht voor leveranciers en opdrachtgevers wanneer welke werkzaamheden moeten worden uitgevoerd. Het laat ook zien welke werkzaamheden moeten zijn afgerond als algoritmen en AI in de markt mogen worden gezet en klaar zijn voor gebruik.
Bij het publiek inkopen van software met bijbehorende algoritmen en AI zijn de wensen van de behoeftesteller en de doelstellingen van de organisatie van groot belang. Dit kan tot verschillende situaties leiden:
\u2022 Een al ontwikkelde kant-en-klare oplossing voldoet direct aan deze wensen en doelstellingen;
\u2022 Een al ontwikkelde oplossing moet eerst worden aangepast voordat deze kan worden gebruikt;
\u2022 Er moet een nieuwe oplossing worden ontwikkeld om te voldoen aan de wensen.
Deze inschatting is dus bepalend wat wel en niet van een product mag worden verwacht. Dit is relevant voor zowel de leverancier als de opdrachtgever. Het is aannemelijk dat als het om risicovolle (nog te ontwikkelen) algoritmen of AI gaat, de opdrachtgever een intensieve bijdrage moet leveren aan de samenwerking om het product te kunnen gebruiken. De opdrachtgever zal bijvoorbeeld moeten aangeven wat de juridische en ethische grenzen zijn van de uiteindelijk werking van het algoritme of AI. Als een kant-en-klare oplossing wordt afgenomen, dan zal de leverancier moeten laten zien dat de ontwikkelde algoritmen en AI voldoen aan alle vereisten en moet dit kunnen aantonen.
De inzichten uit de algoritme levenscyclus kunnen ondersteunen bij bijvoorbeeld de behoeftestelling, het maken van make-or-buy beslissingen, de te hanteren aanbestedingsvorm, de totstandkoming van de selectie- en gunningseisen, contractspecificaties en de uitvoering en management van het contract. De algoritme levenscyclus kan worden geraadpleegd via het tabblad boven aan deze pagina. Per fase en per type algoritme of AI kan worden bekeken aan welke vereisten moet worden voldaan en welke beheersmaatregelen kunnen worden getroffen.
Nagenoeg alle vereisten die gelden voor algoritmen en AI kunnen een plek krijgen in het publiek inkoopproces. Daarom is ervoor gekozen om hier niet een opsomming te geven van al deze vereisten, maar verwijzen we naar het onderdeel vereisten in het Algoritmekader.
In de laag van 'maatregelen' wordt ook uitgewerkt wat vanuit publieke inkoop kan worden gedaan om op een betekenisvolle wijze invulling aan te geven aan de betreffende vereiste. Daarvoor kan ook op het tabblad 'publieke inkoop' worden geklikt om deze maatregelen te filteren.
Zie hieronder bij bruikbare informatie en bronnen in het bijzonder de Europese modelcontractbepaling voor (niet) hoog risico AI-systemen en contractvoorwaarden voor algoritmen. Dit geeft een beeld hoe de vereisten onderdeel kunnen worden gemaakt van contractvoorwaarden.
Hieronder volgt een overzicht van de maatregelen die (voor zover zijn uitgewerkt) kunnen worden getroffen om invulling te geven aan de vereisten.
MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBepaal of de output bepalende invloed heeft in een besluit richting personenBespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataStel archiefbescheiden vastNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenStel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Er wordt momenteel hard gewerkt, mede door de Werkgroep Publieke Inkoop, om maatregelen te defini\u00ebren vanuit het perspectief publieke inkoop bij de vereisten. Mocht er iets niet kloppen, laat het ons weten via GitHub of via algoritmes@minbzk.nl.
Hieronder volgt een overzicht van instrumenten die kunnen worden gebruikt om invulling te geven aan de vereisten en maatregelen.
"},{"location":"onderwerpen/publieke-inkoop/#bruikbare-informatie-en-bronnen","title":"Bruikbare informatie en bronnen","text":"
Europese modelcontractbepalingen AI-systemen (hoog risico)
Europese modelcontractbepalingen AI-systemen (niet hoog risico)
Contractvoorwaarden voor algoritmen gemeente Amsterdam
Inkoopproces
Community of Practise Digitale Innovatie
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/","title":"Technische robuustheid en veiligheid","text":"
Wanneer algoritmes of AI-systemen worden gebruikt om publieke taken uit te voeren, dient het onderliggende systeem voldoende robuust en veilig te zijn.
De technische robuustheid van een algoritme of AI-systeem beschrijft het vermogen om het gewenste prestatieniveau onder alle omstandigheden te handhaven 1. Dit betekent dat algoritmes en AI-systemen vergelijkbaar moeten presteren ondanks externe of zware veranderingen in de omgeving. Robuustheid kan daarnaast ook duiden op eigenschappen als veerkracht, betrouwbaarheid en nauwkeurigheid van het systeem.
Wanneer het algoritme of het AI-systeem niet voldoet aan de eisen wat betreft robuustheid, nauwkeurigheid of de prestaties van het systeem, voordat het systeem in gebruik is genomen kan het systeem onbedoelde schade aanrichten voor betrokkenen, bijvoorbeeld door negatieve impact op grondrechten wanneer resultaten onjuist of niet worden gegenereerd of ge\u00efnterpreteerd.
Er moeten technische en organisatorische maatregelen getroffen worden om de robuustheid van algoritmes en AI-systemen te waarborgen. Dit kunnen bijvoorbeeld maatregelen zijn bestaande uit vooraf bepaalde mechanismen die het systeem in staat stellen om de werking veilig te onderbreken wanneer daar redenen voor zijn of wanneer de prestaties van het algoritme buiten vooraf bepaalde grenzen treedt.
Naast robuustheid dient het onderliggende systeem ook voldoende beveiligd te zijn, zodat het systeem weerbaar is tegen pogingen het systeem te wijzigen en onrechtmatig gebruik door derden, en die onbedoelde schade tot een minimum beperkt. Om te zorgen voor een passend niveau van cyberbeveiliging die aansluit op de risico's van het systeem, dienen er passende maatregelen zoals veiligheidscontroles genomen te worden. Daarbij dient er rekening te worden gehouden met de onderliggende ICT-infrastructuur.
In dit bouwblok van het algoritmekader werken we uit aan welke vereisten er voldaan moet worden om de technische robuustheid en veiligheid te waarborgen. Dit wordt aangevuld met praktische maatregelen en instrumenten die gebruikt en toegepast kunnen worden om invulling te geven aan deze vereisten.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#vereisten","title":"Vereisten","text":"VereistenAanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingDe archiefwet is ook van toepassing op algoritmes en AI-systemenAutomatische logregistratie voor hoog-risico AIBeveiliging informatie en informatiesystemenHoog risico ai systemen voldoen aan bewaartermijn voor documentatieBewaartermijn voor gegenereerde logsGebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdOntwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingTechnische documentatie voor hoog-risico AI"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#maatregelen","title":"Maatregelen","text":"MaatregelenAselecte steekproevenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Zorg voor een goede beveiliging van een algoritme.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toe
Zie NEN-EN-ISO/IEC 22989:2023 en 2 \u21a9
Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9
Om openheid te bieden en controleerbaar te zijn moeten overheidsinstanties transparant zijn over inzet van algoritmen en AI-systemen.
Het is van belang dat overheden nadenken over hun besluitvormingsprocessen en dat zij de werking en toegevoegde waarde van het inzetten van een algoritme kunnen uitleggen. Dit is bijzonder relevant als een algoritme of AI-systeem, al dan niet geautomatiseerd, impact heeft op besluitvorming die burgers raakt.
Als burgers geen kennis kunnen nemen van de gebruikte algoritmes en in hoeverre diens output hen raakt, worden ze onrechtmatig beperkt in de mogelijkheid om zicht te verdedigen tegen nadelige gevolgen zoals discriminatie of een onjuist genomen beslissing of besluit. Daarnaast versterkt transparantie de controlerende functie van burgers en journalistiek, omdat burgers kunnen aangeven of een uitleg over een algoritmisch systeem duidelijk is en of zij de werking van het systeem hetzelfde ervaren.
Transparantie bij algoritmes en AI gaat zowel over het bekendmaken van de inzet en bijbehorende doelen, als ook over openheid van het type model en de gebruikte factoren. Gebruikers moeten in staat zijn om de werking en de output van een algoritme of AI-systeem te begrijpen, zodat zij onderbouwde beslissingen of besluiten kunnen nemen. Dit betekent bijvoorbeeld ook dat gebruikers bewust moet worden gemaakt dat zij communiceren of samenwerken met een algoritme of AI-systeem, dat zij worden ge\u00efnformeerd over de mogelijkheden en beperkingen van een systeem en dat betrokkenen worden ge\u00efnformeerd over hun rechten.
In dit bouwblok van het algoritmekader besteden we aandacht aan transparantie naar gebruikers en betrokkenen, transparantie door documentatie en opname in het algoritmeregister, uitlegbaarheid en traceerbaarheid van een besluit. Hier worden de vereisten uitgewerkt die bestaan op basis van wet- en regelgeving en bestaand beleid met betrekking tot transparantie van algoritmen en AI. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen en welke rollen betrokken kunnen zijn. Waar mogelijk worden voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de levenscyclus van een algoritme. Dit geeft een beeld van wanneer vereisten of maatregelen met betrekking tot transparantie, bij het ontwikkelen en gebruiken van algoritmen en AI, moeten en kunnen worden geadresseerd.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
"},{"location":"onderwerpen/transparantie/#vereisten","title":"Vereisten","text":"VereistenImpactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregisterGebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemEenieder heeft recht op toegang tot publieke informatieRegistratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoTransparantie in ontwerp voor hoog-risico AITransparantie bij verwerking persoonsgegevensVerplichtingen van aanbieders van AI-modellen voor algemene doeleinden"},{"location":"onderwerpen/transparantie/#maatregelen","title":"Maatregelen","text":"MaatregelenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenNeem technische documentatie op in het algoritmeregisterEen politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Pas het principe van security by design toeNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen."},{"location":"onderwerpen/transparantie/#instrumenten","title":"Instrumenten","text":""},{"location":"overhetalgoritmekader/","title":"Over het Algoritmekader","text":"
Het Algoritmekader is een hulpmiddel voor overheden die algoritmes of AI (artifici\u00eble intelligentie) gebruiken. Hierin vind je de wetten en regels, hulpmiddelen en adviezen per situatie. De informatie in het Algoritmekader is nog niet betrouwbaar. Het is een b\u00e8taversie. De definitieve versie verschijnt eind 2024.
"},{"location":"overhetalgoritmekader/#verantwoord-gebruik-van-algoritmes-en-ai","title":"Verantwoord gebruik van algoritmes en AI","text":"
In het Algoritmekader vind je informatie over verantwoord gebruik van algoritmes en AI. Bijvoorbeeld:
Wie is waarvoor verantwoordelijk?
Hoe voorkom je discriminatie (bias) in een algoritme?
Hoe verwerk je gegevens op een veilige manier?
Hoe voorkom je mensenrechtenschendingen?
Welke inkoopvoorwaarden spreek je af voor algoritmes van een externe partij?
De informatie is bedoeld voor medewerkers van de rijksoverheid, provincies, gemeentes en waterschappen.
"},{"location":"overhetalgoritmekader/#informatie-van-de-overheid","title":"Informatie van de overheid","text":"
Het Algoritmekader is een website van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het team Data, AI en Algoritmes stelt de informatie samen, op basis van:
alle wetten en regels, zoals de AI-verordening en de Algemene wet bestuursrecht
belangrijke instrumenten, zoals de IAMA (Impact Assessment Mensenrechten en Algoritmes)
adviezen en ervaringen van experts, zoals wetenschappers
Algoritmekader is de nieuwe naam van het Implementatiekader 'Verantwoorde inzet van algoritmen'. Dit rapport is de eerste versie. Door het verder ontwikkelen van dit rapport ontstond de website Algoritmekader.
Sindsdien verschijnt elke maand een nieuwe b\u00e8taversie van het Algoritmekader. Deze b\u00e8taversies zijn nog niet betrouwbaar. De informatie is onvolledig. Er kunnen fouten in staan.
Versie 2.0 is de definitieve, betrouwbare versie van het Algoritmekader. Deze versie verschijnt eind 2024.
De informatie in het Algoritmekader komt open source tot stand. Dat betekent dat iedereen kan meekijken en zijn mening mag geven, of een voorstel mag doen:
Geef je vraag of wijziging door.
Sluit je aan bij een werkgroep.
Doe mee aan een (online) vergadering zoals onze demo na een nieuwe release van het Algoritmekader.
Via onze maandelijkse Nieuwsbrief Algoritmes blijf je op de hoogte over de ontwikkelingen van het Algoritmekader.
"},{"location":"overhetalgoritmekader/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/","title":"Bijdragen aan het Algoritmekader","text":"
Allereerst, bedankt dat je de tijd hebt genomen om een bijdrage te leveren! \u2764\ufe0f
We waarderen alle soorten bijdragen enorm. Zie die Inhoudsopgave voor verschillende manieren waarop je kan bijdragen aan het Algoritmekader. Zorg ervoor dat je de relevante hoofdstukken even leest voordat je een bijdrage levert. Het zal het voor het team van het Algoritmekader een stuk makkelijker maken en de ervaring voor alle betrokkenen soepeler laten verlopen. We kijken uit naar alle bijdragen! \ud83c\udf89
Werken in Github is voor het team Algoritmekader nieuw en experimenteel. Dit vraagt voor ons om een aangepaste werkwijze en hier is bepaalde expertise voor nodig. Het begin is gemaakt en het team Algoritmekader is nog lerende om hier optimaal invulling aan te geven. Hierdoor kan het iets langer duren voordat er wordt gereageerd op suggesties of toevoegingen. We werken aan een duidelijk proces om hier goed mee om te gaan (deze guidelines zijn daar een voorbeeld van). Daarnaast werken we niet aan alle bouwblokken tegelijk. Deze worden \u00e9\u00e9n voor \u00e9\u00e9n opgepakt. Aanbevelingen over onderwerpen die later op de planning staan kunnen daardoor ook iets langer duren om te verwerken, en worden mogelijk pas verwerkt wanneer dit bouwblok wordt uitgewerkt.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#code-of-conduct","title":"Code of Conduct","text":"
Dit project en iedereen die eraan deelneemt, valt onder de Code of Conduct. Door deel te nemen, wordt van je verwacht dat je je aan deze code houdt. Meld onacceptabel gedrag aan algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-heb-een-vraag","title":"Ik heb een vraag","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#maak-een-issue-aan","title":"Maak een issue aan","text":"
Voordat je een Issues gaat aanmaken, kan je bekijken of jouw vraag al tussen de bestaande Issues staat. Wellicht staat er al een issue tussen die jou vraag kan beantwoorden.
Als je jouw vraag nog steeds wilt stellen, kan je een Issue aanmaken.
Gebruik daarvoor de knop new issue.
Schrijf je vraag of opmerking is en geef een heldere toelichting.
Anderen kunnen nu opmerkingen toevoegen aan jouw issue.
Het team van het Algoritmekader zal deze issue labelen als question en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#stel-een-vraag-via-mail","title":"Stel een vraag via mail","text":"
Je kan je vragen ook altijd stellen door een mail te sturen naar algoritmes@minbzk.nl.
Wanneer je bijdraagt aan dit project, moet je ermee akkoord gaan dat je 100% van de inhoud hebt geschreven, dat je de benodigde rechten op de inhoud hebt en dat de inhoud die je bijdraagt mag worden geleverd onder de Code of Conduct.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#sluit-je-aan-bij-een-werkgroep","title":"Sluit je aan bij een werkgroep","text":"
Voor sommige bouwblokken wordt er gewerkt met werkgroepen, om de informatie verder uit te werken. Deelname aan een werkgroep kost tijd. Werkgroepen komen regelmatig bij elkaar, en tussendoor worden bepaalde zaken uitgewerkt door werkgroepleden. Wil je op \u00e9\u00e9n van de onderwerpen meewerken? Stuur dan een bericht naar algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#neem-deel-aan-een-sprint-review-klankbord-demo","title":"Neem deel aan een sprint review / klankbord / demo","text":"
Het team van het algoritmekader werkt in sprints van ongeveer 3 weken. Daarin werken we toe naar de volgende release van het Algoritmekader. Ongeveer eens in de 6 weken vindt er een nieuwe release plaats. Wanneer er een release is, wordt deze altijd toegelicht en gepresenteerd in een open online review / demo. Deze kan je vrijblijvend volgen. Zo blijf je op de hoogte en kun je een bijdrage leveren. Bekijk de agenda op Algoritmes Pleio voor de komende bijeenkomsten.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-fout-of-bug-melden","title":"Ik wil een fout of bug melden","text":"
Heb je een foutje gevonden in het Algoritmekader? Dan kan je deze melden door een Issue aan te maken.
Voordat je een Issues gaat aanmaken, kan je bekijken of jouw gevonden fout al tussen de bestaande Issues staat.
Als je de gevonden fout nog steeds wilt melden, kan je een Issue aanmaken.
Gebruik daarvoor de knop new issue.
Beschrijf de fout duidelijk en geef een heldere toelichting. Voeg waar mogelijk een screenshot toe.
Het team van het Algoritmekader zal deze issue labelen als bug en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-verbetering-voorstellen","title":"Ik wil een verbetering voorstellen","text":"
Heb je een suggestie of wil je een verbetering voorstellen? Dat kan gaan om een compleet nieuwe functionaliteit van de site of om kleine verbeteringen. Het volgen van onderstaande instructie helpt het team van het algoritmekader om je suggestie te begrijpen en gerelateerde suggesties te vinden.
Je kan een suggestie doen door een Issue aan te maken of door een Pull Request te maken.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#voordat-je-een-suggestie-gaat-maken","title":"Voordat je een suggestie gaat maken","text":"
Voordat je een suggestie gaat maken, kan je bekijken of jouw suggestie al tussen de bestaande Issues staat. Wellicht bestaat er al een issue die jouw suggestie beschrijft, en zijn we er al mee bezig.
Zoek uit of jouw idee past binnen het doel en de scope van het project. Wat zijn de voordelen van deze functionaliteit of toevoeging? Het is aan jou om het team van het Algoritmekader en de community te overtuigen dat dit een nuttige toevoeging is aan het Algoritmekader. Houd in gedachten dat we functioanliteiten willen die nuttig zijn voor de meerderheid van onze gebruikers en niet slechts voor een kleine groep.
Als je jouw suggestie nog steeds wilt doen, kan je een Issue aanmaken.
Gebruik daarvoor de knop new issue.
Beschrijf duidelijk jouw suggestie en geef een heldere toelichting en onderbouwing waarom dit een goede toevoeging zal zijn aan het Algoritmekader
Het team van het Algoritmekader zal deze issue labelen als enhancement en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
Kun je niet uit de voeten met de issues? Bijvoorbeeld omdat je verschillende wijzigingsvoorstellen wilt doen? Je kan ook gebruik maken van een Fork en een Pull Request.
Het team van Algoritmekader bekijkt daarna jouw aanpassingen en kan bij akkoord jouw aanpassingen mergen. Er zijn ook andere manieren om een pull request te doen. Meer daarover.
Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#preview-van-een-pull-request","title":"Preview van een pull-request","text":"
We maken gebruik van de tool pr-preview-action om automatisch previews te maken van een pull-request. Dit maakt het mogelijk om de wijzigingen die zijn gedaan in een pull-request al te bekijken in de uiteindelijke omgeving. Wanneer er een pull-request gedaan wordt via een fork, leidt dit helaas tot een error, zie Issue #79. Dit blokkeert de pull-request niet.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#hoe-we-werken-op-github","title":"Hoe we werken op Github","text":"
We werken met Markdown bestanden. Dit is bestandsformaat voor platte tekstbestanden en wordt door veel verschillende tools ondersteund. Dit maakt het eenvoudig om versiebeheer op het Algoritmekader toe te passen.
Daarnaast maken gebruik van mkdocs en material for mkdocs om de informatie op een interactieve wijze inzichtelijk te maken op de website van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#wil-je-een-nieuwe-pagina-aanmaken","title":"Wil je een nieuwe pagina aanmaken?","text":"
In het mkdocs.yml bestand staan de settings voor deze website. In principe hoef je hier niets aan aan te passen, maar als je een nieuwe pagina wilt aanmaken kan het nodig zijn om hier een aanpassing in te doen. Onderdeel van deze settings is namelijk de navigatie voor de site (welke pagina's zijn zichtbaar, en welke pagina's vallen daaronder). Dit staat in de nav: sectie. Indien je een nieuwe pagina wilt toevoegen, is het vaak nodig deze wijziging ook door te voeren in het mkdocs.yml bestand.
Welke definities gebruikt het Algoritmekader? Je vindt een overzicht op deze pagina. Deze definities komen overeen met de definities van het het Algoritmeregister, zie daarvoor de Handreiking Algoritmeregister.
"},{"location":"overhetalgoritmekader/definities/#definitie-van-een-algoritme","title":"Definitie van een algoritme","text":"
Er zijn veel definities van een algoritme. Voor het algoritmekader hanteren we de definitie van de Algemene Rekenkamer:
'Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden.\u2019
Dit is een brede definitie die de maximale reikwijdte weergeeft van algoritmes waarvoor het Algoritmekader relevant is. Waar de definitie van de Algemene Rekenkamer schrijft \u201com een probleem op te lossen of een vraag te beantwoorden\u201d, verstaan we daar ook onder \u201com een taak of proces uit te voeren of tot een besluit te komen\u201d. In het uitvoeren van een taak of het komen tot een besluit kunnen \u00e9\u00e9n of meer algoritmes voorkomen. Daarnaast hebben we het bij het Algoritmekader over zowel Artifici\u00eble Intelligentie (AI) als algoritmes. De essentie is dat AI is opgebouwd uit algoritmes. Maar niet alle algoritmes zijn AI.
Gebruikte terminologie
De termen hoog-risico, impactvol, AI en Algoritmes worden veel door elkaar gebruikt. Wij hanteren uitsluitend de volgende twee termen:
Hoog-risico AI (-systeem) Hiermee bedoelen we altijd de definitie zoals deze in de AI-verordening wordt gehanteerd.
Impactvolle algoritmes Dit betreft de minimale reikwijdte van het Algoritmekader. Het omvat de hoog-risico AI-systemen zoals gedefinieerd in de AI-verordening \u00e9n de algoritmes die we daarnaast als impactvol beschouwen.
"},{"location":"overhetalgoritmekader/definities/#relatie-scope-algoritmekader-en-de-ai-verordening","title":"Relatie scope Algoritmekader en de AI-Verordening","text":"
Op dit moment wordt op EU-niveau de AI-verordening ontwikkeld, die naar verwachting van toepassing wordt op een deel van de algoritmes in gebruik bij de overheid. In de AI-verordening zijn AI-systemen onderverdeeld in verschillende categorie\u00ebn: verboden praktijken, hoog-risico AI-systemen, AI-systemen met manipulatierisico\u2019s en AI-systemen met geen/minimale risico\u2019s. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen waar die systemen aan moeten voldoen.
Het Algoritmekader is hoe dan ook relevant voor hoog-risico AI-systemen volgens de definitie van de AI-verordening. Een AI-systeem is hoog-risico als het voldoet aan de volgende eisen: 1. Het AI-systeem valt onder de definitie van AI-systemen in artikel 3 lid 1 van de verordening en moet o.a. autonome elementen bevatten, en
Het AI-systeem wordt in een van de toepassingsgebieden van ANNEX III ingezet zoals biometrie, kritieke infrastructuur en rechtshandhaving. Bovenstaande betreft een versimpelde beschrijving van de AI-verordening. In bijlage 2 van de Handreiking Algoritmeregister is meer informatie te vinden over de AI-verordening. Aangezien de AI-verordening nog in onderhandeling is, bestaat de kans dat de classificatie van hoog-risico AI-systemen nog wordt aangepast.
"},{"location":"overhetalgoritmekader/definities/#definitie-van-impactvolle-algoritmes","title":"Definitie van impactvolle algoritmes","text":"
Om te bepalen of een algoritme in aanmerking komt voor publicatie in het Algoritmeregister, is een hulpmiddel 'Selectie' gemaakt. Het zijn dezelfde algoritmes die relevant zijn voor het Algoritmekader. Dit hulpmiddel wordt hieronder weergegeven in de figuur, en is ook leidend voor het Algoritmekader.
Voor meer toelichting over dit hulpmiddel verwijzen we naar de Handreiking Algoritmeregister.
"},{"location":"overhetalgoritmekader/definities/#begrippenlijst","title":"Begrippenlijst","text":"Begrip Definitie aanbieder Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merk, al dan niet tegen betaling. aanbieders Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merknaam, al dan niet tegen betaling. aanbieder verder in de AI-waardeketen Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het AI-model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen aangemelde instantie Een conformiteitsbeoordelingsinstantie die overeenkomstig de AI-verordening en andere relevante harmonisatiewetgeving van de Unie is aangemeld aanmeldende autoriteit De nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan AI-bureau De taak van de Commissie waarbij zij bijdraagt aan de uitvoering van, de monitoring van en het toezicht op AI-systemen en AI-modellen voor algemene doeleinden, en AI-governance, als bepaald in het besluit van de Commissie van 24 januari 2024; verwijzingen in deze verordening naar het AI-bureau worden begrepen als verwijzingen naar de Commissie AI-geletterheid Vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen, rekening houdend met hun respectieve rechten en plichten in het kader van de de AI-verordening, in staat stellen met kennis van zaken AI-systemen in te zetten en zich bewuster te worden van de kansen en risico\u2019s van AI en de mogelijke schade die zij kan veroorzaken AI-model voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-modellen voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-systeem een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen; AI-systeem voor algemene doeleinden Een AI-systeem dat is gebaseerd op een AI-model voor algemene doeleinden en dat verschillende doeleinden kan dienen, zowel voor direct gebruik als voor integratie in andere AI-systemen AI-testomgeving voor regelgeving Een door een bevoegde autoriteit opgezet gecontroleerd kader dat aanbieders of toekomstige aanbieders van AI-systemen de mogelijkheid biedt een innovatief AI-systeem te ontwikkelen, trainen, valideren en testen, zo nodig onder re\u00eble omstandigheden, volgens een testomgevingsplan, voor een beperkte periode en onder begeleiding van een toezichthouder. algoritme Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden auteursrecht Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. beoogd doel Het gebruik waarvoor een AI-systeem door de aanbieder is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de aanbieder in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt bijzondere categorie\u00ebn persoonsgegevens De categorie\u00ebn persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679, artikel 10 van Richtlijn (EU) 2016/680 en artikel 10, lid 1, van Verordening (EU) 2018/1725 biometrische gegevens Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijk persoon, zoals gezichtsafbeeldingen of vingerafdrukgegevens biometrische identificatie De geautomatiseerde herkenning van fysieke, fysiologische, gedragsgerelateerde of psychologische menselijke kenmerken om de identiteit van een natuurlijk persoon vast te stellen door biometrische gegevens van die persoon te vergelijken met in een databank opgeslagen biometrische gegevens van personen biometrische verificatie De geautomatiseerde \u00e9\u00e9n-op-\u00e9\u00e9nverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens capaciteiten met een grote impact Capaciteiten die overeenkomen met of groter zijn dan de capaciteiten die worden opgetekend bij de meest geavanceerde AI-modellen voor algemene doeleinden. CE-markering Een markering waarmee een aanbieder aangeeft dat een AI-systeem in overeenstemming is met de voorschriften van hoofdstuk III, afdeling 2, van de AI-Verordening en andere toepasselijke harmonisatiewetgeving van de Unie, die in het aanbrengen ervan voorzien conformiteitsbeoordeling Het proces waarbij de naleving wordt aangetoond van de voorschriften van hoofdstuk III, afdeling 2 van de AI-Verordening in verband met een AI-systeem met een hoog risico deepfake Door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien direct onderscheid Indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat; directe discriminatie De ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte. distributeur Een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie op de markt aanbiedt downstreamaanbieder Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat geharmoniseerde norm Een geharmoniseerde norm zoals gedefinieerd in artikel 2, lid 1,punt c), van Verordening (EU) nr. 1025/2012 gemeenschappelijke specificatie een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in de AI-verordening gebruiksinstructies de door de aanbieder verstrekte informatie om de gebruiksverantwoordelijke te informeren over met name het beoogde doel en juiste gebruik van een AI-systeem gebruiksverantwoordelijke Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet- beroepsactiviteit. geharmoniseerde norm Een Europese norm die op verzoek van de Commissie is vastgesteld met het oog op de toepassing van harmonisatiewetgeving van de Unie ge\u00efnformeerde toestemming De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing om deel te nemen gemachtigde Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een schriftelijke machtiging heeft gekregen en aanvaard van een aanbieder van een AI-systeem of een AI-model voor algemene doeleinden om namens die aanbieder de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren; gemeenschappelijke specificatie Een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in deze verordening gevoelige operationele gegevens Operationele gegevens met betrekking tot activiteiten op het gebied van preventie, opsporing, onderzoek of vervolging van strafbare feiten waarvan de openbaarmaking de integriteit van strafprocedures in het gedrang zou kunnen brengen governance Governance gaat over de inrichting van een organisatie en daar bijbehorende processen, regels, gebruiken en bijbehorende verantwoordelijkheden importeur Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een AI-systeem in de handel brengt dat de naam of merknaam van een in een derde land gevestigde natuurlijke of rechtspersoon draagt in de handel brengen Het voor het eerst in de Unie op de markt aanbieden van een AI-systeem of een AI-model voor algemene doeleinden in gebruik stellen De directe levering van een AI-systeem door de aanbieder aan de gebruiksverantwoordelijke voor het eerste gebruik of voor eigen gebruik in de Unie voor het beoogde doel indirect onderscheid Indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat in vergelijking met andere personen bijzonder treft. indirecte discriminatie Wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. inputdata Data die in een AI-systeem worden ingevoerd of direct door een AI-systeem worden verworven en op basis waarvan het systeem een output genereert kritieke infrastructuur Kritieke infrastructuur zoals gedefinieerd in artikel 2, punt 4, van Richtlijn (EU) 2022/2557 legaliteitsbeginsel Het legaliteitsbeginsel houdt in dat alle overheidsoptreden moet berusten op een overeenstemmen met - kenbare en voldoende specifieke - algemene regels. markttoezichtautoriteit De nationale autoriteit die de activiteiten verricht en maatregelen neemt als bedoeld in Verordening (EU) 2019/1020 nationale bevoegde autoriteit Een aanmeldende autoriteit of een de markttoezichtautoriteit; wat betreft AI-systemen die door instellingen, organen en instanties van de EU in gebruik worden gesteld of worden gebruikt, worden verwijzingen naar nationale bevoegde autoriteiten of markttoezichtautoriteiten in deze verordening begrepen als verwijzingen naar de Europese Toezichthouder voor gegevensbescherming norm Een norm is een vrijwillige afspraak tussen partijen over een product, dienst of proces. Normen zijn geen wetten, maar \u2019best practices\u2019. Iedereen kan - op vrijwillige basis - hier zijn voordeel mee doen. In zakelijke overeenkomsten hebben normen een belangrijke functie. Ze bieden marktpartijen duidelijkheid over en vertrouwen in producten, diensten of organisaties en dagen de maatschappij uit te innoveren. NEN-normen worden ontwikkeld door inhoudsexperts en specialisten op het gebied van normontwikkeling. normalisatie Normalisatie is het proces om te komen tot een norm. Dit proces is open, transparant en gericht op consensus en vindt plaats in normcommissies die bestaan uit vertegenwoordigers van alle betrokken partijen. Dit gebeurt niet alleen op nationaal niveau, maar ook in Europees en mondiaal verband. objectieve rechtvaardiging Van een objectieve rechtvaardiging voor onderscheid is sprake wanneer onderscheid een legitiem doel nastreeft en er een redelijke relatie van evenredigheid bestaat tussen het gemaakte onderscheid en het nagestreefde doel. op de markt aanbieden Het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een AI-systeem of een AI-model voor algemene doeleinden met het oog op distributie of gebruik op de markt van de Unie operator Een aanbieder, productfabrikant, gebruiksverantwoordelijke, gemachtigde, importeur of distributeur prestaties van een AI-systeem Het vermogen van een AI-systeem om het beoogde doel te verwezenlijken plan voor testen onder re\u00eble omstandigheden Een document waarin de doelstellingen, methode, geografische reikwijdte, betrokken personen, duur, monitoring, organisatie en wijze van uitvoering van een test onder re\u00eble omstandigheden worden omschreven proceseigenaar De proceseigenaar is verantwoordelijk voor de kwaliteit van het proces en de vastlegging daarvan in een processchema proefpersoon In het kader van tests onder re\u00eble omstandigheden: een natuurlijk persoon die deelneemt aan een test onder re\u00eble omstandigheden publieke inkoop De verwerving van werken, leveringen of diensten door een overheid of publieke organisatie, van de markt of een andere externe instantie, terwijl zij tegelijkertijd publieke waarde cre\u00ebren en waarborgen vanuit het perspectief van de eigen organisatie. redelijkerwijs te voorzien misbruik Het gebruik van een AI-systeem op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of redelijkerwijs te voorziene interactie met andere systemen, waaronder andere AI-systemen risico De combinatie van de kans op schade en de ernst van die schade; substanti\u00eble wijziging Een verandering van een AI-systeem nadat dit in de handel is gebracht of in gebruik is gesteld, die door de aanbieder niet is voorzien of gepland in de initi\u00eble conformiteitsbeoordeling en als gevolg waarvan de overeenstemming van het AI-systeem met de voorschriften van hoofdstuk III, afdeling 2, AI-Verordening wordt be\u00efnvloed, of die leidt tot een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld systeem voor monitoring na het in de handel brengen Alle door aanbieders van AI-systemen verrichte activiteiten voor het verzamelen en evalueren van ervaringen met door hen in de handel gebrachte of in gebruik gestelde AI-systemen, teneinde te kunnen vaststellen of er onmiddellijk corrigerende dan wel preventieve maatregelen nodig zijn systeem voor het herkennen van emoties Een AI-systeem dat is bedoeld voor het vaststellen of afleiden van de emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens systeem voor biometrische categorisering Een AI-systeem dat is bedoeld voor het indelen van natuurlijke personen in specifieke categorie\u00ebn op basis van hun biometrische gegevens, tenzij dit een aanvulling vormt op een andere commerci\u00eble dienst en om objectieve technische redenen strikt noodzakelijk is systeem voor biometrische identificatie op afstand Een AI-systeem dat is bedoeld voor het identificeren van natuurlijke personen, zonder dat zij daar actief bij betrokken zijn en doorgaans van een afstand, door middel van vergelijking van de biometrische gegevens van een persoon met de biometrische gegevens die zijn opgenomen in een referentiedatabank systeem voor biometrische identificatie op afstand in real time Een systeem voor biometrische identificatie op afstand, waarbij het vastleggen van biometrische gegevens, de vergelijking en de identificatie zonder significante vertraging plaatsvinden, zowel wanneer de identificatie niet enkel onmiddellijk plaatsvindt, maar ook wanneer de identificatie met beperkte korte vertragingen plaatsvindt, om omzeiling te voorkomen systeem voor biometrische identificatie op afstand achteraf Een ander biometrisch systeem voor de identificatie op afstand dan een systeem voor biometrische identificatie op afstand in real time systeemrisico Een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleinden, die aanzienlijke gevolgen hebben voor de markt van de Unie vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid terugroepen van een AI-systeem Een maatregel gericht op het retourneren aan de aanbieder, het buiten gebruik stellen of het onbruikbaar maken van een AI-systeem dat aan gebruiksverantwoordelijken ter beschikking is gesteld testdata Data die worden gebruikt voor het verrichten van een onafhankelijke evaluatie van het AI-systeem om de verwachte prestaties van dat systeem te bevestigen voordat het in de handel wordt gebracht of in gebruik wordt gesteld testomgevingsplan Tussen de deelnemende aanbieder en de bevoegde autoriteit overeengekomen document waarin de doelstellingen, de voorwaarden, het tijdschema, de methode en de vereisten voor de in de testomgeving uitgevoerde activiteiten worden beschreven testen onder re\u00eble omstandigheden Het tijdelijk testen van een AI-systeem voor zijn beoogde doel onder re\u00eble omstandigheden buiten een laboratorium of anderszins gesimuleerde omgeving teneinde betrouwbare en robuuste gegevens te verkrijgen, en te beoordelen en te verifi\u00ebren of het AI-systeem overeenstemt met de voorschriften van de AI-verordening en het wordt niet aangemerkt als het in de handel brengen of in gebruik stellen van het AI-systeem in de zin van de AI-verordening, mits aan alle in artikel 57 of 60 vastgestelde voorwaarden is voldaan toestemming met kennis van zaken De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing deel te nemen trainingsdata Data die worden gebruikt voor het trainen van een AI-systeem door de leerbare parameters hiervan aan te passen uit de handel nemen van een AI-systeem Een maatregel waarmee wordt beoogd te voorkomen dat een AI-systeem dat zich in de toeleveringsketen bevindt, op de markt wordt aangeboden validatiedata Data die worden gebruikt voor het verrichten van een evaluatie van het getrainde AI-systeem en voor het afstemmen van onder andere de niet-leerbare parameters en het leerproces ervan, om underfitting of overfitting te voorkomen validatiedataset Een afzonderlijke dataset of deel van de trainingsdataset, als vaste of variabele opdeling. veiligheidscomponent Een component van een product of systeem die een veiligheidsfunctie voor dat product of systeem vervult of waarvan het falen of gebrekkig functioneren de gezondheid en veiligheid van personen of eigendom in gevaar brengt verwerker Een .. rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. verwerkersverantwoordelijke Een rechtspersoon of overheidsinstantie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt zwevendekommabewerking of \u201cfloating-point operation (FLOP) Elke wiskundige bewerking of toewijzing met zwevendekommagetallen, die een subset vormen van de re\u00eble getallen die gewoonlijk op computers worden gerepresenteerd door een geheel getal met een vaste precisie, geschaald door een gehele exponent van een vaste basis
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Verantwoord gebruik van algoritmes en AI-systemen is mogelijk als mensen in verschillende rollen goed samenwerken, op het juiste moment.
"},{"location":"rollen/#bepaal-zelf-rollen-en-verantwoordelijkheden","title":"Bepaal zelf rollen en verantwoordelijkheden","text":"
Als organisatie bepaal je zelf de namen van je rollen of functies en de taken en verantwoordelijkheden die hierbij horen. Misschien heb je bijvoorbeeld minder rollen, omdat je verschillende expertises combineert in 1 rol. Of rollen hebben andere namen.
"},{"location":"rollen/#voorbeelden-van-rollen","title":"Voorbeelden van rollen","text":"
We adviseren de volgende rollen bij het gebruik van algoritmes. Andere rollen zijn ook mogelijk.
"},{"location":"rollen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"rollen/aanbestedingsjurist/","title":"Aanbestedingsjurist","text":""},{"location":"rollen/aanbestedingsjurist/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/aanbieder/","title":"Aanbieder","text":""},{"location":"rollen/aanbieder/#maatregelen","title":"Maatregelen","text":"MaatregelenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenVerken maatregelen van aanbieder om schending auteursrechten te voorkomenRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak de vereiste onderdeel van Service Level AgreementRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/archiefdeskundige/","title":"Archiefdeskundige","text":""},{"location":"rollen/archiefdeskundige/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/architect/","title":"Architect","text":""},{"location":"rollen/architect/#maatregelen","title":"Maatregelen","text":"MaatregelenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/behoeftesteller/","title":"Behoeftesteller","text":""},{"location":"rollen/behoeftesteller/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenBespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/beleidsmedewerker/","title":"Beleidsmedewerker","text":""},{"location":"rollen/beleidsmedewerker/#maatregelen","title":"Maatregelen","text":"MaatregelenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Neem technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/contractbeheerder/","title":"Contractbeheerder","text":""},{"location":"rollen/contractbeheerder/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenVerken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/data-engineer/","title":"Data engineer","text":""},{"location":"rollen/data-engineer/#maatregelen","title":"Maatregelen","text":"MaatregelenMaak back-ups van algoritmesBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Data is van voldoende kwaliteitRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Neem technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Richt een wijzigingenproces in voor codewijzigingenTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/data-scientist/","title":"Data scientist","text":""},{"location":"rollen/data-scientist/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiefbescheiden vaststellenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Data is van voldoende kwaliteitRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Richt een wijzigingenproces in voor codewijzigingenTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/domeinspecialist/","title":"Domeinspecialist","text":""},{"location":"rollen/domeinspecialist/#maatregelen","title":"Maatregelen","text":"MaatregelenFormuleren doelstellingFormuleren aanleiding en probleemdefinitieBepaal waarom we gebruik willen maken een algoritme
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/ethicus/","title":"Ethicus","text":""},{"location":"rollen/ethicus/#maatregelen","title":"Maatregelen","text":"MaatregelenBepaal of de output bepalende invloed heeft in een besluit richting personenKwetsbare groepen in kaart brengen en beschermenMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/gebruiker/","title":"Gebruiker","text":""},{"location":"rollen/gebruiker/#maatregelen","title":"Maatregelen","text":"MaatregelenBepaal of de output bepalende invloed heeft in een besluit richting personenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/gemandateerd-verantwoordelijke/","title":"Gemandateerd verantwoordelijke(n)","text":""},{"location":"rollen/gemandateerd-verantwoordelijke/#maatregelen","title":"Maatregelen","text":"MaatregelenBewijs laten leveren dat auteursrechten niet worden geschonden met de output
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/informatie-analist/","title":"Informatie analist","text":""},{"location":"rollen/informatie-analist/#maatregelen","title":"Maatregelen","text":"MaatregelenPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/informatiebeheerder/","title":"Informatiebeheerder","text":""},{"location":"rollen/informatiebeheerder/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesZorg voor een goede beveiliging van een algoritme.Contractuele afspraken over data en artefactenControleren eigen data op schending auteursrechtenRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Richt gebruikersbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/inkoopadviseur/","title":"Inkoopadviseur","text":""},{"location":"rollen/inkoopadviseur/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/jurist/","title":"Jurist","text":""},{"location":"rollen/jurist/#maatregelen","title":"Maatregelen","text":"MaatregelenArchiveren beperkingen openbaarheidArchiefbescheiden vaststellenBepaal of de output bepalende invloed heeft in een besluit richting personenControleren eigen data op schending auteursrechtenStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/opdrachtgever/","title":"Opdrachtgever","text":""},{"location":"rollen/opdrachtgever/#maatregelen","title":"Maatregelen","text":"MaatregelenFormuleren doelstellingFormuleren aanleiding en probleemdefinitieKwetsbare groepen in kaart brengen en beschermenBepaal waarom we gebruik willen maken een algoritme
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/opdrachtnemer/","title":"Opdrachtnemer","text":""},{"location":"rollen/opdrachtnemer/#maatregelen","title":"Maatregelen","text":"MaatregelenBespreek de vereiste met aanbieder of opdrachtnemerVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/privacy-officer/","title":"Privacy-officer","text":""},{"location":"rollen/privacy-officer/#maatregelen","title":"Maatregelen","text":"MaatregelenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Zorg voor een goede beveiliging van een algoritme.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van de contractovereenkomstEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/proceseigenaar/","title":"Proceseigenaar","text":""},{"location":"rollen/proceseigenaar/#maatregelen","title":"Maatregelen","text":"MaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bepaal of de output bepalende invloed heeft in een besluit richting personenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenControleren eigen data op schending auteursrechtenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenDe rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/projectleider/","title":"Projectleider","text":""},{"location":"rollen/projectleider/#maatregelen","title":"Maatregelen","text":"MaatregelenMaak back-ups van algoritmesBetrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Formuleren doelstellingFormuleren aanleiding en probleemdefinitieRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenKwetsbare groepen in kaart brengen en beschermenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenBepaal waarom we gebruik willen maken een algoritmeRicht een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toe
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/security-officer/","title":"Security officer","text":""},{"location":"rollen/security-officer/#maatregelen","title":"Maatregelen","text":"MaatregelenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Zorg voor een goede beveiliging van een algoritme.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenMaak de vereiste onderdeel van de contractovereenkomstNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Richt een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sVoer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister.
Deze vereiste geldt alleen voor impactvolle algoritmes en hoog-risico-AI-systemen. Een niet-impactvolle rekenregel hoef je niet te registreren.
"},{"location":"vereisten/#overzicht-vereisten","title":"Overzicht vereisten","text":"ZoekenRollenaanbiederprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieVereistenRollenLevenscyclusOnderwerpenAanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance Automatische logregistratie voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Proportionaliteit en subsidiariteit probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Verantwoordelijkheden worden toegewezen en beschreven ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Beveiliging informatie en informatiesystemen ontwerp implementatie monitoring-en-beheer dataverkenning-en-datapreparatie verificatie-en-validatie uitfaseren technische-robuustheid-en-veiligheid Beveiliging van de verwerking dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren privacy-en-gegevensbescherming data Bevorder AI-geletterdheid van personeel en gebruikers probleemanalyse ontwerp implementatie monitoring-en-beheer menselijke-controle governance Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance Corrigerende maatregelen voor non-conforme AI monitoring-en-beheer ontwerp implementatie governance Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance Een DPIA is verplicht bij hoog risico privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data Kwaliteitsbeheersysteem voor hoog-risico AI probleemanalyse ontwerp governance Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance Melden van ernstige incidenten implementatie monitoring-en-beheer governance Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming Monitoring na het in handel brengen monitoring-en-beheer privacy-en-gegevensbescherming Een besluit berust op een deugdelijke motivering ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp dataverkenning-en-datapreparatie ontwikkelen technische-robuustheid-en-veiligheid Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data Klachtrecht aanbieders verder in AI-waardeketen monitoring-en-beheer governance fundamentele-rechten Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming Eenieder heeft recht op toegang tot publieke informatie ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Recht op uitleg AI-besluiten ontwerp dataverkenning-en-datapreparatie ontwikkelen monitoring-en-beheer governance fundamentele-rechten Veilig melden van inbreuk op AI verordening ontwerp ontwikkelen monitoring-en-beheer governance fundamentele-rechten Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Toezichtmogelijkheden voor gebruikers ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance fundamentele-rechten Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data Verplicht risicobeheersysteem voor hoog-risico AI probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance Verstrekking van informatie op verzoek probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet implementatie ontwerp governance Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten Relevante feiten en belangen zijn bekend probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"vereisten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"vereisten/CE_markering_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem","text":"
OntwikkelenVerificatie en validatieImplementatieGovernance
Aanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.
Op AI-systemen met een hoog risico moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met de AI-verordening, zodat het vrije verkeer ervan op de interne markt mogelijk is. Op AI-systemen met een hoog risico die in een product zijn ge\u00efntegreerd moet een fysieke CE-markering worden aangebracht, die kan worden aangevuld met een digitale CE-markering. Voor AI-systemen met een hoog risico die alleen digitaal worden verstrekt, moet een digitale CE-markering worden gebruikt. De lidstaten mogen het in de handel brengen en het in gebruik stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.
"},{"location":"vereisten/CE_markering_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(h) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 48 CE-markering - AI verordening"},{"location":"vereisten/CE_markering_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/CE_markering_hoog_risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/CE_markering_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op","text":"
Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. De aanbieder stelt voor elk AI-systeem met een hoog risico een schriftelijke machineleesbare, fysieke of elektronisch ondertekende EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in gebruik stellen van het AI-systeem met een hoog risico ter beschikking van de nationale bevoegde autoriteiten. De conformiteitsverklaring bevat de informatie zoals genoemd in bijlage V AI-verordening. Voorbeelden hiervan zijn de naam en type van het AI-systeem, naam en adres van de aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste relevante geharmoniseerde normen of van andere gemeenschappelijke specificaties waarop de conformiteitsverklaring betrekking heeft.
"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(g) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 47(1) EU-conformiteitsverklaring - AI verordening Bijlage V AI Verordening"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/EU_conformiteitsverklaring_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenAanbiederGovernance
Aanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.
Aanbieders van AI-modellen voor algemene doeleinden zijn verplicht om gedetailleerde technische documentatie bij te houden, inclusief informatie over hoe het model is getraind, getest en ge\u00ebvalueerd. Deze documentatie moet voldoen aan de minimale vereisten zoals uiteengezet in bijlage XI van de AI-verordening. Hierbij kan worden gedacht aan taken die het model uitvoert en het type en de aard van AI-systemen waarin het kan worden ge\u00efntegreerd, acceptabel gebruiks beleid, architectuur, het aantal paramaters, licentie, specificaties van het ontwerp van het model, het trainingsproces, informatie over de gegevens die zijn verwerkt en een gedetailleerde beschrijving van de evaluatiestrategie\u00ebn. Zie bijlage XI voor het gehele overzicht.
Op verzoek moeten deze documenten beschikbaar zijn voor zowel het AI-bureau als de nationale bevoegde autoriteiten, wat essentieel is om te zorgen voor transparantie en naleving van de voorschriften.
"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#bronnen","title":"Bronnen","text":"Bron Artikel 53 Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden- AI verordening Bijlage XI AI Verordening"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#risico","title":"Risico","text":"
Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.
"},{"location":"vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance
Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.
Op verzoek van een nationale bevoegde autoriteit moeten aanbieders van AI-systemen met een hoog risico aantonen dat het betreffende systeem voldoet aan de eisen.
"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(k) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aantoonbaarheid_vereisten_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model
Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen. Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potenti\u00eble cyberdreigingen. Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#bronnen","title":"Bronnen","text":"Bron Artikel 55(1d) Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden met een systeemrisico- AI verordening"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#risico","title":"Risico","text":"
Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij","text":"
Verificatie en validatieImplementatieMonitoring en beheerGovernance
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#bronnen","title":"Bronnen","text":"Bron Artikel 55(1c) Verplichtingen voor aanbieders van AI-systemen voor algemene doeleinden met een systeemrisico- AI verordening"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#risico","title":"Risico","text":"
Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
"},{"location":"vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/algoritmeregister/","title":"Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie
Het publiceren van impactvolle algoritmes en AI-systemen draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.
Door het niet publiceren van impactvolle of hoog risico AI -systemen in het Algoritmeregister, is het voor betrokkenen of belanghebbenden minder goed mogelijk om de overheid kritisch te volgen, te bevragen en te controleren op de inzet van deze technologie\u00ebn die hen kunnen raken. Bij het onjuist of onvolledig publiceren in het Algortimeregister ontstaat er een risico dat betrokkenen en belanghebbenden onjuiste inschattingen maken over het gebruik van het algoritme of het AI-systeem en daardoor in hun rechten worden beperkt.
"},{"location":"vereisten/algoritmeregister/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenuitfaserenverificatie-en-validatieOnderwerpenpublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem technische documentatie op in het algoritmeregister proceseigenaar privacy-officer data-scientist data-engineer beleidsmedewerker ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenuitfaserenverificatie-en-validatieOnderwerpenpublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem technische documentatie op in het algoritmeregister proceseigenaar privacy-officer data-scientist data-engineer beleidsmedewerker ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenuitfaserenverificatie-en-validatieOnderwerpenpublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem technische documentatie op in het algoritmeregister proceseigenaar privacy-officer data-scientist data-engineer beleidsmedewerker ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie"},{"location":"vereisten/algoritmeregister/#instrumenten","title":"Instrumenten","text":""},{"location":"vereisten/archiefwet/","title":"De archiefwet is ook van toepassing op algoritmes en AI-systemen","text":"
UitfaserenImplementatieMonitoring en beheerTechnische robuustheid en veiligheidGovernanceDataPrivacy en gegevensbescherming
Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.
Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over en van algoritmes en AI moet daarom bewaard en vernietigd worden.
"},{"location":"vereisten/archiefwet/#bronnen","title":"Bronnen","text":"Bron Artikel 3 Archiefwet 1995 Artikel 15 lid 2 Archiefwet 1995 Archiefbesluit 1995 Archiefregeling"},{"location":"vereisten/archiefwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/archiefwet/#risico","title":"Risico","text":"
Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes en AI aan hebben bijgedragen, tot stand zijn gekomen. Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.
"},{"location":"vereisten/archiefwet/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenArchiveren beperkingen openbaarheid proceseigenaar informatiebeheerder archiefdeskundige jurist ontwerp ontwikkelen governance Vaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden zijn duurzaam toegankelijk proceseigenaar informatiebeheerder archiefdeskundige ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel archiefbescheiden vast ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenArchiveren beperkingen openbaarheid proceseigenaar informatiebeheerder archiefdeskundige jurist ontwerp ontwikkelen governance Vaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden zijn duurzaam toegankelijk proceseigenaar informatiebeheerder archiefdeskundige ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel archiefbescheiden vast ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenArchiveren beperkingen openbaarheid proceseigenaar informatiebeheerder archiefdeskundige jurist ontwerp ontwikkelen governance Vaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden zijn duurzaam toegankelijk proceseigenaar informatiebeheerder archiefdeskundige ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel archiefbescheiden vast ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/auteursrechten/","title":"Auteursrechten mogen niet worden geschonden","text":"
Dataverkenning en datapreparatieOntwerpDataGovernance
Bepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.
"},{"location":"vereisten/auteursrechten/#bronnen","title":"Bronnen","text":"Bron Artikel 1 Auteurswet Artikel 4-9 Auteurswet Artikel 10 Auteurswet Artikel 13 Auteurswet Artikel 15n jo. 15o Auteurswet Artikel 3 en 4 van de DSM-richtlijn (EU 2019/790)"},{"location":"vereisten/auteursrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/auteursrechten/#risico","title":"Risico","text":"
Het niet voldoen aan het auteursrecht in AI-systemen en algoritmes kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht. Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.
"},{"location":"vereisten/auteursrechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgemandateerd-verantwoordelijkeinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist probleemanalyse implementatie publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Contractuele afspraken over data en artefacten proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder informatiebeheerder ontwerp monitoring-en-beheer publieke-inkoop Controleren eigen data op schending auteursrechten proceseigenaar informatiebeheerder jurist ontwerp dataverkenning-en-datapreparatie data Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Verken maatregelen van aanbieder om schending auteursrechten te voorkomen proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder probleemanalyse implementatie publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist gemandateerd-verantwoordelijke ontwerp monitoring-en-beheer publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp monitoring-en-beheer publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen verificatie-en-validatie publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen monitoring-en-beheer publieke-inkoop Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgemandateerd-verantwoordelijkeinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist probleemanalyse implementatie publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Contractuele afspraken over data en artefacten proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder informatiebeheerder ontwerp monitoring-en-beheer publieke-inkoop Controleren eigen data op schending auteursrechten proceseigenaar informatiebeheerder jurist ontwerp dataverkenning-en-datapreparatie data Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Verken maatregelen van aanbieder om schending auteursrechten te voorkomen proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder probleemanalyse implementatie publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist gemandateerd-verantwoordelijke ontwerp monitoring-en-beheer publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp monitoring-en-beheer publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen verificatie-en-validatie publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen monitoring-en-beheer publieke-inkoop Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgemandateerd-verantwoordelijkeinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist probleemanalyse implementatie publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Contractuele afspraken over data en artefacten proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder informatiebeheerder ontwerp monitoring-en-beheer publieke-inkoop Controleren eigen data op schending auteursrechten proceseigenaar informatiebeheerder jurist ontwerp dataverkenning-en-datapreparatie data Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Verken maatregelen van aanbieder om schending auteursrechten te voorkomen proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder probleemanalyse implementatie publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist gemandateerd-verantwoordelijke ontwerp monitoring-en-beheer publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp monitoring-en-beheer publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen verificatie-en-validatie publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen monitoring-en-beheer publieke-inkoop Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/automatische_logregistratie/","title":"Automatische logregistratie voor hoog-risico AI","text":"
OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid
Algoritmes en AI-systemen zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).
AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als \"logs\". Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken. Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert.
Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in: a) de registratie van de duur van elk gebruik van het systeem; b) de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem; c) de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd; d) de identificatie van natuurlijke personen die betrokken zijn bij de verificatie van de resultaten.
Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systmen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.
"},{"location":"vereisten/automatische_logregistratie/#bronnen","title":"Bronnen","text":"Bron Artikel 12 Registratie- AI verordening Baseline Informatiebeveiliging Overheid hoofdstuk 12.4 Artikel 5 en 32 AVG"},{"location":"vereisten/automatische_logregistratie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/automatische_logregistratie/#risico","title":"Risico","text":"
Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert en betrokkenen wiens persoonsgegevens worden verwerkt of geraakt worden door beslissingen van het AI-systeem in hun rechten kunnen worden beperkt.
"},{"location":"vereisten/automatische_logregistratie/#wanneer-van-toepassing_1","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/automatische_logregistratie/#risico_1","title":"Risico","text":"
Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert.
"},{"location":"vereisten/automatische_logregistratie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/","title":"Proportionaliteit en subsidiariteit","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming
Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.
Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes en AI moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.
"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#bronnen","title":"Bronnen","text":"Bron Overweging 170 Algemene Verordening Gegevensbescherming Artikel 5(4) Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 Artikel 52 Handvest van de Grondrechten van de Europese Unie Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 Artikel 1.10, 1.13 en 1.16 Aanbestedingswet 2012 Artikel 5(1)(c) Algemene Verordening Gegevensbescherming"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#risico","title":"Risico","text":"
Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.
"},{"location":"vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/","title":"Beoordeling van grondrechten","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerFundamentele rechten
Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.
Voordat een AI-systeem met een hoog risico in gebruik wordt genomen, moeten publieke instellingen of particuliere entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van de impact op de grondrechten die het gebruik ervan kan hebben. Deze evaluatie is bedoeld om potenti\u00eble risico's te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om deze risico's te beheersen. Het doel is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren waar deze systemen cruciale diensten leveren aan het publiek.
"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#bronnen","title":"Bronnen","text":"Bron Artikel 27(1) Beoordeling van de gevolgen voor de grondrechten van AI-systemen met een hoog risico- AI verordening Artikel 6 lid 2 AI-verordening Punt 2 en punt 5 bij Bijlage III AI-verordening"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#risico","title":"Risico","text":"
Het niet uitvoeren van deze beoordeling kan leiden tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende entiteiten.
"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/beoordelen_gevolgen_voor_grondrechten/#instrumenten","title":"Instrumenten","text":""},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/","title":"Beperkte bewaartermijn van persoonsgegevens","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming
Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.
Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
In de context van algoritmes en AI is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan. Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.
"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder de AVG"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#risico","title":"Risico","text":"
Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.
"},{"location":"vereisten/beperkte_bewaartermijn_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/","title":"Verantwoordelijkheden worden toegewezen en beschreven","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming
De verantwoordelijkheden bij de verwerking van persoonsgegevens voor algoritmes en AI-systemen moeten zijn beschreven en zijn toegekend.
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de beginselen inzake de verwerking van persoonsgegevens en kan deze aantonen (\"verantwoordingsplicht\").
Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.
"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 24, 26, 27, 28 en 29, 5 lid 2 AVG"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#risico","title":"Risico","text":"
Door rollen en verantwoordelijkheden rondom de verwerking van persoonsgegevens niet te duiden en te beleggen, ontstaat het risico dat persoonsgegevens onrechtmatig on onveilig worden verwerkt.
"},{"location":"vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/","title":"Beveiliging informatie en informatiesystemen","text":"
OntwerpImplementatieMonitoring en beheerDataverkenning en datapreparatieVerificatie en validatieUitfaserenTechnische robuustheid en veiligheid
Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.
Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.
"},{"location":"vereisten/beveiliging_informatie_en_informatiesystemen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigearchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenMaak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigearchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenMaak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigearchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenMaak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/beveiliging_van_verwerking/","title":"Beveiliging van de verwerking","text":"
Dataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenPrivacy en gegevensbeschermingData
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Voor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.
"},{"location":"vereisten/beveiliging_van_verwerking/#bronnen","title":"Bronnen","text":"Bron Artikel 32 Algemene Verordening Gegevensbescherming"},{"location":"vereisten/beveiliging_van_verwerking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/beveiliging_van_verwerking/#risico","title":"Risico","text":"
Er kunnen risico's ontstaan zoals potenti\u00eble cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.
"},{"location":"vereisten/beveiliging_van_verwerking/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/","title":"Bevorder AI-geletterdheid van personeel en gebruikers","text":"
ProbleemanalyseOntwerpImplementatieMonitoring en beheerMenselijke controleGovernance
Aanbieders en exploitanten van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
Aanbieders en exploitanten van AI-systemen nemen maatregelen om ervoor te zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Daarnaast moet er worden ingezet op het delen van ervaringen, passend onderwijs en opleiding van inidividuen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#bronnen","title":"Bronnen","text":"Bron Artikel 4 Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#risico","title":"Risico","text":"
Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt. Dit kan leiden tot ineffici\u00ebntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.
"},{"location":"vereisten/bevorder_ai_geletterdheid_personeel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding proceseigenaar aanbieder behoeftesteller inkoopadviseur contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen aanbieder proceseigenaar inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding proceseigenaar aanbieder behoeftesteller inkoopadviseur contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen aanbieder proceseigenaar inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding proceseigenaar aanbieder behoeftesteller inkoopadviseur contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen aanbieder proceseigenaar inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop"},{"location":"vereisten/bewaartermijn_voor_documentatie/","title":"Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie","text":"
OntwerpOntwikkelenMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid
De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten: a) de technische documentatie als bedoeld in artikel 11 van de AI-verordening; b) de documentatie betreffende het in artikel 17 bedoelde systeem voor kwaliteitsbeheer; c) in voorkomend geval de documentatie betreffende de door aangemelde instanties goedgekeurde wijzigingen; d) in voorkomend geval de besluiten en andere documenten die door de aangemelde instanties zijn afgegeven; e) de EU-conformiteitsverklaring als bedoeld in artikel 47.
De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.
Niet voldoen aan de bewaartermijn kan leiden tot juridische consequenties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.
"},{"location":"vereisten/bewaartermijn_voor_documentatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenVaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenVaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenVaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/","title":"Bewaartermijn voor gegenereerde logs","text":"
OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid
Aanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.
Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen aan de relevante voorschriften en verantwoordingsplicht.
"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#bronnen","title":"Bronnen","text":"Bron Artikel 19(1) Automatisch gegenereerde logs- AI verordening Artikel 16(e) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening Artikel 12(1) Registratie- AI verordening"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#risico","title":"Risico","text":"
Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
"},{"location":"vereisten/bewaartermijn_voor_gegenereerde_logs/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit","text":"
Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld
Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd voor het systeem op de markt wordt gebracht of in gebruik wordt genomen. Dit is mogelijk door middel van een interne controle (als bedoeld in bijlage VI van de AI-verordening) of met betrokkenheid van een aangemelde instantie voor de beoordeling van het systeem voor kwaliteitsbeheer en de technische documentatie (als bedoeld in bijlage VII van de AI-verordening).
AI-systemen met een hoog risico die reeds aan een conformiteitsbeoordelingsprocedure zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke gebruikt blijft worden.
"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(f) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 43 Conformiteitsbeoordeling - AI verordening Bijlage VI en VII AI Verordening"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/","title":"Corrigerende maatregelen voor non-conforme AI","text":"
Monitoring en beheerOntwerpImplementatieGovernance
Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.
Aanbieders van AI-systemen met een hoog risico die constateren dat hun systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties ondernemen, zoals het terugroepen of uit de handel nemen van het systeem. Ze moeten ook alle relevante partijen, zoals distributeurs, gebruiksverantwoordelijken en importeurs, op de hoogte stellen van deze maatregelen.
"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 20(1) Corrigerende maatregelen en mededelingsverplichting- AI verordening Artikel 16(j) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#risico","title":"Risico","text":"
Niet reageren op non-conformiteit kan leiden tot risico's voor gebruikers en derden. Het kan leiden tot juridische procedures en reputatieschade voor organisaties.
"},{"location":"vereisten/corrigerende_maatregelen_voor_non_conforme_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/databankenwet/","title":"Verbod op schenden databankenrechten","text":"
De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten van databanken tegen onrechtmatige toe-eigening van een databank. Degene die een substanti\u00eble financi\u00eble en professionele investering heeft verricht om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht en kan zo anderen verbieden de databank te gebruiken. Bij verkrijgen gaat het om \"het verzamelen van de werken, gegevens of andere zelfstandige elementen die tezamen de inhoud van de databank vormen\". Dit recht bestaat naast het recht op bescherming van de originele keuze of rangschikking van de inhoud van databanken (auteurswet).
Voor het ontwikkelen van algoritme en AI is data nodig. De data die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.
"},{"location":"vereisten/databankenwet/#bronnen","title":"Bronnen","text":"Bron Artikel 1 en 2 Databankenwet Artikel 5a en 5b Databankenwet Artikel 7 Databankrichtlijn Overwegingen 39 - 41 Databankrichtlijn"},{"location":"vereisten/databankenwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/databankenwet/#risico","title":"Risico","text":"
Als een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank bij de ontwikkeling van algoritmes en AI, wordt het databankenrecht geschonden van de eigenaar. De eigenaar van de databank kan bijvoorbeeld ontrekking van de data uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing of AI-systeem.
"},{"location":"vereisten/databankenwet/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/","title":"Documentatie beoordeling niet-hoog-risico AI","text":"
Een aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
Een aanbieder die oordeelt dat een AI-systeem niet valt onder hoog-risico zoals gefedinieerd in bijlage III van de AI-verordening, documenteert deze beoordeling voorafgaand aan het in de handel brengen of in gebruik nemen van het systeem. Op verzoek van de nationale autoriteiten verstrekt de aanbieder de documentatie van de beoordeling. De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening). AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 6(4) Classificatieregels voor AI-systemen met een hoog risico - AI verordening Artikel 49(2) AI Verordening Artikel 71 AI Verordening Bijlage III AI Verordening"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#risico","title":"Risico","text":"
Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van risicovolle AI-systemen.
"},{"location":"vereisten/documentatie_beoordeling_niet_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/","title":"Een DPIA is verplicht bij hoog risico","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatiePrivacy officerPrivacy en gegevensbescherming
Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.
Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van \u00e9\u00e9n van de volgende voorwaarden: 1. Evaluatie of scoretoekenning 2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg 3. Stelselmatige monitoring 4. Gevoelige gegevens of gegevens van zeer persoonlijke aard 5. Op grote schaal verwerkte gegevens 6. Matching of samenvoeging van datasets 7. Gegevens met betrekking tot kwetsbare betrokkenen 8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen 9. de situatie waarin als gevolg van de verwerking zelf \"betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst\";
Het is mogelijk dat algoritmes die niet aan \u00e9\u00e9n of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.
Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.
"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 35 Algemene Verordening Gegevensbescherming Artikel 26(9) Verordening Artifici\u00eble Intelligentie Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#risico","title":"Risico","text":"
Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potenti\u00eble schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.
"},{"location":"vereisten/dpia_verplicht_bij_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbiederbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt proceseigenaar privacy-officer inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop privacy-en-gegevensbescherming Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbiederbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt proceseigenaar privacy-officer inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop privacy-en-gegevensbescherming Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbiederbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt proceseigenaar privacy-officer inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop privacy-en-gegevensbescherming Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"vereisten/fundamentele_rechten/","title":"Beschermen van fundamentele rechten en vrijheden","text":"
ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerFundamentele rechten
Mensenrechten gelden voor alle mensen op de wereld. De mensenrechten in Nederland zijn beschermd door nationale wetten en internationale verdragen. In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet. Deze rechten heten ook wel \u2019grondrechten\u2019. Een bekend voorbeeld is artikel 1 van de Grondwet. Om mensenrechten te beschermen zijn ze op Europees en internationaal niveau in verschillende verklaringen en verdragen vastgelegd.
Mensenrechten kunnen soms onder druk komen te staan. De inzet van algoritmes en AI-systemen kan bijvoorbeeld een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling en voor het recht op behoorlijk bestuur. Het is daarom belangrijk om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.
"},{"location":"vereisten/fundamentele_rechten/#bronnen","title":"Bronnen","text":"Bron Grondwet Europees Verdragvoor de Rechten van de Mens (EVRM) Handvest van de grondrechten van de Europese Unie Universele Verklaring van de Rechten van de Mens (UVRM) Internationaal Statuut van de Rechten van de Mens Internationale Verdrag inzake burgerrechten en politieke rechten (IVBPR) Internationale Verdrag inzake economische, sociale en culturele rechten (IVESCR) Internationaal Verdrag inzake de uitbanning van alle vormen van rassendiscriminatie (CERD) Internationaal Verdrag voor de rechten van het kind (CRC) Internationaal Verdrag voor de Rechten van Mensen met een Handicap (VN-verdrag Handicap) Artikel 27 AI-verordening"},{"location":"vereisten/fundamentele_rechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/fundamentele_rechten/#risico","title":"Risico","text":"
Grondrechten kunnen worden aangetast door de inzet van algoritmes
"},{"location":"vereisten/fundamentele_rechten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/fundamentele_rechten/#instrumenten","title":"Instrumenten","text":""},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/","title":"Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd","text":"
ImplementatieOntwikkelenGovernanceTechnische robuustheid en veiligheid
Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens
Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem. Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft. De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.
Gebruiksverantwoordelijken die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financi\u00eble diensten.
"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#bronnen","title":"Bronnen","text":"Bron Artikel 26(6) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#risico","title":"Risico","text":"
Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
"},{"location":"vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/","title":"Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem","text":"
ImplementatieMonitoring en beheerTransparantieGovernance
Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.
Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals omschreven in artikel 71 AI-verordening). Voordat het betreffende AI-systeem (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties, instellingen, organen of instanties van de Unie, of personen die namens hen optreden, zichzelf en selecteren zij het systeem en registreren zij het gebruik ervan in de in artikel 71 bedoelde EU-databank.
Heeft de aanbieder het betreffende hoog risico AI-systeem niet geregistreerd in de EU-Databank, dan mag het hoog risico AI-systeem niet worden gebruikt. De aanbieder of distributeur wordt door de gebruiksverantwoordelijke ge\u00efnformeerd dat het systeem niet is geregistreerd in de EU-databank.
AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#bronnen","title":"Bronnen","text":"Bron Artikel 26(8) AI Verordening Artikel 49 (3) AI Verordening Artikel 71 AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#risico","title":"Risico","text":"
Zonder registratie van het hoge risico AI-systeem en het registreren welke organisaties of personen hier gebruik van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.
"},{"location":"vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/","title":"Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning","text":"
ImplementatieMonitoring en beheerGovernanceMenselijke controle
Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.
Het is van belang dat natuurlijke personen die het menselijk toezicht moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige bekwaamheid, opleiding en autoriteit beschikt. Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze taak.
"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#bronnen","title":"Bronnen","text":"Bron Artikel 26(2) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#risico","title":"Risico","text":"
Als de natuurlijke toezichthouder geen effectief toezicht kan houden op het hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen en de organisatie.
"},{"location":"vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/","title":"Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem","text":"
Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening
Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen monitoren. Dit is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld anders gaat functioneren.
Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.
Voor gebruiksverantwoordelijke die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financi\u00eble diensten.
"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#bronnen","title":"Bronnen","text":"Bron Artikel 26(5) AI Verordening"},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/#risico","title":"Risico","text":"
Zonder monitoring door gebruiksverantwoordelijken en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit, kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd en hersteld.
Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig. Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.
"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 15 - 21 AVG"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#risico","title":"Risico","text":"
Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten.
"},{"location":"vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. proceseigenaar aanbieder data-engineer data-scientist privacy-officer ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. proceseigenaar aanbieder data-engineer data-scientist privacy-officer ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. proceseigenaar aanbieder data-engineer data-scientist privacy-officer ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/","title":"Juistheid en actualiteit van gegevens","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbeschermingData
De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes en AI is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.
"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 sub d AVG"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#risico","title":"Risico","text":"
Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden gewaarborgd.
"},{"location":"vereisten/juistheid_en_actualiteit_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Data is van voldoende kwaliteit data-scientist data-engineer dataverkenning-en-datapreparatie data Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Data is van voldoende kwaliteit data-scientist data-engineer dataverkenning-en-datapreparatie data Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Data is van voldoende kwaliteit data-scientist data-engineer dataverkenning-en-datapreparatie data Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/","title":"Kwaliteitsbeheersysteem voor hoog-risico AI","text":"
Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.
Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren om te garanderen dat ze voldoen aan de AI-verordening. Dit systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en behandelt beknopt de volgende aspecten:
een strategie voor de naleving van de regelgeving, inclusief de naleving van de conformiteitsbeoordelingsprocedures en de procedures voor het beheer van de wijzigingen van het AI-systeem met een hoog risico;
technieken, procedures en systematische maatregelen die moeten worden toegepast voor het ontwerp, de controle van het ontwerp en de verificatie van het ontwerp van het AI-systeem met een hoog risico;
technieken, procedures en systematische maatregelen die moeten worden toegepast voor de ontwikkeling, de kwaliteitscontrole en de kwaliteitsborging van het AI-systeem met een hoog risico;
procedures voor het inspecteren, testen en valideren die v\u00f3\u00f3r, tijdens en na de ontwikkeling van het AI-systeem met een hoog risico moeten worden uitgevoerd en de regelmaat waarmee zij moeten worden uitgevoerd;
technische specificaties, met inbegrip van normen, die moeten worden toegepast en, wanneer de relevante geharmoniseerde normen niet volledig worden toegepast of geen betrekking hebben op alle relevante eisen van afdeling 2, de middelen die worden gebruikt om ervoor te zorgen dat het AI-systeem met een hoog risico in overeenstemming is met deze eisen;
systemen en procedures voor databeheer, met inbegrip van dataverwerving, - verzameling, -analyse, -labeling, -opslag, -zuivering, -aggregatie en -behoud en datamining en eventuele andere operaties met betrekking tot de data die worden uitgevoerd voorafgaand aan en met het oog op het in de handel brengen of in gebruik stellen van AI-systemen met een hoog risico;
het systeem voor risicobeheer zoals bedoeld in artikel 9 van de AI-verordening;
het opzetten, toepassen en onderhouden van een systeem voor monitoring na het in de handel brengen, overeenkomstig artikel 72 AI-verordening;
procedures in verband met het melden van een ernstig incident in overeenstemming met artikel 73 van de AI-verordening;
"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 17(1) Systeem voor kwaliteitsbeheer- AI verordening Artikel 16(c) Verplichtingen van aanbieders van AI-systemen met een hoog risico - AI veordening"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#risico","title":"Risico","text":"
Zonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit met wet- en regelgeving.
"},{"location":"vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/kwaliteitscriteria_voor_data/","title":"Data van hoog-risico ai moet voldoen aan kwaliteitscriteria","text":"
OntwerpDataverkenning en datapreparatieVerificatie en validatieGovernanceData
AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets worden gebruikt.
AI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt.
Deze vereiste houdt in dat de gebruikte datasets onder meer moeten voldoen aan: - datasets voor training, validatie en tests worden onderworpen aan praktijken op het gebied van databeheer die stroken met het beoogde doel van het AI-systeem met een hoog risico. Dit heeft in het bijzonder betrekking op relevante ontwerpkeuzes, processen voor dataverzameling, verwerkingsactiviteiten voor datavoorbereiding, het opstellen van aannames met name betrekking tot de informatie die de data moeten meten en vertegenwoordigen, beschikbaarheid, kwantiteit en geschiktheid van de datasets en een beoordeling op mogelijke vooringenomenheid en passende maatregelen om deze vooringenomenheid op te sporen, te voorkomen en te beperken. - datasets voor training, validatie en tests zijn relevant, voldoende representatief en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde doel. - Er wordt rekening gehouden met de eigenschappen of elementen die specifiek zijn voor een bepaalde geografische, contextuele, functionele of gedragsomgeving waarin het AI-systeem wordt gebruikt.
"},{"location":"vereisten/kwaliteitscriteria_voor_data/#bronnen","title":"Bronnen","text":"Bron Artikel 10(1) Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/kwaliteitscriteria_voor_data/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/kwaliteitscriteria_voor_data/#risico","title":"Risico","text":"
Gebruik van laagkwalitatieve of bevooroordeelde datasets kan leiden tot onbetrouwbare en oneerlijke AI-besluitvorming. Onvoldoende kwaliteitsborging van testdata kan leiden tot vertekende resultaten en gebrekkige prestaties van het AI-systeem bij gebruik in de praktijk.
"},{"location":"vereisten/kwaliteitscriteria_voor_data/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/","title":"Maatregelen van gebruiksverantwoordelijken voor gebruik","text":"
Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.
Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de bijgevoegde instructies. De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft.
"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#bronnen","title":"Bronnen","text":"Bron Artikel 26 Verplichtingen van gebruiksverantwoordelijken van AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#risico","title":"Risico","text":"
Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico's voor gebruikers en derden.
"},{"location":"vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/melding_ernstige_incidenten/","title":"Melden van ernstige incidenten","text":"
Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.
Aanbieders van AI-systemen met een hoog risico die binnen de EU worden verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten van de lidstaten waar het incident heeft plaatsgevonden. Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:
het overlijden van een persoon of ernstige schade voor de gezondheid van een persoon;
een ernstige en onomkeerbare verstoring van het beheer of de exploitatie van kritieke infrastructuur;
een schending van de uit het recht van de Unie voortvloeiende verplichtingen ter bescherming van de grondrechten;
ernstige schade aan eigendommen of het milieu.
Dit meldingsproces is bedoeld om snel en adequaat te reageren op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen, en om passende maatregelen te nemen ter bescherming van de consumenten en het publiek. Het doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers te minimaliseren.
"},{"location":"vereisten/melding_ernstige_incidenten/#bronnen","title":"Bronnen","text":"Bron Artikel 73(1) Melding van ernstige incidenten AI verordening"},{"location":"vereisten/melding_ernstige_incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/melding_ernstige_incidenten/#risico","title":"Risico","text":"
Het niet melden van ernstige incidenten kan leiden tot vertraagde reactie op potenti\u00eble gevaren voor gebruikers en kan het vertrouwen in AI-systemen ondermijnen.
"},{"location":"vereisten/melding_ernstige_incidenten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/","title":"Persoonsgegevens verzamelen voor specifieke doeleinden","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming
De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Het is van belang dat \u00e9nkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking. Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn. Voor het ontwikkelen en gebruiken van algoritmes of AI-systemen is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven.
"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder c AVG"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#risico","title":"Risico","text":"
Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.
"},{"location":"vereisten/minimale_verwerking_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/","title":"Monitoring na het in handel brengen","text":"
Monitoring en beheerPrivacy en gegevensbescherming
Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.
Aanbieders moeten een monitoringssysteem opzetten voor het monitoren na het in de handel brengen. Dit systeem moet documenteren op een wijze die passend is bij de aard van de AI-technologie\u00ebn en de risico's van het betreffende AI-systeem met een hoog risico. Dit monitoringssysteem moet proportioneel zijn aan de complexiteit en potenti\u00eble impact van het AI-systeem.
Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur. Dit stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van de AI-verordening vermelde voorschriften. In voorkomend geval omvat de monitoring na het in de handel brengen een analyse van de interactie met andere AI-systemen. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.
Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.
"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#bronnen","title":"Bronnen","text":"Bron Artikel 72(1) Monitoring door aanbieders na het in de handel brengen en plan voor monitoring na het in de handel brengen voor AI-systemen met een hoog risico- AI verordening"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#risico","title":"Risico","text":"
Zonder monitoringssysteem voor na het in handel brengen is er een risico dat verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven. Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.
"},{"location":"vereisten/monitoring_na_het_in_de_handel_brengen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/motiveringsbeginsel/","title":"Een besluit berust op een deugdelijke motivering","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance
Een bestuursorgaan moet inzichtelijk maken: 1. dat een besluit tot stand is gekomen met behulp van een algoritme; 2. van welke feiten het is uitgegaan en welke gegevens van de burger gebruikt c.q. verwerkt zijn; 3. welke relevante belangen tegen elkaar zijn afgewogen en hoe die afweging is verlopen (bijvoorbeeld het gewicht dat wordt toegekend aan elk afgewogen kenmerk; welke analytische technieken gebruikt zijn; welke specifieke voorspellende data; wat de belangrijkste policy-keuzes waren; een uitleg van het voorspellende algoritme); 4. hoe het algoritme werkt (niet de techniek, maar hoe de uitkomsten van het algoritme tot stand komen). De keuzes en aannames die zijn gemaakt en gedaan moeten worden beschreven en toegelicht.
"},{"location":"vereisten/motiveringsbeginsel/#bronnen","title":"Bronnen","text":"Bron Artikel 3:46 - 3:50 Awb Jurisprudentie over AERIUS (ABRvS 18 juli 2018, ECLI:NL:RVS:2018:2454), Hof van Justitie C-274/18"},{"location":"vereisten/motiveringsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/motiveringsbeginsel/#risico","title":"Risico","text":"
Het is onduidelijk op wat voor manier het algoritmes of AI-systeem heeft bijgedragen aan de totstandkoming van een besluit.
"},{"location":"vereisten/motiveringsbeginsel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/non_discriminatie/","title":"AI-systemen en algoritmes mogen niet discrimineren","text":"
ProbleemanalyseDataverkenning en datapreparatieOntwerpVerificatie en validatieImplementatieMonitoring en beheerFundamentele rechtenBias en non discriminatie
Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.
"},{"location":"vereisten/non_discriminatie/#bronnen","title":"Bronnen","text":"Bron Artikel 1 Grondwet Artikel 14 Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Rome, 04-11-1950 Artikel 21 Handvest van de Grondrechten van de Europese Unie Artikel 1 Algemene wet gelijke behandeling Artikel 1 Protocol nr. 12 bij het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, Rome, 04-11-2000 Artikel 9 Algemene Verordening Gegevensbescherming Artikel 2:4 Algemene wet bestuursrecht"},{"location":"vereisten/non_discriminatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/non_discriminatie/#risico","title":"Risico","text":"
Het risico bestaat dat het model onwenselijke systematische afwijkingen cre\u00ebert voor specifieke personen, groepen of andere eenheden, wat kan duiden op directe of indirecte discriminerende effecten van het algoritme.
"},{"location":"vereisten/non_discriminatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Configuratie met de mens implementatie governance menselijke-controle Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Configuratie met de mens implementatie governance menselijke-controle Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Configuratie met de mens implementatie governance menselijke-controle Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/","title":"Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenTechnische robuustheid en veiligheid
AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.
AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden. Dit garandeert consistente prestaties gedurende hun levensduur en minimaliseert risico's met betrekking tot deze aspecten, waardoor de betrouwbaarheid en veiligheid van het systeem worden gewaarborgd.
Technische robuustheid is een essenti\u00eble eis voor AI-systemen met een hoog risico. Deze systemen moeten bestand zijn tegen schadelijk of anderszins ongewenst gedrag dat kan voortvloeien uit de beperkingen binnen de systemen of de omgeving waarin de systemen opereren (bijvoorbeeld fouten, onregelmatigheden, onverwachte situaties). Daarom moeten technische en organisatorische maatregelen worden getroffen om de robuustheid van AI-systemen met een hoog risico te waarborgen. Een technische oplossing kan bijvoorbeeld bestaan uit mechanismen die het systeem in staat stellen zijn werking veilig te onderbreken (storingsbeveiligingsplannen) wanneer zich bepaalde anomalie\u00ebn voordoen of wanneer de werking buiten bepaalde vooraf bepaalde grenzen plaatsvindt.
Cyberbeveiliging is cruciaal om te waarborgen dat AI-systemen bestand zijn tegen pogingen van kwaadwillige derden die gebruikmaken van de kwetsbaarheden van het systeem om het gebruik, het gedrag of de prestaties ervan te wijzigen of de veiligheidskenmerken ervan in gevaar te brengen. Bij cyberaanvallen tegen AI-systemen kunnen AI-specifieke activa worden gebruikt, zoals trainingsdatasets (bv. datavervuiling) of getrainde modellen (bv. vijandige aanvallen of membership inference), of kwetsbaarheden in de digitale activa van het AI-systeem of de onderliggende ICT-infrastructuur worden benut. Om te zorgen voor een niveau van cyberbeveiliging dat aansluit op de risico\u2019s, moeten aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.
"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#bronnen","title":"Bronnen","text":"Bron Artikel 15(1) Nauwkeurigheid, robuustheid en cyberbeveiliging- AI verordening"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#risico","title":"Risico","text":"
Gebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's, wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.
"},{"location":"vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/","title":"Verwerking van persoonsgegevens moet rechtmatig plaatsvinden","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatiePrivacy en gegevensbescherming
De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op \u00e9\u00e9n van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming. Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.
Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes en AI moet worden onderzocht of dit kan worden gebaseerd op \u00e9\u00e9n van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag. Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.
"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 onder a en b AVG Artikel 6 lid 1 onder b AVG Artikel 6 AVG Overweging 39 en 45 AVG"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#risico","title":"Risico","text":"
Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.
"},{"location":"vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. proceseigenaar informatie-analist data-engineer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. proceseigenaar informatie-analist data-engineer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. proceseigenaar informatie-analist data-engineer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/","title":"Privacy door ontwerp","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenImplementatiePrivacy en gegevensbeschermingData
Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden ge\u00efntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie. Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes en AI.
Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.
"},{"location":"vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/","title":"Klachtrecht aanbieders verder in AI-waardeketen","text":"
Monitoring en beheerGovernanceFundamentele rechten
Aanbieders verder in de AI-waardeketen hebben het recht om een klacht in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening. Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels met betrekking tot AI-modellen voor algemene doeleinden die zij ge\u00efntrigeerd hebben in AI-systemen. Het AI-bureau kan dan passende maatregelen nemen om de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders op te lossen.
"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#bronnen","title":"Bronnen","text":"Bron Artikel 89(2) Monitoringmaatregelen- AI verordening"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#risico","title":"Risico","text":"
Gebrek aan klachtrecht verhindert het AI-bureau om tijdig en zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.
"},{"location":"vereisten/recht_klacht_indienen_bij_ai_bureau/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/","title":"Recht op niet geautomatiseerde besluitvorming","text":"
OntwerpOntwikkelenMonitoring en beheerPrivacy en gegevensbescherming
Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft.
Mensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.
Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten.
"},{"location":"vereisten/recht_op_niet_geautomatiseerd_besluitvorming/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBepaal of de output bepalende invloed heeft in een besluit richting personen behoeftesteller proceseigenaar gebruiker inkoopadviseur ethicus jurist ontwikkelen monitoring-en-beheer publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument behoeftesteller proceseigenaar inkoopadviseur probleemanalyse ontwikkelen monitoring-en-beheer governance publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBepaal of de output bepalende invloed heeft in een besluit richting personen behoeftesteller proceseigenaar gebruiker inkoopadviseur ethicus jurist ontwikkelen monitoring-en-beheer publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument behoeftesteller proceseigenaar inkoopadviseur probleemanalyse ontwikkelen monitoring-en-beheer governance publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBepaal of de output bepalende invloed heeft in een besluit richting personen behoeftesteller proceseigenaar gebruiker inkoopadviseur ethicus jurist ontwikkelen monitoring-en-beheer publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument behoeftesteller proceseigenaar inkoopadviseur probleemanalyse ontwikkelen monitoring-en-beheer governance publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/","title":"Eenieder heeft recht op toegang tot publieke informatie","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie
Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.
Bij het ontwikkelen en gebruiken van algoritmes en AI kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. Het kunnen openbaren van publieke informatie is in het belang van een democratische rechtstaat. De Wet open overheid gaat uit van een recht op openbaarheid van publieke informatie. Iedereenkan een verzoek tot openbaarmaking van publieke informatie doen bij een bestuursorgaan zonder daarbij een belang te stellen (artikel 4.1 Woo). De aan een verzoeker verstrekte informatie wordt openbaar voor iedereen. De Woo is niet van toepassing op informatie die al openbaar is (uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 december 2010 (ECLI:NL:RVS:2010:BNS6990) en 20 oktober 2010 (ECLI:NL:RVS:2010:BO1165)). Er kunnen uitsluitingsgronden bestaan voor het openbaarmaken van documenten (artikel 5.1 Woo).
In de context van het ontwikkelen en gebruiken van algoritmes en AI-systemen is het van belang dat tijdig wordt vastgesteld welke documenten in aanmerking komen voor openbaarmaking. Dit moet worden bekeken in het licht van wat 'actief' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op 'verzoek' van iemand moet worden geopenbaard.
"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#bronnen","title":"Bronnen","text":"Bron Artikel 1.1, 2.5, 4.1, 5 Woo"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#risico","title":"Risico","text":"
Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden gecontroleerd bij het uitvoeren van wettelijke taken.
"},{"location":"vereisten/recht_op_toegang_tot_publieke_informatie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/","title":"Recht op uitleg AI-besluiten","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenMonitoring en beheerGovernanceFundamentele rechten
Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.
Getroffen personen moeten het recht hebben om uitleg te krijgen indien het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening).
"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#bronnen","title":"Bronnen","text":"Bron Artikel 86(1) Recht op toelichting bij individuele besluitvorming- AI verordening Artikel 26(11) AI Verordening Bijlage III AI Verordening"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#risico","title":"Risico","text":"
Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, veiligheid of diens grondrechten.
"},{"location":"vereisten/recht_op_uitleg_AI-besluiten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen ZoekenMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/","title":"Veilig melden van inbreuk op AI verordening","text":"
OntwerpOntwikkelenMonitoring en beheerGovernanceFundamentele rechten
Inbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.
Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten worden beschermd uit hoofde van het Unierecht. Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders (\"klokkenluiders\") beschermt tegen represailles of vervolging. Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en draagt bij aan een cultuur van naleving en integriteit.
"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#bronnen","title":"Bronnen","text":"Bron Artikel 87 Melding van inbreuken en bescherming van melders- AI verordening"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#risico","title":"Risico","text":"
Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding maken van inbreuk op de AI-verordening. Dit schaadt het rapportagesysteem en heeft negatief effect op het maatschappelijk welzijn.
"},{"location":"vereisten/recht_op_uitleg_ai_besluiten/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/registratieverplichtingen_hoog_risico/","title":"Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico","text":"
OntwikkelenVerificatie en validatieImplementatieGovernanceTransparantie
Aanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.
V\u00f3\u00f3r de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van bijlage III, met uitzondering van specifieke gevallen zoals beschreven in punt 2 van bijlage III, is het vereist dat de aanbieder of gemachtigde zichzelf en het systeem registreert in de EU-databank zoals genoemd in art. 71 AI-verordening.
"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(i) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening Artikel 49(1) Registratie - AI verordening"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/registratieverplichtingen_hoog_risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/registratieverplichtingen_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/","title":"Risicobeoordeling voor jongeren en kwetsbaren","text":"
ProbleemanalyseOntwerpOntwikkelenFundamentele rechtenBias en non discriminatie
Bij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen. Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.
"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#bronnen","title":"Bronnen","text":"Bron Artikel 9(9) Systeem voor risicobeheer - AI verordening"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#risico","title":"Risico","text":"
Niet adequaat adresseren van risico's voor jongeren en kwetsbare groepen kan leiden tot ernstige ethische en maatschappelijke schade.
"},{"location":"vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/","title":"Technische documentatie voor hoog-risico AI","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernanceTechnische robuustheid en veiligheid
De technische documentatie van een AI-systeem met een hoog risico wordt opgesteld voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld, en wordt geactualiseerd. De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het AI-systeem met een hoog risico in overeenstemming is met de eisen van Afdeling 2 van de AI-verordening en dat nationale bevoegde autoriteiten en aangemelde instanties over de noodzakelijke, op heldere en begrijpelijke wijze gestelde informatie beschikken om de overeenstemming van het AI-systeem met deze voorschriften te kunnen beoordelen.
De technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen.
De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV:
Een algemene beschrijving van het AI-syseem.
Een gedetailleerde beschrijving van de elementen van het AI-systeem en het proces voor de ontwikkeling ervan.
Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem.
Een beschrijving van de geschiktheid van de prestatiestatistieken.
Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening.
Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht.
Een lijst van normen die worden toegepast.
Een exemplaar van de EU-conformiteitsverklaring.
Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.
"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 11 Verordening Artifici\u00eble Intelligentie Bijlage IV Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#risico","title":"Risico","text":"
Het ontbreken van de benodigde informatie over de algoritmische toepassing of AI-systeem kan ertoe leiden dat de technische functionering onduidelijk is. Dat kan tot problemen leiden bij de verantwoording, controle en het beheer. Onvolledige of ontoereikende technische documentatie kan leiden tot onduidelijkheid over de conformiteit van het AI-systeem met de regelgeving, wat de veiligheid en naleving in gevaar kan brengen.
"},{"location":"vereisten/technische_documentatie_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke behoeftesteller inkoopadviseur aanbieder ontwerp monitoring-en-beheer publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke behoeftesteller inkoopadviseur aanbieder ontwerp monitoring-en-beheer publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke behoeftesteller inkoopadviseur aanbieder ontwerp monitoring-en-beheer publieke-inkoop"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/","title":"Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance
Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882
Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat hun systeem toegankelijk is volgens de EU-richtlijnen 2016/2102 en 2019/882. In het kader van Richtlijn 2016/2102 moet onder toegankelijkheid worden verstaan het geheel van principes en technieken die in acht moeten worden genomen bij het ontwerpen, bouwen, beheren en bijwerken van websites en mobiele applicaties om hen voor gebruikers toegankelijker te maken, met name voor personen met een beperking. Bijlage 1 bevat de toegankelijkheidsvoorschriften voor producten en diensten die moeten worden toegepast op hoog-risico AI-systemen.
Richtlijn 2019/882 strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten
"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#bronnen","title":"Bronnen","text":"Bron Artikel 16(l) Verplichtingen van aanbieders van AI-systemen met een hoog risico- AI verordening EU-richtlijn 2016/2102 Bijlage 1: Toegankelijkheidsvoorschriften voor producten en diensten. EU-richtlijn 2019/882"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/toegankelijkheidseisen_hoog_risico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/","title":"Toezichtmogelijkheden voor gebruikers","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerMenselijke controle
AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.
Het menselijk toezicht is gericht op het voorkomen of beperken van de risico\u2019s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico\u2019s blijven bestaan ondanks de toepassing van andere eisen van deze afdeling.
De toezichtmaatregelen staan in verhouding met de risico's, de mate van autonomie en de gebruikscontext van het AI-systeem met een hoog risico. Hierbij kan het gaan om: a) door de aanbieder bepaalde maatregelen die waar technisch haalbaar in het AI-systeem met een hoog risico worden ingebouwd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld; b) door de aanbieder bepaalde maatregelen voordat het AI-systeem met een hoog risico in de handel wordt gebracht of in gebruik wordt gesteld en die passend zijn om door de gebruiksverantwoordelijke te worden uitgevoerd.
De natuurlijke personen die verantwoordelijk zijn voor het menselijk toezicht, moeten in staat worden gesteld om waar passend en in verhouding tot de omstandigheden het volgende te kunnen doen: a) Goed kunnen begrijpen van de relevante capaciteiten en beperkingen van het AI-systeem met een hoog risico. Met het oog op het opsporen en aanpakken van onregelmatigheden, storingen en onverwachte prestaties moet de werking van het AI-systeem goed kunnen worden begrepen; b) Bewust blijven van de mogelijke neiging om automatisch of te veel te vertrouwen op de output van een AI-systeem met hoog risico (automation bias). Dit geldt in het bijzonder voor het gebruik van een hoog risico AI-systeem dat wordt gebruikt om informatie of aanbevelingen te versterkken voor beslisisngen die door natuurlijke personen moeten worden genomen; c) De output juist kunnen interpreteren, bijvoorbeeld met behulp van de juiste instrumenten en methoden voor interpretatie; d) In alle specifieke situaties kunnen besluiten om het hoog risico AI-systeem niet te gebruiken of de output op een andere wijze te negeren, door een andere beslissing te vervangen of terug te draaien; e) ingrijpen in de werking van het hoog risico AI-systeem of het systeem onderbreken door middel van een stopknop of een vergelijkbare procedure waarmee het systeem op een veilige wijze kan worden stopgezet.
In het geval van een hoog risico systeem als bedoeld in bijlage III, punt 1, a (systemen voor biometrische identificatie op afstand) geldt het vereiste dat twee natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie van het systeem verifici\u00ebren en bevestigen, tenzij het wordt gebruikt voor rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht of het nationale recht de toepassing van dit vereiste onevenredig acht.
"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#bronnen","title":"Bronnen","text":"Bron Artikel 14 Menselijk toezicht- AI verordening"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#risico","title":"Risico","text":"
Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste of onvoorspelbare uitkomsten.
"},{"location":"vereisten/toezichtmogelijkheden_voor_gebruikers/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/transparantie/","title":"Transparantie in ontwerp voor hoog-risico AI","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerTransparantie
AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat de werking ervan voldoende transparant is om gebruiksverantwoordelijken in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken. Een passende soort en mate van transparantie wordt gewaarborgd met het oog op de naleving van de relevante verplichtingen van de aanbieder en de gebruiksverantwoordelijke zoals uiteengezet in afdeling 3 van Artikel 13 van de AI verordening.
AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.
"},{"location":"vereisten/transparantie/#bronnen","title":"Bronnen","text":"Bron Artikel 13(1) Verordening Artifici\u00eble Intelligentie"},{"location":"vereisten/transparantie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"RekenregelMachine learningGeneratieve AI niet-impactvol impactvol niet-impactvol impactvol hoog-risico-ai niet-impactvol impactvol hoog-risico-ai"},{"location":"vereisten/transparantie/#risico","title":"Risico","text":"
Onvoldoende transparantie kan leiden tot een gebrek aan begrip over hoe het AI-systeem functioneert, wat de effectiviteit van de inzet ervan kan belemmeren en de naleving van wettelijke verplichtingen in gevaar kan brengen.
"},{"location":"vereisten/transparantie/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/","title":"Transparantie bij verwerking persoonsgegevens","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerPrivacy en gegevensbeschermingTransparantie
Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes en AI-systemen, zal deze informatie moeten worden verstrekt.
"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 AVG Artikel 12, 13 en 14 AVG Overweging 58 AVG"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#risico","title":"Risico","text":"
Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens.
"},{"location":"vereisten/transparantie_bij_verwerken_persoonsgegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie uitfaseren privacy-en-gegevensbescherming Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie privacy-en-gegevensbescherming ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie uitfaseren privacy-en-gegevensbescherming Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie privacy-en-gegevensbescherming ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptransparantieMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie uitfaseren privacy-en-gegevensbescherming Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie privacy-en-gegevensbescherming"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/","title":"Verantwoordingsplicht voor de rechtmatigheid van de verwerking","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming
De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes en AI-systemen kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
Rechtmatigheid, behoorlijkheid en transparantie
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.
Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.
"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#bronnen","title":"Bronnen","text":"Bron Artikel 5 AVG Verantwoordingsplicht]"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":"
Deze vereiste is van toepassing op alle algoritmen die persoonsgegevens verwerken.
Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:
Aantoonbaarheidsvereisten vragen in de praktijk veel documentatie. Deze documentatie kan via de Woo opgevraagd worden. Het ontbreken van documentatie kan door externen vaak relatief makkelijk in verband worden gebracht met een overtreding van deze vereisten.
Algoritmen die van nature slecht inzichtelijk en uitlegbaar zijn (zoals deep-learning) hebben een zeer hoge drempel om aan deze vereiste te voldoen. Aantonen van rechtmatigheid is voor een belangrijk deel afhankelijk van inzicht in de werking van het algoritme. De inzet van een algortime kan dus mogelijk tegengehouden worden door deze vereisten.
Bij leveranciers die niet of gedeeltelijke transparant zijn over hun product of dienstverlening ontstaat een vergelijkbaar risico. Waar de Woo uitzonderingen heeft voor bedrijfsgeheimen heeft de AVG daar maar beperkte ruimte voor. Het is dus mogelijk dat leveranciers terughoudend zullen zijn met het delen van informatie die onder de AVG ook aan betrokkenen gecommuniceerd moeten worden.
Samenwerkingsverbanden en externe leveranciers kunnen niet als argumenten worden gebruikt om de aantoonbaarheidsvereisten op af te schuiven. Onafhankelijk van de onderlinge afspraken daarover hebben alle verwerkingsverantwoordelijken de verplichting om aan deze vereisten te kunnen voldoen.
"},{"location":"vereisten/verantwoordingsplicht_rechtmatigheid/#maatregelen","title":"Maatregelen","text":"ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/","title":"Verboden toepassingen bij evaluatie of classificatie van personen of groepen personen","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernanceFundamentele rechten
Het in de handel brengen, het in gebruik stellen of het gebruiken van AI-systemen voor de evaluatie of classificatie van natuurlijke personen of groepen personen gedurende een bepaalde periode op basis van hun sociale gedrag of bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken, waarbij de sociale score een of beide van de volgende gevolgen heeft:
de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen in een sociale context die geen verband houdt met de context waarin de data oorspronkelijk werden gegenereerd of verzameld;
de nadelige of ongunstige behandeling van bepaalde natuurlijke personen of groepen personen die ongerechtvaardigd of onevenredig met hun sociale gedrag of de ernst hiervan is.
AI-systemen die door publieke of door private actoren worden gebruikt om een beoordeling van natuurlijke personen (\u201csocial scoring\u201d) uit te voeren, kunnen discriminerende resultaten en de uitsluiting van bepaalde groepen tot gevolg hebben. Deze systemen kunnen een schending inhouden van het recht op waardigheid en nondiscriminatie en van waarden als gelijkheid en rechtvaardigheid. Dergelijke AI-systemen beoordelen of classificeren natuurlijke personen of groepen natuurlijke personen op basis van meerdere datapunten met betrekking tot hun sociale gedrag in meerdere contexten of op basis van bekende, afgeleide of voorspelde persoonlijke of persoonlijkheidskenmerken gedurende een bepaalde periode. De sociale score die deze AI-systemen opleveren, kan leiden tot een nadelige of ongunstige behandeling van personen of hele groepen personen in sociale contexten die geen verband houden met de context waarin de data oorspronkelijk zijn gegenereerd of verzameld, of tot een nadelige behandeling die onevenredig of ongerechtvaardigd is in verhouding tot de ernst van het sociale gedrag. AI-systemen die onaanvaardbare scoringpraktijken met zich meebrengen en tot dergelijke nadelige of ongunstige resultaten leiden, moeten daarom worden verboden. Dat verbod mag geen afbreuk doen aan wettige praktijken voor de evaluatie van natuurlijke personen die worden verricht voor een specifieke doeleinde in overeenstemming met het Unierecht en het nationale recht.
"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#bronnen","title":"Bronnen","text":"Bron Artikel 5 lid 1 sub c AI Verordening"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#risico","title":"Risico","text":"
Het risico ontstaat dat personen of bepaalde groepen worden gediscrimineerd en uitgesloten, wat een schending kan inhouden van het recht op waardigheid, non-discriminatie en van waarden als gelijkheid en rechtvaardigheid.
"},{"location":"vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenarchitectbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenarchitectbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenarchitectbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/","title":"Verdere verwerking van persoonsgegevens in AI-testomgevingen","text":"
OntwikkelenDataverkenning en datapreparatiePrivacy en gegevensbeschermingData
Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.
De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens met passende technische en organisatorische maatregelen, persoonsgegevens die in de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.
"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#bronnen","title":"Bronnen","text":"Bron Artikel 57(1) Verdere verwerking van persoonsgegevens voor het ontwikkelen van bepaalde AI-systemen"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#risico","title":"Risico","text":"
Verdere verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk op de privacyrechten van betrokken.
"},{"location":"vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/","title":"Verplicht risicobeheersysteem voor hoog-risico AI","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance
Het systeem voor risicobeheer moet bestaan uit een tijdens de gehele levensduur van een AI-systeem met een hoog risico doorlopend en gepland iteratief proces. Dit proces moet gericht zijn op het vaststellen en beperken van de relevante risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Het systeem voor risicobeheer moet periodiek worden ge\u00ebvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.
Dit proces moet ervoor zorgen dat de aanbieder de risico\u2019s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico\u2019s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. Het systeem voor risicobeheer moet de passendste risicobeheersmaatregelen vaststellen. Bij het vaststellen van de passendste risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes documenteren en toelichten en, in voorkomend geval, deskundigen en externe belanghebbenden betrekken. Bij het vaststellen van het redelijkerwijs te voorzien misbruik van AI-systemen met een hoog risico moet de aanbieder aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.
"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#bronnen","title":"Bronnen","text":"Bron Artikel 9(1) Systeem voor risicobeheer - AI verordening"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#risico","title":"Risico","text":"
Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.
"},{"location":"vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenTransparantie
Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.
Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het algemene systeem. Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie van de modellen in producten als qua naleving van verplichtingen.
Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken in hun product. De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens bijlage XII van de AI-Verordening. Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790).
In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.
"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#bronnen","title":"Bronnen","text":"Bron Artikel 53 AI-Verordening"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#risico","title":"Risico","text":"
Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.
"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/","title":"Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance
Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperken.
De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico\u2019s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op het identificeren en beperken van die risico\u2019s en op waarborging van een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand model is of ingebed in een AI-systeem of in een product. Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand van de techniek, met specifieke aandacht voor het identificeren en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen in artikel 53 van de AI-verordening.
Systeemrisico betekent: een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid.
Systeemrisico\u2019s nemen logischerwijs toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele levenscyclus van het model en worden be\u00efnvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie ervan. Ook worden ze be\u00efnvloed door de toegang van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategie\u00ebn, en door het potentieel om waarborgen te omzeilen en andere factoren.
"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#bronnen","title":"Bronnen","text":"Bron Artikel 55 AI-Verordening Overweging 110 AI-Verordening"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#risico","title":"Risico","text":"
Niet voldoen aan deze verplichtingen kan leiden tot negatieve gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel.
"},{"location":"vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance ZoekenRollenbeleidsmedewerkerdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusorganisatieverantwoordelijkhedenOnderwerpengovernanceMaatregelenRollenLevenscyclusOnderwerpenPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/","title":"Verstrekking van informatie op verzoek","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance
Op een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.
Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een bevoegde autoriteit alle benodigde informatie verstrekken om de conformiteit met de voorschriften van de AI-verordening aan te tonen. Deze informatie moet worden verstrekt in een begrijpelijke offici\u00eble taal van de EU, zoals gekozen door de betrokken lidstaat.
"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#bronnen","title":"Bronnen","text":"Bron Artikel 21 Samenwerking met bevoegde autoriteiten- AI verordening"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#risico","title":"Risico","text":"
Weigering om informatie te verstrekken kan leiden tot juridische sancties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.
"},{"location":"vereisten/verstrekking_van_informatie_op_verzoek/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/","title":"Werknemersvertegenwoordigers en betrokken werknemers worden ge\u00efnformeerd door de gebruiksverantwoordelijken die werknemers zijn, voordat een hoog risico AI-systeem wordt ingezet","text":"
Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.
Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.
"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#bronnen","title":"Bronnen","text":"Bron Artikel 26(7) AI Verordening"},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/#risico","title":"Risico","text":"
Als werknemersvertegenwoordigers en werknemers niet worden ge\u00efnformeerd over de inzet van een hoog risico AI-systeem, kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van de inzet van het hoog risico AI-systeem.
Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen.
Bijzondere categorie\u00ebn persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is (art. 9 AVG en art. 30 UAVG). Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes of AI-systemen en stelt daarmee beperkingen aan het mogen verwerken van deze categorie\u00ebn persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output.
Het (onrechtmatige) verwerken van bijzondere categorie\u00ebn persoonsgegevens brengt risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer en discriminatie.
"},{"location":"vereisten/wettelijke_verwerking_van_gevoelige_gegevens/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/zorgvuldigheidsbeginsel/","title":"Relevante feiten en belangen zijn bekend","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenGovernance
Dit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming.
Het doel en eventuele subdoelen van het algoritme of AI-systeem moet helder zijn gedefinieerd, ook in relatie tot het maatschappelijke resultaat (outcome), en wordt gedeeld door de eigenaar, ontwikkelaar en gebruiker van het algoritme. Een bewuste afweging of het algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen is gemaakt en vastgelegd.
De werking van het algoritmes of AI sluit niet of onvoldoende aan bij de juridische en ethische grenzen van de te ondersteunen wettelijke taak. Hierdoor kunnen ongewenste gevolgen ontstaan zoals een onjuist of onzorgvuldig genomen besluit op een aanvraag.
"},{"location":"vereisten/zorgvuldigheidsbeginsel/#maatregelen","title":"Maatregelen","text":"AllenGovernancePublieke inkoop ZoekenRollenaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistdomeinspecialistethicusgebruikerinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtgeverprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingtransparantieMaatregelenRollenLevenscyclusOnderwerpenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. proceseigenaar behoeftesteller beleidsmedewerker inkoopadviseur aanbieder data-scientist data-engineer organisatieverantwoordelijkheden governance Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Formuleren doelstelling projectleider opdrachtgever domeinspecialist probleemanalyse governance Formuleren aanleiding en probleemdefinitie projectleider opdrachtgever domeinspecialist probleemanalyse governance Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Bepaal waarom we gebruik willen maken een algoritme projectleider opdrachtgever domeinspecialist probleemanalyse governance Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) proceseigenaar organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistdomeinspecialistethicusgebruikerinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtgeverprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingtransparantieMaatregelenRollenLevenscyclusOnderwerpenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. proceseigenaar behoeftesteller beleidsmedewerker inkoopadviseur aanbieder data-scientist data-engineer organisatieverantwoordelijkheden governance Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Formuleren doelstelling projectleider opdrachtgever domeinspecialist probleemanalyse governance Formuleren aanleiding en probleemdefinitie projectleider opdrachtgever domeinspecialist probleemanalyse governance Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Bepaal waarom we gebruik willen maken een algoritme projectleider opdrachtgever domeinspecialist probleemanalyse governance Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) proceseigenaar organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming ZoekenRollenaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistdomeinspecialistethicusgebruikerinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtgeverprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingtransparantieMaatregelenRollenLevenscyclusOnderwerpenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. proceseigenaar behoeftesteller beleidsmedewerker inkoopadviseur aanbieder data-scientist data-engineer organisatieverantwoordelijkheden governance Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Formuleren doelstelling projectleider opdrachtgever domeinspecialist probleemanalyse governance Formuleren aanleiding en probleemdefinitie projectleider opdrachtgever domeinspecialist probleemanalyse governance Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Bepaal waarom we gebruik willen maken een algoritme projectleider opdrachtgever domeinspecialist probleemanalyse governance Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) proceseigenaar organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"}]}
\ No newline at end of file
+{"config":{"lang":["nl"],"separator":"[\\s\\-]+","pipeline":["stopWordFilter"]},"docs":[{"location":"","title":"Algoritmekader","text":"Wetten en regels, tips en hulpmiddelen voor verantwoord gebruik van algoritmes en AI. B\u00e8taversie
Deze website is in ontwikkeling. Alle versies ontstaan op een open manier. Iedereen mag opmerkingen of suggesties geven.
Over het Algoritmekader Voldoen aan de wetten en regels
Vereisten
Aanbevolen maatregelen
Aanbevolen instrumenten
Informatie per rol
Beleidsmedewerker
Data scientist
Ethici
Jurist
Projectleider
Onderwerpen
Bias en non-discriminatie
Governance
Transparantie
Privacy en gegevensbescherming
Publieke inkoop
Woordenlijst
Vind snel de betekenis van begrippen als algoritme, AI-systeem, hoog-risico-AI-systeem en impactvolle algoritmes.
Help ons deze pagina te verbeteren
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
Governance is een breed begrip, en er bestaan verschillende opvattingen van. In essentie gaat het over het inrichten van de organisatie, processen en bijbehorende verantwoordelijkheden. Een belangrijk aspect van governance is bepalen wie waarvoor verantwoordelijk is. Dit kan op verschillende niveaus: van (inter)nationaal niveau, naar organisatieniveau naar het niveau van het AI-systeem. In het Algoritmekader wordt gefocust op het niveau van organisatie en AI-systeem.
Het Algoritmekader laat zien aan welke vereisten moet worden gedaan, hoe daar invulling aan kan worden gegeven (maatregelen) en welke rollen daar logischerwijs bij betrokken zijn. Governance raakt in zekere zin al deze elementen doordat het deze, op verschillende niveaus, met elkaar verbindt.
In dit deel van het Algoritmekader worden de volgende zaken uitgewerkt;
een verzameling praktijkvoorbeelden die tonen hoe organisaties hun governance kunnen inrichten om verantwoord met algoritmes en AI-systemen om te gaan. Daarbij worden goede praktijkvoorbeelden samengevat op hoofdlijnen;
een handreiking hoe om te gaan met een governancestructuur die rekening houdt met verschillende niveaus van complexiteit van een organisatie.
uitwerken van governance-maatregelen en koppeling aan rollen die hier logischerwijs bij passen, waarmee invulling kan worden gegeven aan een vereiste.
De eerste twee punten zijn breed en geven algemene handvatten voor governance, het laatste punt gaat specifiek in op de vereisten/maatregelen.
Let wel: Het Algoritmekader schrijft niet voor hoe een organisatie ingericht moet worden qua eindverantwoordelijken/governance. We proberen met behulp van voorbeelden praktische handvatten te bieden over hoe organisaties dit kunnen inrichten.
"},{"location":"governance/#vereisten","title":"Vereisten","text":"idVereistenaia-01Bevorder AI-geletterdheid van personeel en gebruikersaia-02Documentatie beoordeling niet-hoog-risico AIaia-03Verplicht risicobeheersysteem voor hoog-risico AIaia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06Technische documentatie voor hoog-risico AIaia-07Automatische logregistratie voor hoog-risico AIaia-11Kwaliteitsbeheersysteem voor hoog-risico AIaia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13Bewaartermijn voor gegenereerde logsaia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18Corrigerende maatregelen voor non-conforme AIaia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20Verstrekking van informatie op verzoekaia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-22Maatregelen van gebruiksverantwoordelijken voor gebruikaia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningaia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemaia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdaia-26Informeren werknemersaia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemaia-28Recht op uitleg AI-besluitenaia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-36Monitoring na het in handel brengenaia-37Melden van ernstige incidentenaia-38Veilig melden van inbreuk op AI verordeningaia-39Klachtrecht aanbieders verder in AI-waardeketenarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01Auteursrechten mogen niet worden geschondenavg-04Proportionaliteit en subsidiariteitavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingawb-1Relevante feiten en belangen zijn bekendawb-02Een besluit berust op een deugdelijke motivering"},{"location":"governance/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Configuratie met de mensFormuleren doelstellingFormuleren aanleiding en probleemdefinitieRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentBepaal waarom we gebruik willen maken een algoritmePas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Richt een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen."},{"location":"governance/governance-structuur/","title":"Governance structuur","text":"
Hier komt een tekst.
"},{"location":"governance/interactie-burgers-en-omgeving/","title":"Interactie met burgers en omgeving","text":"
Overzicht van aanbevolen instrumenten voor het verantwoord ontwikkelen, gebruiken, beoordelen en monitoren van algoritmes en AI-systemen.
"},{"location":"instrumenten/#richtlijnen-en-andere-hulpmiddelen","title":"Richtlijnen en andere hulpmiddelen","text":"
Met instrumenten bedoelen we hulpmiddelen voor verantwoord en effectief gebruik van algoritmes en AI-systemen, zoals:
richtlijnen
standaarden
leidraden
handboeken
Deze instrumenten helpen je bij het op een rij zetten, beoordelen en verbeteren van de kenmerken, prestaties, effecten en risico\u2019s van algoritmes en AI.
"},{"location":"instrumenten/#hoe-we-instrumenten-selecteren","title":"Hoe we instrumenten selecteren","text":"
Instrumenten die we aanbevelen, zijn:
relatief bekend onder ambtenaren
in gebruik door overheid, wetenschap of industrie
positief beoordeeld door gebruikers
geschikt voor algoritmes of AI-systemen van overheden
Staat een instrument niet in onze selectie, dan kan het nog steeds een goed instrument zijn voor jouw organisatie. Er zijn dus meer instrumenten mogelijk. We maken een selectie om 2 redenen:
Een selectie is duidelijker. Als we alle instrumenten aanbieden, is het voor gebruikers moeilijker te bepalen welk instrument of welke combinatie het meest geschikt is. Daarvoor lijken de instrumenten te veel op elkaar.
Een selectie kunnen we controleren op kwaliteit. We kunnen niet alle instrumenten controleren.
"},{"location":"instrumenten/#sommige-instrumenten-zijn-verplicht","title":"Sommige instrumenten zijn verplicht","text":"
Als een instrument verplicht is, staat dit er duidelijk bij. Een verplicht hulpmiddel is bijvoorbeeld de Data protection impact assessment (DPIA).
De meeste instrumenten zijn niet verplicht. Bepaal zelf of je er gebruik van maakt.
"},{"location":"instrumenten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:
Wat er in de Algemene verordening gegevensbescherming (AVG) staat over wanneer je een DPIA moet uitvoeren.
De lijst van de Autoriteit Persoonsgegevens (AP) met soorten verwerkingen waarvoor je een DPIA moet uitvoeren.
De 9 criteria voor een DPIA van de Europese privacytoezichthouders.
De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:
Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt en dit gebeurt op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop besluiten baseert die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
Op grote schaal bijzondere persoonsgegevens verwerkt.
Strafrechtelijke gegevens verwerkt.
Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.
Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden ge\u00ebvalueerd.
Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.
De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.
"},{"location":"instrumenten/DPIA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieidVereistenRollenLevenscyclusOnderwerpenaia-01Bevorder AI-geletterdheid van personeel en gebruikers organisatieverantwoordelijkheden menselijke-controle governance aia-02Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance aia-03Verplicht risicobeheersysteem voor hoog-risico AI governance aia-04Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie aia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data aia-06Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-07Automatische logregistratie voor hoog-risico AI ontwikkelen monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-08Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen implementatie monitoring-en-beheer transparantie aia-09Toezichtmogelijkheden voor gebruikers ontwerp implementatie monitoring-en-beheer menselijke-controle aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid aia-11Kwaliteitsbeheersysteem voor hoog-risico AI ontwerp governance aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-13Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance aia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance aia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance aia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie aia-18Corrigerende maatregelen voor non-conforme AI organisatieverantwoordelijkheden governance aia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-20Verstrekking van informatie op verzoek organisatieverantwoordelijkheden governance aia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen implementatie monitoring-en-beheer governance aia-22Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance aia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle aia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle aia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid aia-26Informeren werknemers implementatie ontwerp governance aia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance aia-28Recht op uitleg AI-besluiten implementatie ontwerp monitoring-en-beheer governance fundamentele-rechten aia-29Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten aia-30Transparantieverplichtingen implementatie ontwikkelen monitoring-en-beheer transparantie aia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp verificatie-en-validatie implementatie monitoring-en-beheer transparantie aia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance aia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-35Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data aia-36Monitoring na het in handel brengen monitoring-en-beheer technische-robuustheid-en-veiligheid governance aia-37Melden van ernstige incidenten organisatieverantwoordelijkheden monitoring-en-beheer governance aia-38Veilig melden van inbreuk op AI verordening organisatieverantwoordelijkheden monitoring-en-beheer governance fundamentele-rechten aia-39Klachtrecht aanbieders verder in AI-waardeketen organisatieverantwoordelijkheden governance fundamentele-rechten arc-01De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren monitoring-en-beheer ontwikkelen technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming aut-01Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance avg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming avg-02Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-03Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-04Proportionaliteit en subsidiariteit organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming avg-05Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming avg-07Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie avg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten avg-09Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-10Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming avg-11Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data avg-12Beveiliging van de verwerking organisatieverantwoordelijkheden privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming awb-1Relevante feiten en belangen zijn bekend organisatieverantwoordelijkheden governance awb-02Een besluit berust op een deugdelijke motivering organisatieverantwoordelijkheden governance bio-01Beveiliging informatie en informatiesystemen technische-robuustheid-en-veiligheid bzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister implementatie monitoring-en-beheer transparantie dat-01Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data grw-01Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie grw-02AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie woo-01Eenieder heeft recht op toegang tot publieke informatie transparantie"},{"location":"instrumenten/IAMA/","title":"Impact Assessment Mensenrechten en Algoritmes","text":"
ProbleemanalyseOntwerpVerificatie en validatieImplementatieProjectleiderAanbiederData engineerData scientistEthicusGemandateerd verantwoordelijkeJuristPrivacy officerProceseigenaarSecurity officerFundamentele rechtenTransparantie
Het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) is een instrument voor overheidsorganen om een interdisciplinaire dialoog en besluitvorming te faciliteren bij de ontwikkeling en inzet van algoritmische systemen. Het IAMA stelt een reeks vragen die moeten worden besproken en beantwoord om een zorgvuldige afweging van de inzet van algoritmen te waarborgen. Dit proces is onderverdeeld in drie fasen: voorbereiding, input en throughput, en output en toezicht, waarbij steeds aandacht wordt besteed aan het vierde onderdeel van het IAMA: de impact op mensenrechten. Het IAMA fungeert als naslagwerk voor de besluitvorming en is gekoppeld aan andere relevante richtlijnen en instrumenten, zoals de gegevensbeschermingseffectbeoordeling (ook wel DPIA). Hierdoor biedt het een overkoepelend kader dat helpt om algoritmen verantwoord te implementeren en mogelijke risico\u2019s, zoals inbreuken op grondrechten, te identificeren en te mitigeren.
Het IAMA kan op dit moment op veel politieke en internationale belangstelling rekenen. In zowel de Eerste als Tweede Kamer zijn hierover moties ingediend en vragen gesteld. Daarbij is het IAMA een van de weinige instrumenten in de EU die een interdisciplinaire discussie rondom (de ontwikkeling, inzet en monitoring van) algoritmes, AI en grondrechten initieert en bevordert.
Het IAMA is ontwikkeld door de Utrecht Data School. De auteurs van het IAMA zijn prof. mr. Janneke Gerards, dr. Mirko Tobias Sch\u00e4fer, Arthur Vankan en Iris Muis, allen werkzaam aan de Universiteit Utrecht. Opdrachtgever voor de ontwikkeling is het Ministerie van Binnenlandse Zaken.
"},{"location":"instrumenten/IAMA/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieidVereistenRollenLevenscyclusOnderwerpenaia-01Bevorder AI-geletterdheid van personeel en gebruikers organisatieverantwoordelijkheden menselijke-controle governance aia-02Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance aia-03Verplicht risicobeheersysteem voor hoog-risico AI governance aia-04Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie aia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data aia-06Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-07Automatische logregistratie voor hoog-risico AI ontwikkelen monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-08Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen implementatie monitoring-en-beheer transparantie aia-09Toezichtmogelijkheden voor gebruikers ontwerp implementatie monitoring-en-beheer menselijke-controle aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid aia-11Kwaliteitsbeheersysteem voor hoog-risico AI ontwerp governance aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-13Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance aia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance aia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance aia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie aia-18Corrigerende maatregelen voor non-conforme AI organisatieverantwoordelijkheden governance aia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-20Verstrekking van informatie op verzoek organisatieverantwoordelijkheden governance aia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen implementatie monitoring-en-beheer governance aia-22Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance aia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle aia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle aia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid aia-26Informeren werknemers implementatie ontwerp governance aia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance aia-28Recht op uitleg AI-besluiten implementatie ontwerp monitoring-en-beheer governance fundamentele-rechten aia-29Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten aia-30Transparantieverplichtingen implementatie ontwikkelen monitoring-en-beheer transparantie aia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp verificatie-en-validatie implementatie monitoring-en-beheer transparantie aia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance aia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-35Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data aia-36Monitoring na het in handel brengen monitoring-en-beheer technische-robuustheid-en-veiligheid governance aia-37Melden van ernstige incidenten organisatieverantwoordelijkheden monitoring-en-beheer governance aia-38Veilig melden van inbreuk op AI verordening organisatieverantwoordelijkheden monitoring-en-beheer governance fundamentele-rechten aia-39Klachtrecht aanbieders verder in AI-waardeketen organisatieverantwoordelijkheden governance fundamentele-rechten arc-01De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren monitoring-en-beheer ontwikkelen technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming aut-01Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance avg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming avg-02Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-03Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-04Proportionaliteit en subsidiariteit organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming avg-05Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming avg-07Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie avg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten avg-09Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-10Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming avg-11Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data avg-12Beveiliging van de verwerking organisatieverantwoordelijkheden privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming awb-1Relevante feiten en belangen zijn bekend organisatieverantwoordelijkheden governance awb-02Een besluit berust op een deugdelijke motivering organisatieverantwoordelijkheden governance bio-01Beveiliging informatie en informatiesystemen technische-robuustheid-en-veiligheid bzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister implementatie monitoring-en-beheer transparantie dat-01Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data grw-01Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie grw-02AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie woo-01Eenieder heeft recht op toegang tot publieke informatie transparantie"},{"location":"instrumenten/IAMA/#bronnen","title":"Bronnen","text":"Bron Impact Assessment Mensenrechten en Algoritmes"},{"location":"instrumenten/IAMA/#voorbeeld","title":"Voorbeeld","text":"
De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving. En er moet uitleg zijn over hoe algoritmes werken. Het Algoritmeregister helpt hierbij. Wanneer overheidsorganisaties open zijn over algoritmes en hun toepassing, kunnen burgers, organisaties en media de overheid kritisch volgen.
Je kunt hier meer lezen over de doelen van het Algoritmeregister.
In de Handreiking Algoritmeregister staan bruikbare handvatten voor overheidsorganisaties om met publicatie van hun algoritmes aan de slag te gaan. Hierin wordt bijvoorbeeld duidelijkheid gegeven over welke doelen we ermee bereiken, welke algoritmes erin thuishoren en welke organisaties erin kunnen publiceren.
"},{"location":"instrumenten/algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieidVereistenRollenLevenscyclusOnderwerpenaia-01Bevorder AI-geletterdheid van personeel en gebruikers organisatieverantwoordelijkheden menselijke-controle governance aia-02Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance aia-03Verplicht risicobeheersysteem voor hoog-risico AI governance aia-04Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie aia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data aia-06Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-07Automatische logregistratie voor hoog-risico AI ontwikkelen monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-08Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen implementatie monitoring-en-beheer transparantie aia-09Toezichtmogelijkheden voor gebruikers ontwerp implementatie monitoring-en-beheer menselijke-controle aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid aia-11Kwaliteitsbeheersysteem voor hoog-risico AI ontwerp governance aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-13Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance aia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance aia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance aia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie aia-18Corrigerende maatregelen voor non-conforme AI organisatieverantwoordelijkheden governance aia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-20Verstrekking van informatie op verzoek organisatieverantwoordelijkheden governance aia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen implementatie monitoring-en-beheer governance aia-22Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance aia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle aia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle aia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid aia-26Informeren werknemers implementatie ontwerp governance aia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance aia-28Recht op uitleg AI-besluiten implementatie ontwerp monitoring-en-beheer governance fundamentele-rechten aia-29Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten aia-30Transparantieverplichtingen implementatie ontwikkelen monitoring-en-beheer transparantie aia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp verificatie-en-validatie implementatie monitoring-en-beheer transparantie aia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance aia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-35Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data aia-36Monitoring na het in handel brengen monitoring-en-beheer technische-robuustheid-en-veiligheid governance aia-37Melden van ernstige incidenten organisatieverantwoordelijkheden monitoring-en-beheer governance aia-38Veilig melden van inbreuk op AI verordening organisatieverantwoordelijkheden monitoring-en-beheer governance fundamentele-rechten aia-39Klachtrecht aanbieders verder in AI-waardeketen organisatieverantwoordelijkheden governance fundamentele-rechten arc-01De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren monitoring-en-beheer ontwikkelen technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming aut-01Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance avg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming avg-02Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-03Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-04Proportionaliteit en subsidiariteit organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming avg-05Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming avg-07Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie avg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten avg-09Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-10Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming avg-11Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data avg-12Beveiliging van de verwerking organisatieverantwoordelijkheden privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming awb-1Relevante feiten en belangen zijn bekend organisatieverantwoordelijkheden governance awb-02Een besluit berust op een deugdelijke motivering organisatieverantwoordelijkheden governance bio-01Beveiliging informatie en informatiesystemen technische-robuustheid-en-veiligheid bzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister implementatie monitoring-en-beheer transparantie dat-01Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data grw-01Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie grw-02AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie woo-01Eenieder heeft recht op toegang tot publieke informatie transparantie"},{"location":"instrumenten/algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmeregister"},{"location":"instrumenten/algoritmeregister/#voorbeeld","title":"Voorbeeld","text":"
ProbleemanalyseOntwerpDataverkenning en datapreparatieVerificatie en validatieAanbestedingsjuristBehoeftestellerContractbeheerderInkoopadviseurProjectleiderPublieke inkoop
Modelbepalingen kunnen helpen om een contract op te stellen dat een organisatie in staat stelt veilige en verantwoorde algoritmen of AI-systemen in te kopen. Deze bepalingen (of voorwaarden) kunnen opgenomen worden wanneer er een contract wordt afgesloten met een leverancier van een algoritme of algoritmisch systeem. Er kunnen dan bijvoorbeeld beperkingen gelden om onaanvaardbare risico's van AI te vermijden, of bepaalde voorwaarden gesteld worden waaraan een algoritme juist moet voldoen. Ook kunnen bepaalde voorwaarden worden opgenomen op basis van de vereisten in het Algoritmekader.
De Europese contractvoorwaarden voor AI bieden aanbestedende organisaties de mogelijkheid om specifieke clausules op te nemen in de overeenkomst. Op deze manier worden afspraken gemaakt over onderwerpen die in lijn zijn met de aankomende AI-Act. Er zijn 2 versies van de AI-inkoopvoorwaarden opgesteld: een set voorwaarden voor AI-toepassingen met een hoog-risicoprofiel en een set voorwaarden voor AI-toepassingen met een laag-risicoprofiel.
De Europese contractvoorwaarden voor AI zijn gebaseerd op onder andere de modelbepalingen die de Gemeente Amsterdam al eerder opstelde. Deze dienen als voorbeeld voor andere gemeenten die algoritmische toepassingen willen inkopen.
"},{"location":"instrumenten/modelcontractbepalingen/#ai-module-bij-arbit-2022","title":"AI-module bij ARBIT-2022","text":"
De AI-module bij de ARBIT is gebaseerd op het gepubliceerd model van de Europese Commissie dat hierboven beschreven wordt. Via een verwijzing in de gebruikte modelovereenkomst kan de AI-module onderdeel gaan uitmaken van een onder de ARBIT te sluiten overeenkomst.
De ARBIT zijn de Algemene Rijksinkoopvoorwaarden bij IT\u2011overeenkomsten (ARBIT) en zijn bedoeld voor kleine en middelgrote IT-inkopen door de overheid. Lees meer hierover op de website van PIANOo.
Steeds meer organisaties kopen algoritmische toepassingen in die veel impact hebben op gebruikers of beslissingen. Het is daarom van belang dat aanbestedende overheidsorganisaties afspraken maken met leveranciers, zodat de werking van de algoritmische toepassing transparant is en op een veilige en verantwoorde manier gebruikt wordt. Verschillende organisaties hebben daarom (voorbeeld-)contractvoorwaarden voor het inkopen van AI-systemen beschikbaar gesteld. Denk aan de Europese Commissie en de Gemeente Amsterdam.
"},{"location":"instrumenten/modelcontractbepalingen/#bijbehorende-vereisten","title":"Bijbehorende vereisten","text":"ZoekenRollenprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieidVereistenRollenLevenscyclusOnderwerpenaia-01Bevorder AI-geletterdheid van personeel en gebruikers organisatieverantwoordelijkheden menselijke-controle governance aia-02Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance aia-03Verplicht risicobeheersysteem voor hoog-risico AI governance aia-04Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie aia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data aia-06Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-07Automatische logregistratie voor hoog-risico AI ontwikkelen monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-08Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen implementatie monitoring-en-beheer transparantie aia-09Toezichtmogelijkheden voor gebruikers ontwerp implementatie monitoring-en-beheer menselijke-controle aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid aia-11Kwaliteitsbeheersysteem voor hoog-risico AI ontwerp governance aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-13Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance aia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance aia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance aia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie aia-18Corrigerende maatregelen voor non-conforme AI organisatieverantwoordelijkheden governance aia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-20Verstrekking van informatie op verzoek organisatieverantwoordelijkheden governance aia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen implementatie monitoring-en-beheer governance aia-22Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance aia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle aia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle aia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid aia-26Informeren werknemers implementatie ontwerp governance aia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance aia-28Recht op uitleg AI-besluiten implementatie ontwerp monitoring-en-beheer governance fundamentele-rechten aia-29Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten aia-30Transparantieverplichtingen implementatie ontwikkelen monitoring-en-beheer transparantie aia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp verificatie-en-validatie implementatie monitoring-en-beheer transparantie aia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance aia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-35Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data aia-36Monitoring na het in handel brengen monitoring-en-beheer technische-robuustheid-en-veiligheid governance aia-37Melden van ernstige incidenten organisatieverantwoordelijkheden monitoring-en-beheer governance aia-38Veilig melden van inbreuk op AI verordening organisatieverantwoordelijkheden monitoring-en-beheer governance fundamentele-rechten aia-39Klachtrecht aanbieders verder in AI-waardeketen organisatieverantwoordelijkheden governance fundamentele-rechten arc-01De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren monitoring-en-beheer ontwikkelen technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming aut-01Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance avg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming avg-02Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-03Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-04Proportionaliteit en subsidiariteit organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming avg-05Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming avg-07Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie avg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten avg-09Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-10Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming avg-11Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data avg-12Beveiliging van de verwerking organisatieverantwoordelijkheden privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming awb-1Relevante feiten en belangen zijn bekend organisatieverantwoordelijkheden governance awb-02Een besluit berust op een deugdelijke motivering organisatieverantwoordelijkheden governance bio-01Beveiliging informatie en informatiesystemen technische-robuustheid-en-veiligheid bzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister implementatie monitoring-en-beheer transparantie dat-01Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data grw-01Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie grw-02AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie woo-01Eenieder heeft recht op toegang tot publieke informatie transparantie"},{"location":"instrumenten/modelcontractbepalingen/#bronnen","title":"Bronnen","text":"Bron Modelbepalingen voor gemeenten voor verantwoord gebruik van Algoritmische toepassingen Contractvoorwaarden voor het inkopen van artifici\u00eble intelligentie (AI) AI-module bij de modelovereenkomst ARBIT-2022"},{"location":"instrumenten/modelcontractbepalingen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld van het gebruik van modelbepalingen of contractvoorwaarden op het gebied van algoritmen? Laat het ons weten!
"},{"location":"levenscyclus/","title":"Levenscyclus algoritmes en AI","text":"
Om algoritmes op een verantwoorde manier te gebruiken, zul je op de juiste momenten aandacht moeten hebben voor de juiste onderwerpen en risico's. Van het ontwikkelen van een oplossing, tot het in gebruik nemen van die oplossing en er uiteindelijk weer mee stoppen. Door al in een vroeg stadium aandacht besteden aan bijvoorbeeld een eventuele inbreuk op mensenrechten kan je hier gedurende het hele proces al rekening mee houden.
De levenscyclus helpt je om te bepalen wat je wanneer moet doen.
In de praktijk herhaal je soms fases of ga je terug naar een eerdere fase. Mislukt bijvoorbeeld het valideren (fase 5), dan moet je terug naar de ontwerpfase (fase 2) omdat het product nog niet voldoet aan de wensen of vereisten.
"},{"location":"levenscyclus/#fases-van-de-levenscyclus","title":"Fases van de levenscyclus","text":"
Organisatieverantwoordelijkheden
Probleemanalyse
Ontwerpen
Dataverkenning en datapreparatie
Ontwikkelen
Verficatie en validatie
Implementeren
Monitoring en beheer
Uitfaseren
"},{"location":"levenscyclus/#systeemniveau-en-organisatieniveau","title":"Systeemniveau en organisatieniveau","text":"
De levenscyclus kent twee verschillende niveau's:
organisatieniveau: Sommige vereisten zijn algemeen en vragen om een organisatiebrede aanpak. Dit gaat bijvoorbeeld om passende processen en risicomanagment in je organisatie. Of het cre\u00eberen van bewustzijn en kennis binnen je organisatie. In het ideale geval besteed je hier al aandacht aan voordat je begint met de ontwikkeling of het gebruik van algoritmes. Bij deze fase horen maatregelen die je niet voor ieder systeem opnieuw zal hoeven te bekijken.
systeemniveau: Sommige vereisten voor verantwoorde inzet van algoritmes zul je bij ieder algoritme weer opnieuw aandacht moeten geven. Dat geldt bijvoorbeeld voor het beschermen van grondrechten.
De 9 fasen van de levenscyclus zijn gebaseerd op 10 belangrijke levenscyclusmodellen voor het ontwikkelen van AI, zoals:
CRISP-DM (cross-industry standard process for data mining)
ASUM-DM (analytics solutions unified method)
SEMMA (Sample, Explore, Modify, Model, and Assess)
Microsoft TDSP (Team Data Science Process)
MDLM (mobile device lifecycle management)
NIST (National Institute of Standards and Technology)
ISO/IEC 22989
Deze 9 fasen passen zo goed mogelijk bij de manier van werken van overheden. Het is geen verplicht model. Mogelijk past een ander levenscyclusmodel beter bij jouw organisatie.
"},{"location":"levenscyclus/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/","title":"Dataverkenning en datapreparatie","text":"
In deze fase worden relevante datasets ge\u00efdentificeerd en wanneer nodig wordt nieuwe data verzameld. In deze fase zal ook de ontwikkelomgeving (verder) worden ingericht indien nodig. Het is van belang dat voorafgaand aan verzameling is vastgesteld dat de benodigde data mag worden verwerkt en dat de juiste maatregelen worden getroffen, zodra de data kan worden verwerkt. Denk hierbij aan het anonimiseren, pseudonimiseren of aggregeren van persoonsgegevens. De data zullen vervolgens worden opgeschoond, geanalyseerd en voorbereid voor verdere verwerking.
Het is van belang dat dataverzameling op de juiste manier gebeurt, en dat datasets die gebruikt gaan worden van goede kwaliteit zijn. In deze fase is het van belang om de datakwaliteit en eventuele bias in de dataset te onderzoeken. Indien er risico's optreden door bijvoorbeeld missende data of niet representatieve data, is het belangrijk om te kijken wat voor effecten dit heeft op het oorspronkelijke ontwerp van het algoritme of AI-systeem. Dit kan betekenen dat nieuwe keuzes moeten worden gemaakt in het ontwerp en eventueel eerste deze fase van ontwerp (deels) opnieuw moet worden doorlopen.
Met voorgaande handelingen wordt het fundament gelegd om het algoritme of AI-systeem te kunnen ontwikkelen. In de praktijk zal bijvoorbeeld het analyseren van de data niet stoppen na deze fase, maar terugkerend zijn in alle fasen die volgen. Als de verzamelde data van voldoende kwaliteit is en de vereiste maatregelen zijn getroffen, dan kan worden gestart met het ontwikkelen van het algoritme of AI-systeem.
"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#vereisten","title":"Vereisten","text":"idVereistenaia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06Technische documentatie voor hoog-risico AIaia-29Beoordeling van grondrechtenaia-35Verdere verwerking van persoonsgegevens in AI-testomgevingenaut-01Auteursrechten mogen niet worden geschondenavg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02Beperkte bewaartermijn van persoonsgegevensavg-03Persoonsgegevens verzamelen voor specifieke doeleindenavg-05Juistheid en actualiteit van gegevensavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07Transparantie bij verwerking persoonsgegevensavg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09Privacyrechtenavg-11Privacy door ontwerpavg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personendat-01Verbod op schenden databankenrechtengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"levenscyclus/dataverkenning-en-datapreparatie/#maatregelen","title":"Maatregelen","text":"idMaatregelenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenControleren eigen data op schending auteursrechtenData is van voldoende kwaliteitHet doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Pas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
In deze fase wordt het algoritme of AI-systeem in de praktijk gebracht en duurzaam ge\u00efntegreerd in het bedrijfsproces. In de praktijk worden veelal eerst een pilot uitgevoerd voor een afgebakende periode of over een beperkt aan zaken. In deze situatie, een pilot, wordt tijdelijk productiedata verwerkt. Dit vraagt om een goede samenwerking tussen het ontwikkelteam en de gebruikers van het algoritme of AI-systeem. Niet alleen de prestaties van het algoritme of AI-systeem worden nogmaals gevalideerd, maar bijvoorbeeld ook of de output zodanig wordt gepresenteerd dat gebruikers hiermee kunnen werken. Na deze pilot wordt onderzocht in hoeverre het algoritme of AI-systeem presteert conform wens en verwachting. Er kan worden gekozen om het algoritme eerst nog door te ontwikkelen op basis van de bevindingen, uit te faseren of om de oplossing structureel onderdeel te maken van de bedrijfsvoering door het te implementeren.
Als een besluit wordt genomen om de oplossing te implementeren, dan is het van belang dat gebruikers goed begrijpen hoe de resultaten van het algoritme of AI-systeem moeten worden ge\u00efnterpreteerd, dat de rest-risico's bekend zijn, de verantwoordelijkheden belegd zijn en dat er duidelijke werkinstructies zijn over het gebruik van het algoritme of AI-systeem. Service- en incidentmanagement moet volledig worden geoperationaliseerd, zodat gebruikers kunnen worden geholpen bij vragen of incidenten. Een kenmerkend element van deze fase is dat vanaf nu betrokkenen onderhevig zijn aan de werking van het algoritme of AI-systeem. Beslissingen en besluiten komen nu bijvoorbeeld mede of geheel door de werking van het algoritme of AI-systeem tot stand. Waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen wordt dit duidelijk gecommuniceerd naar betrokken, voordat de oplossing volledig is ge\u00efmplementeerd.
"},{"location":"levenscyclus/implementatie/#vereisten","title":"Vereisten","text":"idVereistenaia-06Technische documentatie voor hoog-risico AIaia-08Transparantie in ontwerp voor hoog-risico AIaia-09Toezichtmogelijkheden voor gebruikersaia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-22Maatregelen van gebruiksverantwoordelijken voor gebruikaia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningaia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdaia-26Informeren werknemersaia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemaia-28Recht op uitleg AI-besluitenaia-30Transparantieverplichtingenaia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingavg-07Transparantie bij verwerking persoonsgegevensavg-11Privacy door ontwerpbzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregistergrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"levenscyclus/implementatie/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingAselecte steekproevenMaak back-ups van algoritmesBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Configuratie met de mensHet doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Neem technische documentatie op in het algoritmeregisterPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"levenscyclus/monitoring-en-beheer/","title":"Monitoring en beheer","text":"
Het algoritme of AI-systeem wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme of AI-systeem wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme of AI-systeem.
Het is van belang dat beheer wordt uitgevoerd over het algoritme of AI-systeem, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme of AI-systeem niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.
"},{"location":"levenscyclus/monitoring-en-beheer/#vereisten","title":"Vereisten","text":"idVereistenaia-06Technische documentatie voor hoog-risico AIaia-07Automatische logregistratie voor hoog-risico AIaia-08Transparantie in ontwerp voor hoog-risico AIaia-09Toezichtmogelijkheden voor gebruikersaia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13Bewaartermijn voor gegenereerde logsaia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningaia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemaia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemaia-28Recht op uitleg AI-besluitenaia-29Beoordeling van grondrechtenaia-30Transparantieverplichtingenaia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-36Monitoring na het in handel brengenaia-37Melden van ernstige incidentenaia-38Veilig melden van inbreuk op AI verordeningarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07Transparantie bij verwerking persoonsgegevensavg-10Recht op niet geautomatiseerde besluitvormingbzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregistergrw-01Beschermen van fundamentele rechten en vrijhedengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"levenscyclus/monitoring-en-beheer/#maatregelen","title":"Maatregelen","text":"idMaatregelenAselecte steekproevenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bepaal of de output bepalende invloed heeft in een besluit richting personenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Contractuele afspraken over data en artefactenRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem technische documentatie op in het algoritmeregisterPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht. Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.
Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme of AI-systeem. Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.
Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.
Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme of AI-systeem. Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk ge\u00ebvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme of AI-systeem voldoet aan bijvoorbeeld het vereiste van non-discriminatie.
Nadat een besluit is genomen over het definitieve ontwerp van het algoritme of AI-systeem, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.
"},{"location":"levenscyclus/ontwerp/#vereisten","title":"Vereisten","text":"idVereistenaia-02Documentatie beoordeling niet-hoog-risico AIaia-04Risicobeoordeling voor jongeren en kwetsbarenaia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06Technische documentatie voor hoog-risico AIaia-08Transparantie in ontwerp voor hoog-risico AIaia-09Toezichtmogelijkheden voor gebruikersaia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11Kwaliteitsbeheersysteem voor hoog-risico AIaia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13Bewaartermijn voor gegenereerde logsaia-26Informeren werknemersaia-28Recht op uitleg AI-besluitenaia-29Beoordeling van grondrechtenaia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaut-01Auteursrechten mogen niet worden geschondenavg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02Beperkte bewaartermijn van persoonsgegevensavg-03Persoonsgegevens verzamelen voor specifieke doeleindenavg-05Juistheid en actualiteit van gegevensavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07Transparantie bij verwerking persoonsgegevensavg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09Privacyrechtenavg-10Recht op niet geautomatiseerde besluitvormingavg-11Privacy door ontwerpavg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personendat-01Verbod op schenden databankenrechtengrw-01Beschermen van fundamentele rechten en vrijhedengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"levenscyclus/ontwerp/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden vaststellenMaak back-ups van algoritmesBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerBetrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Contractuele afspraken over data en artefactenControleren eigen data op schending auteursrechtenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Kwetsbare groepen in kaart brengen en beschermenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataPas het principe van security by design toeStel archiefbescheiden vastTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenStel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam. Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.
Het algoritme of AI-systeem technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme of AI-systeem functioneert) van een machine learning model of algoritme. Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme of AI-systeem op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.
In deze fase is niet alleen het ontwikkelen van een algoritme of AI-systeem, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.
"},{"location":"levenscyclus/ontwikkelen/#vereisten","title":"Vereisten","text":"idVereistenaia-04Risicobeoordeling voor jongeren en kwetsbarenaia-06Technische documentatie voor hoog-risico AIaia-07Automatische logregistratie voor hoog-risico AIaia-08Transparantie in ontwerp voor hoog-risico AIaia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13Bewaartermijn voor gegenereerde logsaia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdaia-29Beoordeling van grondrechtenaia-30Transparantieverplichtingenaia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35Verdere verwerking van persoonsgegevens in AI-testomgevingenarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenavg-02Beperkte bewaartermijn van persoonsgegevensavg-03Persoonsgegevens verzamelen voor specifieke doeleindenavg-05Juistheid en actualiteit van gegevensavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07Transparantie bij verwerking persoonsgegevensavg-09Privacyrechtenavg-10Recht op niet geautomatiseerde besluitvormingavg-11Privacy door ontwerpavg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen"},{"location":"levenscyclus/ontwikkelen/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bepaal of de output bepalende invloed heeft in een besluit richting personenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerBetrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputPas het principe van security by design toeStel archiefbescheiden vastTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen. In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes. Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.
"},{"location":"levenscyclus/organisatieverantwoordelijkheden/#vereisten","title":"Vereisten","text":"idVereistenaia-01Bevorder AI-geletterdheid van personeel en gebruikersaia-18Corrigerende maatregelen voor non-conforme AIaia-20Verstrekking van informatie op verzoekaia-37Melden van ernstige incidentenaia-38Veilig melden van inbreuk op AI verordeningaia-39Klachtrecht aanbieders verder in AI-waardeketenavg-04Proportionaliteit en subsidiariteitavg-12Beveiliging van de verwerkingawb-1Relevante feiten en belangen zijn bekendawb-02Een besluit berust op een deugdelijke motivering"},{"location":"levenscyclus/organisatieverantwoordelijkheden/#maatregelen","title":"Maatregelen","text":"idMaatregelenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Richt gebruikersbeheer inRicht wachtwoordbeheer inPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
In deze fase wordt het probleem en de doelstellingen van een opdrachtgever geanalyseerd en beschreven. Er wordt bijvoorbeeld onderzocht welke publieke taak moet worden ondersteund en welke publieke waarden daarbij moeten worden beschermd of juist gerealiseerd. In deze fase wordt onderzocht of het ontwikkelen van een algoritme of AI-systeem een geschikt middel is om het doel te realiseren en het probleem op te lossen. Dat hangt van verschillende zaken af. Hierbij kan worden gedacht aan de middelen (capaciteit en financi\u00eble middelen) die nodig zijn om algoritmen en AI op een verantwoorde wijze te ontwikkelen, de complexiteit van de oplossing, het in beeld brengen van de verwachte risico's (hoog over), een eerste beeld krijgen bij wat voor data nodig zijn en het in kaart brengen en beleggen van de verschillende verantwoordelijkheden. Daarnaast is het van belang om het beleid met betrekking tot de inzet van algoritme en AI van een organisatie te raadplegen.
Er zal een conclusie moeten volgen of de ontwikkeling van een algoritme of AI-systeem passend is. Deze fase wordt doorgaans afgerond met een akkoord van de (gemandateerd) verantwoordelijk(en)/opdrachtgever om een algoritme of een AI-systeem te ontwikkelen. Een vastgestelde business case of plan van aanpak vormen veelal de basis om de ontwerpfase te starten met de benodigde experts.
"},{"location":"levenscyclus/probleemanalyse/#vereisten","title":"Vereisten","text":"idVereistenaia-04Risicobeoordeling voor jongeren en kwetsbarenavg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-05Juistheid en actualiteit van gegevensgrw-01Beschermen van fundamentele rechten en vrijhedengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"levenscyclus/probleemanalyse/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBetrek belanghebbendenFormuleren doelstellingFormuleren aanleiding en probleemdefinitieVerken maatregelen van aanbieder om schending auteursrechten te voorkomenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentBepaal waarom we gebruik willen maken een algoritme
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Als wordt besloten dat het algoritme of AI-systeem niet langer nodig is of wordt vervangen door een wezenlijk andere versie, wordt het gearchiveerd en uitgefaseerd. Hiermee wordt ervoor gezocht dat later kan worden gereconstrueerd hoe het algoritme of AI-systeem heeft gefunctioneerd en dat gebruikers er geen gebruik meer van kunnen maken.
Archiveren betekent dat documentatie en eventuele relevante artefacten (zoals logbestanden en de parameters van het model) worden bewaard voor een bepaalde periode. Het gaat daarbij ook om informatie over het algoritme of AI-systeem, bijvoorbeeld het besluit en onderbouwing waarom het niet meer wordt gebruikt en waarom het in het verleden wel gebruikt werd. Archiveren is niet enkel relevant aan het einde van de levenscyclus, maar is ook gedurende het gebruik van het algoritme of AI-systeem van belang. Er moet tijdig worden vastgesteld welke versies van een model moeten worden gearchiveerd, bijvoorbeeld al tijdens de ontwerpfase.
Bij AI-systemen is er in praktijk vaak sprake van hertrainen op nieuwe data, wat het model anders maakt en andere voorspellingen kan doen geven. Ook meer eenvoudige algoritmes kunnen gedurende de tijd veranderen en andere voorspellingen geven, bijvoorbeeld door veranderende data of veranderende rekenregels. Er moet worden vastgesteld welke versies van een model moet gearchiveerd.
Bij uitfaseren wordt het algoritme of AI-systeem verwijderd uit de productieomgeving en, na archivering, wordt de trainingsdata uit de ontwikkelomgeving verwijderd. Het algoritme is hiermee niet meer te gebruiken door gebruikers. Gebruikers moeten hier vooraf over worden ge\u00efnformeerd en waar passend, bijvoorbeeld bij impactvolle of hoog risico AI-systemen, worden betrokkenen ge\u00efnformeerd over het be\u00ebindigen van het gebruik.
"},{"location":"levenscyclus/uitfaseren/#vereisten","title":"Vereisten","text":"idVereistenaia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13Bewaartermijn voor gegenereerde logsarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking"},{"location":"levenscyclus/uitfaseren/#maatregelen","title":"Maatregelen","text":"idMaatregelenPubliceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"levenscyclus/verificatie-en-validatie/","title":"Verificatie en validatie","text":"
Bij de verificatie en validatie van het algoritme of AI-systeem dient bepaald te worden of het algoritme of AI-systeem gebouwd is volgens de (technische) specificaties en voldoet aan de beoogde doelstellingen. Hiervoor moeten technische, maar ook organisatorische maatregelen worden getroffen.
Bij verificatie kan worden gedacht aan het (laten) controleren of het algoritme of AI-systeem voldoet aan de (technische) specificaties, bijvoorbeeld door een interne of externe audit of in de toekomst een conformiteitsbeoordeling voor hoog risico AI-systemen. Hiermee kan (onafhankelijk) worden vastgesteld of het systeem voldoet aan de vereisten die organisaties daaraan stellen. Op basis van bevindingen uit een audit of conformiteitsbeoordeling, is het denkbaar dat het ontwikkelteam nog bepaalde maatregelen moet treffen om te voldoen aan de specificaties.
Bij het valideren van een algoritme of AI-systeem moet worden bepaald of het goed genoeg presteert en of het geschikt is voor het beoogde doel van het systeem. Wanneer het een AI-systeem betreft, is het belangrijk dat dit gevalideerd wordt op nieuwe, niet eerder geziene data. Het valideren betreft het iteratief evalueren van de nauwkeurigheid en prestaties van het systeem. Daarnaast is het ook belangrijk om te valideren of het algoritme gelijke prestaties toont voor verschillende groepen en om te testen hoe het algoritme presteert in uitzonderlijke gevallen. Het is net als in de ontwerpfase belangrijk dat een multidisciplinair team beoordeelt of de werking passend en bijvoorbeeld non-discriminatoir is. In het geval van impactvolle algoritmen of hoog risico AI-systemen, is het raadzaam om een onafhankelijke commissie of partij te betrekken die een advies geeft over de werking van het algoritme of AI-systeem.
In praktijk zal vaak na validatie weer worden teruggegaan naar de ontwikkelfase om prestaties van het model te verbeteren voorafgaand aan implementatie van de oplossing. Het is ook denkbaar dat het algoritme of AI-systeem onvoldoende aansluit bij de doelstellingen en het gebruik ervan moet wordt be\u00ebindigd. Een andere conclusie kan zijn dat het presteert conform verwachting en naar de implementatiefase kan worden gegaan.
"},{"location":"levenscyclus/verificatie-en-validatie/#vereisten","title":"Vereisten","text":"idVereistenaia-02Documentatie beoordeling niet-hoog-risico AIaia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06Technische documentatie voor hoog-risico AIaia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-13Bewaartermijn voor gegenereerde logsaia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-29Beoordeling van grondrechtenaia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07Transparantie bij verwerking persoonsgegevensavg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personengrw-01Beschermen van fundamentele rechten en vrijhedengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"levenscyclus/verificatie-en-validatie/#maatregelen","title":"Maatregelen","text":"idMaatregelenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Betrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Neem technische documentatie op in het algoritmeregisterRestrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Overzicht van aanbevolen maatregelen voor verantwoord gebruik van algoritmes en AI-systemen. Het zijn adviezen om te voldoen aan de vereisten voor overheden. Andere maatregelen zijn ook mogelijk.
"},{"location":"maatregelen/#alle-maatregelen-zijn-adviezen","title":"Alle maatregelen zijn adviezen","text":"
De maatregelen zijn niet verplicht. Het zijn adviezen uit:
Toetsingskader Algoritmes, Algemene Rekenkamer
Onderzoekskader algoritmes, Auditdienst Rijk
nationale en internationale standaarden (NEN, JTC21 en ISO)
Onderzoek het ontwikkelde algoritme op onbewuste vooringenomenheid (discriminatie) door middel van een bias-analyse.
Deze maatregel helpt om te voldoen aan de vereiste om niet te discrimineren. Maar deze maatregel is niet verplicht. Je organisatie mag ook eigen maatregelen nemen. Zolang je uiteindelijk maar voldoet aan de vereiste.
Tip
Aantal maatregelen verschilt per situatie
Welke maatregelen handig zijn in jouw situatie, hangt af van:
de fase in de levenscyclus van je project
de vereisten waar jouw organisatie aan moet voldoen
jouw rol in de organisatie
Tip
Met \u00e9\u00e9n maatregel voldoe je soms aan meerdere vereisten.
"},{"location":"maatregelen/#overzicht-maatregelen","title":"Overzicht maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigearchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistdomeinspecialistethicusgebruikergemandateerd-verantwoordelijkeinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtgeveropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieidMaatregelenRollenLevenscyclusOnderwerpenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist probleemanalyse implementatie publieke-inkoop Archiveren beperkingen openbaarheid proceseigenaar informatiebeheerder archiefdeskundige jurist ontwerp ontwikkelen governance Vaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden zijn duurzaam toegankelijk proceseigenaar informatiebeheerder archiefdeskundige ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Aselecte steekproeven implementatie monitoring-en-beheer bias-en-non-discriminatie technische-robuustheid-en-veiligheid Maak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is. proceseigenaar behoeftesteller beleidsmedewerker inkoopadviseur aanbieder data-scientist data-engineer organisatieverantwoordelijkheden governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bepaal of de output bepalende invloed heeft in een besluit richting personen behoeftesteller proceseigenaar gebruiker inkoopadviseur ethicus jurist ontwikkelen monitoring-en-beheer publieke-inkoop Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Betrek belanghebbenden projectleider probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance fundamentele-rechten Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Configuratie met de mens implementatie governance menselijke-controle Contractuele afspraken over data en artefacten proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder informatiebeheerder ontwerp monitoring-en-beheer publieke-inkoop Controleren eigen data op schending auteursrechten proceseigenaar informatiebeheerder jurist ontwerp dataverkenning-en-datapreparatie data Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Data is van voldoende kwaliteit data-scientist data-engineer dataverkenning-en-datapreparatie data Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Formuleren doelstelling projectleider opdrachtgever domeinspecialist probleemanalyse governance Formuleren aanleiding en probleemdefinitie projectleider opdrachtgever domeinspecialist probleemanalyse governance Verken maatregelen van aanbieder om schending auteursrechten te voorkomen proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder probleemanalyse implementatie publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. proceseigenaar aanbieder data-engineer data-scientist privacy-officer ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer privacy-en-gegevensbescherming Kwetsbare groepen in kaart brengen en beschermen projectleider opdrachtgever ethicus ontwerp fundamentele-rechten Bewijs laten leveren dat auteursrechten niet worden geschonden met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist gemandateerd-verantwoordelijke ontwerp monitoring-en-beheer publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp monitoring-en-beheer publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument behoeftesteller proceseigenaar inkoopadviseur probleemanalyse ontwikkelen monitoring-en-beheer governance publieke-inkoop Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt proceseigenaar privacy-officer inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop privacy-en-gegevensbescherming Neem technische documentatie op in het algoritmeregister proceseigenaar privacy-officer data-scientist data-engineer beleidsmedewerker ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen verificatie-en-validatie publieke-inkoop Bepaal waarom we gebruik willen maken een algoritme projectleider opdrachtgever domeinspecialist probleemanalyse governance Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. proceseigenaar informatie-analist data-engineer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen monitoring-en-beheer publieke-inkoop Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Stel archiefbescheiden vast ontwerp ontwikkelen publieke-inkoop Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke behoeftesteller inkoopadviseur aanbieder ontwerp monitoring-en-beheer publieke-inkoop De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding proceseigenaar aanbieder behoeftesteller inkoopadviseur contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen aanbieder proceseigenaar inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n) proceseigenaar organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie uitfaseren privacy-en-gegevensbescherming Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie privacy-en-gegevensbescherming Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit. proceseigenaar behoeftesteller informatie-analist data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer architect ontwerp ontwikkelen publieke-inkoop data Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/","title":"Aansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding","text":"
Maak de aansprakelijkheidsvoorwaarden die een aanbieder ten aanzien van auteursrechten kan geven een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan.
Eindgebruikers kunnen er niet altijd op vertrouwen, en ook niet (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme of AI-systeem laten genereren, inbreuk maakt op rechten van derden. Hoe groot de kans is dat zij vanwege het gebruik van gegenereerde output aansprakelijk worden gesteld, is in het verlengde daarvan evenmin vast te stellen. Er zijn wel voorbeelden waarbij gebruikers voor een eventuele inbreuk aansprakelijk kunnen worden gesteld.
Op dit moment zijn ons (nog) geen gevallen of rechtszaken bekend waarin eindgebruikers (of hun werkgevers) aansprakelijk werden gesteld voor een inbreuk op het intellectuele-eigendomsrecht vanwege het gebruik van op basis van algoritme of AI gegenereerde inhoud. Feit is echter wel dat een dergelijke aansprakelijkstelling in voorkomende gevallen dus mogelijk zullen zijn, te meer nu de aanbieders van algoritmen en AI in hun algemene voorwaarden het risico voor aansprakelijkheid (waaronder vanwege inbreuken op intellectuele eigendom) volledig of grotendeels uitsluiten, of zelfs verlangen dat gebruikers hen vrijwaren voor de gevolgen van eventuele aansprakelijkstellingen.
Maak een beoordeling in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend worden geacht gezien de toepassing. Maak een jurist onderdeel van de beoordeling hiervan.
"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/aansprakelijkheidsvoorwaarden_aanbieder_onderdeel_beoordelingsmatrix/#voorbeeld","title":"Voorbeeld","text":"
Er zijn gevallen waarbij het openbaren van archiefbescheiden is uitgesloten. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Stem in het begin van het proces (pro-actief) met de opdrachtgever af wat de wenselijkheid is t.a.v. transparantie/openheid (uitgangspunt zou 'open, tenzij' moeten zijn).
"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistearc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemen"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_beperkingen_openbaarheid/#voorbeeld","title":"Voorbeeld","text":"
Heb je een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/archiveren_bewaartermijnen/","title":"Vaststellen bewaartermijnen voor archiefbescheiden","text":"
Archiefbescheiden moeten voor een bepaalde tijd worden bewaard. Dit wordt de bewaartermijn genoemd. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Zorg dat de ter zake c.q. van toepassing zijnde formeel vastgesteld selectielijst wordt toegepast en pas de informatie rondom algoritmes en AI hierop toe. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden bewaard en dat hier dus ook nog geen termijnen aan zijn gekoppeld.
"},{"location":"maatregelen/archiveren_bewaartermijnen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistearc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie"},{"location":"maatregelen/archiveren_bewaartermijnen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_bewaartermijnen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/","title":"Archiefbescheiden zijn duurzaam toegankelijk","text":"
Het moet mogelijk zijn dat de archiefbescheiden daadwerkelijk overhandigd kunnen worden aan betrokken partijen. Denk hierbij aan burgers, onderneming, toezichthouder of rechters. Duurzaam betekent hier met behoud van functie en kwaliteit voor langere tijd. Onderzoek welke voorziening hiervoor beschikbaar is binnen de organisatie.
"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistearc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemen"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/archiveren_duurzaam_toegankelijk/#voorbeeld","title":"Voorbeeld","text":"
Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het algoritme of het AI-systeem gelden als \"archiefbescheiden\" in de zin van artikel 1 c Archiefwet en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde.
Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet. Het is mogelijk dat de selectielijsten nog niet duiden welke informatie of data, specifiek bij de toepassing van algoritmen en AI, moet worden toegepast. Formeer hierbij een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist, proceseigenaar en archief deskundige) om deze maatregel toe te passen.
"},{"location":"maatregelen/archiveren_vaststellen_documenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistearc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaia-12--bewaartermijn-voor-documentatie"},{"location":"maatregelen/archiveren_vaststellen_documenten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Rekenen en rekenschap. Essay over Algoritmes en de Archiefwet"},{"location":"maatregelen/archiveren_vaststellen_documenten/#voorbeeld","title":"Voorbeeld","text":"
Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde selectie.
Het toevoegen van aselecte steekproeven maakt het mogelijk om over tijd te beoordelen of het algoritme nog voldoende effectief is. Populaties veranderen immers over tijd. Een selectie die het meest effectief was bij ingebruikname, kan over tijd dat niet meer zijn. Door alleen risicogestuurd te selecteren, wordt dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden. Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden of er nog steeds sprake is van de meest proportionele vorm. Als dat niet zo is, kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie of overgaan op volledig aselect.
De maatregel gaat daarmee niet direct discriminatie tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van de risicogestuurde selectie. Een lagere effectiviteit maakt het echter lastiger het gemaakte onderscheid te rechtvaardigen.
Het gebruik van een aselecte steekproef is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid. Een aselecte steekproef geeft ook inzicht in heel deel van de populatie dat doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde algoritme. Dit maakt het mogelijk om te toetsen of er sprake is van een over- of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde typen fouten vaker gemaakt worden in bepaalde groepen.
Bij AI-systemen die verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing feedbackloop, omdat zij geen representatieve data krijgen. Het toevoegen van aselecte steekproeven kan deze feedbackloop doorbreken.
Het is aan te bevelen om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is op basis van een risicogestuurd of aselecte selectie. Daardoor wordt beperkt dat een behandelaar met tunnelvisie een zaak bekijkt. De behandelaar weet immers dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico. Op die manier kan automation bias beperkt te worden. Niet in alle gevallen zal dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan halen op basis waarvan een casus geselecteerd is. Het is dan belang om op andere wijze de tunnelvisie tegen te gaan.
De precieze inzet van aselecte steekproeven zal afhangen van de context. Zo verschilt het per context hoeveel zaken aselect geselecteerd moeten worden. Bepaal welke groepen er precies vergeleken dienen te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig dat er gesproken kan worden over statistische significantie.
In sommige gevallen zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor aselecte steekproef. Zo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek, maar mogelijk niet als enige basis voor een huisbezoek. Deze belangenenafweging moet per context gemaakt worden.
"},{"location":"maatregelen/aselecte_steekproeven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging"},{"location":"maatregelen/aselecte_steekproeven/#bronnen","title":"Bronnen","text":"Bron Rapportage Algoritmerisico's Nederland voorjaar 2024 (pp. 36-41)"},{"location":"maatregelen/aselecte_steekproeven/#risico","title":"Risico","text":"
In het onderzoek van zowel Algorithm Audit als PricewaterhouseCoopers naar de Controle Uitwonendenbeurs is het belang van de aselecte steekproef duidelijk geworden.
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/backups_maken/","title":"Maak back-ups van algoritmes","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarProjectleiderInformatiebeheerderData engineerSecurity officerTechnische robuustheid en veiligheidGovernance
Back-up kopie\u00ebn van informatie, software en systeemafbeeldingen dienen regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken back-up beleid. Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme en de data hersteld kunnen worden.
Er is een back-up beleid waarin de eisen voor het bewaren en beschermen zijn gedefinieerd en vastgesteld. Dit beleid moet vervolgens worden vertaald naar (technische) maatregelen om het kunnen maken van back-ups te realiseren.
Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van gegevensverlies.
"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/","title":"Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.","text":"
Bepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.
Bepaal in een vroege fase (probleemanalyse en ontwerpfase) welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.
Dit is sterk afhankelijk van de specifieke toepassing en de (eerste) inzichten die voortkomen uit risicoanalyses. Hoe complexer en risicovoller de toepassing, des te meer expertise en capaciteit noodzakelijk is.
Interne en externe actoren die betrokken zijn bij het ontwikkelen, inkopen en gebruik moeten over voldoende expertise en capaciteit beschikken om hun taken naar behoren uit te voeren.
Stel vast of er afhankelijkheden van externe aanbieders ontstaan.
Bepaal voorafgaand aan het (laten)ontwikkelen of inkopen van algoritmes en AI-systemen of voldoende expertise en capaciteit beschikbaar is om tot een verantwoorde inzet ervan te komen.
Leg vast of er voldoende expertise en capaciteit beschikbaar is en onderbouw dit in projectdocumentatie.
"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.12 Toetsingskader Algoritmes Algemene Rekenkamer, 3.02 Algoritmekader"},{"location":"maatregelen/benodigde_expertise_en_capaciteit/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/","title":"Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.","text":"
OntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistSecurity officerTechnische robuustheid en veiligheidPrivacy en gegevensbescherming
(Persoons)gegevens die het algoritme of AI-systeemn verwerkt worden niet langer bewaard dan voor de verwezenlijking van de verwerkingsdoeleinden noodzakelijk is.
Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.
Beschrijf hoe de (persoons)gegeven moeten worden vernietigd.
Zorg ervoor dat de vereisten met betrekking tot bewaartermijnen correct zijn of worden vertaald naar het algoritme of AI-systeem en de onderliggende (zaak)systemen.
Controleer of deze maatregelen voor de bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.
Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.
"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistearc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieavg-02 - Beperkte bewaartermijn van persoonsgegevens"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.11 Toetsingskader Algoritmes Algemene Rekenkamer, 3.17 Algoritmekader"},{"location":"maatregelen/bepaal_bewaartermijnen_en_inrichten_vernietigingsprocedure/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/","title":"Bepaal of de output bepalende invloed heeft in een besluit richting personen","text":"
OntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarGebruikerInkoopadviseurEthicusJuristPublieke inkoop
Ga na of het algoritme of AI-systeem overwegend bepalende invloed heeft in een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel of niet het geval is. Maak de mate van menselijke tussenkomst onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan
Maak een beoordeling in hoeverre de mate waarin menselijke tussenkomst is of kan worden gerealiseerd. Raadpleeg voor deze beoordeling verschillende experts, zoals een gebruiker, proceseigenaar, ethicus en jurist.
"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-10 - Recht op niet geautomatiseerde besluitvorming"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bepalende_invloed_besluit_richting_personen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/","title":"Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenProceseigenaarAanbiederData scientistData engineerSecurity officerPrivacy officerPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid
Als is vastgesteld welke persoonsgegevens mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen, moet worden nagegaan of er maatregelen kunnen worden getroffen om deze te beschermen.
Hierbij kan worden gedacht aan het pseudonomiseren, anonimiseren of aggregeren van persoonsgegevens.
Het bepalen of persoonsgegevens mogen worden verwerkt voor algoritmes en AI-systemen moet worden bekeken in samenhang met maatregelen die kunnen worden getroffen om deze gegevens te beschermen.
"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-12 - Beveiliging van de verwerking"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bescherm_persoonsgegevens_die_mogen_worden_verwerkt/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/","title":"Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerInkoopadviseurContractbeheerderAanbiederPrivacy en gegevensbeschermingGovernance
Duidelijkheid en borging van rollen en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van het proces rondom de ontwikkeling, inkoop en gebruik van een algoritme.
Zeker wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van belang.
Een RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd, Informed/Ge\u00efnfomeerd) te bepalen.
Aanvullend hierop kan het wenselijk zijn om specifieke, gevoelige activiteiten nader uit te werken in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar onbwuste vooringenomenheid.
De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste effecten.
"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 1.06 Onderzoekskader Algoritmes Auditdienst Rijk, SV.9 Algoritmekader"},{"location":"maatregelen/beschrijf_rollen_en_verantwoordelijkheden/#voorbeeld","title":"Voorbeeld","text":"
Rapport Kleur Bekennen, Algemene Rekenkamer, p. 114, figuur 5-4
"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/","title":"Bespreek de vereiste met aanbieder of opdrachtnemer","text":"
Ga met een aanbieder en/of met opdrachtnemers in gesprek over in hoeverre deze invulling heeft gegeven of gaat geven aan de vereiste. Op basis van nieuwe of gewijzigde wet- en regelgeving is het denkbaar dat een aanbieder van algoritmes of AI-systemen nog niet of niet meer voldoet aan deze vereiste. Indien van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.
"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-02 - Documentatie beoordeling niet-hoog-risico AIaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06 - Technische documentatie voor hoog-risico AIaia-07 - Automatische logregistratie voor hoog-risico AIaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13 - Bewaartermijn voor gegenereerde logsaia-14 - Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15 - Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16 - Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17 - Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18 - Corrigerende maatregelen voor non-conforme AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekaia-21 - Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-28 - Recht op uitleg AI-besluitenaia-29 - Beoordeling van grondrechtenaia-30 - Transparantieverplichtingenaia-31 - Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32 - Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35 - Verdere verwerking van persoonsgegevens in AI-testomgevingenaia-36 - Monitoring na het in handel brengenaia-37 - Melden van ernstige incidentenaia-38 - Veilig melden van inbreuk op AI verordeningaia-39 - Klachtrecht aanbieders verder in AI-waardeketenbzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterarc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01 - Auteursrechten mogen niet worden geschondenavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02 - Beperkte bewaartermijn van persoonsgegevensavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-04 - Proportionaliteit en subsidiariteitavg-05 - Juistheid en actualiteit van gegevensavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07 - Transparantie bij verwerking persoonsgegevensavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09 - Privacyrechtenavg-10 - Recht op niet geautomatiseerde besluitvormingavg-11 - Privacy door ontwerpavg-12 - Beveiliging van de verwerkingavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personenawb-1 - Relevante feiten en belangen zijn bekendawb-02 - Een besluit berust op een deugdelijke motiveringbio-01 - Beveiliging informatie en informatiesystemendat-01 - Verbod op schenden databankenrechtengrw-01 - Beschermen van fundamentele rechten en vrijhedengrw-02 - AI-systemen en algoritmes mogen niet discriminerenwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/bespreek_vereiste_met_aanbieder/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderGovernanceFundamentele rechten
Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten in de levenscyclus. Belanghebbenden zijn onder meer eindgebruikers, mensen en rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende organisaties.
Algoritmes worden vaak gebruikt binnen een (specifieke) context waar deze invloed op uitoefenen. Medewerkers moeten bijvoorbeeld werken met de uitkomsten of anderen zijn onderwerp van het algoritme. Om te voorkomen dat er een mismatch ontstaat met de realiteit, is het van belang om specifieke domeinkennis te betrekken.
Het betrekken van belanghebbenden is van belang in bijna alle fasen van de levenscyclus.
In de fase van de probleemanalyse is het allereerst van belang in kaart te brengen welke stakeholders er zijn. Wie gaan bijvoorbeeld werken met het algoritme (eindgebruikers)? En welke demografie\u00ebn worden geraakt door een algoritme? Bij wie liggen de voordelen en bij wie liggen de nadelen? Ga vervolgens in gesprek met belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context waarin het gebruikt wordt. Bespreek daarbij welke definitie en metriek van fairness past bij de context.
In de fase van dataverkenning en datapreparatie is het van belang om domeinexpertise te betrekken, om zo in kaart te brengen wat de data features betekenen en waar zij vandaan komen. Op basis daarvan kan in kaart gebracht worden of er sprake is van bias en/of links met beschermde persoonskenmerken.
In de fase van implementatie is het van belang de eindgebruikers te betrekken. Het is dan vooral van belang om maatregelen te nemen om automation bias, deployment bias en reinforcing feedback loop te voorkomen of te beperken.
In de fase van monitoren is het van belang belanghebbenden te betrekken bij de evaluatie. Dit kan bijvoorbeeld in de vorm van een survey of focusgroep. Zij kunnen problemen in de praktijk naar voren brengen, die niet altijd terug te vinden zijn in de data.
Terugkoppelen aan buitenwereld.
"},{"location":"maatregelen/betrek_belanghebbenden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/betrek_belanghebbenden/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 2.12 The Fairness Handbook Handreiking non-discriminatie by design Ethics Guidelines for Trustworthy AI Onderzoekskader Algoritmes Auditdienst Rijk, SV.10"},{"location":"maatregelen/betrek_belanghebbenden/#risico","title":"Risico","text":"
De mismatch kan nadelige gevolgen hebben voor de effectiviteit van het algoritme binnen een context. Het kan daarnaast ook ongerechtvaardigde discriminatie in de hand werken. Ontwikkelaars kunnen bijvoorbeeld missen dat in de context van het algoritme een variabele een proxy is voor een discriminatiegrond.
Methodologie van Waag, Civic AI lab, Stakeholder escalation ladder. Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/beveiliging_van_componenten/","title":"Zorg voor een goede beveiliging van een algoritme.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerPrivacy officerTechnische robuustheid en veiligheidGovernance
Zorg voor een goede beveiliging van de verschillende softwarecomponenten van een algoritme of AI-systeem. Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata en de outputdata.
Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme of systeem. Hierbij kan worden gedacht aan: Het toepassen van wachtwoordbeheer. Baseline Informatiebeveiliging Overheid, de NCSC Handreiking voor implementatie van detectieoplossingen en het Impact Assessment Mensenrechten en Algoritmes.)
Inzicht cre\u00ebren in de beoogde opzet van de IT-infrastructuur (de architectuur) en de werkelijk geconfigureerde hard- en software. (CIS Control 1, BIO 8.1.1).
Inrichten van een formeel proces voor het beheer van technische kwetsbaarheden. Dit omvat minimaal periodieke (geautomatiseerde) controle op de aanwezigheid van kwetsbaarheden in de te toetsen systemen, een risicoafweging en navolgbare afwerking daarvan of risicoacceptatie (BIO 12.6).
Beoordelen, patchen en updaten van kwetsbaarheden in IT-systemen als deze bekend zijn. (BIO 12.6.1)
Verwijderen of deactiveren van softwarecomponenten en services die niet noodzakelijk zijn voor het functioneren van het algoritme om beveiligingsrisico\u2019s te beperken. (BIO 12.6.1)
Er vindt zonering plaats binnen de technische infrastructuur conform de uitgangspunten die zijn vastgelegd in een operationeel beleidsdocument, waarbij minimaal sprake is van scheiding tussen vertrouwde en onvertrouwde netwerken (BIO 9.4.2). Denk ook aan het scheiden in netwerken (BIO 13.1.3).
Actieve monitoring van de algoritme data vindt plaats zodat beveiligingsincidenten en -gebeurtenissen in een vroeg stadium worden gedetecteerd. (BIO 12.4.1, NCSC Handreiking voor implementatie van detectieoplossingen).
Netwerkverkeer en componenten worden actief gemonitord. BIO 12.4.1).
Beoordeel of de data ten behoeve van het ontwikkelen en gebruiken van het algoritme voldoende is beveiligd. Maak hierin onderscheid tussen de trainingsdata, inputdata en de outputdata.
Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem.
"},{"location":"maatregelen/beveiliging_van_componenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebio-01 - Beveiliging informatie en informatiesystemenavg-12 - Beveiliging van de verwerkingaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging"},{"location":"maatregelen/beveiliging_van_componenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid Onderzoekskader Algoritmes Auditdienst Rijk, IB.18 t/m IB.25 NCSC Handreiking voor implementatie van detectieoplossingen Handleiding Quickscan Information Security"},{"location":"maatregelen/beveiliging_van_componenten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/configuratie_met_de_mens/","title":"Configuratie met de mens","text":"
Maak keuzes rondom de rol van het systeem in de werkwijze van medewerkers.
Gebruik duidelijke werkinstructies en protocollen om te voorkomen dat beslissingen, gebaseerd op de output van het systeem, door (automation) bias worden be\u00efnvloed.
Stel een structuur op voor het melden van mogelijke problemen met het systeem.
Opleiding van medewerkers over:
AI en algoritmes;
het systeem waarmee ze gaan werken;
de rol van het systeem in hun werkwijze;
de risico's die aan het gebruik van een systeem verbonden zijn (bijv. (automation) bias, false positives/negatives);
de maatregelen die genomen zijn om deze risico\u2019s te beperken (bijv. Willekeurige of fictieve casussen, transparantie over de output).
Bespreek regelmatig de uitdagingen die medewerkers ondervinden bij het werken met het systeem (bijv. tijdsdruk).
Documenteer alle keuzes en de onderliggende redenen/afwegingen rondom menselijke tussenkomst en overzicht, bijvoorbeeld in een Algoritme Impact Assessment. Evalueer en pas gemaakte keuzes waar nodig aan.
Zorg voor complementariteit tussen medewerkers en systemen. Dit helpt bij het voorkomen van (automation) bias en discriminatie, het signaleren van algoritmische problemen, en het vermijden van de facto automatische besluitvorming.
"},{"location":"maatregelen/configuratie_met_de_mens/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistegrw-02-non_discriminatieaia-09 - Toezichtmogelijkheden voor gebruikers"},{"location":"maatregelen/configuratie_met_de_mens/#bronnen","title":"Bronnen","text":"Bron Handreiking non-discriminatie by design Impact Assessment Mensenrechten en Algoritmes Ethics Guidelines of Trustworthy AI"},{"location":"maatregelen/configuratie_met_de_mens/#risico","title":"Risico","text":"
Bias, discriminatie, de facto automatische besluitvorming.
Hier kan worden gedacht aan de initi\u00eble trainingsdataset, outputdata (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers).
"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/contractuele_afspraken_data_en_artefacten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/","title":"Controleren eigen data op schending auteursrechten","text":"
OntwerpDataverkenning en datapreparatieProceseigenaarInformatiebeheerderJuristData
Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten auteursrechten vallen. Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.
Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen worden gebruikt voor de ontwikkeling van een algoritme of AI-systeem.
"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/controle_eigen_data_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/","title":"Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.","text":"
Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten, kan het noodzakelijk zijn dat de opdrachtgever en aanbieder/opdrachtnemer (innovatief) moeten samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) kunnen aanbieders mogelijk nog niet voldoen aan deze nieuwe vereisten of is onduidelijk op welke manier hier invulling aan moet worden gegeven. In de context van algoritmes en AI kan het voor bepaalde onderwerpen zoals non-discriminatie, transparantie en eerbiedigen van fundamentele rechten van belang zijn om samen te verkennen hoe hier invulling aan moet worden gegeven. Het is belangrijk om bij de behoeftestelling al te verkennen op welke onderwerpen dit mogelijk van toepassing is.
"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-02 - Documentatie beoordeling niet-hoog-risico AIaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06 - Technische documentatie voor hoog-risico AIaia-07 - Automatische logregistratie voor hoog-risico AIaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13 - Bewaartermijn voor gegenereerde logsaia-14 - Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15 - Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16 - Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17 - Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18 - Corrigerende maatregelen voor non-conforme AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekaia-21 - Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-28 - Recht op uitleg AI-besluitenaia-29 - Beoordeling van grondrechtenaia-30 - Transparantieverplichtingenaia-31 - Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32 - Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35 - Verdere verwerking van persoonsgegevens in AI-testomgevingenaia-36 - Monitoring na het in handel brengenaia-37 - Melden van ernstige incidentenaia-38 - Veilig melden van inbreuk op AI verordeningaia-39 - Klachtrecht aanbieders verder in AI-waardeketenbzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterarc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01 - Auteursrechten mogen niet worden geschondenavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02 - Beperkte bewaartermijn van persoonsgegevensavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-04 - Proportionaliteit en subsidiariteitavg-05 - Juistheid en actualiteit van gegevensavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07 - Transparantie bij verwerking persoonsgegevensavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09 - Privacyrechtenavg-10 - Recht op niet geautomatiseerde besluitvormingavg-11 - Privacy door ontwerpavg-12 - Beveiliging van de verwerkingavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personenawb-1 - Relevante feiten en belangen zijn bekendawb-02 - Een besluit berust op een deugdelijke motiveringbio-01 - Beveiliging informatie en informatiesystemendat-01 - Verbod op schenden databankenrechtengrw-01 - Beschermen van fundamentele rechten en vrijhedengrw-02 - AI-systemen en algoritmes mogen niet discriminerenwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Ruimte voor Innovatie in het contract"},{"location":"maatregelen/creeer_ruimte_voor_samenwerking_in_contract/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/datakwaliteit/","title":"Data is van voldoende kwaliteit","text":"
Dataverkenning en datapreparatieData scientistData engineerData
Stel functionele eisen voor de data kwaliteit vast en analyseer structureel of er aan deze eisen wordt voldaan.
De kwaliteit van de data die als input voor het algoritme wordt gebruikt is bepalend voor de uitkomsten van het algoritme. Hier wordt soms ook naar gerefereerd als garbage in = garbage out.
Een vraag die gesteld dient te worden: beschrijft de data het fenomeen dat onderzocht dient te worden?
Het Raamwerk gegevenskwaliteit bevat een breed toepasbare set van kwaliteitsdimensies:
juistheid
compleetheid
validiteit
consistentie
actualiteit
precisie
plausibiliteit
traceerbaarheid
begrijpelijkheid
Deze dimensies zijn aangevuld met kwaliteitsattributen welke gebruikt kunnen worden om de verschillende dimensies meetbaar te maken.
De vraag of de data kwaliteit voldoende is hangt sterk samen met de vraag of er bias in de onderliggende data zit. Analyseer daarom ook welke bias en aannames er besloten zijn in de onderliggende data. Denk hierbij onder andere aan de volgende vormen van bias:
historische bias
meetbias
representatie bias
Let op!
Wanneer je een algoritme inkoopt en de ontwikkeling van het algoritme uitbesteedt aan een derde partij, houdt er dan dan rekening mee dat data traceerbaar en reproduceerbaar moet zijn. Maak hier heldere afspraken over met de aanbieder.
Door onjuiste beslissingen van gegevens kunnen verkeerde beslissingen genomen worden.
Het model cre\u00ebert onwenselijke systematische afwijking voor specifieke personen, groepen of andere eenheden. Dit kan leiden tot ongelijke behandeling en discriminerende effecten met eventuele schade voor betrokkenen.
"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/","title":"Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarPrivacy officerPrivacy en gegevensbescherming
Persoonsgegevens mogen alleen worden verwerkt voor een \u2018welbepaald, uitdrukkelijk omschreven en gerechtvaardigd\u2019 doel;
De wettelijke grondslag / wettelijke taak voor de verwerking van de persoonsgegevens moet zijn beschreven, bijvoorbeeld in een DPIA;
De verwerking van persoonsgevens voor het ontwikkelen en gebruiken van het algoritme of AI-systeem moet verenigbaar met het oorspronkelijke verwerkingsdoel (doelbinding);
Eventuele verdere (subsidiaire) verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.
"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/doel_verwerken_persoonsgegevens_welbepaald_en_omschreven/#risico","title":"Risico","text":"
Als het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.
Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. Maak de consequenties van het algoritme specifiek en zorg dat het doel van het algoritme formeel is vastgesteld en vastgelegd.
Het doel van de inzet van een algoritme dient zo concreet en specifiek mogelijk gedefinieerd te worden. Indien er meerdere doelen zijn, is het belangrijk om een zekere rangorde te maken: wat zijn de belangrijkste doelen? En waarom? Welke doelen zijn subdoelen, waarvoor het minder belangrijk is om deze te realiseren?
Indien mogelijk, dienen de doelstellingen gekwantificeerd te worden (SMART).
Om te zorgen voor voldoende draagvlak voor de beoogde doelen, is het noodzaak om voldoende belanghebbenden te betrekken. Hierbij kan het ook helpen om burgers te betrekken bij de totstandkoming van de doelstellingen, bijvoorbeeld door middel van een burgerpanel of het betrekken van belangengroepen.
"},{"location":"maatregelen/formuleren_doelstellling/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/formuleren_doelstellling/#risico","title":"Risico","text":"
Het algoritme dient niet het beoogde doel en onderliggend probleem. Zonder eenduidigheid over het doel is geen sturing op en verantwoording over het algoritme mogelijk. Er is dan een groter risico op fouten en/of verschillen in interpretatie.
Wanneer doelstellingen niet meetbaar zijn gemaakt, is het onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. Doelstellingen zijn in dat geval moeilijk bespreekbaar.
Formuleer en documenteer wat de aanleiding is om een algoritme of AI-systeem in te willen zetten. Formuleer duidelijk de probleemdefinitie en probleemafbakening waarvoor het algoritme een oplossing zou moeten vormen.
Formuleer de probleemdefinitie en probleemafbakening zo concreet en precies mogelijk. Maak dit waar mogelijk kwantificeerbaar.
"},{"location":"maatregelen/formuleren_probleemdefinitie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/formuleren_probleemdefinitie/#risico","title":"Risico","text":"
Het algoritme dient niet het onderliggende probleem. Zonder eenduidigheid over het op te lossen probleem is geen sturing op en verantwoording over het algoritme mogelijk.
"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/","title":"Verken maatregelen van aanbieder om schending auteursrechten te voorkomen","text":"
Als 'open gaten' worden ervaren, dan is het van belang om hierover met de aanbieder in gesprek te gaan, bijvoorbeeld door een marktconsultatie of algemene materie gerelateerde gesprekken. De ARVODI (24.7) en ARBIT (art 8.5 & 8.6) adresseren het schenden van intellectueel eigendom.
"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/getroffen_maatregelen_van_aanbieder_voorkomen_schending_auteursrechten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/informatiebeveiligingsincidenten/","title":"Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten","text":"
OrganisatieverantwoordelijkhedenProjectleiderInformatiebeheerderSecurity officerProceseigenaarTechnische robuustheid en veiligheidGovernance
Er zijn procedures aanwezig die borgen dat beveiligingsincidenten m.b.t. algoritmes en data zo spoedig mogelijk, afhankelijk van de kwalificatie van het incident, worden opgepakt.
Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme of data kan worden aangetast.
"},{"location":"maatregelen/informatiebeveiligingsincidenten/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebio-01 - Beveiliging informatie en informatiesystemenaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingavg-12 - Beveiliging van de verwerking"},{"location":"maatregelen/informatiebeveiligingsincidenten/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5 Onderzoekskader Algoritmes Auditdienst Rijk, IB.30 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/informatiebeveiligingsincidenten/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/inrichten_proces_kunnen_toepassen_privacyrechten/","title":"Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.","text":"
OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerProceseigenaarAanbiederData engineerData scientistPrivacy officerPrivacy en gegevensbescherming
Betrokkenen moeten hun persoonsgegevens kunnen inzien, rectificeren, laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes en AI-systemen.
Betrokkenen moeten hun verzoek kunnen indienen bij de betreffende organisatie. Denk hierbij aan het inrichten van een privacyloket.
Er zullen afspraken moeten worden gemaakt door servicemanagement in te richten hoe deze verzoeken effectief kunnen worden behandeld door bijvoorbeeld door het ontwikkel- of beheerteam (aanbieder).
Bij het inrichten van servicemanagement moet zijn nagedacht over hoe een verzoek tot het inzien, rectificeren, verwijderen of beperken van de verwerking van persoonsgegevens op een betekenisvolle manier kan of moet worden behandeld.
Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen (personen of groepen). Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden.
Verschillende groepen kunnen op een andere manier geraakt worden door het inzetten van een algoritme. Dit is afhankelijk van de context waarin het algoritme wordt ingezet, en dient daardoor bij iedere toepassing opnieuw bekeken te worden.
Bedenk wat er met de uitkomsten van het algoritme gedaan wordt, en wat de consequenties daarvan zijn voor burgers. Hierbij kan gedacht worden aan de volgende aspecten:
Worden bepaalde groepen sneller gemonitord?
Wat als het model het fout heeft?
Wordt het systeem gebruikt om informatie te verkrijgen, om besluiten voor te bereiden of om zelfstandige besluiten te nemen en welke gevolgen heeft dat voor de mate waarin het algoritme bepalend zal zijn in de praktijk?
Worden de gegevens veilig en vertrouwelijk behandeld; welke gevolgen zou een datalek hebben voor groepen of categorie\u00ebn personen?
Worden data gedeeld met andere partijen en wat is het gevaar dat die misbruik maken van de data met negatieve gevolgen voor groepen of categorie\u00ebn personen?
Houd hierbij ook rekening met de impact van het in te zetten algoritme op de samenleving (vanuit sociaal, democratisch en milieu/ecologisch perspectief).
Om de impact op groepen te bepalen, kan het handig zijn een mensenrechtentoets zoals het Impact Assessment Mensenrechten en Algoritmes toe te passen.
Bepaal of er maatregelen genomen kunnen worden om de ge\u00efdentificeerde groepen extra bescherming te bieden. Hierbij kan men denken aan de volgende aspecten: Kan de (extra) administratieve druk voor bepaalde groepen worden weggenomen? Worden resultaten van het algoritme naast de resultaten van een expert gelegd? Is het wenselijk om een proces in te richten waarbij zowel algoritme als een expert een uitkomst geven? Kunnen we de betreffende groep extra hulp aanbieden? Is het wenselijk bij negatieve uitkomsten een vier-ogen-principe toe te passen?
De impact van het algoritme op de groepen die ge\u00efdentificeerd worden in deze stap, kunnen mogelijk onderzocht worden in een biasanalyse. Daarbij kan geidentificeerd worden of bepaalde groepen oververtegenwoordigd of ondervertegenwoordigd zijn in selecties, of dat het algoritme andere of meer fouten maakt voor bepaalde groepen.
Merk op dat het onmogelijk is om de risico's voor alle specifieke groepen af te vangen. Hierbij kan het helpen om te focussen op de meest kwetsbare groepen.
"},{"location":"maatregelen/kwetsbare_groepen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistegrw-01 - Beschermen van fundamentele rechten en vrijhedenaia-04 - Risicobeoordeling voor jongeren en kwetsbaren"},{"location":"maatregelen/kwetsbare_groepen/#risico","title":"Risico","text":"
De impact van het algoritme op de besluitvorming en op personen, doelgroepen en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen.
"},{"location":"maatregelen/kwetsbare_groepen/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.4 Kamerstukken II 2023/24, 31066-1374 Impact Assessment Mensenrechten en Algoritmes, 4.1 Handreiking non-discriminatie by design, 1.7 en 1.8 en 1.15"},{"location":"maatregelen/kwetsbare_groepen/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de output","text":"
OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristGemandateerd verantwoordelijkePublieke inkoop
Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden door de output een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling.
Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen of de output van een algoritme een (potenti\u00eble) inbreuk maakt op auteursrechten. Maak een jurist onderdeel van de beoordeling hiervan.
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_output/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/","title":"Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata","text":"
OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop
Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten niet worden geschonden doordat de trainingsdata rechtmatig is verkregen een vast onderdeel van de wedstrijd/inkoop/beoordeelingsmatrix als ook de vaste beoordeling hiervan door tenminste ook een jurist.
Algoritmen en AI worden veelal getraind aan de hand van een omvangrijke hoeveelheid data. Op basis van de data wordt het algoritme of AI getraind om, op een later moment, de (door de eindgebruiker gewenste) uitkomsten te kunnen genereren.
Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, worden gebruikt voor de training van algoritmen of AI, is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme of AI gebruikt worden.
Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijke beschermde werken ter training van algoritme of AI (waarschijnlijk) een verveelvoudigingshandeling is die de rechthebbende kan verbieden. Dat betekent dat aanbieders van algoritmen en AI het gebruik van auteursrechtelijk beschermd materiaal in de inputfase steeds zullen moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht.
Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.
"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/leveren_bewijs_niet_schenden_auteursrechten_trainingsdata/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/","title":"Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving","text":"
Door de inschrijver/aanbieder bewijs te laten leveren dat deze voldoet aan de vereiste, kan worden beoordeeld door opdrachtgever in hoeverre daadwerkelijk wordt voldaan aan deze vereiste. Op deze manier worden inschrijvers/aanbieders aangespoord om te motiveren wat zij hebben gedaan om te voldoen aan de vereiste.
"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-28 - Recht op uitleg AI-besluitenaut-01 - Auteursrechten mogen niet worden geschondendat-01 - Verbod op schenden databankenrechtenaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-01 - Bevorder AI-geletterdheid van personeel en gebruikersaia-18 - Corrigerende maatregelen voor non-conforme AIavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensgrw-01 - Beschermen van fundamentele rechten en vrijhedenaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-29 - Beoordeling van grondrechtengrw-02 - AI-systemen en algoritmes mogen niet discriminerenavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-11 - Privacy door ontwerpavg-10 - Recht op niet geautomatiseerde besluitvormingaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-08 - Transparantie in ontwerp voor hoog-risico AIavg-07 - Transparantie bij verwerking persoonsgegevensaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/leveren_bewijs_onderdeel_beoordeling_inschrijving.md/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/logging/","title":"Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerArchiefdeskundigeTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle
Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot code en data (audit trail). Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren. Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem.
Met logbestanden is te achterhalen wanneer en door wie er (ongewenste) aanpassingen zijn gedaan (audit trail).
Loginformatie moet worden gegenereerd, bewaard, gemonitord en toegankelijk worden gemaakt.
Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
Bedenk wat deze informatie betekent in de context van de werking van het algoritme of algoritmisch systeem. loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.
Stel vast welke informatie bij het ontwikkelen en gebruiken van algoritmes en AI-systemen relevant is om te loggen.
Log behalve het aanpassen van gegevens ook het uitlezen van gegevens waar dat relevant is. Bijvoorbeeld als persoonsgegevens worden opgevraagd.
Logs dienen periodiek (of doorlopend) gecontroleerd to worden op relevante incidenten. Dat betekent dat wat er gelogd wordt geschikt moet zijn om relevante beveiligingsincidenten op te merken.
Wanneer loginformatie ontbreekt, is niet te achterhalen wanneer er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van) het algoritme, of door wie.
"},{"location":"maatregelen/logging/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebio-01 - Beveiliging informatie en informatiesystemenaia-07 - Automatische logregistratie voor hoog-risico AIaia-13 - Bewaartermijn voor gegenereerde logs"},{"location":"maatregelen/logging/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 12.3.1.1, 12.3.1.4, 12.3.1.5, 12.4.1.1, 12.4.2.2, Onderzoekskader Algoritmes Auditdienst Rijk, IB.27 Toetsingskader Algoritmes Algemene Rekenkamer, 4.06"},{"location":"maatregelen/logging/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/","title":"Maak de vereiste onderdeel van het programma van eisen","text":"
Door de vereiste onderdeel te maken van het programma van eisen, is het voor aanbieders duidelijk dat hun oplossing hieraan moet voldoen. Afhankelijk van de specifieke toepassing, context en noodzaak kan een vereiste in het programma van eisen concreet worden gemaakt. Het is hierbij van belang om dit af te wegen tegen zaken die mogelijk al zijn geregeld door middel van algemene inkoopvoorwaarden die gelden voor algoritmes en AI.
"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-02 - Documentatie beoordeling niet-hoog-risico AIaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06 - Technische documentatie voor hoog-risico AIaia-07 - Automatische logregistratie voor hoog-risico AIaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13 - Bewaartermijn voor gegenereerde logsaia-14 - Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15 - Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16 - Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17 - Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18 - Corrigerende maatregelen voor non-conforme AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekaia-21 - Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-28 - Recht op uitleg AI-besluitenaia-29 - Beoordeling van grondrechtenaia-30 - Transparantieverplichtingenaia-31 - Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32 - Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35 - Verdere verwerking van persoonsgegevens in AI-testomgevingenaia-36 - Monitoring na het in handel brengenaia-37 - Melden van ernstige incidentenaia-38 - Veilig melden van inbreuk op AI verordeningaia-39 - Klachtrecht aanbieders verder in AI-waardeketenbzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterarc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01 - Auteursrechten mogen niet worden geschondenavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02 - Beperkte bewaartermijn van persoonsgegevensavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-04 - Proportionaliteit en subsidiariteitavg-05 - Juistheid en actualiteit van gegevensavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07 - Transparantie bij verwerking persoonsgegevensavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09 - Privacyrechtenavg-10 - Recht op niet geautomatiseerde besluitvormingavg-11 - Privacy door ontwerpavg-12 - Beveiliging van de verwerkingavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personenawb-1 - Relevante feiten en belangen zijn bekendawb-02 - Een besluit berust op een deugdelijke motiveringbio-01 - Beveiliging informatie en informatiesystemendat-01 - Verbod op schenden databankenrechtengrw-01 - Beschermen van fundamentele rechten en vrijhedengrw-02 - AI-systemen en algoritmes mogen niet discriminerenwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/maak_de_vereiste_onderdeel_van_programma_van_eisen/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/","title":"Maak de vereiste onderdeel van de contractovereenkomst","text":"
Door de vereiste onderdeel te namen van de contractovereenkomst, zijn deze voorwaarden voor opdrachtgever richting aanbieder/opdrachtnemer afdwingbaar. Het is van belang dat bij de behoeftestelling een afweging wordt gemaakt in hoeverre de betreffende vereiste van toepassing is.
"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-02 - Documentatie beoordeling niet-hoog-risico AIaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06 - Technische documentatie voor hoog-risico AIaia-07 - Automatische logregistratie voor hoog-risico AIaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13 - Bewaartermijn voor gegenereerde logsaia-14 - Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15 - Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16 - Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17 - Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18 - Corrigerende maatregelen voor non-conforme AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekaia-21 - Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-28 - Recht op uitleg AI-besluitenaia-29 - Beoordeling van grondrechtenaia-30 - Transparantieverplichtingenaia-31 - Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32 - Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35 - Verdere verwerking van persoonsgegevens in AI-testomgevingenaia-36 - Monitoring na het in handel brengenaia-37 - Melden van ernstige incidentenaia-38 - Veilig melden van inbreuk op AI verordeningaia-39 - Klachtrecht aanbieders verder in AI-waardeketenbzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterarc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01 - Auteursrechten mogen niet worden geschondenavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02 - Beperkte bewaartermijn van persoonsgegevensavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-04 - Proportionaliteit en subsidiariteitavg-05 - Juistheid en actualiteit van gegevensavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07 - Transparantie bij verwerking persoonsgegevensavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09 - Privacyrechtenavg-10 - Recht op niet geautomatiseerde besluitvormingavg-11 - Privacy door ontwerpavg-12 - Beveiliging van de verwerkingavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personenawb-1 - Relevante feiten en belangen zijn bekendawb-02 - Een besluit berust op een deugdelijke motiveringbio-01 - Beveiliging informatie en informatiesystemendat-01 - Verbod op schenden databankenrechtengrw-01 - Beschermen van fundamentele rechten en vrijhedengrw-02 - AI-systemen en algoritmes mogen niet discriminerenwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/maak_vereiste_onderdeel_van_contractovereenkomst/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/","title":"Maak de vereiste onderdeel van Service Level Agreement","text":"
Onderzoek of het relevant is om de vereiste onderdeel te maken van de Service Level Agreement (SLA). Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van de dienstverlening. Hierbij kan worden gedacht aan onderwerpen als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd, prestatiecriteria, reproduceerbaarheid, versiebeheer van de gebruikte algoritmes en AI-modellen en beveiliging. Laat de aanbieder aangeven welke vormen van onderhoud aan het algoritme of AI-systeem nodig zijn en de snelheid waarmee signalen vanuit gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise hiervoor beschikbaar is.
"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebio-01 - Beveiliging informatie en informatiesystemenavg-12 - Beveiliging van de verwerkingaia-37 - Melden van ernstige incidentenaia-07 - Automatische logregistratie voor hoog-risico AIaia-01 - Bevorder AI-geletterdheid van personeel en gebruikersaia-18 - Corrigerende maatregelen voor non-conforme AIaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-36 - Monitoring na het in handel brengenaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersavg-07 - Transparantie bij verwerking persoonsgegevensaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.11 Algoritmekader"},{"location":"maatregelen/maak_vereiste_onderdeel_van_service_level_agreement/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/","title":"Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden","text":"
Er moeten heldere afspraken zijn gemaakt met de aanbieder van het algoritme of AI-systeem. Dit geldt in het bijzonder als het algorimte of AI-systeem is ontwikkeld door een externe aanbieder.
Door vereisten die gelden voor algoritmes en AI-systemen onderdeel te maken van contractvoorwaarden, is voor aanbieder vooraf duidelijk aan welke voorwaarden zij moeten voldoen als zijn algoritmes en AI-systemen willen aanbieden aan overheidsorganisaties.
Het is van belang om een afweging te maken in welke gevallen de contractvoorwaarden worden ingezet en welke vereisten daar onderdeel van moeten worden gemaakt.
Welke vereisten onderdeel moeten worden gemaakt van contractvoorwaarden is afhankelijk van de beoogde toepassing, de technologie en de bijbehorende risicoclassificatie.
Er zijn meer vereiste van toepassing bij impactvolle en hoog risico AI-systemen, waarmee burgers potentieel in aanmerkelijke mate kunnen worden getroffen dan bij geen impactvolle of laag risico AI-systemen.
"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-02 - Documentatie beoordeling niet-hoog-risico AIaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06 - Technische documentatie voor hoog-risico AIaia-07 - Automatische logregistratie voor hoog-risico AIaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13 - Bewaartermijn voor gegenereerde logsaia-14 - Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15 - Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16 - Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17 - Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18 - Corrigerende maatregelen voor non-conforme AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekaia-21 - Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-28 - Recht op uitleg AI-besluitenaia-29 - Beoordeling van grondrechtenaia-30 - Transparantieverplichtingenaia-31 - Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32 - Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35 - Verdere verwerking van persoonsgegevens in AI-testomgevingenaia-36 - Monitoring na het in handel brengenaia-37 - Melden van ernstige incidentenaia-38 - Veilig melden van inbreuk op AI verordeningaia-39 - Klachtrecht aanbieders verder in AI-waardeketenbzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterarc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01 - Auteursrechten mogen niet worden geschondenavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02 - Beperkte bewaartermijn van persoonsgegevensavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-04 - Proportionaliteit en subsidiariteitavg-05 - Juistheid en actualiteit van gegevensavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07 - Transparantie bij verwerking persoonsgegevensavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09 - Privacyrechtenavg-10 - Recht op niet geautomatiseerde besluitvormingavg-11 - Privacy door ontwerpavg-12 - Beveiliging van de verwerkingavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personenawb-1 - Relevante feiten en belangen zijn bekendawb-02 - Een besluit berust op een deugdelijke motiveringbio-01 - Beveiliging informatie en informatiesystemendat-01 - Verbod op schenden databankenrechtengrw-01 - Beschermen van fundamentele rechten en vrijhedengrw-02 - AI-systemen en algoritmes mogen niet discriminerenwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Onderzoekskader Algoritmes Auditdienst Rijk, SV.11"},{"location":"maatregelen/maak_vereisten_voor_algoritmes_en_AI-systemen_onder_van_contractvoorwaarden/#voorbeeld","title":"Voorbeeld","text":"
Contractvoorwaarden gemeente Amsterdam
Europese Inkoopvoorwaarden Hoog Risico
Europese Inkoopvoorwaarden Laag Risico
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/menselijke_tussenkomst/","title":"Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarGebruikerAanbiederMenselijke controleGovernance
Algoritmes en AI-systemen worden vaak ingezet om beslissingen of besluitvorming van overheidsorganisaties te ondersteunen.
Als overheidsorganisaties beslissingen of besluiten nemen, kan dit rechtsgevolgen hebben voor een betrokkene of deze op een andere manier in aanmerkelijke mate treffen.
Algoritmes en AI-systemen zijn in de meeste gevallen niet foutloos.
Daarom is het van belang dat deze output wordt gecontroleerd door een mens, zodat dit kan worden gecorrigeerd. Dit wordt 'menselijke tussenkomst' genoemd.
Er is sprake van menselijke tussenkomst wanneer het menselijke toezicht op beslissingen of besluitvorming betekenisvol of zinvol is, en niet slechts symbolisch is.
Menselijke tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om een beslissing of besluit te veranderen.
Als een automatisch gegenereerde aanbeveling van een algoritme of AI-systeem (output) praktisch gezien standaard wordt overgenomen (bijvoorbeeld door deze al klikkend te accepteren), is er geen sprake meer van betekenisvolle menselijke tussenkomst. Hier is meer voor nodig.
Het is van belang dat in een vroeg stadia wordt vastgesteld, bijvoorbeeld in de ontwerpfase, welke vormen van menselijke tussenkomst moeten worden ingezet en passend zijn gezien de specifieke algoritmische toepassing of AI-systeem. Dit kan worden gedaan op basis van uit te voeren risico analyses.
In het geval van het uitoefenen van 'gebonden bevoegdheden', waarbij er weinig of geen beoordelingsruimte is om de beslissing of het besluit te wijzigen, kan het zijn dat menselijke tussenkomst geen meerwaarde heeft en kan worden volstaan met de automatisch gegenereerde output.
Hierbij kan worden gedacht aan het opleggen van een boete in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Wahv) of het bijstellen van de hoogte van het recht op studiefinanciering op basis van veranderingen in het inkomen van een van de ouders.
Er zullen technische en organisatorische maatregelen moeten worden getroffen om menselijke tussenkomst in te richten.
Dit is ook het geval als een (externe) aanbieder algorimtes of AI-systemen levert. De gebruiksverantwoordelijke zal dan samen met aanbieder moeten onderzoeken hoe menselijke tussenkomst betekenisvol moet worden ingericht.
"},{"location":"maatregelen/menselijke_tussenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-10 - Recht op niet geautomatiseerde besluitvorminggrw-01 - Beschermen van fundamentele rechten en vrijhedenaia-24 - Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemawb-1 - Relevante feiten en belangen zijn bekendaia-09 - Toezichtmogelijkheden voor gebruikers"},{"location":"maatregelen/menselijke_tussenkomst/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algoritmes Algemene Rekenkamer, 2.01 Onderzoekskader Algoritmes Auditdienst Rijk, SV.05 Advies over geautomatiseerde selectietechniek Pels Rijcken, p.9 Kamerstukken IT 2017-2018, 34 851, nr. (MvT UAVG), p. 120-121 Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst/#voorbeeld","title":"Voorbeeld","text":"
HvJEU december 2023, ECLI:EU:C:2023:957 (SCHUFA Scoring)
"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/","title":"Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument","text":"
ProbleemanalyseOntwikkelenMonitoring en beheerBehoeftestellerProceseigenaarInkoopadviseurGovernancePublieke inkoop
Dit punt is onderdeel van een procesinrichting bij de gebruiksverantwoordelijke of gebruiker van het altgoritme of AI-systeem en zou technisch gefaciliteerd moeten kunnen worden. Het inrichten van menselijke tussenkomst ligt niet enkel bij de aanbieder en kan contractueel niet enkel bij de aanbieder worden neergelegd. Overweeg om een waarschuwingsplicht te expliciteren, in geval de aanbieder ziet dat geautomatiseerde besluiten aan geautomatiseerde berichtgeving is gekoppeld zonder menselijke tussenkomst. Ook dan ligt het in beginsel bij de gebruiksverantwoordelijke, maar maken de omstandigheden een grijzer gebied.
"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-10 - Recht op niet geautomatiseerde besluitvorming"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/menselijke_tussenkomst_projectplan_en_dchargedocument/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/","title":"Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt","text":"
OntwerpMonitoring en beheerProceseigenaarPrivacy officerInkoopadviseurPublieke inkoopPrivacy en gegevensbescherming
Inventariseer of er mogelijk sprake is van een algoritme of AI-systeem dat een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst.
Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst.
"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/model-verwerkersovereenkomst_onderdeel_aanbesteding/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/","title":"Neem technische documentatie op in het algoritmeregister","text":"
OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProceseigenaarPrivacy officerData scientistData engineerBeleidsmedewerkerTransparantie
Met het opstellen van technische documentatie over algoritmes en AI-systemen wordt belangrijke informatie vastgelegd die moet worden opgenomen of kan worden opgenomen in het Algoritmeregister. De Handreiking Algoritmeregister en de Publicatiestandaard van het register kan worden geraadpleegd om te bepalen of en welke informatie van een algoritme of AI-systeem moet worden gepubliceerd. Door dit goed af te stemmen kan hergebruik worden gemaakt van al gedocumenteerde informatie.
"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister"},{"location":"maatregelen/neem_technische_documentatie_in_algoritmeregister/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Handreiking Algoritmeregister Publicatiestandaard"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/","title":"Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.","text":"
Door de vereiste op te nemen als subgunningscriteria, ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden. In de context van algoritmes en AI is dit in het bijzonder relevant, bijvoorbeeld in relatie tot vereisten als non-discriminatie, eerbiedigen privacyrechten of het verbod op schenden auteursrechten. Door vereisten te vertalen naar een subgunningscriteria, kan een inhoudelijke beoordeling worden gemaakt in hoeverre een aanbieder hier invulling aan geeft.
"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-28 - Recht op uitleg AI-besluitenaut-01 - Auteursrechten mogen niet worden geschondendat-01 - Verbod op schenden databankenrechtenaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-01 - Bevorder AI-geletterdheid van personeel en gebruikersaia-18 - Corrigerende maatregelen voor non-conforme AIavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensgrw-01 - Beschermen van fundamentele rechten en vrijhedenaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-29 - Beoordeling van grondrechtengrw-02 - AI-systemen en algoritmes mogen niet discriminerenavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-11 - Privacy door ontwerpavg-10 - Recht op niet geautomatiseerde besluitvormingaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-09 - Toezichtmogelijkheden voor gebruikersaia-08 - Transparantie in ontwerp voor hoog-risico AIavg-07 - Transparantie bij verwerking persoonsgegevensaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/neem_vereiste_op_als_subgunningscriteria/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/","title":"Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt","text":"
OntwikkelenVerificatie en validatieProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop
Maak in de beoordelingsmatrix, beoordeling, beoordelingsproces en/of werkwijze van beoordelingscommissies helder op welke wijze c.q. volgens welk proces wordt omgegaan met mogelijke onvermijdelijk resterende auteursrechtelijke risico's, het vaststellen van de onvermijdelijkheid en hoe deze resterende risico's in de beoordeling werking hebben of kunnen hebben.
Het is van belang dat de resterende risico's inzichtelijk zijn gemaakt, zodat aanbieder en gebruiksverantwoordelijke maatregelen kunnen treffen en handelen als dit nodig is.
"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/omgaan_restrisico%27s_aanbiede_onderdeel_beoordelingsmaatrix/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/","title":"Bepaal waarom we gebruik willen maken een algoritme","text":"
Bepaal waarom het gewenst of nodig is om een algoritme in te zetten, en of er ook alternatieven zijn om het probleem op te lossen. Documenteer de onderbouwing waarom een algoritme een betere oplossing zou bieden dan een niet-geautomatiseerd of niet-digitaal proces.
Maak een bewuste afweging of een algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen, en documenteer deze afweging.
"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/onderbouwen_gebruik_algoritme/#risico","title":"Risico","text":"
Het algoritme is niet het juiste middel om het probleem op te lossen. Het risico daarbij bestaat dat het probleem niet wordt opgelost.
"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/","title":"Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.","text":"
Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.
Interne vastgestelde beleidskaders moeten worden toegepast bij het ontwikkelen, inkopen of gebruiken van algoritmes en AI-systemen.
Het is van belang dat tijdig, bijvoorbeeld in de probleemanalyse fase, inzichtelijk wordt gemaakt welke interne beleidskaders moeten worden toegepast.
Hierbij kan worden gedacht aan definities die moet worden gehanteerd, het naleven van inkoopbeleid, strategisch beleid volgen met betrekking tot het mogen inzetten van algoritmes en AI-systemen binnen de organisaties of het doorlopen van processen en protocollen die moeten worden toegepast.
Vraag de betrokken experts welke beleidskaders van toepassing zijn vanuit diens specifieke expertise.
Ten behoeve van controles en audits is het van belang dat aantoonbaar wordt gemaakt dat de vastgestelde beleidskaders zijn nageleefd.
## Bijbehorende vereiste(n)
Vereisteawb-1 - Relevante feiten en belangen zijn bekendaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-37 - Melden van ernstige incidentenaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingavg-11 - Privacy door ontwerpaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIgrw-01 - Beschermen van fundamentele rechten en vrijhedenbio-01 - Beveiliging informatie en informatiesystemenavg-09 - Privacyrechtengrw-02 - AI-systemen en algoritmes mogen niet discriminerenaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-09 - Toezichtmogelijkheden voor gebruikersaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-20 - Verstrekking van informatie op verzoek"},{"location":"maatregelen/pas_vastgestelde_beleidskaders_zijn_nageleefd/#risico","title":"Risico","text":"
De in te zetten algoritmes of AI-systemen voldoen niet aan vastgestelde beleidskaders.
"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/","title":"Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.","text":"
Het is van belang dat een proces wordt ingericht waarmee periodiek de kwaliteit van algoritmes of AI-systemen wordt ge\u00ebvalueerd.
Bij kwaliteit van een algoritme of AI-systeem kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid (geschiktheid) en non-discriminatie.
Hieronder vallen het analyseren en evalueren van ingediende klachten en incidenten.
Na verloop van tijd kan de accuraatheid van machine learning modellen bijvoorbeeld wijzigen of kan het gebeuren dat bepaalde groepen (indien van toepassing) anders worden behandeld.
Het is van belang dat monitoringsactiviteiten worden ingericht om deze kwaliteitsaspecten tijdig te beoordelen.
Als er ongewenste wijzigingen plaatsvinden met betrekking tot de kwaliteit, moeten die worden ge\u00ebvalueerd en zullen maatregelen moeten worden getroffen om deze te herstellen.
Het proces moet er voor zorgen dat de juiste experts of stakeholders worden betrokken bij het proces van evaluatie en het treffen van passende maatregelen.
Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
Zonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing, beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden in het algoritme of AI-systeem.
"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekendaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriagrw-01 - Beschermen van fundamentele rechten en vrijhedenaia-29 - Beoordeling van grondrechtengrw-02 - AI-systemen en algoritmes mogen niet discriminerenaut-01 - Auteursrechten mogen niet worden geschondenaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-09 - Toezichtmogelijkheden voor gebruikersavg-04 - Proportionaliteit en subsidiariteitdat-01 - Verbod op schenden databankenrechtenaia-23 - Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningaia-24 - Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemavg-05 - Juistheid en actualiteit van gegevensaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.16, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.08 Algoritmekader"},{"location":"maatregelen/periodieke_evaluatie_kwaliteit/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/","title":"Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieProceseigenaarInformatie analistData engineerPrivacy officerPrivacy en gegevensbescherming
Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt en om welke categorie persoonsgegevens het gaat. Het principe van dataminimalisatie is toegepast, zodat het minimum aantal persoonsgegevens wordt verwerkt om het beoogde doel te bereiken.
Er is een overzicht opgesteld welke persoonsgegevens mogen worden verwerkt mogen worden verwerkt.
Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het gaat.
Per kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor het ontwikkelen en gebruiken van het algoritme of AI-systeem.
Het principe van dataminimalisatie is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan achterwege kan blijven.
Voor het beschermen van deze persoonsgegevens wordt per kenmerk aangegeven op welke manier deze kan worden beschermd (anonimiseren, pseudonomiseren, aggregeren).
Een DPIA kan worden gebruikt om bovenstaande activiteiten uit te voeren.
"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-04-proportionaliteit-en-subsidiariteit.md"},{"location":"maatregelen/persoonsgegevens_die_worden_verwerkt_zijn_beschreven/#risico","title":"Risico","text":"
Het algoritme of AI-systeem verwerkt persoonsgegevens die het niet mag verwerken.
"},{"location":"maatregelen/politiek-bestuurlijk_besluit/","title":"Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.","text":"
OrganisatieverantwoordelijkhedenVerificatie en validatieProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederGovernanceTransparantie
Door een politiek-bestuurlijk besluit te nemen over de inzet of be\u00ebindiging van een impactvol algoritme of hoog risico AI-systeem, wordt een afweging en keuze gemaakt over de wenselijkheid, haalbaarheid, transparantie en eventueel de mate van onbewuste vooringenomenheid van het betreffende algoritme of AI-systeem.
Impactvolle algoritmes en hoog risico AI-systemen bevatten aspecten die vragen om politieke afwegingen, en niet enkel door de ambtelijke organistie mogen worden beoordeeld.
Een voorbeeld van een politiek afweging is wanneer er wel of geen sprake is van een gerechtvaardigd onderscheid wat wordt gemaakt door een algoritme of AI-systeem.
Het is van belang dat overheidsorganisaties een politiek-bestuurlijk kader opstellen waarin wordt beschreven hoe wordt omgegaan met dergelijke gevallen.
Een openbaar besluit draagt bij aan de legitimiteit van de inzet van het algoritme of AI-systeem en de controleerbaarheid van de overheidsorganisatie.
"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekendaia-08 - Transparantie in ontwerp voor hoog-risico AIawb-02 - Een besluit berust op een deugdelijke motivering"},{"location":"maatregelen/politiek-bestuurlijk_besluit/#risico","title":"Risico","text":"
De ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen bij de inzet of be\u00ebindiging van het gebruik van impactvolle algoritmes en AI-systemen, terwijl deze daar niet toe bevoegd is.
Besluit College van Burgemeester en Wethouders Gemeente Amsterdam
"},{"location":"maatregelen/publiceren_in_algoritmeregister/","title":"Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantie
De regering wil dat de overheid algoritmes en AI-systemen verantwoord gebruikt. Mensen moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen van de samenleving.
Wanneer de overheid open is over algoritmes en hun toepassing, kunnen burgers, organisaties en media haar kritisch volgen.
Impactvolle algoritmes en hoog risico AI-systemen moeten daarom worden gepubliceerd in het Algoritmeregister.
In het Algoritmeregister moet uitleg zijn over hoe algoritmes en AI-systemen, of het proces wat hiermee wordt ondersteund werkt.
Er is een Handreiking Algoritmeregister opgesteld met informatie over het publiceren van algoritmes en AI-systemen in het Algoritmeregister.
De Algoritmeregister Publicatiestandaard kan overheidsorganisaties ondersteunen bij het helpen invullen van het Algoritmeregister.
Er zijn gevallen waarin het publiceren van algoritmes of AI-systemen in het Algoritmeregister achterwege moet blijven. Deze gevallen zijn beschreven in de Handreiking van het Algoritmeregister.
Impactvolle algoritmes en hoog risico AI-systemen moet al tijdens de ontwikkeling ervan worden gepubliceerd in het Algoritmeregister.
"},{"location":"maatregelen/publiceren_in_algoritmeregister/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisteraia-08 - Transparantie in ontwerp voor hoog-risico AIavg-07 - Transparantie bij verwerking persoonsgegevensawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/publiceren_in_algoritmeregister/#risico","title":"Risico","text":"
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.
Gemeente Groningen, Algoritmeregister: Eerste Hulp bij Geldzaken|
Gemeente Amsterdam, Algoritemregister: Blurring as a Service|
Juryrapport Best Beschreven Algoritme |
"},{"location":"maatregelen/richt_formeel_wijzigingenproces_in/","title":"Richt een wijzigingenproces in voor codewijzigingen","text":"
OntwerpOntwerpOntwikkelenImplementatieMonitoring en beheerProjectleiderProceseigenaarProceseigenaarData scientistData engineerSecurity officerTechnische robuustheid en veiligheidGovernance
Bij het inrichten van een proces om wijzigingen aan de code te mogen aanbrengen, kunnen aan de volgende elementen worden gedacht:
Wijzigingen dienen van te voren te worden geautoriseerd door de systeemeigenaar of product owner. (BIO 12.1.2)
Wijzigingen worden getest in een andere omgeving dan de productieomgeving. (BIO 12.1.4, 14.2.3, 14.2.9, 14.3.1)
Wijzigingen worden door de systeemeigenaar of product owner goedgekeurd op basis van gedocumenteerde testresultaten en pas daarna doorgevoerd in de productieomgeving. (BIO 12.1.2, 14.2.2, 14.2.9)
Er dient functiescheiding te zijn ingericht tussen het aanvragen, goedkeuren en doorvoeren van wijzigingen om onbevoegde en onbedoelde wijzigingen te beperken. (BIO 6.1.2, 14.2.2)
Er dient periodiek controle plaats te vinden op wijzigingen aan het systeem, zodanig dat oneigenlijke wijzigingen worden gesignaleerd. (BIO 9.4.4, 12.4.1)
Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten van het algoritme.
OrganisatieverantwoordelijkhedenProjectleiderProceseigenaarProceseigenaarInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernance
Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.
Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij toegang en gebruik van het algoritme, de data of de uitkomsten van een algoritme.
Bij het inrichten van gebruikersbeheer moeten aan de volgende elementen worden gedacht:
Gebruikers en beheerders krijgen slechts toegang tot functionaliteit die zij uit hoofde van hun functie nodig hebben (need to know, need to use). Daartoe is een beschrijving beschikbaar welke rollen en rechten per applicatie bij een functie horen (BIO 6.1.2, 9.2.2 en 9.4).
Het verlenen en muteren van accounts en toegangsrechten vindt plaats na goedkeuring door een bevoegde functionaris. Dit aan de hand van een actueel mandaatregister waaruit blijkt welke personen beslissende bevoegdheden hebben voor het verlenen van een bepaald type (niveau) toegangsrechten danwel functieprofielen (BIO 9.2.1.2, 9.2.2.1, 9.4).
Er bestaat functiescheiding tussen het aanvragen, autoriseren en doorvoeren van wijzigingen in gebruikersaccounts en toegangsrechten (BIO 9.2.1.2, 9.2.2.1, 9.2.3).
Functiewijzigingen en uitdiensttredingen worden bewaakt voor aanpassen van de toegangsrechten en voor intrekken van de identiteits- en authenticatiemiddelen (BIO 9.2.2, 9.2.6).
Het aantal accounts met verhoogde rechten is beperkt en verklaard, en staat in logische verhouding tot de beheerders en of ICT-afdeling (BIO 9.1.2.(1), 9.2.3, 9.2.4).
Gebruikersaccounts en beheeraccounts dienen altijd persoonsgebonden en verklaard te zijn, zodat handelingen altijd te herleiden zijn naar \u00e9\u00e9n verantwoordelijke (BIO 9.1, 9.4.2).
Eindgebruikers hebben geen directe toegang tot de onderliggende componenten (zoals de database) (BIO 9.2.3, 13.1.3).
Toegangsrechten op onderliggende componenten dienen periodiek, minimaal jaarlijks, ge\u00ebvalueerd te worden. Dit interval dient te zijn beschreven in het toegangsbeleid en zijn bepaald op basis van het risiconiveau. De uitkomsten van de evaluatie en de opvolging daarvan worden vastgelegd (BIO 9.2.5).
Voor deze maatregelen is het van belang om aandacht te hebben voor de volgende zaken:
Autorisatiematrix en beschrijving rollen/rechten per systeem(laag)
Lijst met wijzigingen rollen en bijbehorende goedkeuringen
Er bestaan meerdere risico's wanneer er geen gebruikersbeheer is: - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme hebben die zij niet zouden mogen hebben. - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd aan het algoritme, de data of de uitkomsten van het algoritme. - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke persoon.
Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige manier.
Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden toegepast:
Alle wachtwoorden van gebruikers en beheerders dienen periodiek te worden gewijzigd, met een maximum van 1 jaar (BIO 9.4.3). Initi\u00eble wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van 24 uur en moeten bij het eerste gebruik worden gewijzigd.
Voor toegang vanuit een onvertrouwde omgeving dient twee-factor authenticatie te worden gebruikt (BIO 9.4.2.1). Als er geen gebruik wordt gemaakt van two-factor authenticatie, is de wachtwoordlengte minimaal 8 posities en complex van samenstelling. In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.
Na een periode van maximaal 15 minuten inactiviteit dient de toegang tot de applicatie te worden vergrendeld en na 10 foutieve inlogpogingen dient het account geblokkeerd te worden (BIO 11.2.9, BIO 9.4.3). De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
Wachtwoorden mogen niet in originele vorm (plaintext) worden opgeslagen, maar dienen versleuteld te worden. (NIST 5.1.1.2)
De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.
Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat het wachtwoord te eenvoudig is.
"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/","title":"Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerProceseigenaarAanbestedingsjuristInkoopadviseurOpdrachtnemerBehoeftestellerTechnische robuustheid en veiligheidGovernancePublieke inkoop
Stel vast of een leverancier voldoet aan de Baseline Informatiebeveiliging Overheid.
Bespreek de informatiebeveiligingseisen met een eventuele leverancier die verband houden met de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en de informatiesystemen.
Bepaal of er, mede gezien de inzet van algoritmes en AI-systemen, aanvullende beveiligingsmaatregelen (door de leverancier of opdrachtgever) moeten worden getroffen om deze te beschermen.
Wanneer een (externe) leverancier beveiligingseisen niet op orde heeft, is er een risico op de BIV (beschikbaarheid, integriteit en vertrouwelijkheid) van het algoritme en/of de data.
"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebio-01 - Beveiliging informatie en informatiesystemen"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, BIO 15.1.1.1 Onderzoekskader Algoritmes Auditdienst Rijk, IB.29"},{"location":"maatregelen/risico-analyse_informatiebeveiliging_leverancier/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output","text":"
OntwikkelenMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurContractbeheerderAanbestedingsjuristPublieke inkoop
Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de output van het algoritme of AI-systeem en dat hij dit gedurende de ontwikkeling en levensduur actief bewaakt.
Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. oor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.
Het is moeilijk om te bepalen wanneer en of de output van een algoritme of AI een inbreuk maakt op auteursrechten. Reden hiervoor is dat onduidelijk is of de uiteindelijk gegenereerde output naar auteursrechtelijke maatstaven (of in andere gevallen: naar maatstaven van andere intellectuele-eigendomsrechten, zoals databankenrechten, merkrechten of modelrechten) voldoende afstand houdt van (onder andere) de originele werken die ooit aan de training van de generatieve AI-tool ten grondslag hebben gelegen. Is dat niet het geval, dan kan bij veel vormen van gebruik van de output immers sprake zijn van een inbreuk op intellectuele eigendomsrechten.
"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Advies Landsadvocaat Pels Rijcken over het gebruik van generatieve AI-tools door medewerkers van de Staat"},{"location":"maatregelen/schending_auteursrechten_output_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/","title":"Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata","text":"
OntwerpMonitoring en beheerProceseigenaarBehoeftestellerInkoopadviseurAanbestedingsjuristContractbeheerderPublieke inkoop
Neem in de conceptovereenkomst op dat de aanbieder garandeert dat auteursrechten met de verwerkte of te verwerken trainingsdata niet zullen worden geschonden en deze dit gedurende de ontwikkeling en levensduur actief bewaakt.
Laat de aanbieder die actieve bewaking in zijn aanbieding omschrijven en neem het op in de beoordeling. Voor zover van toepassing, laat deze omschrijving helder onderscheid maken in bewaking tijdens ontwikkeling (richting aan de maker), selectie (richting aan de koper), gebruik (richting aan de gebruiker/exploitant) en/of de output (richting aan het algoritme/AI-systeem). Dit kan aanvullend als specialis op bijvoorbeeld voorwaarden die in de ARBIT of ARVODI zijn opgenomen.
"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaut-01 - Auteursrechten mogen niet worden geschonden"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#bronnen","title":"Bronnen","text":"Bron ARVODI (24.7) en ARBIT (art 8.5 & 8.6) Algoritmekader"},{"location":"maatregelen/schending_auteursrechten_trainingsdata_onderdeel_conceptovereenkomst/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/security_by_design/","title":"Pas het principe van security by design toe","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerProjectleiderInformatiebeheerderSecurity officerTechnische robuustheid en veiligheidGovernanceTransparantieMenselijke controle
Hanteer principes van \u2018security by design\u2019 (informatiebeveiligingsmaatregelen) als uitgangspunten bij de ontwikkeling van het algoritme. Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes kunnen interviews met de ontwikkelaar en software-architecten helpen.
Security by design is gehanteerd en terug te zien als uitgangspunt. (BIO 14.2.1.1)
Security by design benadrukt het belang van het in een vroeg stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd. In een vroeg stadium nadenken over security betekent dat vroeg al de benodigde expertise wordt betrokken, zoals een security-officer.
Wanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet voldoende rekening wordt gehouden met vastgestelde security-by-design principes kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme, de data of uitkomsten van het algoritme.
"},{"location":"maatregelen/security_by_design/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistebio-01 - Beveiliging informatie en informatiesystemenavg-12 - Beveiliging van de verwerkingavg-12 - Beveiliging van de verwerkingaia-07 - Automatische logregistratie voor hoog-risico AI"},{"location":"maatregelen/security_by_design/#bronnen","title":"Bronnen","text":"Bron Baseline Informatiebeveiliging Overheid, (BIO 14.2.1.1) Onderzoekskader Algoritmes Auditdienst Rijk, IB.28 Toetsingskader Algoritmes Algemene Rekenkamer, 4.09"},{"location":"maatregelen/security_by_design/#voorbeeld","title":"Voorbeeld","text":"
Stel vast welke documenten, data of informatie van het algoritme of het AI-systeem gelden als archiefbescheiden. Formeer een multi-discipinaire groep (bestaande uit bv. een inkoper, ontwikkelaar, data scientist en archief deskundige) om deze maatregel toe te passen.
Hierbij kan worden gedacht aan de broncode, trainings- en testdata, (technische) documentatie en de output. Overleg hierover met de verantwoordelijke binnen de organisatie voor het toepassen van de Archiefwet.
"},{"location":"maatregelen/stel_archiefbescheiden_vast/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereistearc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemen"},{"location":"maatregelen/stel_archiefbescheiden_vast/#bronnen","title":"Bronnen","text":"Bron Toetsingskader Algemene Rekenkamer 4.01"},{"location":"maatregelen/stel_archiefbescheiden_vast/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/stopzetten_gebruik/","title":"Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerData engineerData scientistInformatiebeheerderPrivacy officerSecurity officerEthicusInkoopadviseurContractbeheerderGovernance
Er moet in een proces zijn beschreven wanneer het gebruik van algoritmes en AI-systemen moet worden stopgezet.
Het is van belang dat bij het ontwerp van algoritmes en AI-systemen er rekening wordt gehouden met dat het werkproces ook zonder het algoritme of AI-systeem kan worden uitgevoerd.
Als blijkt dat het algoritme of AI-systeem ongewenst functioneert, dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik daadwerkelijk kan worden stopgezet. Denk hierbij aan een stopknop en werkinstructies hoe het gebruik kan worden be\u00ebindigd.
Maak aantoonbaar dat deze maatregelen zijn getroffen.
De proceseigenaar of een menselijk toezichthouder moet in staat zijn om het algoritme of AI-systeem op elk moment te kunnen be\u00ebindigen.
Het stopzetten van het gebruik van een algoritme mag niet tot gevolg hebben dat betrokkenen niet meer kunnen achterhalen hoe besluiten tot stand zijn gekomen of dat gevolgen niet meer kunnen worden gecorrigeerd als dat noodzakelijk is.
Betrokkenen of belanghebbenden kunnen nadelige gevolgen ondervinden van een algoritme of AI-systeem dat onjuist functioneert en niet tijdig kan worden stopgezet.
"},{"location":"maatregelen/stopzetten_gebruik/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekendaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIgrw-01 - Beschermen van fundamentele rechten en vrijhedenaia-29 - Beoordeling van grondrechtengrw-02 - AI-systemen en algoritmes mogen niet discriminerenaut-01 - Auteursrechten mogen niet worden geschondenaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-09 - Toezichtmogelijkheden voor gebruikersavg-04 - Proportionaliteit en subsidiariteitaia-23 - Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningaia-24 - Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeemavg-05 - Juistheid en actualiteit van gegevensaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen"},{"location":"maatregelen/stopzetten_gebruik/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.18, SV.17 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/stopzetten_gebruik/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/toepassen_risicobeheer/","title":"Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.","text":"
Bepaal tijdig, bijvoorbeeld in de probleemanalyse- of ontwikkelfase, om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie hierbij hoort.
Bepaal op basis van de toepassing en de risicoclassificatie, welke aspecten van risicobeheer moeten worden toegepast.
Inventariseer tijdig, bijvoorbeeld in de probleemanalayse- of ontwikkelfase, bij betrokken experts welke beleidskaders en instrumenten binnen de organisatie moeten worden ingezet om risicobeheer toe te passen.
Bepaal op basis van de levenscyclus van een algoritme of AI-systeem wanneer welke aspecten van risicobeheer moeten worden toegepast.
Maak inzichtelijk op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en gebruiken van algoritmes en AI-systemen.
Daarbij gaat het om het identificeren, analyseren, evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a. maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's.
Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer periodiek wordt toegepast.
Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.
Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.
"},{"location":"maatregelen/toepassen_risicobeheer/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/toepassen_risicobeheer/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, SV.13 Toetsingskader Algoritmes Algemene Rekenkamer, 1.03 Algoritmekader"},{"location":"maatregelen/toepassen_risicobeheer/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/","title":"Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst","text":"
Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden
"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-02 - Documentatie beoordeling niet-hoog-risico AIaia-03 - Verplicht risicobeheersysteem voor hoog-risico AIaia-04 - Risicobeoordeling voor jongeren en kwetsbarenaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-06 - Technische documentatie voor hoog-risico AIaia-07 - Automatische logregistratie voor hoog-risico AIaia-08 - Transparantie in ontwerp voor hoog-risico AIaia-09 - Toezichtmogelijkheden voor gebruikersaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-11 - Kwaliteitsbeheersysteem voor hoog-risico AIaia-12 - Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13 - Bewaartermijn voor gegenereerde logsaia-14 - Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uitaia-15 - Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring opaia-16 - Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeemaia-17 - Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-18 - Corrigerende maatregelen voor non-conforme AIaia-19 - Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisenaia-20 - Verstrekking van informatie op verzoekaia-21 - Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordeningaia-28 - Recht op uitleg AI-besluitenaia-29 - Beoordeling van grondrechtenaia-30 - Transparantieverplichtingenaia-31 - Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenaia-32 - Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisicoaia-33 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bijaia-34 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-35 - Verdere verwerking van persoonsgegevens in AI-testomgevingenaia-36 - Monitoring na het in handel brengenaia-37 - Melden van ernstige incidentenaia-38 - Veilig melden van inbreuk op AI verordeningaia-39 - Klachtrecht aanbieders verder in AI-waardeketenbzk-01 - Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterarc-01 - De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01 - Auteursrechten mogen niet worden geschondenavg-01 - Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02 - Beperkte bewaartermijn van persoonsgegevensavg-03 - Persoonsgegevens verzamelen voor specifieke doeleindenavg-04 - Proportionaliteit en subsidiariteitavg-05 - Juistheid en actualiteit van gegevensavg-06 - Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07 - Transparantie bij verwerking persoonsgegevensavg-08 - Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09 - Privacyrechtenavg-10 - Recht op niet geautomatiseerde besluitvormingavg-11 - Privacy door ontwerpavg-12 - Beveiliging van de verwerkingavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personenawb-1 - Relevante feiten en belangen zijn bekendawb-02 - Een besluit berust op een deugdelijke motiveringbio-01 - Beveiliging informatie en informatiesystemendat-01 - Verbod op schenden databankenrechtengrw-01 - Beschermen van fundamentele rechten en vrijhedengrw-02 - AI-systemen en algoritmes mogen niet discriminerenwoo-01 - Eenieder heeft recht op toegang tot publieke informatie"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#bronnen","title":"Bronnen","text":"Bron Algoritmekader Contractvoorwaarden gemeente Amsterdam Europese Inkoopvoorwaarden Hoog Risico Europese Inkoopvoorwaarden Laag Risico"},{"location":"maatregelen/uitvoeren_audit_voor_naleving_vereiste/#voorbeeld","title":"Voorbeeld","text":"
Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl
"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/","title":"Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarData scientistData engineerAanbiederPrivacy officerSecurity officerEthicusBeleidsmedewerkerPrivacy en gegevensbescherming
Verifieer of een DPIA is uitgevoerd over het werkproces dat wordt of zal worden ondersteund met een algoritme of AI-systeem. Zo nee, voer een risico analyse (DPIA) uit om de risico's voor de rechten en vrijheden van betrokkenen met de inzet van algoritmes en AI-systemen in beeld te brengen.
Organisatorische en technische maatregelen moeten worden getroffen om persoonsgegevens bij de ontwikkeling en het gebruik van het algoritme of AI-systeem te beschermen.
Beleg de mitigerende maatregelen bij betrokken actoren. Denk bijvoorbeeld aan het toekennen van de maatregelen als anonimiseren en pseudonimiseren van persoonsgegevens aan een data engineer, voordat deze kunnen worden gebruikt ten behoeve van het ontwikkelen of controleren van het algoritme of AI-systeem.
Bepaal welke maatregelen moeten zijn gerealiseerd voordat mag worden gestart met de verwerking van de persoonsgegevens en welke moeten worden gemonitord.
Monitor de voortgang op het realiseren van de maatregelen en zorg voor bewijsstuken als deze zijn gerealiseerd. Deze bewijsstukken kunnen onderdeel worden van een audit.
Als er een noodzaak is om na verloop van tijd meer persoonsgegevens te verwerken of om andere verwerkingen uit te voeren, zal opnieuw een beoordeling moeten plaatsvinden of er privacyrisico's ontstaan en hoe deze kunnen worden gemitigeerd. Gedurende de levenscyclus van het algoritme of AI-systeem moet aandacht blijven voor het uitvoeren van de risicoanalyse voor privacyrisico's.
Bij hoge risico's voor het verwerken van persoonsgegevens is een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens onder artikel 36 AVG verplicht. Bepaal of raadpleging noodzakelijk is.
"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-13 - Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#risico","title":"Risico","text":"
Privacyrisico's met de inzet van algoritmes en AI-systemen worden niet gemitigeerd, waardoor privacyrechten van betrokkenen worden geschonden.
"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#bronnen","title":"Bronnen","text":"Bron Onderzoekskader Algoritmes Auditdienst Rijk, PRI.2, PRI.3 Toetsingskader Algoritmes Algemene Rekenkamer, 3.04, 3.13 Algoritmekader Besluit inzake lijst van verwerkingen van persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens Model DPIA Rijksdienst"},{"location":"maatregelen/uitvoeren_risicoanalyse_en_formuleren_mitigerende_maatregelen_voor_privacyrisico%27s/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_aanleveren_informatie_technische_documentatie/","title":"Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke","text":"
OntwerpMonitoring en beheerBehoeftestellerInkoopadviseurAanbiederPublieke inkoop
Bespreek met het projectteam welke onderdelen van de technische documentatie, als genoemd in de Bijlage 4 AI-verordening, van het algoritme of AI-systeem door welke partij (intern/extern) moeten worden ingevuld of aangevuld.
Bij publieke inkoop is het nodig duidelijke afspraken te hebben over wie dit document invult en welke informatie bij welke partij vandaan komt. De aanbieder zal een belangrijk deel van de technische documentatie moeten aanleveren, maar bij gebruik door de gebruiksverantwoordelijken zal deze informatie moeten worden aangevuld.
Hierbij is het van belang dat de documentatie aansluit bij de verschillende gebruikers van het systeem, waarbij rekening wordt gehouden met verschillende toepassingen of versies.
"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/","title":"De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding","text":"
OntwerpMonitoring en beheerProceseigenaarAanbiederBehoeftestellerInkoopadviseurContractbeheerderPublieke inkoop
Laat de aanbieder aangeven welke mate van kennisoverdracht en ondersteuning bij de organisatorische implementatie onderdeel is van de aanbesteding en in hoeverre deze als opleiding of training zelfstandig herhaald kan worden na implementatie als het systeem in productie c.q. in gebruik is.
Sommige algoritmen of AI-systemen zijn zeer specialistisch, hierbij is het van belang dat afspraken worden gemaakt in hoeverre ondersteuning bij het gebruik onderdeel is van de inkoop. Hierbij is ook van belang dit onderdeel geactualiseerd wordt gedurende de contractperiode i.v.m. de technologische ontwikkelingen.
"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-01 - Bevorder AI-geletterdheid van personeel en gebruikers"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_benodigde_kennisoverdracht_en_ondersteuning/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/","title":"Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen","text":"
OntwerpMonitoring en beheerAanbiederProceseigenaarInkoopadviseurPublieke inkoop
Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren training passend is voor het beoogde doel, waarbij de opdrachtgever vooraf inzicht geeft in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen tussen beiden.
"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#toelichting","title":"Toelichting","text":""},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-01 - Bevorder AI-geletterdheid van personeel en gebruikers"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_passend_trainingsniveau_door_aanbieder/#voorbeeld","title":"Voorbeeld","text":"
Heb jij een goed voorbeeld? Laat het ons weten!
"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/","title":"De rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)","text":"
OrganisatieverantwoordelijkhedenProceseigenaarGovernancePrivacy en gegevensbescherming
Het doel van vaststelling is dat de verantwoordelijke(n) de verantwoordelijkheid neemt en actief een keuze maakt om het algoritme of AI-systemen te (laten) ontwikkelen of gebruiken op de beoogde wijze en met de bijbehorende verantwoordelijkheden.
Hiermee worden afspraken geformaliseerd.
Vaststelling van de verantwoordelijkheden kan plaatsvinden door beleidsdocumenten, werkinstructies, verwerkersovereenkomst of een PIA/DPIA, mits de verantwoordelijkheden voldoende duidelijk zijn beschreven.
Vaststelling door de verantwoordelijke(n) is verplicht voorafgaand aan het (laten) ontwikkelen of gebruiken van algoritmes of AI-systemen.
Gedurende de levenscyclus kan het voorkomen dat rollen en verantwoordelijkheden opnieuw moet worden beschreven en vastgesteld.
Verwerking van persoonsgegevens - Bij het verwerken van persoonsgegevens moet nadat is vastgesteld wie in een samenwerking feitelijk het doel en middelen van een verwerking bepalen wordt vastgelegd wie de (gezamelijke) verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststeling van de rolverdeling volgen onder de AVG verschillende rechten en plichten. - Bij de ontwikkeling en gebruiken van algoritmes en AI-systemen is het denkbaar dat de noodzaak voor het verwerken van persoonsgegevens wijzigt en dat meer of andere verwerkingen moeten plaatsvinden. Het is van belang dat wederom wordt beoordeeld wat dit betekent voor de bijbehorende verantwoordelijkheden. Als er sprake is van een wezenlijke wijziging ten opzichte van de al vastgestelde situatie, bijvoorbeeld doordat er meer persoonsgegevens worden verwerkt door een andere partij, dan zal de verwerkingsverantwoordelijke opnieuw tot vaststelling moeten overgaan om de afspraken te formaliseren.
"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekend"},{"location":"maatregelen/vaststellen_rollen_en_verantwoordelijkheden/#risico","title":"Risico","text":"
Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen of gebruiken van algoritmes of AI-systemen.
"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/","title":"Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.","text":"
Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.
Het verschilt per typen algoritmen of AI-systemen welke vereisten hierop van toepassing is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. Dit is mede afhankelijk van de bijbehorende risicoclassificatie. Hiervoor kan in de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'. Deze stap is van groot belang, omdat dit ook bepalend is welke contractuele verplichtingen moeten worden gecre\u00eberd tussen opdrachtgever en opdrachtnemer/aanbieder.
"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-08 - Transparantie in ontwerp voor hoog-risico AIavg-04 - Proportionaliteit en subsidiariteitaia-06.4-documentatie-beoordeling-niet-hoog-risico-ai"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#bronnen","title":"Bronnen","text":"Bron Algoritmekader"},{"location":"maatregelen/vaststellen_typen_algoritme_of_AI-systeem_en_risicoclassificatie/#voorbeeld","title":"Voorbeeld","text":""},{"location":"maatregelen/vermelding_in_privacyverklaring/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederPrivacy en gegevensbescherming
Door in een privacyverklaring te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens.
Een privacyverklaring kan op organistieniveau worden opgesteld en ook voor specifieke verwerkingen.
In een privacyverklaring wordt in ieder geval het volgende opgenomen:
de identiteit en contactgegevens van uw organisatie. En ook die van vertegenwoordiger in de Europese Unie (EU), als deze er zijn.
de contactgegevens van de functionaris gegevensbescherming (FG), als een organistie deze heeft.
de doeleinden van de verwerking en de AVG-grondslag.
de (categorie\u00ebn van) ontvangers van de persoonsgegevens.
of de persoonsgegevens door worden geven buiten de EER of aan een internationale organisatie. En zo ja, op welke juridische grond.
de bewaartermijn van de gegevens.
de privacyrechten van de betrokkenen, zoals het recht op inzage, rectificatie en gegevens verwijderen.
het recht van de betrokkenen om de toestemming die zij voor een bepaalde verwerking hebben gegeven, altijd weer te mogen intrekken.
dat de betrokkenen een klacht kunnen indienen bij de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens (AP).
of de betrokkenen verplicht zijn de persoonsgegevens te verstrekken. En zo ja, waarom. Vermeld dan ook wat de gevolgen zijn als zij de gegevens niet verstrekken.
of er sprake is van geautomatiseerde besluitvorming, inclusief profilering. En zo ja, hoe deze beslissing wordt genomen.
als persoonsgegevens van een andere organisatie zijn ontvangen: de bron waar de persoonsgegevens vandaan komen. En of de gegevens afkomstig zijn van openbare bronnen.
Het is denkbaar dat in een specifieke privacyverklaring informatie over onderliggende logica van het algoritme of AI-systeem, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister wordt opgenomen.
Als ervoor wordt gekozen om het algoritme uit te faseren, dan moet informatie in het algoriteregister hierop worden aangepast.
"},{"location":"maatregelen/vermelding_in_privacyverklaring/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteavg-07 - Transparantie bij verwerking persoonsgegevens"},{"location":"maatregelen/vermelding_in_privacyverklaring/#risico","title":"Risico","text":"
Betrokkenen zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun privacyrechten.
"},{"location":"maatregelen/vermelding_in_verwerkingsregister/","title":"Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerUitfaserenProceseigenaarBeleidsmedewerkerPrivacy officerAanbiederTransparantiePrivacy en gegevensbescherming
Door in het verwerkingsregister te vermelden welke persoonsgegevens worden verwerkt voor het gebruik van een algoritme of AI-systeem, wordt een betrokkene ge\u00efnformeerd over de verwerking van diens persoonsgegevens
Hiermee is ook voor de organisatie intern inzichtelijk welke persoonsgegevens voor welke toepassingen worden verwerkt;
Het is van belang dat vanaf het moment dat persoonsgegevens worden verwerkt, meteen een vermelding hiervan wordt gemaakt in het verwerkingsregister;
Dat betekent dat als persoonsgegevens worden verwerkt bij het ontwikkelen en trainen van het algoritme of AI-systeem, en deze nog niet in gebruik zijn genomen, al een vermelding moet worden gedaan in het verwerkingsregister;
Bij be\u00ebindiging van het gebruik van het algoritme of AI-systeem, moet het verwerkingsregister worden aangepast.
## Bijbehorende vereiste(n)
Vereisteavg-07 - Transparantie bij verwerking persoonsgegevens"},{"location":"maatregelen/vermelding_in_verwerkingsregister/#risico","title":"Risico","text":"
Betrokkenen en de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt met een algoritme of AI-systeem, waardoor zij hier geen controle over hebben.
Blurring as a Service, Verwerkingsregister gemeente Amsterdam
"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/","title":"Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.","text":"
OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieProceseigenaarBeleidsmedewerkerInformatie analistJuristEthicusData engineerData scientistGovernanceTransparantie
Systemen die overheidsorganisaties inzetten voor bijvoorbeeld het verlenen van subsidies, vergunningen of bijstandsuitkeringen moeten de regels en processtappen volgen die in wetgeving zijn voorgeschreven.
Er is een vertaling nodig van deze regels en processtappen naar de uitvoering van het werkproces, het datagebruik en onderliggende systemen.
Algoritmes en AI-systemen moeten ook voldoen aan deze regels en processtappen.
Als algoritmes of AI-systemen worden ontwikkeld, moet worden onderzocht wat deze regels zijn en hoe deze moeten worden toegepast bij het ontwikkelen van algoritmes of AI-systemen.
Het moeten voldoen aan wetgeving en beleid kan dus in zekere zin 'begrenzend' werken op wat mag worden gedaan met algoritmes en AI-systemen. Dit is mede afhankelijk van de risico classificatie van de specifieke toepassing.
Voor algoritmes, bijvoorbeeld regelgebaseerde rekenregels, moet bijvoorbeeld nauwkeurig worden geprogrammeerd in welke gevallen welke bedragen moeten worden uitgekeerd voor een bijstandsuitkering.
Voor AI-modellen moet bijvoorbeeld worden vastgesteld of de trainingsdata wel tot stand is gekomen in lijn met wetgeving en vastgesteld beleid (datakwaliteit) en welke verbanden en patronen (inputvariabelen) al dan niet passend zijn bij het ondersteunen van wettelijke taken.
Er is een multidisciplinaire samenwerking nodig tussen de proceseigenaar, gebruikers, juristen, informatieanalisten en ontwikkelaar om deze vertaling zorgvuldig en doorlopend te maken.
Voorafgaand aan het (laten) ontwikkelen van een algoritme of AI-systeem moet dit zijn uitgevoerd.
De toegepaste 'business rules' en de verwerkte data voor de uitvoering van het te ondersteunen werkproces met algoritmes en AI-systemen moeten worden onderzocht en beoordeeld.
Diepgaande procesanalyses (Bv. BPMN niveau Analytisch) en procesbeschrijvingen kunnen hierbij ondersteunen.
Als blijkt dat een werkproces niet (meer) conform (gewijzigde) wetgeving of beleid wordt uitgevoerd, dan moet worden beoordeeld of de verworven data of welke deel van de data geschikt is voor het ontwikkelen een AI-model.
Het is dan raadzaam om de uitvoering van het betreffende werkproces en de werking van onderliggende systemen eerst te 'herstellen' en om hiermee een nieuw datafundament te cre\u00eberen (eerst een groot aantal zaken behandelen) die later als trainingsdata kan worden gebruikt.
"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteawb-1 - Relevante feiten en belangen zijn bekendaia-08 - Transparantie in ontwerp voor hoog-risico AIawb-02 - Een besluit berust op een deugdelijke motiveringaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteria"},{"location":"maatregelen/vertaling_wetgeving_beleid_naar_werkproces_systemen/#risico","title":"Risico","text":"
Een beslissing of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als geen goede vertaling wordt gemaakt van wetgeving naar het algoritme.
"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/","title":"Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.","text":"
Het is van belang om voorafgaand aan een aanbesteding vast te stellen of de data die noodzakelijk is om een algoritme of AI-systeem te ontwikkelen beschikbaar is, gaat worden en of de data van voldoende kwaliteit is. Het is van belang om te onderzoeken of en hoe data vanuit de eigen organisatie of die van een aanbieder beschikbaar kan worden gesteld, kan worden opgeslagen en er goedkeuring kan worden gegeven voor het verwerken van de data. De infrastructuur van de eigen organisatie en/of die van de aanbieder moeten van voldoende niveau zijn om de beoogde verwerkingen uit te kunnen voeren. Een dergelijke analyse levert inzichten op welke problemen er eventueel op dit vlak kunnen ontstaan.
"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-05 - Data van hoog-risico ai moet voldoen aan kwaliteitscriteria"},{"location":"maatregelen/voer_een_data_beschikbaarheid_kwaliteit_en_toegankelijkheidsanalyse_uit/#bronnen","title":"Bronnen","text":"Bron Towards a Systematic Understanding on the Challenges of Procuring Artificial Intelligence in the Public Sector"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/","title":"Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.","text":"
OntwerpOntwikkelenVerificatie en validatieImplementatieProceseigenaarInformatie analistData engineerPrivacy officerSecurity officerInkoopadviseurArchitectPrivacy en gegevensbescherming
Een Project Startarchitectuur (PSA) is een hulpmiddel dat bij een project wordt ingezet om veranderingen van A naar Beter te faciliteren.
De PSA richt zich daarbij op de kaders die op een project van toepassing zijn en wat de oplossing bijdraagt aan het realiseren van de gewenste, toekomstige architectuur, wat de implicaties zullen zijn voor bestaande voorzieningen en waar het project zal afwijken van bestaande beelden.
Met de PSA wordt een concreet en doelgericht ICT-architectuurkader opgesteld, waarbinnen het project moet worden uitgevoerd.
De PSA maakt concreet wat architectuur voor een project betekent.
Door een PSA uit te voeren ontstaan inzichten hoe het betreffende algoritme of AI-systeem zo optimaal mogelijk onderdeel kan worden gemaakt van het bestaande applicatielandschap, waarmee bijvoorbeeld kan worden voorkomen dat het algoritme of AI-systeem na verloop van tijd geen input meer kan ontvangen door onverwachte wijzigingen in systemen.
Onderwerpen als privacy, informatiebeheer en beheer worden hierin ook globaal meegenomen.
"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bijbehorende-vereisten","title":"Bijbehorende vereiste(n)","text":"Vereisteaia-10 - Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingawb-1 - Relevante feiten en belangen zijn bekendavg-11 - Privacy door ontwerp"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#risico","title":"Risico","text":"
Het algoritme of AI-systeem kan niet of na verloop van tijd niet meer functioneren, doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.
"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#bronnen","title":"Bronnen","text":"Bron Project Startarchitectuur,NORA PSA Format PSA Handleiding Algoritmekader"},{"location":"maatregelen/voer_een_project_startarchitectuur_uit/#voorbeeld","title":"Voorbeeld","text":"
Hulp bij het voorkomen van bias en discriminatie in algoritmes en AI. Met aanbevelingen en hulpmiddelen zoals het toetsingskader van het College voor de Rechten van de Mens.
Data
Hulp bij het verantwoord selecteren en verwerken van data voor je algoritmes en AI-systemen. Gebruik bijvoorbeeld de toolbox verantwoord datagebruik.
Duurzaamheid
Hulp bij het maken van duurzame keuzes voor hardware en software. Bijvoorbeeld voor de aanschaf van apparaten of het energieverbruik van trainen en data-opslag.
Governance
Hulp bij het verantwoordelijk omgaan met algoritmes en AI-systemen. Bijvoorbeeld het vastleggen van rollen en verantwoordelijkheden.
Fundamentele rechten
Hulp bij het beschermen van grondrechten en mensenrechten in algoritmes of AI. Bijvoorbeeld het beoordelen van de gevolgen per grondrecht.
Menselijke controle
Hulp bij de controle als mens over algoritmes en AI-systemen. Bijvoorbeeld kunnen ingrijpen bij onbetrouwbare resultaten.
Privacy en gegevensbescherming
Hulp bij verantwoord gebruik van gegevens voor algoritmes en AI-systemen, zoals persoonsgegevens en privacygevoelige gegevens.
Publieke inkoop
Hulp bij het publiek inkopen van software met algoritmen en AI. Met hulpmiddelen zoals modelcontracten en de PIANOo-handreiking Inkoop van algoritmes en AI.
Technische robuustheid en veiligheid
Hulp bij het bewaken van de prestaties van algoritmes en AI. En beveiliging van de systemen tegen bijvoorbeeld cyberaanvallen.
Transparantie
Hulp bij transparant zijn over algoritmes en AI-systemen, zoals gebruikers informeren en publiceren in het algoritmeregister.
"},{"location":"onderwerpen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"onderwerpen/bias-en-non-discriminatie/","title":"Bias en non-discriminatie","text":"
Algoritmes worden binnen de overheid veelvuldig ingezet om publieke taken uit te voeren. Dit biedt veel kansen, maar er zijn ook risico's aan verbonden. Hoewel algoritmes in sommige gevallen kunnen bijdragen aan het tegengaan van discriminatie, kan bias in het algoritme leiden tot een ongelijke en oneerlijke behandeling van burgers of groepen, en kan er sprake zijn van discriminerende effecten. In dit bouwblok van het algoritmekader besteden we aandacht aan de onderwerpen bias, eerlijkheid en non-discriminatie. We werken uit wat bias is, hoe bias kan ontstaan, hoe we dit kunnen signaleren, welke maatregelen er genomen kunnen worden om dit te voorkomen en geven we handvatten wat te doen wanneer een (onwenselijke) bias is gesignaleerd.
Hierbij is het goed om op te merken dat het omgaan met het thema bias gedurende het ontwikkelen, inkopen of gebruik van het algoritme vraagt om continue aandacht voor dit onderwerp. Het betreft geen probleem dat eenmalig kan worden weggenomen. Het vraagt voortdurend om reflectie op eerlijkheid en rechtvaardigheid van het systeem.
Dit bouwblok wordt uitgewerkt in vereisten die weergeven wat er vanuit wet- en regelgeving en bestaande toetsingskaders vereist is om bias en discriminatie tegen te gaan. Daarbij worden er suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen, en welke actoren daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten of maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd.
Door bij de ontwikkeling van algoritmes rekening te houden met vereisten die voorkomen uit wet- en regelgeving, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen.
De onderwerpen bias en non-discriminatie spelen daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#wat-is-discriminatie-en-bias","title":"Wat is discriminatie en bias?","text":""},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatie","title":"Discriminatie","text":"
Artikel 1 van de Nederlandse Grondwet verbiedt discriminatie:
Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
De prominente positie in de Grondwet benadrukt het belang van het mensenrecht in Nederland. De afgelopen jaren hebben incidenten in de praktijk de aandacht gericht op de discriminatoire effecten die algoritmes en AI-systemen kunnen hebben.
Bias is een Engelse term die in het Nederlands wordt vertaald als vooroordeel, vooringenomenheid of neiging. Omdat niet \u00e9\u00e9n van die termen helemaal de lading van het begrip bias dekt, maken we in het Algoritmekader gebruik van de term bias. De term bias heeft verschillende betekenissen afhankelijk van de context waarin het gebruikt wordt en de disciplines die daarbij betrokken zijn. Vaak wordt er naar bias gekeken als een technisch concept, maar het omvat daarnaast ook menselijke aspecten. We starten met een verduidelijking hoe het begrip bias in algoritmische context gebruikt wordt en hoe dit in verhouding staat tot discriminatie. Vervolgens maken we onderscheid tussen drie verschillende aspecten van bias: statistische bias, systemische bias en menselijke bias. Deze drie aspecten van bias kunnen los van elkaar bestaan, maar kunnen juist in combinatie met elkaar tot problemen leiden.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#bias-in-algoritmische-context","title":"Bias in algoritmische context","text":"
Het concept bias wordt in algoritmische context gedefinieerd als een systematisch verschil in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.1
Dit systematische verschil of onderscheid kan zowel op een directe als op een indirecte manier ontstaan.
De Algemene wet gelijke behandeling spreekt van direct onderscheid wanneer een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat.
De Algemene wet gelijke behandeling spreekt van indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid 2 of burgerlijke staat in vergelijking met andere personen bijzonder treft.
Een geconstateerd systematische onderscheid is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om aandacht en zorgvuldigheid. Het geconstateerde onderscheid kan in bepaalde situaties en onder bepaalde strikte voorwaarden gerechtvaardigd zijn. Voor direct onderscheid kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering die het gemaakte onderscheid toelaat. Voor indirect onderscheid geldt dat behalve een wettelijke uitzondering er ook een objectieve rechtvaardiging kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar kan zijn.
Het maken van een eventueel onderscheid is in sommige gevallen nauw verbonden met het gebruik van algoritmes en AI. Soms worden algoritmes en AI bijvoorbeeld juist ingezet om op een zo objectief mogelijke manier te bepalen welke groepen meer of minder belang hebben bij een andere behandeling. In deze gevallen zal er altijd na moeten worden gegaan of er sprake is van een objectieve rechtvaardiging voor het gemaakte onderscheid.
Wanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van een verboden direct of indirect onderscheid, ofwel discriminatie. Het algoritme of AI-systeem mag in dat geval niet gebruikt worden. Bias vormt daarmee een risico op discriminatie.
In de context van algoritmes en AI wordt de term unfairness gebruikt wanneer er sprake is van een ongerechtvaardigd onderscheid waarbij bepaalde groepen meer bevoordeeld worden dan andere.3 In de Nederlandse taal spreken we dan van oneerlijkheid of onrechtvaardigheid (of in positieve zin van respectievelijk fairness, eerlijkheid en rechtvaardigheid). Wanneer we het hebben over fairness hebben we het minder over de juridische kant van discriminatie en verboden onderscheid. Ook als er wel een objectieve rechtvaardiging bestaat voor een gemaakt onderscheid, kan afgevraagd worden of het gemaakte onderscheid ethisch wenselijk is.
Statistische bias wordt gedefinieerd als een consistente numerieke afwijking van een schatting ten opzichte van de werkelijke onderliggende waarde.1 Dit fenomeen kan in allerlei verschillende contexten plaatsvinden, niet alleen bij het gebruik van algoritmes of AI. Een voorbeeld is wanneer een bepaalde meting van een waarde niet goed gekalibreerd is en er sprake is van een consistente afwijking van de te meten waarde (bijvoorbeeld dat we consistent 10% hoger meten).
In de context van algoritmes en AI kan deze vorm van bias voorkomen wanneer er een steekproef wordt gebruikt die niet representatief is voor de populatie, en de schattingen op basis van de steekproef vervolgens systematisch afwijken van de werkelijke waarde in de gebruikte doelpopulatie. Statistische bias duidt op een systematische fout die gemaakt wordt door het algoritme. Deze fout kan hetzelfde zijn voor alle groepen en hoeft daardoor niet in alle gevallen te duiden op ongelijke behandeling of discriminerende effecten. Voorbeelden van statistische bias zijn meetfouten (measurement bias), foute data of data op een te simpele manier representeren (representatie bias).
We spreken van systemische bias wanneer bepaalde processen of systemen op zo'n wijze worden gebruikt dat bepaalde groepen bevoordeeld worden en andere groepen benadeeld worden. Dit is vaak geen bewuste vorm van vooringenomenheid, maar kan bijvoorbeeld ontstaan doordat de meerderheid bestaande regels of normen volgt, en het systeem geoptimaliseerd is op de meerderheid. Systemische bias heeft een sterk institutioneel karakter. Systemische bias wordt daarom ook wel institutionele vooringenomenheid genoemd. Deze vooroordelen zijn vaak verweven in de bredere cultuur en samenleving, en zitten daardoor ook in veel datasets. Een veel voorkomend voorbeeld van systemische bias is historische bias.
Menselijke bias omvat systematische fouten in het menselijk denken. Deze (onbewuste) menselijke vooroordelen zijn vaak impliciet van aard en hebben betrekking op de manier waarop een individu bepaalde informatie waarneemt en verwerkt om bijvoorbeeld een beslissing te nemen. In de context van algoritmes kan deze vorm van bias invloed hebben op de verzamelde data, op de wijze waarop het algoritme wordt geoptimaliseerd en de besluiten die door mensen worden genomen op basis van het algoritme. Voorbeelden van vormen menselijke bias zijn wanneer er voorkeur wordt geven aan de voorspellingen van een algoritme die reeds bestaande overtuigingen bevestigen (bevestigingsbias), of wanneer mensen de neiging hebben om voorkeur te geven aan suggesties die door het algoritme worden gedaan (automatiseringsbias)
"},{"location":"onderwerpen/bias-en-non-discriminatie/#overzicht-van-gebruikte-definities","title":"Overzicht van gebruikte definities","text":"
Onderstaand bieden we een overzicht van de gebruikte definities in het algoritmekader die betrekking hebben op het onderwerp bias en non-discriminatie.
Term of begrip Definitie Bron direct onderscheid indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat Algemene wet gelijke behandeling indirect onderscheid indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid2 of burgerlijke staat in vergelijking met andere personen bijzonder treft. Algemene wet gelijke behandeling discriminatie mensen anders behandelen, achterstellen of uitsluiten op basis van (persoonlijke) kenmerken. College voor de rechten van de mens directe discriminatie de ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader indirecte discriminatie wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader algoritmische fairness het vakgebied dat bestudeert hoe algoritmische systemen zich moeten gedragen om mensen eerlijk te behandelen, dat wil zeggen zonder discriminatie op grond van beschermde gevoelige kenmerken zoals leeftijd, geslacht, handicap, etnische of raciale afkomst, religie of geloofsovertuiging, of seksuele geaardheid The fairness handbook ground truth (NL vertaling?) waarde van de doelvariabele voor een bepaald item van gelabelde invoergegevens. 5 NEN-EN-ISO/IEC 22989:2023 en 4 etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader risicoprofiel Een verzameling van \u00e9\u00e9n of meer selectiecriteria op basis waarvan een bepaald risico op normovertreding wordt ingeschat en een selectiebeslissing wordt gemaakt. College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader groep deelverzameling van objecten in een domein die zijn gekoppeld omdat ze gemeenschappelijke kenmerken hebben. ISO/IEC TR 24027:2021 en 4"},{"location":"onderwerpen/bias-en-non-discriminatie/#verschillende-vormen-van-bias","title":"Verschillende vormen van bias","text":"
Omdat bias op verschillende manieren kan ontstaan, zijn er allerlei verschillende vormen van bias, die hieronder gedefinieerd worden. Deze lijst is niet uitputtend.
Begrip Definitie Bron automatiseringsbias de neiging van mensen om de voorkeur te geven aan suggesties van geautomatiseerde besluitvormingssystemen en om tegenstrijdige informatie te negeren die zonder automatisering is verkregen, zelfs als deze correct is ISO/IEC TR 24027:2021 en 4 data bias dataeigenschappen die, als ze niet worden aangepakt, leiden tot AI-systemen die beter of slechter presteren voor verschillende groepen ISO/IEC TR 24027:2021 en 4 statistische bias soort consistente numerieke afwijking in een schatting ten opzichte van de werkelijke onderliggende waarde, inherent aan de meeste schattingen ISO/IEC TR 24027:2021 en 4 historische bias verwijzend naar de langdurige vooroordelen die in de loop der tijd in de samenleving zijn gecodeerd. Verwant aan, maar verschillend van, vooroordelen in historische beschrijving, of de interpretatie, analyse en verklaring van de geschiedenis. Een veel voorkomend voorbeeld van historische vooringenomenheid is de neiging om de wereld te bekijken vanuit een Westers of Europees perspectief NIST, Towards a Standard for identifying and managing bias in artificial intelligence activiteitenbias een soort selectievooroordeel dat optreedt wanneer systemen/platforms hun trainingsgegevens krijgen van de meest actieve gebruikers, in plaats van minder actieve (of inactieve) gebruikers. NIST, Towards a Standard for identifying and managing bias in artificial intelligence versterkingsbias ontstaat wanneer de verdeling over voorspellingsoutputs scheef is in vergelijking met de prior-verdeling van het voorspellingsdoel. NIST, Towards a Standard for identifying and managing bias in artificial intelligence cognitieve bias een brede term die in het algemeen verwijst naar een systematisch patroon van afwijking van rationele oordeels- en besluitvorming. In vele decennia van onderzoek naar oordeelsvorming en besluitvorming is een grote verscheidenheid aan cognitieve vertekeningen ge\u00efdentificeerd, waarvan sommige adaptieve mentale snelkoppelingen zijn die bekend staan als heuristieken. NIST, Towards a Standard for identifying and managing bias in artificial intelligence bevestigingsbias soort menselijke cognitieve bias die de voorkeur geeft aan voorspellingen van AI-systemen die reeds bestaande overtuigingen of hypotheses bevestigen ISO/IEC TR 24027:2021 en 4 implementatie bias ontstaat wanneer systemen worden gebruikt als beslissingshulp voor mensen, omdat de menselijke tussenpersoon kan handelen op voorspellingen op manieren die meestal niet zijn gemodelleerd in het systeem. Het zijn echter nog steeds individuen die het gebruikte systeem gebruiken NIST, Towards a Standard for identifying and managing bias in artificial intelligence evaluatie bias ontstaat wanneer de test- of externe benchmarkpopulaties niet in gelijke mate de verschillende delen van de gebruikerspopulatie vertegenwoordigen of door het gebruik van prestatiemaatstaven die niet geschikt zijn voor de manier waarop het model zal worden gebruikt NIST, Towards a Standard for identifying and managing bias in artificial intelligence meetbias ontstaat wanneer kenmerken en labels benaderingen zijn voor gewenste grootheden, waarbij mogelijk belangrijke factoren worden weggelaten of groeps- of ingangsafhankelijke ruis wordt ge\u00efntroduceerd die leidt tot differenti\u00eble prestaties. NIST, Towards a Standard for identifying and managing bias in artificial intelligence representatie bias ontstaat doordat subgroepen niet willekeurig worden geselecteerd in een steekproef, waardoor trends die voor \u00e9\u00e9n populatie worden geschat, niet generaliseerbaar zijn naar gegevens van een nieuwe populatie NIST, Towards a Standard for identifying and managing bias in artificial intelligence"},{"location":"onderwerpen/bias-en-non-discriminatie/#discriminatiegrond","title":"Discriminatiegrond","text":"
De discriminatiegrond beschrijft de beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Deze gronden zijn in verschillende bronnen vastgelegd.
De Algemene wet gelijke behandeling legt een verbod onderscheid neer op grond van:
godsdienst
levensovertuiging
politieke gezindheid
ras
geslacht
nationaliteit
hetero- of homoseksuele gerichtheid 2
of burgelijke staat.
Het in deze wet neergelegde verbod van onderscheid geldt niet ten aanzien van indirect onderscheid indien dat onderscheid objectief gerechtvaardigd wordt door een legitiem doel en de middelen voor het bereiken van dat doel passend en noodzakelijk zijn.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#europees-verdrag-voor-de-rechten-van-de-mens","title":"Europees Verdrag voor de Rechten van de Mens","text":"
Het Europees Verdrag voor de Rechten van de Mens, artikel 14 stelt dat het genot van de rechten en vrijheden die in dat verdrag zijn vermeld, moet worden verzekerd zonder enig onderscheid op welke grond dan ook, zoals:
geslacht
ras
kleur
taal
godsdienst
politieke of andere mening
nationale of maatschappelijke afkomst
het behoren tot een nationale minderheid
vermogen
geboorte
of andere status.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#handvest-van-de-grondrechten-van-de-europese-unie","title":"Handvest van de grondrechten van de Europese Unie","text":"
Het Handvest van de grondrechten van de Europese Unie, artikel 21 stelt dat iedere discriminatie, met name op grond van:
geslacht
ras
kleur
etnische of sociale afkomst
genetische kenmerken
taal
godsdienst
politieke of andere denkbeelden
het behoren tot een nationale minderheid
vermogen
geboorte
een handicap
leeftijd
of seksuele gerichtheid
is verboden. Daarnaast wordt expliciet vermeld dat binnen de werkingssfeer van de Verdragen en onverminderd de bijzondere bepalingen ervan, iedere discriminatie op grond van nationaliteit verboden is.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"onderwerpen/bias-en-non-discriminatie/#vereisten","title":"Vereisten","text":"idVereistenaia-04Risicobeoordeling voor jongeren en kwetsbarengrw-01Beschermen van fundamentele rechten en vrijhedengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"onderwerpen/bias-en-non-discriminatie/#maatregelen","title":"Maatregelen","text":"idMaatregelenAselecte steekproeven"},{"location":"onderwerpen/bias-en-non-discriminatie/#mogelijke-hulpmiddelen-en-methoden","title":"Mogelijke hulpmiddelen en methoden","text":"
Fairness Handbook
Handreiking non-discriminatie-by-design
College voor de rechten van de mens, Discriminatie door risicoprofielen - een mensenrechtelijk toetsingskader
Zie ISO/IEC TR 24027:2021 en 4 \u21a9\u21a9
Er is een wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9
Zie NEN-EN-ISO/IEC 22989:2023 en 4 \u21a9
Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9\u21a9
De term ground truth impliceert niet dat de gelabelde invoergegevens consistent overeenkomen met de werkelijke waarde van de doelvariabelen.\u00a0\u21a9
Het ontwikkelen en gebruiken van algoritmes en AI-systemen kan niet gepaard gaan zonder het verwerken van data. In het geval van AI wordt data gebruikt om het algoritme te trainen, te valideren en te testen.
Wanneer beslissingen worden genomen op basis van de output van een algoritme of AI-systeem, dan wordt dit ook gedaan op basis van de onderliggende data. Om algoritmes en AI-systemen op een verantwoorde manier toe te passen, dient dus ook de data op een verantwoorde en rechtmatige manier te worden gebruikt.
In dit bouwblok werken we uit welke vereisten er zijn voor verantwoord datagebruik, en geven we praktische maatregelen hoe dit ingevuld kan worden binnen overheidsorganisaties. We zoeken hierbij de aansluiting op bestaande instrumenten, zoals de Toolbox verantwoord datagebruik.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
"},{"location":"onderwerpen/data/#vereisten","title":"Vereisten","text":"idVereistenaia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteriaaia-35Verdere verwerking van persoonsgegevens in AI-testomgevingenarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenaut-01Auteursrechten mogen niet worden geschondenavg-05Juistheid en actualiteit van gegevensavg-11Privacy door ontwerpdat-01Verbod op schenden databankenrechten"},{"location":"onderwerpen/data/#maatregelen","title":"Maatregelen","text":"idMaatregelenControleren eigen data op schending auteursrechtenData is van voldoende kwaliteitVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit."},{"location":"onderwerpen/data/#nuttige-informatie","title":"Nuttige informatie","text":"
Onze impact op natuur en milieu is groot. Er zijn grote doelen gesteld om duurzamer te gaan leven en werken. Binnen alle overheidsorganisaties, op allerlei verschillende gebieden, wordt gekeken hoe er duurzamer te werk kan worden gegaan, dus ook bij ICT-voorzieningen.
Bij het duurzamer maken van ICT kan gedacht worden aan de fysieke kant (hardware) en de digitale kant (software, algoritmes). Met betrekking tot hardware kan men bijvoorbeeld zo duurzaam mogelijk hardware inkopen (circulariteit van apparaten en materialen) en proberen de levensduur van apparaten en onderdelen te maximaliseren. Bij ontwikkeling en inzet van software, zoals algoritmen, zal gekeken moeten worden naar andere zaken, zoals energieverbruik van het trainen van complexe modellen. In het Algoritmekader gaan we specifiek in op deze duurzaamheidsaspecten van algoritmes en AI-systemen.
"},{"location":"onderwerpen/duurzaamheid/#duurzaamheid-algoritmes-en-ai-systemen","title":"Duurzaamheid algoritmes en AI-systemen","text":"
Het concept duurzaamheid is een groot en generiek begrip, dat vele sub-thema\u2019s introduceert. Deze thema\u2019s raken onder andere het ontwerp, de ontwikkeling en de inzet van algoritmes en AI-systemen. Met de opkomst van grotere en ingewikkeldere modellen, grotere datasets, en de groeiende interesse in (generatieve) AI, groeit ook het energie- en waterverbruik. Dit verbruik ontstaat ook bij het trainen van grotere en complexere rekenmodellen zoals Large Language Models, en de opslag van zeer grote (vaak multimediale) datasets in datacenter.
Dit bouwblok van het Algoritmekader biedt een gestructureerd overzicht van vereisten, maatregelen en instrumenten die ondersteunen bij het ontwikkelen en toepassen van algoritmes en AI-systemen op een duurzame wijze. Zo kunnen bewuste keuzes worden gemaakt die niet alleen voldoen aan de functionaliteiten, maar ook bijdragen aan de Sustainable Development Goals (SDG's) en de doelstellingen uit het Nederlandse klimaatakkoord. Bij duurzame ontwikkeling en toepassing van algoritmes kan bijvoorbeeld gedacht worden aan energie-effici\u00ebnte programmering en duurzaam datacenterbeheer.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vindt je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
Wanneer overheden publieke taken uitvoeren, dienen fundamentele rechten van burgers te worden beschermd. Dat geldt ook als overheden gebruik maken van algoritmes of AI-systemen om hun plublieke taken uit te voeren.
In Nederland beschermen we onze grondrechten met de Grondwet en met (internationale) mensenrechtenverdragen, zoals het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Mensenrechtenverdragen bevatten een aantal fundamentele rechten en vrijheden die niet in de Grondwet staan.
Afhankelijk van de werking van algoritmes en AI-systemen en de publieke taak die wordt ondersteund, kunnen verschillende grondrechten worden geraakt. Denk hierbij aan het verbod op ongelijke behandeling of het recht op eerbiediging van de persoonlijke levenssfeer. Het is van belang hier in een vroeg stadium aandacht aan te besteden door dit te analyseren. Een zorgvuldige aanpak tijdens de ontwikkeling van een algoritme kan ervoor zorgen dat er tijdig wordt geanticipeerd en maatregelen worden getroffen om een ongerechtvaardigde inbreuk op grondrechten te voorkomen.
Een aantal wezenlijke grondrechten die vaak worden geraakt met de inzet van algoritmen en AI, komen ook afzonderlijk in andere onderdelen van het Algoritmekader aan bod.
Dit geldt bijvoorbeeld op het recht op persoonsgegevensbescherming in het bouwblok Privacy en gegevensbescherming of het verbod op ongelijke behandeling in het bouwblok Bias en non-discriminatie.
In dit bouwblok van het algoritmekader beschrijven we wat de vereisten zijn rondom het beschermen van fundamentele rechten. Vervolgens worden deze vereisten ook vertaald in praktische maatregelen en instrumenten die overheden kunnen toepassen om invulling te geven aan deze vereisten.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
Onderdeel van het bouwblok Fundamentele rechten is het onderwerp Bias en non-discriminatie.
"},{"location":"onderwerpen/fundamentele-rechten/#vereisten","title":"Vereisten","text":"idVereistenaia-04Risicobeoordeling voor jongeren en kwetsbarenaia-28Recht op uitleg AI-besluitenaia-29Beoordeling van grondrechtenaia-38Veilig melden van inbreuk op AI verordeningaia-39Klachtrecht aanbieders verder in AI-waardeketenavg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensgrw-01Beschermen van fundamentele rechten en vrijhedengrw-02AI-systemen en algoritmes mogen niet discrimineren"},{"location":"onderwerpen/fundamentele-rechten/#maatregelen","title":"Maatregelen","text":"idMaatregelenBetrek belanghebbendenKwetsbare groepen in kaart brengen en beschermen"},{"location":"onderwerpen/fundamentele-rechten/#instrumenten","title":"Instrumenten","text":"idInstrumentenImpact Assessment Mensenrechten en Algoritmes"},{"location":"onderwerpen/menselijke-controle/","title":"Menselijke controle","text":"
Bij het uitvoeren van publieke taken is het van belang dat natuurlijke personen kunnen controleren of deze taken correct worden uitgevoerd en dat er kan worden bijgestuurd als dat nodig is. Datzelfde geldt voor als een overheidsinstantie algoritmes of AI-systemen gebruiken bij het ondersteunen van deze taken. Het is van belang dat zowel bij de ontwikkeling en als het gebruik door natuurlijke personen kan worden ingegrepen en dat er sprake is van betekenisvolle menselijke tussenkomst waar dat nodig is. Hier kan worden gedacht aan het verkeerd (gaan) werken van een AI-systeem en dat hierdoor de output onbetrouwbaar en onjuist wordt. In dergelijke gevallen zal een natuurlijk persoon in staat moeten zijn om deze situatie te signaleren en het algoritme of AI-systeem (tijdelijk) te kunnen stoppen.
Het verschilt, afgewogen tegen de potenti\u00eble negatieve gevolgen of risico's voor personen, welke mechanismen moeten worden ingericht in en rondom algoritmes en AI-systemen. Hoog risico AI-systemen zullen een intensiever inrichting van menselijke controle nodig hebben, bijvoorbeeld met meerdere mensen die de output controleren, dan algoritmes die niet impact vol zijn. Om deze controles uit te kunnen voeren zullen deze personen moeten beschikken over de noodzakelijke competenties, opleiding en bevoegdheden om deze taak uit te voeren. Er zullen ook functionele eisen aan het systeem moeten worden gesteld, zodat ook daadwerkelijk kan worden ingegrepen. Hierbij kan worden gedacht aan een stopknop die kan worden gebruikt waarmee die werking van het algoritme of AI-systeem kan worden gepauzeerd. Gedurende de gehele levenscyclus is het van belang dat menselijke controle wordt gepositioneerd en dat bijbehorende taken goed kunnen worden uitgevoerd.
In dit bouwblok van het Algoritmekader wordt uitgewerkt aan welke vereisten moet worden voldaan met betrekking menselijke controle. Dit wordt aangevuld met praktische maatregelen die kunnen worden toegepast ter inspiratie voor organisaties. Deze vereisten en maatregelen worden gekoppeld aan de levenscyclus, zodat zowel bij de ontwikkeling als het gebruik kan worden geraadpleegd hoe organisaties invulling kunnen geven aan menselijk controle.
"},{"location":"onderwerpen/menselijke-controle/#vereisten","title":"Vereisten","text":"idVereistenaia-01Bevorder AI-geletterdheid van personeel en gebruikersaia-09Toezichtmogelijkheden voor gebruikersaia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuningaia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem"},{"location":"onderwerpen/menselijke-controle/#maatregelen","title":"Maatregelen","text":"idMaatregelenConfiguratie met de mensZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Pas het principe van security by design toe"},{"location":"onderwerpen/privacy-en-gegevensbescherming/","title":"Privacy en gegevensbescherming","text":"
Overheidsinstanties verwerken vaak persoonsgegevens om hun taken uit te voeren en maatschappelijke waarden te cre\u00ebren. Met de opkomst van algoritmes en kunstmatige intelligentie (AI) worden deze gegevens steeds vaker gebruikt om processen te optimaliseren, zoals bij het beoordelen van subsidieaanvragen of het verlenen van vergunningen.
Bij het gebruik van algoritmes en AI-systemen is van groot belang om aandacht te besteden aan privacy en gegevensbescherming. Deze technologie\u00ebn vari\u00ebren van eenvoudige rekenregels tot complexe machine learning-modellen en generatieve AI, elk met hun eigen specifieke risico\u2019s. Bijvoorbeeld, eenvoudige AI kan basisberekeningen uitvoeren, terwijl complexere AI-voorspellingen kan doen of informatie kan genereren. Ongeacht de complexiteit is het identificeren van risico\u2019s en het implementeren van passende beheersmaatregelen essentieel om de privacy van burgers te waarborgen en gevoelige gegevens te beschermen.
Bij de inzet van AI in de publieke sector moeten overheidsinstanties rekening houden met de vereisten uit privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG). Dit omvat onder andere het minimaliseren van gegevensgebruik, implementeren van een privacy by design werkwijze waar mogelijk, en het transparant zijn over hoe en waarom (persoons)gegevens worden verwerkt. Het toewijzen van verantwoordelijkheden en het opstellen van duidelijke richtlijnen voor gegevensverwerking zijn belangrijke stappen in dit proces.
Het bouwblok privacy en gegevensbescherming van algoritmen en AI-systemen wordt ook ge\u00efntegreerd in de algoritmelevenscyclus. Dit biedt inzicht in wanneer specifieke vereisten en maatregelen tijdens de ontwikkeling van algoritmen en AI-systemen moeten worden toegepast. Door deze vereisten in de levenscyclus te integreren, kunnen de gebruikers inzichten opdoen wanneer deze maatregelen kunnen worden ge\u00efmplementeerd.
"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#vereisten","title":"Vereisten","text":"idVereistenaia-35Verdere verwerking van persoonsgegevens in AI-testomgevingenarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenavg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvindenavg-02Beperkte bewaartermijn van persoonsgegevensavg-03Persoonsgegevens verzamelen voor specifieke doeleindenavg-04Proportionaliteit en subsidiariteitavg-05Juistheid en actualiteit van gegevensavg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerkingavg-07Transparantie bij verwerking persoonsgegevensavg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevensavg-09Privacyrechtenavg-10Recht op niet geautomatiseerde besluitvormingavg-11Privacy door ontwerpavg-12Beveiliging van de verwerkingavg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen"},{"location":"onderwerpen/privacy-en-gegevensbescherming/#maatregelen","title":"Maatregelen","text":"idMaatregelenBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sDe rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht."},{"location":"onderwerpen/privacy-en-gegevensbescherming/#instrumenten","title":"Instrumenten","text":"idInstrumentenData Protection Impact Assessment"},{"location":"onderwerpen/publieke-inkoop/","title":"Publieke inkoop","text":"
Door middel van publieke inkoop wordt door overheidsinstellingen software ingekocht. Deze software wordt ingekocht om ambtenaren te ondersteunen met hun werkzaamheden om zo maatschappelijk waarden te cre\u00ebren. Het kan bijvoorbeeld gaan om het inkopen van een systeem waarmee een aanvraag voor een subsidie of vergunning kan worden behandeld. Het virtueel vergaderen of het digitaal samenwerken aan documenten zijn hier ook voorbeelden van.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Software met algoritmen en AI wordt vaak ontwikkeld door gespecialiseerde aanbieders en bevat steeds meer algoritmen en AI. Het komt ook voor dat de overheid deze technologie zelf ontwikkelt. Deze algoritmen en AI kunnen eenvoudig van aard zijn, zoals het maken van een eenvoudige berekening. Zij kunnen complexer van aard zijn, zoals een voorspelling geven of het genereren van informatie. In het laatste geval kan worden gedacht aan ChatGPT, Google Bard of Co-Pilot. Er zijn verschillende type technologie\u00ebn die vallen onder het bereik van algoritmen en AI. In dit kader drukken we deze uit als \u2018rekenregel\u2019, \u2018machine learning\u2019 en \u2018generatieve AI\u2019. Elke technologie heeft eigen bijzondere aandachtspunten. Ook de bijbehorende risico\u2019s kunnen per type verschillen. Het identificeren van deze risico\u2019s en het treffen van beheersmaatregelen is daarbij van belang. Dat geldt in het bijzonder als algoritmen en AI bijdragen aan de totstandkoming van overheidsbesluitvorming en impactvolle beslissingen die burgers en ondernemingen raken.
Door bij publieke inkoop van software met algoritmen en AI rekening te houden met vereisten die voorkomen uit wet- en regelgeving, toepassen van publieke waarden, het type algoritme of AI en de potenti\u00eble risico\u2019s die ontstaan bij het gebruiken ervan, kunnen negatieve gevolgen worden voorkomen. Publieke inkoop speelt daarom een belangrijke rol bij de totstandkoming van verantwoord ontwikkelde algoritmen en AI en het gebruik daarvan door ambtenaren. In dit deel van het Algoritmekader wordt nader ingegaan op deze vereisten. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd en welke rollen daarbij betrokken kunnen zijn. Waar mogelijk worden concrete voorbeelden uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is.
Het publiek inkopen van algoritmen en AI wordt ook gekoppeld aan de algoritme levenscyclus. Dit geeft een beeld van wanneer bepaalde vereisten en maatregelen, bij het ontwikkelen van algoritmen en AI, moeten worden geadresseerd. Door deze vereisten ook te vertalen naar het inkoopproces, zullen de rollen binnen het inkoopproces beter in staat zijn om te duiden wanneer en hoe dit kan worden geadresseerd. Dit moet bijdragen aan een goed samenspel met aanbieders, zodat de kansen van algoritmen en AI worden benut en de negatieve gevolgen worden voorkomen.
Algoritmen en AI kunnen een grote impact hebben op onze maatschappij. Daarom is het van belang dat deze op een verantwoorde manier worden ontwikkeld en gebruikt. Het toepassen van de algoritme levenscyclus is hierover een bruikbare leidraad. De algoritme levenscyclus bestaat uit meerdere fasen. De werkzaamheden die noodzakelijk zijn om een verantwoord algoritme of AI te ontwikkelen, kunnen logisch worden gekoppeld aan deze fasen. Deze levenscyclus kan worden gebruikt voor alle typen algoritmen en AI. Het verschilt uiteraard wel per type wat moet worden gedaan en dit is mede afhankelijk van de risico classificatie. Bij hoge risico toepassing zal meer moeten worden gedaan om risico\u2019s te mitigeren dan als er sprake is van lage risico toepassingen. De levenscyclus geeft een bruikbaar overzicht voor leveranciers en opdrachtgevers wanneer welke werkzaamheden moeten worden uitgevoerd. Het laat ook zien welke werkzaamheden moeten zijn afgerond als algoritmen en AI in de markt mogen worden gezet en klaar zijn voor gebruik.
Bij het publiek inkopen van software met bijbehorende algoritmen en AI zijn de wensen van de behoeftesteller en de doelstellingen van de organisatie van groot belang. Dit kan tot verschillende situaties leiden:
\u2022 Een al ontwikkelde kant-en-klare oplossing voldoet direct aan deze wensen en doelstellingen;
\u2022 Een al ontwikkelde oplossing moet eerst worden aangepast voordat deze kan worden gebruikt;
\u2022 Er moet een nieuwe oplossing worden ontwikkeld om te voldoen aan de wensen.
Deze inschatting is dus bepalend wat wel en niet van een product mag worden verwacht. Dit is relevant voor zowel de leverancier als de opdrachtgever. Het is aannemelijk dat als het om risicovolle (nog te ontwikkelen) algoritmen of AI gaat, de opdrachtgever een intensieve bijdrage moet leveren aan de samenwerking om het product te kunnen gebruiken. De opdrachtgever zal bijvoorbeeld moeten aangeven wat de juridische en ethische grenzen zijn van de uiteindelijk werking van het algoritme of AI. Als een kant-en-klare oplossing wordt afgenomen, dan zal de leverancier moeten laten zien dat de ontwikkelde algoritmen en AI voldoen aan alle vereisten en moet dit kunnen aantonen.
De inzichten uit de algoritme levenscyclus kunnen ondersteunen bij bijvoorbeeld de behoeftestelling, het maken van make-or-buy beslissingen, de te hanteren aanbestedingsvorm, de totstandkoming van de selectie- en gunningseisen, contractspecificaties en de uitvoering en management van het contract. De algoritme levenscyclus kan worden geraadpleegd via het tabblad boven aan deze pagina. Per fase en per type algoritme of AI kan worden bekeken aan welke vereisten moet worden voldaan en welke beheersmaatregelen kunnen worden getroffen.
Nagenoeg alle vereisten die gelden voor algoritmen en AI kunnen een plek krijgen in het publiek inkoopproces. Daarom is ervoor gekozen om hier niet een opsomming te geven van al deze vereisten, maar verwijzen we naar het onderdeel vereisten in het Algoritmekader.
In de laag van 'maatregelen' wordt ook uitgewerkt wat vanuit publieke inkoop kan worden gedaan om op een betekenisvolle wijze invulling aan te geven aan de betreffende vereiste. Daarvoor kan ook op het tabblad 'publieke inkoop' worden geklikt om deze maatregelen te filteren.
Zie hieronder bij bruikbare informatie en bronnen in het bijzonder de Europese modelcontractbepaling voor (niet) hoog risico AI-systemen en contractvoorwaarden voor algoritmen. Dit geeft een beeld hoe de vereisten onderdeel kunnen worden gemaakt van contractvoorwaarden.
Hieronder volgt een overzicht van de maatregelen die (voor zover zijn uitgewerkt) kunnen worden getroffen om invulling te geven aan de vereisten.
idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBepaal of de output bepalende invloed heeft in een besluit richting personenBespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataStel archiefbescheiden vastNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenStel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Er wordt momenteel hard gewerkt, mede door de Werkgroep Publieke Inkoop, om maatregelen te defini\u00ebren vanuit het perspectief publieke inkoop bij de vereisten. Mocht er iets niet kloppen, laat het ons weten via GitHub of via algoritmes@minbzk.nl.
Europese modelcontractbepalingen AI-systemen (hoog risico)
Europese modelcontractbepalingen AI-systemen (niet hoog risico)
Contractvoorwaarden voor algoritmen gemeente Amsterdam
Inkoopproces
Community of Practise Digitale Innovatie
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/","title":"Technische robuustheid en veiligheid","text":"
Wanneer algoritmes of AI-systemen worden gebruikt om publieke taken uit te voeren, dient het onderliggende systeem voldoende robuust en veilig te zijn.
De technische robuustheid van een algoritme of AI-systeem beschrijft het vermogen om het gewenste prestatieniveau onder alle omstandigheden te handhaven 1. Dit betekent dat algoritmes en AI-systemen vergelijkbaar moeten presteren ondanks externe of zware veranderingen in de omgeving. Robuustheid kan daarnaast ook duiden op eigenschappen als veerkracht, betrouwbaarheid en nauwkeurigheid van het systeem.
Wanneer het algoritme of het AI-systeem niet voldoet aan de eisen wat betreft robuustheid, nauwkeurigheid of de prestaties van het systeem, voordat het systeem in gebruik is genomen kan het systeem onbedoelde schade aanrichten voor betrokkenen, bijvoorbeeld door negatieve impact op grondrechten wanneer resultaten onjuist of niet worden gegenereerd of ge\u00efnterpreteerd.
Er moeten technische en organisatorische maatregelen getroffen worden om de robuustheid van algoritmes en AI-systemen te waarborgen. Dit kunnen bijvoorbeeld maatregelen zijn bestaande uit vooraf bepaalde mechanismen die het systeem in staat stellen om de werking veilig te onderbreken wanneer daar redenen voor zijn of wanneer de prestaties van het algoritme buiten vooraf bepaalde grenzen treedt.
Naast robuustheid dient het onderliggende systeem ook voldoende beveiligd te zijn, zodat het systeem weerbaar is tegen pogingen het systeem te wijzigen en onrechtmatig gebruik door derden, en die onbedoelde schade tot een minimum beperkt. Om te zorgen voor een passend niveau van cyberbeveiliging die aansluit op de risico's van het systeem, dienen er passende maatregelen zoals veiligheidscontroles genomen te worden. Daarbij dient er rekening te worden gehouden met de onderliggende ICT-infrastructuur.
In dit bouwblok van het algoritmekader werken we uit aan welke vereisten er voldaan moet worden om de technische robuustheid en veiligheid te waarborgen. Dit wordt aangevuld met praktische maatregelen en instrumenten die gebruikt en toegepast kunnen worden om invulling te geven aan deze vereisten.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#vereisten","title":"Vereisten","text":"idVereistenaia-06Technische documentatie voor hoog-risico AIaia-07Automatische logregistratie voor hoog-risico AIaia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiligingaia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatieaia-13Bewaartermijn voor gegenereerde logsaia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerdaia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiligingaia-36Monitoring na het in handel brengenarc-01De archiefwet is ook van toepassing op algoritmes en AI-systemenavg-12Beveiliging van de verwerkingbio-01Beveiliging informatie en informatiesystemen"},{"location":"onderwerpen/technische-robuustheid-en-veiligheid/#maatregelen","title":"Maatregelen","text":"idMaatregelenAselecte steekproevenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Zorg voor een goede beveiliging van een algoritme.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenRicht een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toe
Zie NEN-EN-ISO/IEC 22989:2023 en 2 \u21a9
Hoewel het gebruik van de NEN-ISO-normen in het Algoritmekader auteursrechtelijk is beschermd, heeft het Nederlands Normalisatie Instituut (NEN) voor het gebruik in het Algoritmekader toestemming verleend. Zie nen.nl voor meer informatie over NEN en het gebruik van hun producten.\u00a0\u21a9
Om openheid te bieden en controleerbaar te zijn moeten overheidsinstanties transparant zijn over inzet van algoritmen en AI-systemen.
Het is van belang dat overheden nadenken over hun besluitvormingsprocessen en dat zij de werking en toegevoegde waarde van het inzetten van een algoritme kunnen uitleggen. Dit is bijzonder relevant als een algoritme of AI-systeem, al dan niet geautomatiseerd, impact heeft op besluitvorming die burgers raakt.
Als burgers geen kennis kunnen nemen van de gebruikte algoritmes en in hoeverre diens output hen raakt, worden ze onrechtmatig beperkt in de mogelijkheid om zicht te verdedigen tegen nadelige gevolgen zoals discriminatie of een onjuist genomen beslissing of besluit. Daarnaast versterkt transparantie de controlerende functie van burgers en journalistiek, omdat burgers kunnen aangeven of een uitleg over een algoritmisch systeem duidelijk is en of zij de werking van het systeem hetzelfde ervaren.
Transparantie bij algoritmes en AI gaat zowel over het bekendmaken van de inzet en bijbehorende doelen, als ook over openheid van het type model en de gebruikte factoren. Gebruikers moeten in staat zijn om de werking en de output van een algoritme of AI-systeem te begrijpen, zodat zij onderbouwde beslissingen of besluiten kunnen nemen. Dit betekent bijvoorbeeld ook dat gebruikers bewust moet worden gemaakt dat zij communiceren of samenwerken met een algoritme of AI-systeem, dat zij worden ge\u00efnformeerd over de mogelijkheden en beperkingen van een systeem en dat betrokkenen worden ge\u00efnformeerd over hun rechten.
In dit bouwblok van het algoritmekader besteden we aandacht aan transparantie naar gebruikers en betrokkenen, transparantie door documentatie en opname in het algoritmeregister, uitlegbaarheid en traceerbaarheid van een besluit. Hier worden de vereisten uitgewerkt die bestaan op basis van wet- en regelgeving en bestaand beleid met betrekking tot transparantie van algoritmen en AI. Er worden suggesties gedaan hoe deze vereisten kunnen worden nageleefd met concrete maatregelen en welke rollen betrokken kunnen zijn. Waar mogelijk worden voorbeelden en best practices uit de praktijk gegeven en zal worden aangegeven bij welk type algoritmen of AI dit relevant is. Deze vereisten en maatregelen worden ook gekoppeld aan de levenscyclus van een algoritme. Dit geeft een beeld van wanneer vereisten of maatregelen met betrekking tot transparantie, bij het ontwikkelen en gebruiken van algoritmen en AI, moeten en kunnen worden geadresseerd.
Opmerking
Dit bouwblok moet nog ontwikkeld worden. Deze pagina is dus nog niet volledig. Op deze pagina vind je mogelijk wel al onderdelen waar we aandacht aan willen besteden in dit bouwblok.
"},{"location":"onderwerpen/transparantie/#vereisten","title":"Vereisten","text":"idVereistenaia-08Transparantie in ontwerp voor hoog-risico AIaia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risicoaia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeemaia-30Transparantieverplichtingenaia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleindenavg-07Transparantie bij verwerking persoonsgegevensbzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregisterwoo-01Eenieder heeft recht op toegang tot publieke informatie"},{"location":"onderwerpen/transparantie/#maatregelen","title":"Maatregelen","text":"idMaatregelenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenNeem technische documentatie op in het algoritmeregisterEen politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Pas het principe van security by design toeNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen."},{"location":"onderwerpen/transparantie/#instrumenten","title":"Instrumenten","text":"idInstrumentenImpact Assessment Mensenrechten en AlgoritmesAlgoritmeregister"},{"location":"overhetalgoritmekader/","title":"Over het Algoritmekader","text":"
Het Algoritmekader is een hulpmiddel voor overheden die algoritmes of AI (artifici\u00eble intelligentie) gebruiken. Hierin vind je de wetten en regels, hulpmiddelen en adviezen per situatie. De informatie in het Algoritmekader is nog niet betrouwbaar. Het is een b\u00e8taversie. De definitieve versie verschijnt eind 2024.
"},{"location":"overhetalgoritmekader/#verantwoord-gebruik-van-algoritmes-en-ai","title":"Verantwoord gebruik van algoritmes en AI","text":"
In het Algoritmekader vind je informatie over verantwoord gebruik van algoritmes en AI. Bijvoorbeeld:
Wie is waarvoor verantwoordelijk?
Hoe voorkom je discriminatie (bias) in een algoritme?
Hoe verwerk je gegevens op een veilige manier?
Hoe voorkom je mensenrechtenschendingen?
Welke inkoopvoorwaarden spreek je af voor algoritmes van een externe partij?
De informatie is bedoeld voor medewerkers van de rijksoverheid, provincies, gemeentes en waterschappen.
"},{"location":"overhetalgoritmekader/#informatie-van-de-overheid","title":"Informatie van de overheid","text":"
Het Algoritmekader is een website van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Het team Data, AI en Algoritmes stelt de informatie samen, op basis van:
alle wetten en regels, zoals de AI-verordening en de Algemene wet bestuursrecht
belangrijke instrumenten, zoals de IAMA (Impact Assessment Mensenrechten en Algoritmes)
adviezen en ervaringen van experts, zoals wetenschappers
Algoritmekader is de nieuwe naam van het Implementatiekader 'Verantwoorde inzet van algoritmen'. Dit rapport is de eerste versie. Door het verder ontwikkelen van dit rapport ontstond de website Algoritmekader.
Sindsdien verschijnt elke maand een nieuwe b\u00e8taversie van het Algoritmekader. Deze b\u00e8taversies zijn nog niet betrouwbaar. De informatie is onvolledig. Er kunnen fouten in staan.
Versie 2.0 is de definitieve, betrouwbare versie van het Algoritmekader. Deze versie verschijnt eind 2024.
De informatie in het Algoritmekader komt open source tot stand. Dat betekent dat iedereen kan meekijken en zijn mening mag geven, of een voorstel mag doen:
Geef je vraag of wijziging door.
Sluit je aan bij een werkgroep.
Doe mee aan een (online) vergadering zoals onze demo na een nieuwe release van het Algoritmekader.
Via onze maandelijkse Nieuwsbrief Algoritmes blijf je op de hoogte over de ontwikkelingen van het Algoritmekader.
"},{"location":"overhetalgoritmekader/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/","title":"Bijdragen aan het Algoritmekader","text":"
Allereerst, bedankt dat je de tijd hebt genomen om een bijdrage te leveren! \u2764\ufe0f
We waarderen alle soorten bijdragen enorm. Zie die Inhoudsopgave voor verschillende manieren waarop je kan bijdragen aan het Algoritmekader. Zorg ervoor dat je de relevante hoofdstukken even leest voordat je een bijdrage levert. Het zal het voor het team van het Algoritmekader een stuk makkelijker maken en de ervaring voor alle betrokkenen soepeler laten verlopen. We kijken uit naar alle bijdragen! \ud83c\udf89
Werken in Github is voor het team Algoritmekader nieuw en experimenteel. Dit vraagt voor ons om een aangepaste werkwijze en hier is bepaalde expertise voor nodig. Het begin is gemaakt en het team Algoritmekader is nog lerende om hier optimaal invulling aan te geven. Hierdoor kan het iets langer duren voordat er wordt gereageerd op suggesties of toevoegingen. We werken aan een duidelijk proces om hier goed mee om te gaan (deze guidelines zijn daar een voorbeeld van). Daarnaast werken we niet aan alle bouwblokken tegelijk. Deze worden \u00e9\u00e9n voor \u00e9\u00e9n opgepakt. Aanbevelingen over onderwerpen die later op de planning staan kunnen daardoor ook iets langer duren om te verwerken, en worden mogelijk pas verwerkt wanneer dit bouwblok wordt uitgewerkt.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#code-of-conduct","title":"Code of Conduct","text":"
Dit project en iedereen die eraan deelneemt, valt onder de Code of Conduct. Door deel te nemen, wordt van je verwacht dat je je aan deze code houdt. Meld onacceptabel gedrag aan algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-heb-een-vraag","title":"Ik heb een vraag","text":""},{"location":"overhetalgoritmekader/CONTRIBUTING/#maak-een-issue-aan","title":"Maak een issue aan","text":"
Voordat je een Issues gaat aanmaken, kan je bekijken of jouw vraag al tussen de bestaande Issues staat. Wellicht staat er al een issue tussen die jou vraag kan beantwoorden.
Als je jouw vraag nog steeds wilt stellen, kan je een Issue aanmaken.
Gebruik daarvoor de knop new issue.
Schrijf je vraag of opmerking is en geef een heldere toelichting.
Anderen kunnen nu opmerkingen toevoegen aan jouw issue.
Het team van het Algoritmekader zal deze issue labelen als question en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#stel-een-vraag-via-mail","title":"Stel een vraag via mail","text":"
Je kan je vragen ook altijd stellen door een mail te sturen naar algoritmes@minbzk.nl.
Wanneer je bijdraagt aan dit project, moet je ermee akkoord gaan dat je 100% van de inhoud hebt geschreven, dat je de benodigde rechten op de inhoud hebt en dat de inhoud die je bijdraagt mag worden geleverd onder de Code of Conduct.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#sluit-je-aan-bij-een-werkgroep","title":"Sluit je aan bij een werkgroep","text":"
Voor sommige bouwblokken wordt er gewerkt met werkgroepen, om de informatie verder uit te werken. Deelname aan een werkgroep kost tijd. Werkgroepen komen regelmatig bij elkaar, en tussendoor worden bepaalde zaken uitgewerkt door werkgroepleden. Wil je op \u00e9\u00e9n van de onderwerpen meewerken? Stuur dan een bericht naar algoritmes@minbzk.nl.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#neem-deel-aan-een-sprint-review-klankbord-demo","title":"Neem deel aan een sprint review / klankbord / demo","text":"
Het team van het algoritmekader werkt in sprints van ongeveer 3 weken. Daarin werken we toe naar de volgende release van het Algoritmekader. Ongeveer eens in de 6 weken vindt er een nieuwe release plaats. Wanneer er een release is, wordt deze altijd toegelicht en gepresenteerd in een open online review / demo. Deze kan je vrijblijvend volgen. Zo blijf je op de hoogte en kun je een bijdrage leveren. Bekijk de agenda op Algoritmes Pleio voor de komende bijeenkomsten.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-fout-of-bug-melden","title":"Ik wil een fout of bug melden","text":"
Heb je een foutje gevonden in het Algoritmekader? Dan kan je deze melden door een Issue aan te maken.
Voordat je een Issues gaat aanmaken, kan je bekijken of jouw gevonden fout al tussen de bestaande Issues staat.
Als je de gevonden fout nog steeds wilt melden, kan je een Issue aanmaken.
Gebruik daarvoor de knop new issue.
Beschrijf de fout duidelijk en geef een heldere toelichting. Voeg waar mogelijk een screenshot toe.
Het team van het Algoritmekader zal deze issue labelen als bug en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#ik-wil-een-verbetering-voorstellen","title":"Ik wil een verbetering voorstellen","text":"
Heb je een suggestie of wil je een verbetering voorstellen? Dat kan gaan om een compleet nieuwe functionaliteit van de site of om kleine verbeteringen. Het volgen van onderstaande instructie helpt het team van het algoritmekader om je suggestie te begrijpen en gerelateerde suggesties te vinden.
Je kan een suggestie doen door een Issue aan te maken of door een Pull Request te maken.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#voordat-je-een-suggestie-gaat-maken","title":"Voordat je een suggestie gaat maken","text":"
Voordat je een suggestie gaat maken, kan je bekijken of jouw suggestie al tussen de bestaande Issues staat. Wellicht bestaat er al een issue die jouw suggestie beschrijft, en zijn we er al mee bezig.
Zoek uit of jouw idee past binnen het doel en de scope van het project. Wat zijn de voordelen van deze functionaliteit of toevoeging? Het is aan jou om het team van het Algoritmekader en de community te overtuigen dat dit een nuttige toevoeging is aan het Algoritmekader. Houd in gedachten dat we functioanliteiten willen die nuttig zijn voor de meerderheid van onze gebruikers en niet slechts voor een kleine groep.
Als je jouw suggestie nog steeds wilt doen, kan je een Issue aanmaken.
Gebruik daarvoor de knop new issue.
Beschrijf duidelijk jouw suggestie en geef een heldere toelichting en onderbouwing waarom dit een goede toevoeging zal zijn aan het Algoritmekader
Het team van het Algoritmekader zal deze issue labelen als enhancement en pakt jouw issue zo snel mogelijk op. Mogelijk neemt het team van het Algoritmekader contact op voor een verduidelijking of een oplossing.
Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
Kun je niet uit de voeten met de issues? Bijvoorbeeld omdat je verschillende wijzigingsvoorstellen wilt doen? Je kan ook gebruik maken van een Fork en een Pull Request.
Het team van Algoritmekader bekijkt daarna jouw aanpassingen en kan bij akkoord jouw aanpassingen mergen. Er zijn ook andere manieren om een pull request te doen. Meer daarover.
Afhankelijk van de complexiteit en het onderwerp van jouw suggestie kan het even duren voordat deze wordt opgepakt door het team van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#preview-van-een-pull-request","title":"Preview van een pull-request","text":"
We maken gebruik van de tool pr-preview-action om automatisch previews te maken van een pull-request. Dit maakt het mogelijk om de wijzigingen die zijn gedaan in een pull-request al te bekijken in de uiteindelijke omgeving. Wanneer er een pull-request gedaan wordt via een fork, leidt dit helaas tot een error, zie Issue #79. Dit blokkeert de pull-request niet.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#hoe-we-werken-op-github","title":"Hoe we werken op Github","text":"
We werken met Markdown bestanden. Dit is bestandsformaat voor platte tekstbestanden en wordt door veel verschillende tools ondersteund. Dit maakt het eenvoudig om versiebeheer op het Algoritmekader toe te passen.
Daarnaast maken gebruik van mkdocs en material for mkdocs om de informatie op een interactieve wijze inzichtelijk te maken op de website van het Algoritmekader.
"},{"location":"overhetalgoritmekader/CONTRIBUTING/#wil-je-een-nieuwe-pagina-aanmaken","title":"Wil je een nieuwe pagina aanmaken?","text":"
In het mkdocs.yml bestand staan de settings voor deze website. In principe hoef je hier niets aan aan te passen, maar als je een nieuwe pagina wilt aanmaken kan het nodig zijn om hier een aanpassing in te doen. Onderdeel van deze settings is namelijk de navigatie voor de site (welke pagina's zijn zichtbaar, en welke pagina's vallen daaronder). Dit staat in de nav: sectie. Indien je een nieuwe pagina wilt toevoegen, is het vaak nodig deze wijziging ook door te voeren in het mkdocs.yml bestand.
Welke definities gebruikt het Algoritmekader? Je vindt een overzicht op deze pagina. Deze definities komen overeen met de definities van het het Algoritmeregister, zie daarvoor de Handreiking Algoritmeregister.
"},{"location":"overhetalgoritmekader/definities/#definitie-van-een-algoritme","title":"Definitie van een algoritme","text":"
Er zijn veel definities van een algoritme. Voor het algoritmekader hanteren we de definitie van de Algemene Rekenkamer:
'Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden.\u2019
Dit is een brede definitie die de maximale reikwijdte weergeeft van algoritmes waarvoor het Algoritmekader relevant is. Waar de definitie van de Algemene Rekenkamer schrijft \u201com een probleem op te lossen of een vraag te beantwoorden\u201d, verstaan we daar ook onder \u201com een taak of proces uit te voeren of tot een besluit te komen\u201d. In het uitvoeren van een taak of het komen tot een besluit kunnen \u00e9\u00e9n of meer algoritmes voorkomen. Daarnaast hebben we het bij het Algoritmekader over zowel Artifici\u00eble Intelligentie (AI) als algoritmes. De essentie is dat AI is opgebouwd uit algoritmes. Maar niet alle algoritmes zijn AI.
Gebruikte terminologie
De termen hoog-risico, impactvol, AI en Algoritmes worden veel door elkaar gebruikt. Wij hanteren uitsluitend de volgende twee termen:
Hoog-risico AI (-systeem) Hiermee bedoelen we altijd de definitie zoals deze in de AI-verordening wordt gehanteerd.
Impactvolle algoritmes Dit betreft de minimale reikwijdte van het Algoritmekader. Het omvat de hoog-risico AI-systemen zoals gedefinieerd in de AI-verordening \u00e9n de algoritmes die we daarnaast als impactvol beschouwen.
"},{"location":"overhetalgoritmekader/definities/#relatie-scope-algoritmekader-en-de-ai-verordening","title":"Relatie scope Algoritmekader en de AI-Verordening","text":"
Op dit moment wordt op EU-niveau de AI-verordening ontwikkeld, die naar verwachting van toepassing wordt op een deel van de algoritmes in gebruik bij de overheid. In de AI-verordening zijn AI-systemen onderverdeeld in verschillende categorie\u00ebn: verboden praktijken, hoog-risico AI-systemen, AI-systemen met manipulatierisico\u2019s en AI-systemen met geen/minimale risico\u2019s. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen waar die systemen aan moeten voldoen.
Het Algoritmekader is hoe dan ook relevant voor hoog-risico AI-systemen volgens de definitie van de AI-verordening. Een AI-systeem is hoog-risico als het voldoet aan de volgende eisen: 1. Het AI-systeem valt onder de definitie van AI-systemen in artikel 3 lid 1 van de verordening en moet o.a. autonome elementen bevatten, en
Het AI-systeem wordt in een van de toepassingsgebieden van ANNEX III ingezet zoals biometrie, kritieke infrastructuur en rechtshandhaving. Bovenstaande betreft een versimpelde beschrijving van de AI-verordening. In bijlage 2 van de Handreiking Algoritmeregister is meer informatie te vinden over de AI-verordening. Aangezien de AI-verordening nog in onderhandeling is, bestaat de kans dat de classificatie van hoog-risico AI-systemen nog wordt aangepast.
"},{"location":"overhetalgoritmekader/definities/#definitie-van-impactvolle-algoritmes","title":"Definitie van impactvolle algoritmes","text":"
Om te bepalen of een algoritme in aanmerking komt voor publicatie in het Algoritmeregister, is een hulpmiddel 'Selectie' gemaakt. Het zijn dezelfde algoritmes die relevant zijn voor het Algoritmekader. Dit hulpmiddel wordt hieronder weergegeven in de figuur, en is ook leidend voor het Algoritmekader.
Voor meer toelichting over dit hulpmiddel verwijzen we naar de Handreiking Algoritmeregister.
"},{"location":"overhetalgoritmekader/definities/#begrippenlijst","title":"Begrippenlijst","text":"Begrip Definitie aanbieder Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merk, al dan niet tegen betaling. aanbieders Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem of een AI-model voor algemene doeleinden ontwikkelt of laat ontwikkelen en dat systeem of model in de handel brengt of het AI-systeem in gebruik stelt onder de eigen naam of merknaam, al dan niet tegen betaling. aanbieder verder in de AI-waardeketen Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het AI-model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen aangemelde instantie Een conformiteitsbeoordelingsinstantie die overeenkomstig de AI-verordening en andere relevante harmonisatiewetgeving van de Unie is aangemeld aanmeldende autoriteit De nationale autoriteit die verantwoordelijk is voor het opzetten en uitvoeren van de noodzakelijke procedures voor de beoordeling, aanwijzing en kennisgeving van de conformiteitsbeoordelingsinstanties en de monitoring hiervan AI-bureau De taak van de Commissie waarbij zij bijdraagt aan de uitvoering van, de monitoring van en het toezicht op AI-systemen en AI-modellen voor algemene doeleinden, en AI-governance, als bepaald in het besluit van de Commissie van 24 januari 2024; verwijzingen in deze verordening naar het AI-bureau worden begrepen als verwijzingen naar de Commissie AI-geletterheid Vaardigheden, kennis en begrip die aanbieders, gebruiksverantwoordelijken en betrokken personen, rekening houdend met hun respectieve rechten en plichten in het kader van de de AI-verordening, in staat stellen met kennis van zaken AI-systemen in te zetten en zich bewuster te worden van de kansen en risico\u2019s van AI en de mogelijke schade die zij kan veroorzaken AI-model voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-modellen voor algemene doeleinden Een AI-model, ook wanneer het is getraind met een grote hoeveelheid data met behulp van self-supervision op grote schaal, dat een aanzienlijk algemeen karakter vertoont en in staat is op competente wijze een breed scala aan verschillende taken uit te voeren, ongeacht de wijze waarop het model in de handel wordt gebracht, en dat kan worden ge\u00efntegreerd in een verscheidenheid aan systemen verder in de AI-waardeketen of toepassingen verder in de AI-waardeketen, met uitzondering van AI-modellen die worden gebruikt voor onderzoek, ontwikkeling of prototypingactiviteiten alvorens zij in de handel worden gebracht. AI-systeem een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen; AI-systeem voor algemene doeleinden Een AI-systeem dat is gebaseerd op een AI-model voor algemene doeleinden en dat verschillende doeleinden kan dienen, zowel voor direct gebruik als voor integratie in andere AI-systemen AI-testomgeving voor regelgeving Een door een bevoegde autoriteit opgezet gecontroleerd kader dat aanbieders of toekomstige aanbieders van AI-systemen de mogelijkheid biedt een innovatief AI-systeem te ontwikkelen, trainen, valideren en testen, zo nodig onder re\u00eble omstandigheden, volgens een testomgevingsplan, voor een beperkte periode en onder begeleiding van een toezichthouder. algoritme Een set van regels en instructies die een computer geautomatiseerd volgt bij het maken van berekeningen om een probleem op te lossen of een vraag te beantwoorden auteursrecht Het auteursrecht is het uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, of van diens rechtverkrijgenden, om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. beoogd doel Het gebruik waarvoor een AI-systeem door de aanbieder is bedoeld, met inbegrip van de specifieke context en voorwaarden van het gebruik, zoals gespecificeerd in de informatie die door de aanbieder in de gebruiksinstructies, reclame- of verkoopmaterialen en verklaringen, alsook in de technische documentatie is verstrekt bijzondere categorie\u00ebn persoonsgegevens De categorie\u00ebn persoonsgegevens als bedoeld in artikel 9, lid 1, van Verordening (EU) 2016/679, artikel 10 van Richtlijn (EU) 2016/680 en artikel 10, lid 1, van Verordening (EU) 2018/1725 biometrische gegevens Persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijk persoon, zoals gezichtsafbeeldingen of vingerafdrukgegevens biometrische identificatie De geautomatiseerde herkenning van fysieke, fysiologische, gedragsgerelateerde of psychologische menselijke kenmerken om de identiteit van een natuurlijk persoon vast te stellen door biometrische gegevens van die persoon te vergelijken met in een databank opgeslagen biometrische gegevens van personen biometrische verificatie De geautomatiseerde \u00e9\u00e9n-op-\u00e9\u00e9nverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens capaciteiten met een grote impact Capaciteiten die overeenkomen met of groter zijn dan de capaciteiten die worden opgetekend bij de meest geavanceerde AI-modellen voor algemene doeleinden. CE-markering Een markering waarmee een aanbieder aangeeft dat een AI-systeem in overeenstemming is met de voorschriften van hoofdstuk III, afdeling 2, van de AI-Verordening en andere toepasselijke harmonisatiewetgeving van de Unie, die in het aanbrengen ervan voorzien conformiteitsbeoordeling Het proces waarbij de naleving wordt aangetoond van de voorschriften van hoofdstuk III, afdeling 2 van de AI-Verordening in verband met een AI-systeem met een hoog risico deepfake Door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen, entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien direct onderscheid Indien een persoon op een andere wijze wordt behandeld dan een ander in een vergelijkbare situatie wordt, is of zou worden behandeld, op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat; directe discriminatie De ongelijke behandeling van een persoon of groep personen ten opzichte van andere personen in een vergelijkbare situatie, op grond van een beschermd persoonskenmerk (discriminatiegrond). discriminatiegrond Beschermde persoonskenmerken op basis waarvan het maken van onderscheid tussen personen verboden is. Bijvoorbeeld: ras, nationaliteit, religie, geslacht, seksuele gerichtheid, handicap of chronische ziekte. distributeur Een andere natuurlijke persoon of rechtspersoon in de toeleveringsketen dan de aanbieder of de importeur, die een AI-systeem in de Unie op de markt aanbiedt downstreamaanbieder Een aanbieder van een AI-systeem, met inbegrip van een AI-systeem voor algemene doeleinden, waarin een AI-model is ge\u00efntegreerd, ongeacht of het model door hemzelf wordt verstrekt en verticaal ge\u00efntegreerd is of door een andere entiteit wordt aangeboden op basis van contractuele betrekkingen etnisch profileren Het gebruik door overheidsinstanties van selectiecriteria als ras, huidskleur, taal, religie, nationaliteit of nationale of etnische afkomst bij de uitoefening van toezichts-, handhavings- en opsporingsbevoegdheden, zonder dat daarvoor een objectieve en redelijke rechtvaardiging bestaat geharmoniseerde norm Een geharmoniseerde norm zoals gedefinieerd in artikel 2, lid 1,punt c), van Verordening (EU) nr. 1025/2012 gemeenschappelijke specificatie een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in de AI-verordening gebruiksinstructies de door de aanbieder verstrekte informatie om de gebruiksverantwoordelijke te informeren over met name het beoogde doel en juiste gebruik van een AI-systeem gebruiksverantwoordelijke Een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan die/dat een AI-systeem onder eigen verantwoordelijkheid gebruikt, tenzij het AI-systeem wordt gebruikt in het kader van een persoonlijke niet- beroepsactiviteit. geharmoniseerde norm Een Europese norm die op verzoek van de Commissie is vastgesteld met het oog op de toepassing van harmonisatiewetgeving van de Unie ge\u00efnformeerde toestemming De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing om deel te nemen gemachtigde Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een schriftelijke machtiging heeft gekregen en aanvaard van een aanbieder van een AI-systeem of een AI-model voor algemene doeleinden om namens die aanbieder de verplichtingen en procedures van deze verordening respectievelijk na te komen en uit te voeren; gemeenschappelijke specificatie Een reeks technische specificaties zoals gedefinieerd in artikel 2, punt 4, van Verordening (EU) nr. 1025/2012, om te voldoen aan bepaalde voorschriften zoals vastgelegd in deze verordening gevoelige operationele gegevens Operationele gegevens met betrekking tot activiteiten op het gebied van preventie, opsporing, onderzoek of vervolging van strafbare feiten waarvan de openbaarmaking de integriteit van strafprocedures in het gedrang zou kunnen brengen governance Governance gaat over de inrichting van een organisatie en daar bijbehorende processen, regels, gebruiken en bijbehorende verantwoordelijkheden importeur Een natuurlijke of rechtspersoon die zich bevindt of gevestigd is in de Unie die een AI-systeem in de handel brengt dat de naam of merknaam van een in een derde land gevestigde natuurlijke of rechtspersoon draagt in de handel brengen Het voor het eerst in de Unie op de markt aanbieden van een AI-systeem of een AI-model voor algemene doeleinden in gebruik stellen De directe levering van een AI-systeem door de aanbieder aan de gebruiksverantwoordelijke voor het eerste gebruik of voor eigen gebruik in de Unie voor het beoogde doel indirect onderscheid Indien een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaalde godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat in vergelijking met andere personen bijzonder treft. indirecte discriminatie Wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een bepaald beschermd persoonskenmerk (discriminatiegrond) in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. inputdata Data die in een AI-systeem worden ingevoerd of direct door een AI-systeem worden verworven en op basis waarvan het systeem een output genereert kritieke infrastructuur Kritieke infrastructuur zoals gedefinieerd in artikel 2, punt 4, van Richtlijn (EU) 2022/2557 legaliteitsbeginsel Het legaliteitsbeginsel houdt in dat alle overheidsoptreden moet berusten op een overeenstemmen met - kenbare en voldoende specifieke - algemene regels. markttoezichtautoriteit De nationale autoriteit die de activiteiten verricht en maatregelen neemt als bedoeld in Verordening (EU) 2019/1020 nationale bevoegde autoriteit Een aanmeldende autoriteit of een de markttoezichtautoriteit; wat betreft AI-systemen die door instellingen, organen en instanties van de EU in gebruik worden gesteld of worden gebruikt, worden verwijzingen naar nationale bevoegde autoriteiten of markttoezichtautoriteiten in deze verordening begrepen als verwijzingen naar de Europese Toezichthouder voor gegevensbescherming norm Een norm is een vrijwillige afspraak tussen partijen over een product, dienst of proces. Normen zijn geen wetten, maar \u2019best practices\u2019. Iedereen kan - op vrijwillige basis - hier zijn voordeel mee doen. In zakelijke overeenkomsten hebben normen een belangrijke functie. Ze bieden marktpartijen duidelijkheid over en vertrouwen in producten, diensten of organisaties en dagen de maatschappij uit te innoveren. NEN-normen worden ontwikkeld door inhoudsexperts en specialisten op het gebied van normontwikkeling. normalisatie Normalisatie is het proces om te komen tot een norm. Dit proces is open, transparant en gericht op consensus en vindt plaats in normcommissies die bestaan uit vertegenwoordigers van alle betrokken partijen. Dit gebeurt niet alleen op nationaal niveau, maar ook in Europees en mondiaal verband. objectieve rechtvaardiging Van een objectieve rechtvaardiging voor onderscheid is sprake wanneer onderscheid een legitiem doel nastreeft en er een redelijke relatie van evenredigheid bestaat tussen het gemaakte onderscheid en het nagestreefde doel. op de markt aanbieden Het in het kader van een handelsactiviteit, al dan niet tegen betaling, verstrekken van een AI-systeem of een AI-model voor algemene doeleinden met het oog op distributie of gebruik op de markt van de Unie operator Een aanbieder, productfabrikant, gebruiksverantwoordelijke, gemachtigde, importeur of distributeur prestaties van een AI-systeem Het vermogen van een AI-systeem om het beoogde doel te verwezenlijken plan voor testen onder re\u00eble omstandigheden Een document waarin de doelstellingen, methode, geografische reikwijdte, betrokken personen, duur, monitoring, organisatie en wijze van uitvoering van een test onder re\u00eble omstandigheden worden omschreven proceseigenaar De proceseigenaar is verantwoordelijk voor de kwaliteit van het proces en de vastlegging daarvan in een processchema proefpersoon In het kader van tests onder re\u00eble omstandigheden: een natuurlijk persoon die deelneemt aan een test onder re\u00eble omstandigheden publieke inkoop De verwerving van werken, leveringen of diensten door een overheid of publieke organisatie, van de markt of een andere externe instantie, terwijl zij tegelijkertijd publieke waarde cre\u00ebren en waarborgen vanuit het perspectief van de eigen organisatie. redelijkerwijs te voorzien misbruik Het gebruik van een AI-systeem op een wijze die niet in overeenstemming is met het beoogde doel, maar die kan voortvloeien uit redelijkerwijs te voorzien menselijk gedrag of redelijkerwijs te voorziene interactie met andere systemen, waaronder andere AI-systemen risico De combinatie van de kans op schade en de ernst van die schade; substanti\u00eble wijziging Een verandering van een AI-systeem nadat dit in de handel is gebracht of in gebruik is gesteld, die door de aanbieder niet is voorzien of gepland in de initi\u00eble conformiteitsbeoordeling en als gevolg waarvan de overeenstemming van het AI-systeem met de voorschriften van hoofdstuk III, afdeling 2, AI-Verordening wordt be\u00efnvloed, of die leidt tot een wijziging van het beoogde doel waarvoor het AI-systeem is beoordeeld systeem voor monitoring na het in de handel brengen Alle door aanbieders van AI-systemen verrichte activiteiten voor het verzamelen en evalueren van ervaringen met door hen in de handel gebrachte of in gebruik gestelde AI-systemen, teneinde te kunnen vaststellen of er onmiddellijk corrigerende dan wel preventieve maatregelen nodig zijn systeem voor het herkennen van emoties Een AI-systeem dat is bedoeld voor het vaststellen of afleiden van de emoties of intenties van natuurlijke personen op basis van hun biometrische gegevens systeem voor biometrische categorisering Een AI-systeem dat is bedoeld voor het indelen van natuurlijke personen in specifieke categorie\u00ebn op basis van hun biometrische gegevens, tenzij dit een aanvulling vormt op een andere commerci\u00eble dienst en om objectieve technische redenen strikt noodzakelijk is systeem voor biometrische identificatie op afstand Een AI-systeem dat is bedoeld voor het identificeren van natuurlijke personen, zonder dat zij daar actief bij betrokken zijn en doorgaans van een afstand, door middel van vergelijking van de biometrische gegevens van een persoon met de biometrische gegevens die zijn opgenomen in een referentiedatabank systeem voor biometrische identificatie op afstand in real time Een systeem voor biometrische identificatie op afstand, waarbij het vastleggen van biometrische gegevens, de vergelijking en de identificatie zonder significante vertraging plaatsvinden, zowel wanneer de identificatie niet enkel onmiddellijk plaatsvindt, maar ook wanneer de identificatie met beperkte korte vertragingen plaatsvindt, om omzeiling te voorkomen systeem voor biometrische identificatie op afstand achteraf Een ander biometrisch systeem voor de identificatie op afstand dan een systeem voor biometrische identificatie op afstand in real time systeemrisico Een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleinden, die aanzienlijke gevolgen hebben voor de markt van de Unie vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid terugroepen van een AI-systeem Een maatregel gericht op het retourneren aan de aanbieder, het buiten gebruik stellen of het onbruikbaar maken van een AI-systeem dat aan gebruiksverantwoordelijken ter beschikking is gesteld testdata Data die worden gebruikt voor het verrichten van een onafhankelijke evaluatie van het AI-systeem om de verwachte prestaties van dat systeem te bevestigen voordat het in de handel wordt gebracht of in gebruik wordt gesteld testomgevingsplan Tussen de deelnemende aanbieder en de bevoegde autoriteit overeengekomen document waarin de doelstellingen, de voorwaarden, het tijdschema, de methode en de vereisten voor de in de testomgeving uitgevoerde activiteiten worden beschreven testen onder re\u00eble omstandigheden Het tijdelijk testen van een AI-systeem voor zijn beoogde doel onder re\u00eble omstandigheden buiten een laboratorium of anderszins gesimuleerde omgeving teneinde betrouwbare en robuuste gegevens te verkrijgen, en te beoordelen en te verifi\u00ebren of het AI-systeem overeenstemt met de voorschriften van de AI-verordening en het wordt niet aangemerkt als het in de handel brengen of in gebruik stellen van het AI-systeem in de zin van de AI-verordening, mits aan alle in artikel 57 of 60 vastgestelde voorwaarden is voldaan toestemming met kennis van zaken De vrijelijk gegeven, specifieke, ondubbelzinnige en vrijwillige uiting door een proefpersoon van zijn of haar bereidheid deel te nemen aan een bepaalde test onder re\u00eble omstandigheden, na ge\u00efnformeerd te zijn over alle aspecten van de test die van belang zijn voor zijn of haar beslissing deel te nemen trainingsdata Data die worden gebruikt voor het trainen van een AI-systeem door de leerbare parameters hiervan aan te passen uit de handel nemen van een AI-systeem Een maatregel waarmee wordt beoogd te voorkomen dat een AI-systeem dat zich in de toeleveringsketen bevindt, op de markt wordt aangeboden validatiedata Data die worden gebruikt voor het verrichten van een evaluatie van het getrainde AI-systeem en voor het afstemmen van onder andere de niet-leerbare parameters en het leerproces ervan, om underfitting of overfitting te voorkomen validatiedataset Een afzonderlijke dataset of deel van de trainingsdataset, als vaste of variabele opdeling. veiligheidscomponent Een component van een product of systeem die een veiligheidsfunctie voor dat product of systeem vervult of waarvan het falen of gebrekkig functioneren de gezondheid en veiligheid van personen of eigendom in gevaar brengt verwerker Een .. rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. verwerkersverantwoordelijke Een rechtspersoon of overheidsinstantie die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt zwevendekommabewerking of \u201cfloating-point operation (FLOP) Elke wiskundige bewerking of toewijzing met zwevendekommagetallen, die een subset vormen van de re\u00eble getallen die gewoonlijk op computers worden gerepresenteerd door een geheel getal met een vaste precisie, geschaald door een gehele exponent van een vaste basis
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Verantwoord gebruik van algoritmes en AI-systemen is mogelijk als mensen in verschillende rollen goed samenwerken, op het juiste moment.
"},{"location":"rollen/#bepaal-zelf-rollen-en-verantwoordelijkheden","title":"Bepaal zelf rollen en verantwoordelijkheden","text":"
Als organisatie bepaal je zelf de namen van je rollen of functies en de taken en verantwoordelijkheden die hierbij horen. Misschien heb je bijvoorbeeld minder rollen, omdat je verschillende expertises combineert in 1 rol. Of rollen hebben andere namen.
"},{"location":"rollen/#voorbeelden-van-rollen","title":"Voorbeelden van rollen","text":"
We adviseren de volgende rollen bij het gebruik van algoritmes. Andere rollen zijn ook mogelijk.
"},{"location":"rollen/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"rollen/aanbestedingsjurist/","title":"Aanbestedingsjurist","text":""},{"location":"rollen/aanbestedingsjurist/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/aanbieder/","title":"Aanbieder","text":""},{"location":"rollen/aanbieder/#maatregelen","title":"Maatregelen","text":"idMaatregelenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenVerken maatregelen van aanbieder om schending auteursrechten te voorkomenRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak de vereiste onderdeel van Service Level AgreementRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/archiefdeskundige/","title":"Archiefdeskundige","text":""},{"location":"rollen/archiefdeskundige/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/architect/","title":"Architect","text":""},{"location":"rollen/architect/#maatregelen","title":"Maatregelen","text":"idMaatregelenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/behoeftesteller/","title":"Behoeftesteller","text":""},{"location":"rollen/behoeftesteller/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenBespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/beleidsmedewerker/","title":"Beleidsmedewerker","text":""},{"location":"rollen/beleidsmedewerker/#maatregelen","title":"Maatregelen","text":"idMaatregelenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Neem technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/contractbeheerder/","title":"Contractbeheerder","text":""},{"location":"rollen/contractbeheerder/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenVerken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/data-engineer/","title":"Data engineer","text":""},{"location":"rollen/data-engineer/#maatregelen","title":"Maatregelen","text":"idMaatregelenMaak back-ups van algoritmesBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Data is van voldoende kwaliteitRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Neem technische documentatie op in het algoritmeregisterPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Richt een wijzigingenproces in voor codewijzigingenTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/data-scientist/","title":"Data scientist","text":""},{"location":"rollen/data-scientist/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiefbescheiden vaststellenBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Data is van voldoende kwaliteitRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Richt een wijzigingenproces in voor codewijzigingenTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/domeinspecialist/","title":"Domeinspecialist","text":""},{"location":"rollen/domeinspecialist/#maatregelen","title":"Maatregelen","text":"idMaatregelenFormuleren doelstellingFormuleren aanleiding en probleemdefinitieBepaal waarom we gebruik willen maken een algoritme
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/ethicus/","title":"Ethicus","text":""},{"location":"rollen/ethicus/#maatregelen","title":"Maatregelen","text":"idMaatregelenBepaal of de output bepalende invloed heeft in een besluit richting personenKwetsbare groepen in kaart brengen en beschermenMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/gebruiker/","title":"Gebruiker","text":""},{"location":"rollen/gebruiker/#maatregelen","title":"Maatregelen","text":"idMaatregelenBepaal of de output bepalende invloed heeft in een besluit richting personenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/gemandateerd-verantwoordelijke/","title":"Gemandateerd verantwoordelijke(n)","text":""},{"location":"rollen/gemandateerd-verantwoordelijke/#maatregelen","title":"Maatregelen","text":"idMaatregelenBewijs laten leveren dat auteursrechten niet worden geschonden met de output
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/informatie-analist/","title":"Informatie analist","text":""},{"location":"rollen/informatie-analist/#maatregelen","title":"Maatregelen","text":"idMaatregelenPersoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/informatiebeheerder/","title":"Informatiebeheerder","text":""},{"location":"rollen/informatiebeheerder/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesZorg voor een goede beveiliging van een algoritme.Contractuele afspraken over data en artefactenControleren eigen data op schending auteursrechtenRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Richt gebruikersbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/inkoopadviseur/","title":"Inkoopadviseur","text":""},{"location":"rollen/inkoopadviseur/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal of de output bepalende invloed heeft in een besluit richting personenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenBewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van de contractovereenkomstMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenMenselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstVul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijkeDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/jurist/","title":"Jurist","text":""},{"location":"rollen/jurist/#maatregelen","title":"Maatregelen","text":"idMaatregelenArchiveren beperkingen openbaarheidArchiefbescheiden vaststellenBepaal of de output bepalende invloed heeft in een besluit richting personenControleren eigen data op schending auteursrechtenStel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/opdrachtgever/","title":"Opdrachtgever","text":""},{"location":"rollen/opdrachtgever/#maatregelen","title":"Maatregelen","text":"idMaatregelenFormuleren doelstellingFormuleren aanleiding en probleemdefinitieKwetsbare groepen in kaart brengen en beschermenBepaal waarom we gebruik willen maken een algoritme
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/opdrachtnemer/","title":"Opdrachtnemer","text":""},{"location":"rollen/opdrachtnemer/#maatregelen","title":"Maatregelen","text":"idMaatregelenBespreek de vereiste met aanbieder of opdrachtnemerVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectVoer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/privacy-officer/","title":"Privacy-officer","text":""},{"location":"rollen/privacy-officer/#maatregelen","title":"Maatregelen","text":"idMaatregelenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Zorg voor een goede beveiliging van een algoritme.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van de contractovereenkomstEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sNeem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/proceseigenaar/","title":"Proceseigenaar","text":""},{"location":"rollen/proceseigenaar/#maatregelen","title":"Maatregelen","text":"idMaatregelenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbestedingArchiveren beperkingen openbaarheidVaststellen bewaartermijnen voor archiefbescheidenArchiefbescheiden zijn duurzaam toegankelijkArchiefbescheiden vaststellenMaak back-ups van algoritmesBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen en stel vast of er voldoende expertise en capaciteit beschikbaar is.Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bepaal of de output bepalende invloed heeft in een besluit richting personenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.Bespreek de vereiste met aanbieder of opdrachtnemerContractuele afspraken over data en artefactenControleren eigen data op schending auteursrechtenCre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.Verken maatregelen van aanbieder om schending auteursrechten te voorkomenRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenRicht een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.Bewijs laten leveren dat auteursrechten niet worden geschonden met de outputBewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdataMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingMaak de vereiste onderdeel van het programma van eisenMaak de vereiste onderdeel van Service Level AgreementMaak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaardenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocumentEen model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerktNeem technische documentatie op in het algoritmeregisterNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaaktPas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen.Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.Richt een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectGarantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de outputGarantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdataTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sDe mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbestedingVaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemenDe rollen en verantwoordelijkheden zijn vastgesteld door de verantwoordelijke(n)Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/projectleider/","title":"Projectleider","text":""},{"location":"rollen/projectleider/#maatregelen","title":"Maatregelen","text":"idMaatregelenMaak back-ups van algoritmesBetrek belanghebbendenZorg voor een goede beveiliging van een algoritme.Formuleren doelstellingFormuleren aanleiding en probleemdefinitieRicht een incidentmanagement proces in voor informatiebeveiligingsincidentenKwetsbare groepen in kaart brengen en beschermenZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenBepaal waarom we gebruik willen maken een algoritmeRicht een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toe
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
"},{"location":"rollen/security-officer/","title":"Security officer","text":""},{"location":"rollen/security-officer/#maatregelen","title":"Maatregelen","text":"idMaatregelenMaak back-ups van algoritmesBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.Zorg voor een goede beveiliging van een algoritme.Richt een incidentmanagement proces in voor informatiebeveiligingsincidentenMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijvingZorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissenMaak de vereiste onderdeel van de contractovereenkomstNeem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen.Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem.Richt een wijzigingenproces in voor codewijzigingenRicht gebruikersbeheer inRicht wachtwoordbeheer inVoer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstrajectPas het principe van security by design toeTref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes en AI-systemen.Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomstUitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico'sVoer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.
Disclaimer
Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.
Impactvolle algoritmes en AI-systemen worden gepubliceerd in het Nederlandse algoritmeregister.
Deze vereiste geldt alleen voor impactvolle algoritmes en hoog-risico-AI-systemen. Een niet-impactvolle rekenregel hoef je niet te registreren.
"},{"location":"vereisten/#overzicht-vereisten","title":"Overzicht vereisten","text":"ZoekenRollenprivacy-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpenbias-en-non-discriminatiedatafundamentele-rechtengovernancemenselijke-controleprivacy-en-gegevensbeschermingtechnische-robuustheid-en-veiligheidtransparantieidVereistenRollenLevenscyclusOnderwerpenaia-01Bevorder AI-geletterdheid van personeel en gebruikers organisatieverantwoordelijkheden menselijke-controle governance aia-02Documentatie beoordeling niet-hoog-risico AI ontwerp verificatie-en-validatie governance aia-03Verplicht risicobeheersysteem voor hoog-risico AI governance aia-04Risicobeoordeling voor jongeren en kwetsbaren probleemanalyse ontwerp ontwikkelen fundamentele-rechten bias-en-non-discriminatie aia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteria ontwerp dataverkenning-en-datapreparatie verificatie-en-validatie governance data aia-06Technische documentatie voor hoog-risico AI ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-07Automatische logregistratie voor hoog-risico AI ontwikkelen monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-08Transparantie in ontwerp voor hoog-risico AI ontwerp ontwikkelen implementatie monitoring-en-beheer transparantie aia-09Toezichtmogelijkheden voor gebruikers ontwerp implementatie monitoring-en-beheer menselijke-controle aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid aia-11Kwaliteitsbeheersysteem voor hoog-risico AI ontwerp governance aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie ontwerp ontwikkelen monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-13Bewaartermijn voor gegenereerde logs ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance technische-robuustheid-en-veiligheid aia-14Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit verificatie-en-validatie implementatie governance aia-15Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op verificatie-en-validatie implementatie governance aia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem ontwikkelen verificatie-en-validatie implementatie governance aia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico ontwikkelen verificatie-en-validatie implementatie governance transparantie aia-18Corrigerende maatregelen voor non-conforme AI organisatieverantwoordelijkheden governance aia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-20Verstrekking van informatie op verzoek organisatieverantwoordelijkheden governance aia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening ontwikkelen implementatie monitoring-en-beheer governance aia-22Maatregelen van gebruiksverantwoordelijken voor gebruik implementatie governance aia-23Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning implementatie monitoring-en-beheer governance menselijke-controle aia-24Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem monitoring-en-beheer governance menselijke-controle aia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd implementatie ontwikkelen governance technische-robuustheid-en-veiligheid aia-26Informeren werknemers implementatie ontwerp governance aia-27Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem implementatie monitoring-en-beheer transparantie governance aia-28Recht op uitleg AI-besluiten implementatie ontwerp monitoring-en-beheer governance fundamentele-rechten aia-29Beoordeling van grondrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer fundamentele-rechten aia-30Transparantieverplichtingen implementatie ontwikkelen monitoring-en-beheer transparantie aia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden ontwerp verificatie-en-validatie implementatie monitoring-en-beheer transparantie aia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer governance aia-33Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij verificatie-en-validatie implementatie monitoring-en-beheer governance aia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging ontwikkelen implementatie monitoring-en-beheer governance technische-robuustheid-en-veiligheid aia-35Verdere verwerking van persoonsgegevens in AI-testomgevingen ontwikkelen dataverkenning-en-datapreparatie privacy-en-gegevensbescherming data aia-36Monitoring na het in handel brengen monitoring-en-beheer technische-robuustheid-en-veiligheid governance aia-37Melden van ernstige incidenten organisatieverantwoordelijkheden monitoring-en-beheer governance aia-38Veilig melden van inbreuk op AI verordening organisatieverantwoordelijkheden monitoring-en-beheer governance fundamentele-rechten aia-39Klachtrecht aanbieders verder in AI-waardeketen organisatieverantwoordelijkheden governance fundamentele-rechten arc-01De archiefwet is ook van toepassing op algoritmes en AI-systemen uitfaseren monitoring-en-beheer ontwikkelen technische-robuustheid-en-veiligheid governance data privacy-en-gegevensbescherming aut-01Auteursrechten mogen niet worden geschonden dataverkenning-en-datapreparatie ontwerp data governance avg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvinden probleemanalyse ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming avg-02Beperkte bewaartermijn van persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-03Persoonsgegevens verzamelen voor specifieke doeleinden ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-04Proportionaliteit en subsidiariteit organisatieverantwoordelijkheden governance privacy-en-gegevensbescherming avg-05Juistheid en actualiteit van gegevens probleemanalyse ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming data avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie monitoring-en-beheer uitfaseren governance privacy-en-gegevensbescherming avg-07Transparantie bij verwerking persoonsgegevens ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer privacy-en-gegevensbescherming transparantie avg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens ontwerp dataverkenning-en-datapreparatie privacy-en-gegevensbescherming fundamentele-rechten avg-09Privacyrechten ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming avg-10Recht op niet geautomatiseerde besluitvorming ontwerp ontwikkelen monitoring-en-beheer privacy-en-gegevensbescherming avg-11Privacy door ontwerp ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie privacy-en-gegevensbescherming data avg-12Beveiliging van de verwerking organisatieverantwoordelijkheden privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming awb-1Relevante feiten en belangen zijn bekend organisatieverantwoordelijkheden governance awb-02Een besluit berust op een deugdelijke motivering organisatieverantwoordelijkheden governance bio-01Beveiliging informatie en informatiesystemen technische-robuustheid-en-veiligheid bzk-01Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister implementatie monitoring-en-beheer transparantie dat-01Verbod op schenden databankenrechten ontwerp dataverkenning-en-datapreparatie data grw-01Beschermen van fundamentele rechten en vrijheden probleemanalyse ontwerp verificatie-en-validatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie grw-02AI-systemen en algoritmes mogen niet discrimineren probleemanalyse dataverkenning-en-datapreparatie ontwerp verificatie-en-validatie implementatie monitoring-en-beheer fundamentele-rechten bias-en-non-discriminatie woo-01Eenieder heeft recht op toegang tot publieke informatie transparantie"},{"location":"vereisten/#help-ons-deze-pagina-te-verbeteren","title":"Help ons deze pagina te verbeteren","text":"
Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.
"},{"location":"vereisten/aia-01-ai-geletterdheid/","title":"Bevorder AI-geletterdheid van personeel en gebruikers","text":"
Aanbieders en exploitanten van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
Aanbieders en exploitanten van AI-systemen nemen maatregelen om ervoor te zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI. Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen. Daarnaast moet er worden ingezet op het delen van ervaringen, passend onderwijs en opleiding van inidividuen. Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
"},{"location":"vereisten/aia-01-ai-geletterdheid/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-01-ai-geletterdheid/#risico","title":"Risico","text":"
Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt. Dit kan leiden tot ineffici\u00ebntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.
"},{"location":"vereisten/aia-01-ai-geletterdheid/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenMaak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding proceseigenaar aanbieder behoeftesteller inkoopadviseur contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen aanbieder proceseigenaar inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop"},{"location":"vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/","title":"Documentatie beoordeling niet-hoog-risico AI","text":"
Een aanbieder die van mening is dat een in bijlage III bedoeld AI-systeem geen hoog risico inhoudt, documenteert zijn beoordeling voordat dat systeem in de handel wordt gebracht of in gebruik wordt gesteld. Die aanbieder is onderworpen aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie van de beoordeling.
Een aanbieder die oordeelt dat een AI-systeem niet valt onder hoog-risico zoals gefedinieerd in bijlage III van de AI-verordening, documenteert deze beoordeling voorafgaand aan het in de handel brengen of in gebruik nemen van het systeem. Op verzoek van de nationale autoriteiten verstrekt de aanbieder de documentatie van de beoordeling. De aanbieder of in voorkomend geval de gemachtigd registreert zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening). AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
Bijlage III AVerordening Artifici\u00eble Intelligentie
"},{"location":"vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#risico","title":"Risico","text":"
Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt brengen en onrechtmatig gebruik van risicovolle AI-systemen.
"},{"location":"vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-03-risicobeheersysteem/","title":"Verplicht risicobeheersysteem voor hoog-risico AI","text":"
Het systeem voor risicobeheer moet bestaan uit een tijdens de gehele levensduur van een AI-systeem met een hoog risico doorlopend en gepland iteratief proces. Dit proces moet gericht zijn op het vaststellen en beperken van de relevante risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Het systeem voor risicobeheer moet periodiek worden ge\u00ebvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.
Dit proces moet ervoor zorgen dat de aanbieder de risico\u2019s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico\u2019s van AI-systemen voor de gezondheid, veiligheid en grondrechten. Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico\u2019s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. Het systeem voor risicobeheer moet de passendste risicobeheersmaatregelen vaststellen. Bij het vaststellen van de passendste risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes documenteren en toelichten en, in voorkomend geval, deskundigen en externe belanghebbenden betrekken. Bij het vaststellen van het redelijkerwijs te voorzien misbruik van AI-systemen met een hoog risico moet de aanbieder aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.
"},{"location":"vereisten/aia-03-risicobeheersysteem/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-03-risicobeheersysteem/#risico","title":"Risico","text":"
Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.
"},{"location":"vereisten/aia-03-risicobeheersysteem/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/","title":"Risicobeoordeling voor jongeren en kwetsbaren","text":"
aia-04ProbleemanalyseOntwerpOntwikkelenFundamentele rechtenBias en non discriminatie
Bij het doorlopen, periodieke systematische toetsing en actualisatie van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare groepen.
Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen zal hebben voor personen jonger dan 18 jaar en, in voorkomend geval, voor andere groepen kwetsbare personen. Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende maatregelen om het risico te elimineren of te mitigeren.
"},{"location":"vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#risico","title":"Risico","text":"
Niet adequaat adresseren van risico's voor jongeren en kwetsbare groepen kan leiden tot ernstige ethische en maatschappelijke schade.
"},{"location":"vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusinkoopadviseuropdrachtgeveropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenfundamentele-rechtenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Kwetsbare groepen in kaart brengen en beschermen projectleider opdrachtgever ethicus ontwerp fundamentele-rechten Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-05-data-kwaliteitscriteria/","title":"Data van hoog-risico ai moet voldoen aan kwaliteitscriteria","text":"
aia-05OntwerpDataverkenning en datapreparatieVerificatie en validatieGovernanceData
AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets worden gebruikt.
AI-systemen met een hoog risico die data gebruiken voor het trainen van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke kwaliteitscriteria. Deze criteria zorgen ervoor dat de data geschikt zijn voor training, validatie en tests, wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt.
Deze vereiste houdt in dat de gebruikte datasets onder meer moeten voldoen aan:
datasets voor training, validatie en tests worden onderworpen aan praktijken op het gebied van databeheer die stroken met het beoogde doel van het AI-systeem met een hoog risico. Dit heeft in het bijzonder betrekking op relevante ontwerpkeuzes, processen voor dataverzameling, verwerkingsactiviteiten voor datavoorbereiding, het opstellen van aannames met name betrekking tot de informatie die de data moeten meten en vertegenwoordigen, beschikbaarheid, kwantiteit en geschiktheid van de datasets en een beoordeling op mogelijke vooringenomenheid en passende maatregelen om deze vooringenomenheid op te sporen, te voorkomen en te beperken.
datasets voor training, validatie en tests zijn relevant, voldoende representatief en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde doel.
Er wordt rekening gehouden met de eigenschappen of elementen die specifiek zijn voor een bepaalde geografische, contextuele, functionele of gedragsomgeving waarin het AI-systeem wordt gebruikt.
"},{"location":"vereisten/aia-05-data-kwaliteitscriteria/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-05-data-kwaliteitscriteria/#risico","title":"Risico","text":"
Gebruik van laagkwalitatieve of bevooroordeelde datasets kan leiden tot onbetrouwbare en oneerlijke AI-besluitvorming. Onvoldoende kwaliteitsborging van testdata kan leiden tot vertekende resultaten en gebrekkige prestaties van het AI-systeem bij gebruik in de praktijk.
"},{"location":"vereisten/aia-05-data-kwaliteitscriteria/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkooptransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit. proceseigenaar behoeftesteller informatie-analist data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer architect ontwerp ontwikkelen publieke-inkoop data"},{"location":"vereisten/aia-06-technische-documentatie/","title":"Technische documentatie voor hoog-risico AI","text":"
aia-06OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernanceTechnische robuustheid en veiligheid
De technische documentatie van een AI-systeem met een hoog risico wordt opgesteld voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld, en wordt geactualiseerd. De technische documentatie wordt op zodanige wijze opgesteld dat wordt aangetoond dat het AI-systeem met een hoog risico in overeenstemming is met de eisen van Afdeling 2 van de AI-verordening en dat nationale bevoegde autoriteiten en aangemelde instanties over de noodzakelijke, op heldere en begrijpelijke wijze gestelde informatie beschikken om de overeenstemming van het AI-systeem met deze voorschriften te kunnen beoordelen.
De technische documentatie van een AI-systeem met een hoog risico wordt voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig bijgewerkt. Deze documentatie moet duidelijk aantonen dat het systeem voldoet aan de vereisten van de verordening, zodat nationale autoriteiten en aangemelde instanties de naleving kunnen beoordelen.
De documentatie bevat ten minste de elementen zoals uiteengezet in bijlage IV:
Een algemene beschrijving van het AI-syseem.
Een gedetailleerde beschrijving van de elementen van het AI-systeem en het proces voor de ontwikkeling ervan.
Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem.
Een beschrijving van de geschiktheid van de prestatiestatistieken.
Een gedetailleerde beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de AI verordening.
Een beschrijving van de wijzigingen die tijdens de levensduur worden aangebracht.
Een lijst van normen die worden toegepast.
Een exemplaar van de EU-conformiteitsverklaring.
Een gedetailleerde beschrijving voor evaluatie van prestaties nadat het systeem in handel is gebracht, in overeenstemming met artikel 72 van de AI verordening.
Bijlage IV Verordening Artifici\u00eble Intelligentie
"},{"location":"vereisten/aia-06-technische-documentatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-06-technische-documentatie/#risico","title":"Risico","text":"
Het ontbreken van de benodigde informatie over de algoritmische toepassing of AI-systeem kan ertoe leiden dat de technische functionering onduidelijk is. Dat kan tot problemen leiden bij de verantwoording, controle en het beheer. Onvolledige of ontoereikende technische documentatie kan leiden tot onduidelijkheid over de conformiteit van het AI-systeem met de regelgeving, wat de veiligheid en naleving in gevaar kan brengen.
"},{"location":"vereisten/aia-06-technische-documentatie/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-07-automatische-logregistratie/","title":"Automatische logregistratie voor hoog-risico AI","text":"
aia-07OntwikkelenMonitoring en beheerGovernanceTechnische robuustheid en veiligheid
Algoritmes en AI-systemen zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (\u201clogs\u201d).
AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als \"logs\". Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken. Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert.
Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in: a) de registratie van de duur van elk gebruik van het systeem; b) de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem; c) de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd; d) de identificatie van natuurlijke personen die betrokken zijn bij de verificatie van de resultaten.
Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systmen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.
Artikel 5 en 32 Algemene Verordening Gegevensbescherming
"},{"location":"vereisten/aia-07-automatische-logregistratie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-07-automatische-logregistratie/#risico","title":"Risico","text":"
Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert en betrokkenen wiens persoonsgegevens worden verwerkt of geraakt worden door beslissingen van het AI-systeem in hun rechten kunnen worden beperkt.
"},{"location":"vereisten/aia-07-automatische-logregistratie/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/","title":"Transparantie in ontwerp voor hoog-risico AI","text":"
aia-08OntwerpOntwikkelenImplementatieMonitoring en beheerTransparantie
AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat de werking ervan voldoende transparant is om gebruiksverantwoordelijken in staat te stellen de output van een systeem te interpreteren en op passende wijze te gebruiken. Een passende soort en mate van transparantie wordt gewaarborgd met het oog op de naleving van de relevante verplichtingen van de aanbieder en de gebruiksverantwoordelijke zoals uiteengezet in afdeling 3 van Artikel 13 van de AI verordening.
AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen begrijpen en correct kunnen gebruiken. Dit zorgt ervoor dat de aanbieders en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik van deze systemen worden verzekerd. In artikel 13 lid 3 is een overzicht gegeven van de informatie die gebruikersinstructies tenminste moeten bevatten.
"},{"location":"vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#risico","title":"Risico","text":"
Onvoldoende transparantie kan leiden tot een gebrek aan begrip over hoe het AI-systeem functioneert, wat de effectiviteit van de inzet ervan kan belemmeren en de naleving van wettelijke verplichtingen in gevaar kan brengen.
"},{"location":"vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkooptransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie"},{"location":"vereisten/aia-09-menselijk-toezicht/","title":"Toezichtmogelijkheden voor gebruikers","text":"
aia-09OntwerpImplementatieMonitoring en beheerMenselijke controle
AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld, met inbegrip van passende mens-machine-interface-instrumenten, dat hierop tijdens de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden uitgeoefend door natuurlijke personen.
Het menselijk toezicht is gericht op het voorkomen of beperken van de risico\u2019s voor de gezondheid, veiligheid of grondrechten die zich kunnen voordoen wanneer een AI-systeem met een hoog risico wordt gebruikt in overeenstemming met het beoogde doel ervan of in een situatie van redelijkerwijs te voorzien misbruik, met name wanneer dergelijke risico\u2019s blijven bestaan ondanks de toepassing van andere eisen van deze afdeling.
De toezichtmaatregelen staan in verhouding met de risico's, de mate van autonomie en de gebruikscontext van het AI-systeem met een hoog risico. Hierbij kan het gaan om:
door de aanbieder bepaalde maatregelen die waar technisch haalbaar in het AI-systeem met een hoog risico worden ingebouwd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld;
door de aanbieder bepaalde maatregelen voordat het AI-systeem met een hoog risico in de handel wordt gebracht of in gebruik wordt gesteld en die passend zijn om door de gebruiksverantwoordelijke te worden uitgevoerd.
De natuurlijke personen die verantwoordelijk zijn voor het menselijk toezicht, moeten in staat worden gesteld om waar passend en in verhouding tot de omstandigheden het volgende te kunnen doen:
Goed kunnen begrijpen van de relevante capaciteiten en beperkingen van het AI-systeem met een hoog risico. Met het oog op het opsporen en aanpakken van onregelmatigheden, storingen en onverwachte prestaties moet de werking van het AI-systeem goed kunnen worden begrepen;
Bewust blijven van de mogelijke neiging om automatisch of te veel te vertrouwen op de output van een AI-systeem met hoog risico (automation bias). Dit geldt in het bijzonder voor het gebruik van een hoog risico AI-systeem dat wordt gebruikt om informatie of aanbevelingen te versterkken voor beslisisngen die door natuurlijke personen moeten worden genomen;
De output juist kunnen interpreteren, bijvoorbeeld met behulp van de juiste instrumenten en methoden voor interpretatie;
In alle specifieke situaties kunnen besluiten om het hoog risico AI-systeem niet te gebruiken of de output op een andere wijze te negeren, door een andere beslissing te vervangen of terug te draaien;
ingrijpen in de werking van het hoog risico AI-systeem of het systeem onderbreken door middel van een stopknop of een vergelijkbare procedure waarmee het systeem op een veilige wijze kan worden stopgezet.
In het geval van een hoog risico systeem als bedoeld in bijlage III, punt 1, a (systemen voor biometrische identificatie op afstand) geldt het vereiste dat twee natuurlijke personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie van het systeem verifici\u00ebren en bevestigen, tenzij het wordt gebruikt voor rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht of het nationale recht de toepassing van dit vereiste onevenredig acht.
"},{"location":"vereisten/aia-09-menselijk-toezicht/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-09-menselijk-toezicht/#risico","title":"Risico","text":"
Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste of onvoorspelbare uitkomsten.
"},{"location":"vereisten/aia-09-menselijk-toezicht/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Configuratie met de mens implementatie governance menselijke-controle Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/","title":"Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging","text":"
aia-10OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerTechnische robuustheid en veiligheid
AI-systemen met een hoog risico worden op zodanige wijze ontworpen en ontwikkeld dat deze een passend niveau van nauwkeurigheid, robuustheid en cyberbeveiliging bieden, alsook consistente prestaties gedurende de levensduur met betrekking tot deze aspecten.
AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden. Dit garandeert consistente prestaties gedurende hun levensduur en minimaliseert risico's met betrekking tot deze aspecten, waardoor de betrouwbaarheid en veiligheid van het systeem worden gewaarborgd.
Technische robuustheid is een essenti\u00eble eis voor AI-systemen met een hoog risico. Deze systemen moeten bestand zijn tegen schadelijk of anderszins ongewenst gedrag dat kan voortvloeien uit de beperkingen binnen de systemen of de omgeving waarin de systemen opereren (bijvoorbeeld fouten, onregelmatigheden, onverwachte situaties). Daarom moeten technische en organisatorische maatregelen worden getroffen om de robuustheid van AI-systemen met een hoog risico te waarborgen. Een technische oplossing kan bijvoorbeeld bestaan uit mechanismen die het systeem in staat stellen zijn werking veilig te onderbreken (storingsbeveiligingsplannen) wanneer zich bepaalde anomalie\u00ebn voordoen of wanneer de werking buiten bepaalde vooraf bepaalde grenzen plaatsvindt.
Cyberbeveiliging is cruciaal om te waarborgen dat AI-systemen bestand zijn tegen pogingen van kwaadwillige derden die gebruikmaken van de kwetsbaarheden van het systeem om het gebruik, het gedrag of de prestaties ervan te wijzigen of de veiligheidskenmerken ervan in gevaar te brengen. Bij cyberaanvallen tegen AI-systemen kunnen AI-specifieke activa worden gebruikt, zoals trainingsdatasets (bv. datavervuiling) of getrainde modellen (bv. vijandige aanvallen of membership inference), of kwetsbaarheden in de digitale activa van het AI-systeem of de onderliggende ICT-infrastructuur worden benut. Om te zorgen voor een niveau van cyberbeveiliging dat aansluit op de risico\u2019s, moeten aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.
"},{"location":"vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#risico","title":"Risico","text":"
Gebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's, wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.
"},{"location":"vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/aia-11-systeem-voor-kwaliteitsbeheer/","title":"Kwaliteitsbeheersysteem voor hoog-risico AI","text":"
Aanbieders van AI-systemen met een hoog risico voorzien in een systeem voor kwaliteitsbeheer dat de naleving van deze verordening waarborgt. Dit systeem wordt op systematische en ordelijke wijze gedocumenteerd in de vorm van schriftelijke beleidslijnen, procedures en instructies en omvat ten minste de aspecten vermeld in artikel 17 AI-verordening.
Aanbieders van AI-systemen met een hoog risico moeten een kwaliteitsbeheersysteem implementeren om te garanderen dat ze voldoen aan de AI-verordening. Dit systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en behandelt beknopt de volgende aspecten:
een strategie voor de naleving van de regelgeving, inclusief de naleving van de conformiteitsbeoordelingsprocedures en de procedures voor het beheer van de wijzigingen van het AI-systeem met een hoog risico;
technieken, procedures en systematische maatregelen die moeten worden toegepast voor het ontwerp, de controle van het ontwerp en de verificatie van het ontwerp van het AI-systeem met een hoog risico;
technieken, procedures en systematische maatregelen die moeten worden toegepast voor de ontwikkeling, de kwaliteitscontrole en de kwaliteitsborging van het AI-systeem met een hoog risico;
procedures voor het inspecteren, testen en valideren die v\u00f3\u00f3r, tijdens en na de ontwikkeling van het AI-systeem met een hoog risico moeten worden uitgevoerd en de regelmaat waarmee zij moeten worden uitgevoerd;
technische specificaties, met inbegrip van normen, die moeten worden toegepast en, wanneer de relevante geharmoniseerde normen niet volledig worden toegepast of geen betrekking hebben op alle relevante eisen van afdeling 2, de middelen die worden gebruikt om ervoor te zorgen dat het AI-systeem met een hoog risico in overeenstemming is met deze eisen;
systemen en procedures voor databeheer, met inbegrip van dataverwerving, - verzameling, -analyse, -labeling, -opslag, -zuivering, -aggregatie en -behoud en datamining en eventuele andere operaties met betrekking tot de data die worden uitgevoerd voorafgaand aan en met het oog op het in de handel brengen of in gebruik stellen van AI-systemen met een hoog risico;
het systeem voor risicobeheer zoals bedoeld in artikel 9 van de AI-verordening;
het opzetten, toepassen en onderhouden van een systeem voor monitoring na het in de handel brengen, overeenkomstig artikel 72 AI-verordening;
procedures in verband met het melden van een ernstig incident in overeenstemming met artikel 73 van de AI-verordening;
"},{"location":"vereisten/aia-11-systeem-voor-kwaliteitsbeheer/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-11-systeem-voor-kwaliteitsbeheer/#risico","title":"Risico","text":"
Zonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit met wet- en regelgeving.
"},{"location":"vereisten/aia-11-systeem-voor-kwaliteitsbeheer/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-12-bewaartermijn-voor-documentatie/","title":"Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie","text":"
aia-12OntwerpOntwikkelenMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid
De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende elementen ter beschikking van de nationale bevoegde autoriteiten:
de technische documentatie als bedoeld in artikel 11 van de AI-verordening;
de documentatie betreffende het in artikel 17 bedoelde systeem voor kwaliteitsbeheer;
in voorkomend geval de documentatie betreffende de door aangemelde instanties goedgekeurde wijzigingen;
in voorkomend geval de besluiten en andere documenten die door de aangemelde instanties zijn afgegeven;
de EU-conformiteitsverklaring als bedoeld in artikel 47.
De aanbieder moet gedurende tien jaar na het op de markt brengen of in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie beschikbaar houden voor de nationale autoriteiten. Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle en naleving van de voorschriften gedurende deze periode.
"},{"location":"vereisten/aia-12-bewaartermijn-voor-documentatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-12-bewaartermijn-voor-documentatie/#risico","title":"Risico","text":"
Niet voldoen aan de bewaartermijn kan leiden tot juridische consequenties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.
"},{"location":"vereisten/aia-12-bewaartermijn-voor-documentatie/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-engineerdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheididMaatregelenRollenLevenscyclusOnderwerpenVaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/","title":"Bewaartermijn voor gegenereerde logs","text":"
aia-13OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernanceTechnische robuustheid en veiligheid
Aanbieders van AI-systemen met een hoog risico bewaren de in artikel 12, lid 1, bedoelde logs die automatisch worden gegenereerd door hun AI-systemen met een hoog risico voor zover dergelijke logs onder hun controle vallen. Onverminderd het toepasselijke Unie- of nationale recht worden deze logs bewaard gedurende een periode, die passend is voor het beoogde doel van het AI-systeem met een hoog risico, van ten minste zes maanden, tenzij anders is bepaald in het Unie- of nationaal recht, met name de Uniewetgeving inzake de bescherming van persoonsgegevens.
Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen aan de relevante voorschriften en verantwoordingsplicht.
"},{"location":"vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#risico","title":"Risico","text":"
Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
"},{"location":"vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-14-conformiteitsbeoordeling/","title":"Aanbieders van AI-systemen met een hoog risico voeren een conformiteitsbeoordelingsprocedure uit","text":"
aia-14Verificatie en validatieImplementatieGovernance
Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld
Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd voor het systeem op de markt wordt gebracht of in gebruik wordt genomen. Dit is mogelijk door middel van een interne controle (als bedoeld in bijlage VI van de AI-verordening) of met betrokkenheid van een aangemelde instantie voor de beoordeling van het systeem voor kwaliteitsbeheer en de technische documentatie (als bedoeld in bijlage VII van de AI-verordening).
AI-systemen met een hoog risico die reeds aan een conformiteitsbeoordelingsprocedure zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke gebruikt blijft worden.
Bijlage VI Verordening Artifici\u00eble Intelligentie
Bijlage VII Verordening Artifici\u00eble Intelligentie
"},{"location":"vereisten/aia-14-conformiteitsbeoordeling/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-14-conformiteitsbeoordeling/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aia-14-conformiteitsbeoordeling/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-15-eu-conformiteitsverklaring/","title":"Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op","text":"
aia-15Verificatie en validatieImplementatieGovernance
Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. De aanbieder stelt voor elk AI-systeem met een hoog risico een schriftelijke machineleesbare, fysieke of elektronisch ondertekende EU-conformiteitsverklaring op en houdt deze verklaring tot tien jaar na het in de handel brengen of het in gebruik stellen van het AI-systeem met een hoog risico ter beschikking van de nationale bevoegde autoriteiten. De conformiteitsverklaring bevat de informatie zoals genoemd in bijlage V AI-verordening. Voorbeelden hiervan zijn de naam en type van het AI-systeem, naam en adres van de aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste relevante geharmoniseerde normen of van andere gemeenschappelijke specificaties waarop de conformiteitsverklaring betrekking heeft.
Bijlage V Verordening Artifici\u00eble Intelligentie
"},{"location":"vereisten/aia-15-eu-conformiteitsverklaring/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-15-eu-conformiteitsverklaring/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aia-15-eu-conformiteitsverklaring/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-16-ce-markering/","title":"Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem","text":"
aia-16OntwikkelenVerificatie en validatieImplementatieGovernance
Aanbieders van AI-systemen met een hoog risico moeten een CE-markering toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk is, op de verpakking of in de bij het product gevoegde documentatie, om aan te geven dat aan de AI-verordening is voldaan.
Op AI-systemen met een hoog risico moet de CE-markering worden aangebracht om aan te geven dat zij in overeenstemming zijn met de AI-verordening, zodat het vrije verkeer ervan op de interne markt mogelijk is. Op AI-systemen met een hoog risico die in een product zijn ge\u00efntegreerd moet een fysieke CE-markering worden aangebracht, die kan worden aangevuld met een digitale CE-markering. Voor AI-systemen met een hoog risico die alleen digitaal worden verstrekt, moet een digitale CE-markering worden gebruikt. De lidstaten mogen het in de handel brengen en het in gebruik stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde wijze belemmeren.
"},{"location":"vereisten/aia-16-ce-markering/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-16-ce-markering/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aia-16-ce-markering/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-17-registratieverplichtingen/","title":"Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico","text":"
aia-17OntwikkelenVerificatie en validatieImplementatieGovernanceTransparantie
Aanbieders van AI-systemen met een hoog risico leven de registratieverplichtingen als bedoeld in artikel 49 na, wat betekent dat voor het in de handel brengen of in bedrijf te stellen van het hoog risico AI-systeem, de aanbieder of in voorkomende gevallen de gemachtigde het systeem registreert in de EU-databank.
V\u00f3\u00f3r de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van bijlage III, met uitzondering van specifieke gevallen zoals beschreven in punt 2 van bijlage III, is het vereist dat de aanbieder of gemachtigde zichzelf en het systeem registreert in de EU-databank zoals genoemd in art. 71 AI-verordening.
"},{"location":"vereisten/aia-17-registratieverplichtingen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-17-registratieverplichtingen/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aia-17-registratieverplichtingen/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/","title":"Corrigerende maatregelen voor non-conforme AI","text":"
Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te roepen. Zij stellen de distributeurs van het betrokken AI-systeem met een hoog risico en, indien van toepassing, de gebruiksverantwoordelijken, de gemachtigden en importeurs dienovereenkomstig in kennis.
Aanbieders van AI-systemen met een hoog risico die constateren dat hun systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties ondernemen, zoals het terugroepen of uit de handel nemen van het systeem. Ze moeten ook alle relevante partijen, zoals distributeurs, gebruiksverantwoordelijken en importeurs, op de hoogte stellen van deze maatregelen.
"},{"location":"vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#risico","title":"Risico","text":"
Niet reageren op non-conformiteit kan leiden tot risico's voor gebruikers en derden. Het kan leiden tot juridische procedures en reputatieschade voor organisaties.
"},{"location":"vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-19-toegankelijkheidseisen/","title":"Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen","text":"
aia-19OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance
Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen (EU) 2016/2102 en (EU) 2019/882
Aanbieders van AI-systemen met een hoog risico moeten ervoor zorgen dat hun systeem toegankelijk is volgens de EU-richtlijnen 2016/2102 en 2019/882. In het kader van Richtlijn 2016/2102 moet onder toegankelijkheid worden verstaan het geheel van principes en technieken die in acht moeten worden genomen bij het ontwerpen, bouwen, beheren en bijwerken van websites en mobiele applicaties om hen voor gebruikers toegankelijker te maken, met name voor personen met een beperking. Bijlage 1 bevat de toegankelijkheidsvoorschriften voor producten en diensten die moeten worden toegepast op hoog-risico AI-systemen.
Richtlijn 2019/882 strekt ertoe een bijdrage te leveren tot het goed functioneren van de interne markt middels onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen voor het vrije verkeer van onder deze richtlijn vallende producten en diensten ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten
"},{"location":"vereisten/aia-19-toegankelijkheidseisen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-19-toegankelijkheidseisen/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aia-19-toegankelijkheidseisen/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-20-verstrekken-van-informatie-op-verzoek/","title":"Verstrekking van informatie op verzoek","text":"
Op een met redenen omkleed verzoek van een bevoegde autoriteit, verstrekken aanbieders van AI-systemen met een hoog risico die autoriteit alle informatie en documentatie die noodzakelijk is om de overeenstemming van het AI-systeem met een hoog risico met de eisen van afdeling 2 aan te tonen, in een eenvoudig door de instantie te begrijpen en door de betrokken lidstaat gekozen offici\u00eble taal van de instellingen van de Unie. Onderdeel van dit verzoek kan zijn het toegang geven tot de in artikel 12 lid 1 bedoelde logs die automatisch zijn gegenereerd door het AI-systeem met een hoog risico.
Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een bevoegde autoriteit alle benodigde informatie verstrekken om de conformiteit met de voorschriften van de AI-verordening aan te tonen. Deze informatie moet worden verstrekt in een begrijpelijke offici\u00eble taal van de EU, zoals gekozen door de betrokken lidstaat.
"},{"location":"vereisten/aia-20-verstrekken-van-informatie-op-verzoek/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-20-verstrekken-van-informatie-op-verzoek/#risico","title":"Risico","text":"
Weigering om informatie te verstrekken kan leiden tot juridische sancties en kan het vermogen van de autoriteiten om toezicht te houden op de naleving van de regelgeving belemmeren.
"},{"location":"vereisten/aia-20-verstrekken-van-informatie-op-verzoek/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-21-aantoonbaarheid-vereisten-hoog-risico/","title":"Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening","text":"
aia-21OntwikkelenImplementatieMonitoring en beheerGovernance
Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.
Op verzoek van een nationale bevoegde autoriteit moeten aanbieders van AI-systemen met een hoog risico aantonen dat het betreffende systeem voldoet aan de eisen.
"},{"location":"vereisten/aia-21-aantoonbaarheid-vereisten-hoog-risico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-21-aantoonbaarheid-vereisten-hoog-risico/#risico","title":"Risico","text":"
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
"},{"location":"vereisten/aia-21-aantoonbaarheid-vereisten-hoog-risico/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-22-gebruiksverantwoordelijken-maatregelen/","title":"Maatregelen van gebruiksverantwoordelijken voor gebruik","text":"
Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening.
Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de bijgevoegde instructies. De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft.
"},{"location":"vereisten/aia-22-gebruiksverantwoordelijken-maatregelen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-22-gebruiksverantwoordelijken-maatregelen/#risico","title":"Risico","text":"
Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico's voor gebruikers en derden.
"},{"location":"vereisten/aia-22-gebruiksverantwoordelijken-maatregelen/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/aia-23-gebruiksverantwoordelijken-menselijk-toezicht/","title":"Natuurlijke personen die menselijk toezicht uitvoeren zijn bekwaam, opgeleid, beschikken over autoriteit en krijgen ondersteuning","text":"
aia-23ImplementatieMonitoring en beheerGovernanceMenselijke controle
Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit beschikken en de nodige ondersteuning krijgen.
Het is van belang dat natuurlijke personen die het menselijk toezicht moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige bekwaamheid, opleiding en autoriteit beschikt. Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze taak.
"},{"location":"vereisten/aia-23-gebruiksverantwoordelijken-menselijk-toezicht/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-23-gebruiksverantwoordelijken-menselijk-toezicht/#risico","title":"Risico","text":"
Als de natuurlijke toezichthouder geen effectief toezicht kan houden op het hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen en de organisatie.
"},{"location":"vereisten/aia-23-gebruiksverantwoordelijken-menselijk-toezicht/#maatregelen","title":"Maatregelen","text":"ZoekenRollenbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernanceidMaatregelenRollenLevenscyclusOnderwerpenRicht een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"vereisten/aia-24-gebruiksverantwoordelijken-monitoren-werking/","title":"Gebruiksverantwoordelijken monitoren werking hoog risico AI-systeem","text":"
aia-24Monitoring en beheerGovernanceMenselijke controle
Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening
Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen monitoren. Dit is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld anders gaat functioneren.
Wanneer gebruiksverantwoordelijken redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem. Wanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat incident. Wanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73 mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van rechtshandhavingsinstanties hebben.
Voor gebruiksverantwoordelijke die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten, wordt de monitoringsverplichting overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende recht inzake financi\u00eble diensten.
"},{"location":"vereisten/aia-24-gebruiksverantwoordelijken-monitoren-werking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-24-gebruiksverantwoordelijken-monitoren-werking/#risico","title":"Risico","text":"
Zonder monitoring door gebruiksverantwoordelijken en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit, kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd en hersteld.
"},{"location":"vereisten/aia-24-gebruiksverantwoordelijken-monitoren-werking/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbiederbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgebruikerinformatiebeheerderinkoopadviseurprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancemenselijke-controleidMaatregelenRollenLevenscyclusOnderwerpenRicht (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance"},{"location":"vereisten/aia-25-gebruiksverantwoordelijken-bewaren-logs/","title":"Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd","text":"
aia-25ImplementatieOntwikkelenGovernanceTechnische robuustheid en veiligheid
Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens
Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem. Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft. De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.
Gebruiksverantwoordelijken die in de hoedanigheid van financi\u00eble instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financi\u00eble diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financi\u00eble diensten.
"},{"location":"vereisten/aia-25-gebruiksverantwoordelijken-bewaren-logs/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-25-gebruiksverantwoordelijken-bewaren-logs/#risico","title":"Risico","text":"
Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
Voordat een AI-systeem met een hoog risico op de werkplek in gebruik wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk inzake informatie van werknemers en hun vertegenwoordigers.
Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.
"},{"location":"vereisten/aia-26-informeren-werknemers/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-26-informeren-werknemers/#risico","title":"Risico","text":"
Als werknemersvertegenwoordigers en werknemers niet worden ge\u00efnformeerd over de inzet van een hoog risico AI-systeem, kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van de inzet van het hoog risico AI-systeem.
"},{"location":"vereisten/aia-26-informeren-werknemers/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/aia-27-gebruiksverantwoordelijken-registratieverplichtingen/","title":"Gebruiksverantwoordelijken, zijnde overheidsinstanties of instellingen, organen of instanties van de Unie, leven de registratieverplichting na als het gaat om een hoog risico AI-systeem","text":"
aia-27ImplementatieMonitoring en beheerTransparantieGovernance
Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de hoedanigheid van overheidsinstanties of instellingen, organen of instanties van de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank is geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de distributeur daarvan in kennis.
Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals omschreven in artikel 71 AI-verordening). Voordat het betreffende AI-systeem (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties, instellingen, organen of instanties van de Unie, of personen die namens hen optreden, zichzelf en selecteren zij het systeem en registreren zij het gebruik ervan in de in artikel 71 bedoelde EU-databank.
Heeft de aanbieder het betreffende hoog risico AI-systeem niet geregistreerd in de EU-Databank, dan mag het hoog risico AI-systeem niet worden gebruikt. De aanbieder of distributeur wordt door de gebruiksverantwoordelijke ge\u00efnformeerd dat het systeem niet is geregistreerd in de EU-databank.
AI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur) worden op nationaal niveau geregistreerd.
"},{"location":"vereisten/aia-27-gebruiksverantwoordelijken-registratieverplichtingen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-27-gebruiksverantwoordelijken-registratieverplichtingen/#risico","title":"Risico","text":"
Zonder registratie van het hoge risico AI-systeem en het registreren welke organisaties of personen hier gebruik van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.
"},{"location":"vereisten/aia-27-gebruiksverantwoordelijken-registratieverplichtingen/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/aia-28-recht-op-uitleg-ai-besluiten/","title":"Recht op uitleg AI-besluiten","text":"
aia-28ImplementatieOntwerpMonitoring en beheerGovernanceFundamentele rechten
Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, of op deze op vergelijkbare wijze aanzienlijke invloed heeft die hij of zij als nadelige gevolgen voor zijn of haar gezondheid, veiligheid of grondrechten beschouwt, heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit.
Getroffen personen moeten het recht hebben om uitleg te krijgen indien het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening).
Bijlage III Verordening Artifici\u00eble Intelligentie
"},{"location":"vereisten/aia-28-recht-op-uitleg-ai-besluiten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-28-recht-op-uitleg-ai-besluiten/#risico","title":"Risico","text":"
Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, veiligheid of diens grondrechten.
"},{"location":"vereisten/aia-28-recht-op-uitleg-ai-besluiten/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-29-beoordelen-gevolgen-grondrechten/","title":"Beoordeling van grondrechten","text":"
aia-29OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerFundamentele rechten
Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik van een dergelijk systeem kan opleveren.
Voordat een AI-systeem met een hoog risico in gebruik wordt genomen, moeten publieke instellingen of particuliere entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van de impact op de grondrechten die het gebruik ervan kan hebben. Deze evaluatie is bedoeld om potenti\u00eble risico's te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om deze risico's te beheersen. Het doel is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren waar deze systemen cruciale diensten leveren aan het publiek.
Bijlage III.2 en III.5 Verordening Artifici\u00eble Intelligentie
"},{"location":"vereisten/aia-29-beoordelen-gevolgen-grondrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-29-beoordelen-gevolgen-grondrechten/#risico","title":"Risico","text":"
Het niet uitvoeren van deze beoordeling kan leiden tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende entiteiten.
"},{"location":"vereisten/aia-29-beoordelen-gevolgen-grondrechten/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-29-beoordelen-gevolgen-grondrechten/#instrumenten","title":"Instrumenten","text":"ZoekenRollenaanbiederdata-engineerdata-scientistethicusgemandateerd-verantwoordelijkejuristprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusimplementatieontwerpprobleemanalyseverificatie-en-validatieOnderwerpenfundamentele-rechtentransparantieidInstrumentenRollenLevenscyclusOnderwerpenImpact Assessment Mensenrechten en Algoritmes projectleider aanbieder data-engineer data-scientist ethicus gemandateerd-verantwoordelijke jurist privacy-officer proceseigenaar security-officer probleemanalyse ontwerp verificatie-en-validatie implementatie fundamentele-rechten transparantie"},{"location":"vereisten/aia-30-transparantieverplichtingen/","title":"Transparantieverplichtingen","text":"
aia-30ImplementatieOntwikkelenMonitoring en beheerTransparantie
Aanbieders van AI-systemen zorgen dat AI-sytemen zodanig worden ontworpen en ontwikkeld dat de betrokken natuurlijke personen worden ge\u00efnformeerd dat zij interageren met een AI-systeem. Gebruiksverantwoordelijken moeten betrokkenen informeren over de werking van het systeem en in het geval van een AI-systeem dat content gegenereert duidelijk kenbaar maken dat de content kunstmatig is gegenereerd of gemanipuleerd.
"},{"location":"vereisten/aia-30-transparantieverplichtingen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-30-transparantieverplichtingen/#risico","title":"Risico","text":"
Bepaalde AI-systemen die bedoeld zijn om met natuurlijke personen te interageren of om content te genereren, kunnen specifieke risico\u2019s op imitatie of misleiding met zich meebrengen, ongeacht of zij als systeem met een hoog risico gelden.
"},{"location":"vereisten/aia-30-transparantieverplichtingen/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/aia-31-ai-modellen-algemene-doeleinden/","title":"Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden","text":"
aia-31OntwerpVerificatie en validatieImplementatieMonitoring en beheerTransparantie
Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen willen integreren.
Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het algemene systeem. Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie van de modellen in producten als qua naleving van verplichtingen.
Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken in hun product. De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens bijlage XII van de AI-Verordening. Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790).
In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.
"},{"location":"vereisten/aia-31-ai-modellen-algemene-doeleinden/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-31-ai-modellen-algemene-doeleinden/#risico","title":"Risico","text":"
Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.
"},{"location":"vereisten/aia-31-ai-modellen-algemene-doeleinden/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico/","title":"Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico","text":"
aia-32OntwikkelenVerificatie en validatieImplementatieMonitoring en beheerGovernance
Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden van het model om systeemrisico\u2019s in kaart te brengen en te beperken.
De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico\u2019s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op het identificeren en beperken van die risico\u2019s en op waarborging van een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand model is of ingebed in een AI-systeem of in een product. Aanbieders van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand van de techniek, met specifieke aandacht voor het identificeren en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen in artikel 53 van de AI-verordening.
Systeemrisico betekent: een risico dat specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden verspreid.
Systeemrisico\u2019s nemen logischerwijs toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele levenscyclus van het model en worden be\u00efnvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie ervan. Ook worden ze be\u00efnvloed door de toegang van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategie\u00ebn, en door het potentieel om waarborgen te omzeilen en andere factoren.
"},{"location":"vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico/#risico","title":"Risico","text":"
Niet voldoen aan deze verplichtingen kan leiden tot negatieve gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten of de samenleving als geheel.
"},{"location":"vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-33-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico houden relevante informatie over ernstige incidenten bij","text":"
aia-33Verificatie en validatieImplementatieMonitoring en beheerGovernance
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
"},{"location":"vereisten/aia-33-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-33-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#risico","title":"Risico","text":"
Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
"},{"location":"vereisten/aia-33-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-34-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/","title":"Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging","text":"
aia-34OntwikkelenImplementatieMonitoring en beheerGovernanceTechnische robuustheid en veiligheid
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model.
Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen. Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potenti\u00eble cyberdreigingen. Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
"},{"location":"vereisten/aia-34-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-34-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#risico","title":"Risico","text":"
Niet voldoen aan deze verplichtingen kan leiden tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen en het publiek.
"},{"location":"vereisten/aia-34-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-35-verwerking-in-testomgeving/","title":"Verdere verwerking van persoonsgegevens in AI-testomgevingen","text":"
aia-35OntwikkelenDataverkenning en datapreparatiePrivacy en gegevensbeschermingData
Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. 57 is voldaan.
De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens met passende technische en organisatorische maatregelen, persoonsgegevens die in de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.
"},{"location":"vereisten/aia-35-verwerking-in-testomgeving/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-35-verwerking-in-testomgeving/#risico","title":"Risico","text":"
Verdere verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk op de privacyrechten van betrokken.
"},{"location":"vereisten/aia-35-verwerking-in-testomgeving/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-36-monitoring-na-het-in-de-handel-brengen/","title":"Monitoring na het in handel brengen","text":"
aia-36Monitoring en beheerTechnische robuustheid en veiligheidGovernance
Aanbieders moeten een systeem voor monitoring na het in de handel brengen vaststellen en documenteren op een manier die evenredig is aan de aard van de AI-technologie\u00ebn en de risico\u2019s van het AI-systeem met een hoog risico.
Aanbieders moeten een monitoringssysteem opzetten voor het monitoren na het in de handel brengen. Dit systeem moet documenteren op een wijze die passend is bij de aard van de AI-technologie\u00ebn en de risico's van het betreffende AI-systeem met een hoog risico. Dit monitoringssysteem moet proportioneel zijn aan de complexiteit en potenti\u00eble impact van het AI-systeem.
Het systeem voor monitoring na het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een hoog risico gedurende hun hele levensduur. Dit stelt de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van de AI-verordening vermelde voorschriften. In voorkomend geval omvat de monitoring na het in de handel brengen een analyse van de interactie met andere AI-systemen. Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.
Het systeem voor monitoring na het in de handel brengen is gebaseerd op een plan voor monitoring na het in de handel brengen. Het plan voor monitoring na het in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.
"},{"location":"vereisten/aia-36-monitoring-na-het-in-de-handel-brengen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-36-monitoring-na-het-in-de-handel-brengen/#risico","title":"Risico","text":"
Zonder monitoringssysteem voor na het in handel brengen is er een risico dat verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven. Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.
"},{"location":"vereisten/aia-36-monitoring-na-het-in-de-handel-brengen/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-37-melding-ernstige-incidenten/","title":"Melden van ernstige incidenten","text":"
aia-37OrganisatieverantwoordelijkhedenMonitoring en beheerGovernance
Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten van de lidstaten waarin dat incident heeft plaatsgevonden.
Aanbieders van AI-systemen met een hoog risico die binnen de EU worden verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten van de lidstaten waar het incident heeft plaatsgevonden. Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect leidt tot:
het overlijden van een persoon of ernstige schade voor de gezondheid van een persoon;
een ernstige en onomkeerbare verstoring van het beheer of de exploitatie van kritieke infrastructuur;
een schending van de uit het recht van de Unie voortvloeiende verplichtingen ter bescherming van de grondrechten;
ernstige schade aan eigendommen of het milieu.
Dit meldingsproces is bedoeld om snel en adequaat te reageren op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen, en om passende maatregelen te nemen ter bescherming van de consumenten en het publiek. Het doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers te minimaliseren.
"},{"location":"vereisten/aia-37-melding-ernstige-incidenten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-37-melding-ernstige-incidenten/#risico","title":"Risico","text":"
Het niet melden van ernstige incidenten kan leiden tot vertraagde reactie op potenti\u00eble gevaren voor gebruikers en kan het vertrouwen in AI-systemen ondermijnen.
"},{"location":"vereisten/aia-37-melding-ernstige-incidenten/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-38-melding-inbreuk-op-ai-verordening/","title":"Veilig melden van inbreuk op AI verordening","text":"
aia-38OrganisatieverantwoordelijkhedenMonitoring en beheerGovernanceFundamentele rechten
Inbreuken op de AI verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937.
Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten worden beschermd uit hoofde van het Unierecht. Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders (\"klokkenluiders\") beschermt tegen represailles of vervolging. Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en draagt bij aan een cultuur van naleving en integriteit.
"},{"location":"vereisten/aia-38-melding-inbreuk-op-ai-verordening/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-38-melding-inbreuk-op-ai-verordening/#risico","title":"Risico","text":"
Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding maken van inbreuk op de AI-verordening. Dit schaadt het rapportagesysteem en heeft negatief effect op het maatschappelijk welzijn.
"},{"location":"vereisten/aia-38-melding-inbreuk-op-ai-verordening/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aia-39-recht-klacht-indienen-bij-ai-bureau/","title":"Klachtrecht aanbieders verder in AI-waardeketen","text":"
Aanbieders verder in de AI-waardeketen hebben het recht om een klacht in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening. Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels met betrekking tot AI-modellen voor algemene doeleinden die zij ge\u00efntrigeerd hebben in AI-systemen. Het AI-bureau kan dan passende maatregelen nemen om de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders op te lossen.
"},{"location":"vereisten/aia-39-recht-klacht-indienen-bij-ai-bureau/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aia-39-recht-klacht-indienen-bij-ai-bureau/#risico","title":"Risico","text":"
Gebrek aan klachtrecht verhindert het AI-bureau om tijdig en zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.
"},{"location":"vereisten/aia-39-recht-klacht-indienen-bij-ai-bureau/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/arc-01-archiefwet/","title":"De archiefwet is ook van toepassing op algoritmes en AI-systemen","text":"
arc-01UitfaserenMonitoring en beheerOntwikkelenTechnische robuustheid en veiligheidGovernanceDataPrivacy en gegevensbescherming
Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden.
Volgens de Archiefwet moeten overheden informatie bewaren. Op basis van deze informatie moet gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes en AI, tot stand zijn gekomen. Informatie over en van algoritmes en AI moet daarom bewaard en vernietigd worden.
"},{"location":"vereisten/arc-01-archiefwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/arc-01-archiefwet/#risico","title":"Risico","text":"
Zonder goede toepassing van de Archiefwet is het voor betrokkene(n) of derden niet mogelijk om achteraf te reconstrueren en te controleren hoe besluiten, waar algoritmes en AI aan hebben bijgedragen, tot stand zijn gekomen. Het nalaten om archiefbescheiden na verloop van tijd te verwijderen brengt risico's met zich mee op het gebied van privacy en informatiebeveiliging.
"},{"location":"vereisten/arc-01-archiefwet/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigebehoeftestellercontractbeheerderdata-engineerdata-scientistinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheididMaatregelenRollenLevenscyclusOnderwerpenArchiveren beperkingen openbaarheid proceseigenaar informatiebeheerder archiefdeskundige jurist ontwerp ontwikkelen governance Vaststellen bewaartermijnen voor archiefbescheiden proceseigenaar informatiebeheerder archiefdeskundige ontwerp ontwikkelen governance Archiefbescheiden zijn duurzaam toegankelijk proceseigenaar informatiebeheerder archiefdeskundige ontwikkelen governance Archiefbescheiden vaststellen proceseigenaar informatiebeheerder archiefdeskundige data-scientist jurist ontwerp ontwikkelen governance Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel archiefbescheiden vast ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/aut-01-auteursrechten/","title":"Auteursrechten mogen niet worden geschonden","text":"
aut-01Dataverkenning en datapreparatieOntwerpDataGovernance
Bepaalde vormen van algoritmes en AI worden ontwikkeld op basis van grote hoeveelheden data. Deze data wordt gebruikt voor het trainen en testen van algoritmes en AI. Het gebruiken van deze data mag geen inbreuk maken op Auteursrechten van diegene die deze rechten heeft. Ook de gegenereerde output van algoritmes en AI mag geen inbreuk maken op deze rechten.
"},{"location":"vereisten/aut-01-auteursrechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/aut-01-auteursrechten/#risico","title":"Risico","text":"
Het niet voldoen aan het auteursrecht in AI-systemen en algoritmes kan leiden tot onrechtmatig gebruik van auteursrechtelijk beschermde inhoud, wat kan resulteren in mogelijke juridische geschillen, boetes en schadevergoedingen voor inbreuk op het auteursrecht. Bovendien kan het niet naleven van het auteursrecht het vertrouwen van gebruikers en belanghebbenden ondermijnen, wat kan leiden tot reputatieschade en gebrek aan vertrouwen.
"},{"location":"vereisten/aut-01-auteursrechten/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusgemandateerd-verantwoordelijkeinformatiebeheerderinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenprobleemanalyseuitfaserenverificatie-en-validatieOnderwerpendatagovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenAansprakelijkheidsvoorwaarden worden beoordeeld in de aanbesteding proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist probleemanalyse implementatie publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Contractuele afspraken over data en artefacten proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder informatiebeheerder ontwerp monitoring-en-beheer publieke-inkoop Controleren eigen data op schending auteursrechten proceseigenaar informatiebeheerder jurist ontwerp dataverkenning-en-datapreparatie data Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Verken maatregelen van aanbieder om schending auteursrechten te voorkomen proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder probleemanalyse implementatie publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist gemandateerd-verantwoordelijke ontwerp monitoring-en-beheer publieke-inkoop Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp monitoring-en-beheer publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen verificatie-en-validatie publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwikkelen monitoring-en-beheer publieke-inkoop Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist contractbeheerder ontwerp monitoring-en-beheer publieke-inkoop Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/","title":"Verwerking van persoonsgegevens moet rechtmatig plaatsvinden","text":"
avg-01ProbleemanalyseOntwerpDataverkenning en datapreparatiePrivacy en gegevensbescherming
De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat betekent dat de verwerking gebaseerd moet zijn op \u00e9\u00e9n van de wettelijke grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming. Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven en gerechtvaardigde doeleinden. Het is niet toegestaan om deze gegevens verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.
Bij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik van algoritmes en AI moet worden onderzocht of dit kan worden gebaseerd op \u00e9\u00e9n van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag. Hierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek naar onbewuste vooringenomenheid.
Overweging 39 en 45 Algemene Verordening Gegevensbescherming
"},{"location":"vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/#risico","title":"Risico","text":"
Het risico wanneer persoonsgegevens niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.
"},{"location":"vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinformatie-analistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatieontwerpontwikkelenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven. proceseigenaar privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd. proceseigenaar informatie-analist data-engineer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie privacy-en-gegevensbescherming Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/","title":"Beperkte bewaartermijn van persoonsgegevens","text":"
avg-02OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming
Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan nodig is voor de realisering van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt.
Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt.
In de context van algoritmes en AI is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden gegaan. Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering.
"},{"location":"vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#risico","title":"Risico","text":"
Het onnodig lang bewaren van persoonsgegevens levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.
"},{"location":"vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheididMaatregelenRollenLevenscyclusOnderwerpenBepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens. proceseigenaar aanbieder data-engineer data-scientist security-officer ontwikkelen verificatie-en-validatie monitoring-en-beheer technische-robuustheid-en-veiligheid privacy-en-gegevensbescherming Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/","title":"Persoonsgegevens verzamelen voor specifieke doeleinden","text":"
avg-03OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming
De verwerking van persoonsgegevens moet minimaal worden gehouden, dat wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Het is van belang dat \u00e9nkel persoonsgegevens worden verwerkt die noodzakelijk zijn gezien de doeleinden van die vewerking. Er moet een beoordeling worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn. Voor het ontwikkelen en gebruiken van algoritmes of AI-systemen is het van belang om te beoordelen welke persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven.
Artikel 5 lid 1 onder c Algemene Verordening Gegevensbescherming
"},{"location":"vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#risico","title":"Risico","text":"
Het onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van betrokkenen, en zou kunnen leiden tot een datalek.
"},{"location":"vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieontwerpontwikkelenOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheididMaatregelenRollenLevenscyclusOnderwerpenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-04-proportionaliteit-en-subsidiariteit/","title":"Proportionaliteit en subsidiariteit","text":"
avg-04OrganisatieverantwoordelijkhedenGovernancePrivacy en gegevensbescherming
Gegevensverwerking moet in verhouding staan tot het beoogde doel en persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens moet dit vereiste aantoonbaar zijn.
Proportionaliteit vereist dat de impact van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een algoritme of AI en voor het genereren van de benodigde output in balans is met het beoogde doel. Subsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt als dit de minst inbreukmakende manier is om het doel te bereiken. Deze principes waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking niet verder gaat dan noodzakelijk is voor legitieme doeleinden. Het is van belang om deze principes te hanteren om te bepalen of en in welke vorm een algoritmes en AI moet toegepast en om tot een passende mate van gegevensverwerking te komen om het doel te bereiken.
Artikel 5(4) Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992 |
Artikel 52 Handvest van de Grondrechten van de Europese Unie
Protocol betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid Verdrag betreffende de Europese Unie, Maastricht, 07-02-1992
Artikel 1.10, 1.13 en 1.16 Aanbestedingswet 2012
"},{"location":"vereisten/avg-04-proportionaliteit-en-subsidiariteit/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-04-proportionaliteit-en-subsidiariteit/#risico","title":"Risico","text":"
Zonder toetsing aan het proportinaliteits- en subsidiariteitsbeginsel ontstaat het risico dat er een onnodig zware en daardoor onrechtmatige inbreuk wordt gemaakt op de privacyrechten van betrokkenen.
"},{"location":"vereisten/avg-04-proportionaliteit-en-subsidiariteit/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn. ontwerp ontwikkelen publieke-inkoop governance"},{"location":"vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/","title":"Juistheid en actualiteit van gegevens","text":"
avg-05ProbleemanalyseOntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbeschermingData
De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes en AI is het van belang dat ook daar wordt onderzocht welke maatregelen nodig zijn om die juistheid toe te passen.
Artikel 5 lid 1 sub d Algemene Verordening Gegevensbescherming
"},{"location":"vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#risico","title":"Risico","text":"
Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden gewaarborgd.
"},{"location":"vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/","title":"Verantwoordingsplicht voor de rechtmatigheid van de verwerking","text":"
avg-06OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieMonitoring en beheerUitfaserenGovernancePrivacy en gegevensbescherming
De verantwoordelijken moeten bij de verwerking van persoonsgegevens door algoritmes en AI-systemen kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden. Dit betekent concreet dat de volgende punten aangetoond kunnen worden:
Rechtmatigheid, behoorlijkheid en transparantie
Doelbinding
Minimale gegevensverwerking
Juistheid
Opslagbeperking
Integriteit en vertrouwelijkheid
Een aandachtpunt daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG daarvan afhankelijk is.
Bij het verwerken van persoonsgegevens voor algoritmes en AI-systemen moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn. De verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht. Deze maatregelen zijn essentieel om de naleving van regelgeving met betrekking tot gegevensbescherming te waarborgen en het vertrouwen van gebruikers in de verwerking van hun gegevens te vergroten.
"},{"location":"vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/#risico","title":"Risico","text":"
Het niet naleven van deze norm moet worden gekwalificeerd als een onrechtmatigheid, niet als een risico voor de rechten en vrijheden van betrokkenen onder de AVG. Maar het niet voldoen aan artikel 5 betekent in de praktijk vaak wel dat er onvoldoende zicht is op risico's voor de rechten en vrijheden van betrokkenen of dat er te grote risico's worden genomen. Deze gevolgen zijn echter indirect een gevolg van het niet naleven van artikel 5 AVG. Het moeten voldoen aan het aantoonbaarheidsvereiste kan wel risico's hebben voor de organisatie die een algortime inzet. Enkele risico's zijn:
Aantoonbaarheidsvereisten vragen in de praktijk veel documentatie. Deze documentatie kan via de Woo opgevraagd worden. Het ontbreken van documentatie kan door externen vaak relatief makkelijk in verband worden gebracht met een overtreding van deze vereisten.
Algoritmen die van nature slecht inzichtelijk en uitlegbaar zijn (zoals deep-learning) hebben een zeer hoge drempel om aan deze vereiste te voldoen. Aantonen van rechtmatigheid is voor een belangrijk deel afhankelijk van inzicht in de werking van het algoritme. De inzet van een algortime kan dus mogelijk tegengehouden worden door deze vereisten.
Bij leveranciers die niet of gedeeltelijke transparant zijn over hun product of dienstverlening ontstaat een vergelijkbaar risico. Waar de Woo uitzonderingen heeft voor bedrijfsgeheimen heeft de AVG daar maar beperkte ruimte voor. Het is dus mogelijk dat leveranciers terughoudend zullen zijn met het delen van informatie die onder de AVG ook aan betrokkenen gecommuniceerd moeten worden.
Samenwerkingsverbanden en externe leveranciers kunnen niet als argumenten worden gebruikt om de aantoonbaarheidsvereisten op af te schuiven. Onafhankelijk van de onderlinge afspraken daarover hebben alle verwerkingsverantwoordelijken de verplichting om aan deze vereisten te kunnen voldoen.
"},{"location":"vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBeschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe. proceseigenaar privacy-officer data-scientist data-engineer inkoopadviseur contractbeheerder aanbieder ontwerp dataverkenning-en-datapreparatie ontwikkelen implementatie monitoring-en-beheer privacy-en-gegevensbescherming governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/","title":"Transparantie bij verwerking persoonsgegevens","text":"
avg-07OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatieImplementatieMonitoring en beheerPrivacy en gegevensbeschermingTransparantie
Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, worden meegenomen. In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke. Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken van algoritmes en AI-systemen, zal deze informatie moeten worden verstrekt.
"},{"location":"vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/#risico","title":"Risico","text":"
Rechten van betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen van de persoonsgegevens.
"},{"location":"vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenuitfaserenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkooptransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie uitfaseren privacy-en-gegevensbescherming Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie privacy-en-gegevensbescherming"},{"location":"vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/","title":"Wettelijke uitzondering nodig voor verwerken bijzondere categorie\u00ebn persoonsgegevens","text":"
avg-08OntwerpDataverkenning en datapreparatiePrivacy en gegevensbeschermingFundamentele rechten
Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming. Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen voor de grondrechten en de fundamentele vrijheden. Denk hierbij aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke overtuigingen.
Bijzondere categorie\u00ebn persoonsgegevens mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is (artikel 9 AVG en artikel 30 UAVG). Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes of AI-systemen en stelt daarmee beperkingen aan het mogen verwerken van deze categorie\u00ebn persoonsgegevens, bv. ten behoeve van trainingsdata of het genereren van de beoogde output.
"},{"location":"vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/#risico","title":"Risico","text":"
Het (onrechtmatige) verwerken van bijzondere categorie\u00ebn persoonsgegevens brengt risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer en discriminatie.
"},{"location":"vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/","title":"Privacyrechten","text":"
avg-09OntwerpDataverkenning en datapreparatieOntwikkelenPrivacy en gegevensbescherming
Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig. Het kunnen uitoefenen van privacyrechten is essentieel voor het beschermen van de privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI, is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.
"},{"location":"vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#risico","title":"Risico","text":"
Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep kunnen doen op hun privacyrechten.
"},{"location":"vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusmonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt. proceseigenaar aanbieder data-engineer data-scientist privacy-officer ontwerp ontwikkelen verificatie-en-validatie monitoring-en-beheer privacy-en-gegevensbescherming Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/","title":"Recht op niet geautomatiseerde besluitvorming","text":"
avg-10OntwerpOntwikkelenMonitoring en beheerPrivacy en gegevensbescherming
Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft.
Mensen hebben het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op geautomatiseerde verwerking, zoals profilering, als dit aanzienlijke gevolgen voor hen heeft of hen op een andere manier aanzienlijk be\u00efnvloedt. Dit recht biedt bescherming tegen mogelijke negatieve effecten van volledig geautomatiseerde besluitvormingssystemen, en waarborgt dat individuen kunnen rekenen op menselijke tussenkomst en beoordeling bij belangrijke beslissingen die hen kunnen treffen. Uitgangspunt is dat voor elk individueel geval een zorgvuldige beoordeling van de kenmerken en omstandigheden plaatsvindt voordat een besluit wordt genomen.
"},{"location":"vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#risico","title":"Risico","text":"
Bij geautomatiseerde besluitvorming kan het risico ontstaan dat kenmerken van een bepaalde groep ten onrechte worden tegengeworpen aan een individu die deze kenmerken niet hoeft te bezitten.
"},{"location":"vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusgebruikerinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenprobleemanalyseverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBepaal of de output bepalende invloed heeft in een besluit richting personen behoeftesteller proceseigenaar gebruiker inkoopadviseur ethicus jurist ontwikkelen monitoring-en-beheer publieke-inkoop Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd. proceseigenaar gebruiker aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer menselijke-controle governance Menselijke tussenkomst is een vast onderdeel in een projecptlan of een d\u00e9chargedocument behoeftesteller proceseigenaar inkoopadviseur probleemanalyse ontwikkelen monitoring-en-beheer governance publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/","title":"Privacy door ontwerp","text":"
avg-11OntwerpDataverkenning en datapreparatieOntwikkelenImplementatiePrivacy en gegevensbeschermingData
Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat privacy- en gegevensbescherming vanaf het begin worden ge\u00efntegreerd in de ontwikkeling van systemen en processen (ook wel privacy-by-design genoemd). Door al bij het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie. Deze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van individuen in de veilige omgang met hun gegevens. Dit is eveneens van toepassing als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes en AI.
"},{"location":"vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/#risico","title":"Risico","text":"
Door privacy en gegevensbescherming door ontwerp en standaardinstellingen niet toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.
"},{"location":"vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernanceprivacy-en-gegevensbeschermingpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht. proceseigenaar informatie-analist data-engineer privacy-officer security-officer inkoopadviseur architect ontwerp ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"vereisten/avg-12-beveiliging-van-verwerking/","title":"Beveiliging van de verwerking","text":"
avg-12OrganisatieverantwoordelijkhedenPrivacy en gegevensbeschermingTechnische robuustheid en veiligheid
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.
Voor de ontwikkeling en gebruik van algoritmes en AI is dat data nodig. Deze data kan persoonsgegevens bevatten die moeten worden beschermd. De organisatie zal technische en organisatorische maatregelen moeten treffen om de data en de algoritmische toepassing of AI-systeem voldoende te beschermen. Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren van persoonsgegevens. Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn.
"},{"location":"vereisten/avg-12-beveiliging-van-verwerking/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-12-beveiliging-van-verwerking/#risico","title":"Risico","text":"
Er kunnen risico's ontstaan zoals potenti\u00eble cyberaanvallen en datalekken. Dit kan leiden bijvoorbeeld tot verlies of diefstal van gevoelige gegevens, verstoring van organisatieprocessen,ongeautoriseerde toegang, vernietiging en onrechtmatige verwerking.
"},{"location":"vereisten/avg-12-beveiliging-van-verwerking/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-engineerdata-scientistinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controleprivacy-en-gegevensbeschermingpublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieidMaatregelenRollenLevenscyclusOnderwerpenBescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen. proceseigenaar aanbieder data-scientist data-engineer security-officer privacy-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen privacy-en-gegevensbescherming technische-robuustheid-en-veiligheid Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/avg-13-dpia-verplicht/","title":"Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen","text":"
avg-13OntwerpDataverkenning en datapreparatieOntwikkelenVerificatie en validatiePrivacy officerPrivacy en gegevensbescherming
Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) is verplicht wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen. Deze beoordeling identificeert en beperkt potenti\u00eble risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.
Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van \u00e9\u00e9n van de volgende voorwaarden:
Evaluatie of scoretoekenning
Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
Stelselmatige monitoring
Gevoelige gegevens of gegevens van zeer persoonlijke aard
Op grote schaal verwerkte gegevens
Matching of samenvoeging van datasets
Gegevens met betrekking tot kwetsbare betrokkenen
Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
de situatie waarin als gevolg van de verwerking zelf \"betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst\";
Het is mogelijk dat algoritmes die niet aan \u00e9\u00e9n of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.
Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren.
Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens
Data protection impact assessment (DPIA) Autoriteit Persoonsgegevens
"},{"location":"vereisten/avg-13-dpia-verplicht/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/avg-13-dpia-verplicht/#risico","title":"Risico","text":"
Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's en het niet op tijd te mitigieren van deze risico's. Dit kan leiden tot potenti\u00eble schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.
"},{"location":"vereisten/avg-13-dpia-verplicht/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenverificatie-en-validatieOnderwerpenprivacy-en-gegevensbeschermingpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt proceseigenaar privacy-officer inkoopadviseur ontwerp monitoring-en-beheer publieke-inkoop privacy-en-gegevensbescherming Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's proceseigenaar data-scientist data-engineer aanbieder privacy-officer security-officer ethicus beleidsmedewerker ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie privacy-en-gegevensbescherming"},{"location":"vereisten/awb-01-zorgvuldigheidsbeginsel/","title":"Relevante feiten en belangen zijn bekend","text":"
Dit beginsel vereist dat een besluit met de nodige zorgvuldigheid wordt voorbereid en genomen. Dit vraagt onder meer om een zorgvuldig onderzoek naar feiten, een zorgvuldige beslissingsprocedure en een deugdelijke besluitvorming. Dit betekent dat algoritmes en AI zodanig moet worden ontwikkeld en gebruikt, dat dit passend is ter ondersteuning van de wettelijke taak en de bijbehorende beslissing of besluitvorming.
Het doel en eventuele subdoelen van het algoritme of AI-systeem moet helder zijn gedefinieerd, ook in relatie tot het maatschappelijke resultaat (outcome), en wordt gedeeld door de eigenaar, ontwikkelaar en gebruiker van het algoritme. Een bewuste afweging of het algoritme het juiste middel is om het probleem op doelmatige en doeltreffende wijze op te lossen is gemaakt en vastgelegd.
"},{"location":"vereisten/awb-01-zorgvuldigheidsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/awb-01-zorgvuldigheidsbeginsel/#risico","title":"Risico","text":"
De werking van het algoritmes of AI sluit niet of onvoldoende aan bij de juridische en ethische grenzen van de te ondersteunen wettelijke taak. Hierdoor kunnen ongewenste gevolgen ontstaan zoals een onjuist of onzorgvuldig genomen besluit op een aanvraag.
"},{"location":"vereisten/awb-01-zorgvuldigheidsbeginsel/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/awb-02-motiveringsbeginsel/","title":"Een besluit berust op een deugdelijke motivering","text":"
dat een besluit tot stand is gekomen met behulp van een algoritme;
van welke feiten het is uitgegaan en welke gegevens van de burger gebruikt c.q. verwerkt zijn;
welke relevante belangen tegen elkaar zijn afgewogen en hoe die afweging is verlopen (bijvoorbeeld het gewicht dat wordt toegekend aan elk afgewogen kenmerk; welke analytische technieken gebruikt zijn; welke specifieke voorspellende data; wat de belangrijkste policy-keuzes waren; een uitleg van het voorspellende algoritme);
hoe het algoritme werkt (niet de techniek, maar hoe de uitkomsten van het algoritme tot stand komen).
De keuzes en aannames die zijn gemaakt en gedaan moeten worden beschreven en toegelicht.
Jurisprudentie over AERIUS (ABRvS 18 juli 2018, ECLI:NL:RVS:2018:2454), Hof van Justitie C-274/18
"},{"location":"vereisten/awb-02-motiveringsbeginsel/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/awb-02-motiveringsbeginsel/#risico","title":"Risico","text":"
Het is onduidelijk op wat voor manier het algoritmes of AI-systeem heeft bijgedragen aan de totstandkoming van een besluit.
"},{"location":"vereisten/awb-02-motiveringsbeginsel/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatie-analistinkoopadviseurjuristopdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatieontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancepublieke-inkooptransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Een politieke-bestuurlijk besluit wordt genomen over het gebruik van een impactvol algoritme en hoog risico AI-systemen. proceseigenaar beleidsmedewerker privacy-officer aanbieder organisatieverantwoordelijkheden verificatie-en-validatie governance transparantie Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen. proceseigenaar beleidsmedewerker informatie-analist jurist ethicus data-engineer data-scientist ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie governance transparantie"},{"location":"vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/","title":"Beveiliging informatie en informatiesystemen","text":"
Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.
"},{"location":"vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/#risico","title":"Risico","text":"
Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.
"},{"location":"vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchiefdeskundigearchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarprojectleidersecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenverificatie-en-validatieOnderwerpengovernancemenselijke-controlepublieke-inkooptechnische-robuustheid-en-veiligheidtransparantieidMaatregelenRollenLevenscyclusOnderwerpenMaak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Zorg ervoor dat logbestanden worden gecre\u00eberd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/bzk-01-algoritmeregister/","title":"Impactvolle algoritmes worden gepubliceerd in het Nederlandse algoritmeregister","text":"
bzk-01ImplementatieMonitoring en beheerTransparantie
Het publiceren van impactvolle algoritmes en AI-systemen draagt bij aan transparantie voor belanghebbenden en derden over welke algoritmes en AI worden gebruikt door de overheid. Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren in het algoritmeregister. Er wordt gewerkt aan wetgeving om het bij wet verplicht te stellen.
"},{"location":"vereisten/bzk-01-algoritmeregister/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/bzk-01-algoritmeregister/#risico","title":"Risico","text":"
Door het niet publiceren van impactvolle of hoog risico AI -systemen in het Algoritmeregister, is het voor betrokkenen of belanghebbenden minder goed mogelijk om de overheid kritisch te volgen, te bevragen en te controleren op de inzet van deze technologie\u00ebn die hen kunnen raken. Bij het onjuist of onvolledig publiceren in het Algortimeregister ontstaat er een risico dat betrokkenen en belanghebbenden onjuiste inschattingen maken over het gebruik van het algoritme of het AI-systeem en daardoor in hun rechten worden beperkt.
"},{"location":"vereisten/bzk-01-algoritmeregister/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusimplementatiemonitoring-en-beheerontwerpontwikkelenuitfaserenverificatie-en-validatieOnderwerpenpublieke-inkooptransparantieidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem technische documentatie op in het algoritmeregister proceseigenaar privacy-officer data-scientist data-engineer beleidsmedewerker ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer transparantie Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister. proceseigenaar beleidsmedewerker privacy-officer aanbieder ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren transparantie Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/bzk-01-algoritmeregister/#instrumenten","title":"Instrumenten","text":"ZoekenidInstrumentenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/dat-01-databankenwet/","title":"Verbod op schenden databankenrechten","text":"
De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten van databanken tegen onrechtmatige toe-eigening van een databank. Degene die een substanti\u00eble financi\u00eble en professionele investering heeft verricht om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht en kan zo anderen verbieden de databank te gebruiken. Bij verkrijgen gaat het om \"het verzamelen van de werken, gegevens of andere zelfstandige elementen die tezamen de inhoud van de databank vormen\". Dit recht bestaat naast het recht op bescherming van de originele keuze of rangschikking van de inhoud van databanken (auteurswet).
Voor het ontwikkelen van algoritme en AI is data nodig. De data die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.
"},{"location":"vereisten/dat-01-databankenwet/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/dat-01-databankenwet/#risico","title":"Risico","text":"
Als een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank bij de ontwikkeling van algoritmes en AI, wordt het databankenrecht geschonden van de eigenaar. De eigenaar van de databank kan bijvoorbeeld ontrekking van de data uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing of AI-systeem.
"},{"location":"vereisten/dat-01-databankenwet/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenorganisatieverantwoordelijkhedenOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/grw-01-fundamentele-rechten/","title":"Beschermen van fundamentele rechten en vrijheden","text":"
grw-01ProbleemanalyseOntwerpVerificatie en validatieMonitoring en beheerFundamentele rechtenBias en non discriminatie
Mensenrechten gelden voor alle mensen op de wereld. De mensenrechten in Nederland zijn beschermd door nationale wetten en internationale verdragen. In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet. Deze rechten heten ook wel \u2019grondrechten\u2019. Een bekend voorbeeld is artikel 1 van de Grondwet. Om mensenrechten te beschermen zijn ze op Europees en internationaal niveau in verschillende verklaringen en verdragen vastgelegd.
Mensenrechten kunnen soms onder druk komen te staan. De inzet van algoritmes en AI-systemen kan bijvoorbeeld een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling en voor het recht op behoorlijk bestuur. Het is daarom belangrijk om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.
"},{"location":"vereisten/grw-01-fundamentele-rechten/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/grw-01-fundamentele-rechten/#risico","title":"Risico","text":"
Grondrechten kunnen worden geraakt door de inzet van algoritmes met eventuele schadelijke gevolgen voor betrokkenen.
"},{"location":"vereisten/grw-01-fundamentele-rechten/#maatregelen","title":"Maatregelen","text":"ZoekenidMaatregelenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/grw-01-fundamentele-rechten/#instrumenten","title":"Instrumenten","text":"ZoekenidInstrumentenRollenLevenscyclusOnderwerpen"},{"location":"vereisten/grw-02-non-discriminatie/","title":"AI-systemen en algoritmes mogen niet discrimineren","text":"
grw-02ProbleemanalyseDataverkenning en datapreparatieOntwerpVerificatie en validatieImplementatieMonitoring en beheerFundamentele rechtenBias en non discriminatie
Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan ook, is niet toegestaan.
Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes of AI. Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen we te streven naar een gelijke behandeling van personen of groepen ten opzichte van andere personen in een vergelijkbare situatie. Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan ontstaan. Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze personen met een beschermd persoonskenmerk in vergelijking met andere personen in het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat.
"},{"location":"vereisten/grw-02-non-discriminatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/grw-02-non-discriminatie/#risico","title":"Risico","text":"
Het risico bestaat dat het model onwenselijke systematische afwijkingen cre\u00ebert voor specifieke personen, groepen of andere eenheden, wat kan duiden op directe of indirecte discriminerende effecten van het algoritme.
"},{"location":"vereisten/grw-02-non-discriminatie/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederarchitectbehoeftestellerbeleidsmedewerkercontractbeheerderdata-engineerdata-scientistethicusinformatiebeheerderinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusdataverkenning-en-datapreparatieimplementatiemonitoring-en-beheerontwerpontwikkelenorganisatieverantwoordelijkhedenuitfaserenverificatie-en-validatieOnderwerpengovernancepublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance Richt een proces in voor een periodieke evaluatie van de kwaliteit van het algoritme of AI-systeem. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder organisatieverantwoordelijkheden governance Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus inkoopadviseur contractbeheerder ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer uitfaseren governance Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"},{"location":"vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/","title":"Eenieder heeft recht op toegang tot publieke informatie","text":"
Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.
Bij het ontwikkelen en gebruiken van algoritmes en AI kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. Het kunnen openbaren van publieke informatie is in het belang van een democratische rechtstaat. De Wet open overheid gaat uit van een recht op openbaarheid van publieke informatie. Iedereenkan een verzoek tot openbaarmaking van publieke informatie doen bij een bestuursorgaan zonder daarbij een belang te stellen (artikel 4.1 Woo). De aan een verzoeker verstrekte informatie wordt openbaar voor iedereen. De Woo is niet van toepassing op informatie die al openbaar is (uitspraken van de Afdeling bestuursrechtspraak van de Raad van State van 1 december 2010 (ECLI:NL:RVS:2010:BNS6990) en 20 oktober 2010 (ECLI:NL:RVS:2010:BO1165)). Er kunnen uitsluitingsgronden bestaan voor het openbaarmaken van documenten (artikel 5.1 Woo).
In de context van het ontwikkelen en gebruiken van algoritmes en AI-systemen is het van belang dat tijdig wordt vastgesteld welke documenten in aanmerking komen voor openbaarmaking. Dit moet worden bekeken in het licht van wat 'actief' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op 'verzoek' van iemand moet worden geopenbaard.
"},{"location":"vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/#wanneer-van-toepassing","title":"Wanneer van toepassing?","text":""},{"location":"vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/#risico","title":"Risico","text":"
Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden gecontroleerd bij het uitvoeren van wettelijke taken.
"},{"location":"vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/#maatregelen","title":"Maatregelen","text":"ZoekenRollenaanbestedingsjuristaanbiederbehoeftestellercontractbeheerderdata-scientistethicusinkoopadviseuropdrachtnemerprivacy-officerproceseigenaarsecurity-officerLevenscyclusontwerpontwikkelenOnderwerpenpublieke-inkoopidMaatregelenRollenLevenscyclusOnderwerpenBespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop Cre\u00eber ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding. proceseigenaar behoeftesteller data-scientist ethicus privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop"}]}
\ No newline at end of file
diff --git a/pr-preview/pr-283/sitemap.xml b/pr-preview/pr-283/sitemap.xml
index 6b24e2f0be..082feaa66d 100644
--- a/pr-preview/pr-283/sitemap.xml
+++ b/pr-preview/pr-283/sitemap.xml
@@ -533,259 +533,251 @@
2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/CE_markering_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-01-ai-geletterdheid/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/EU_conformiteitsverklaring_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-02-documentatie-beoordeling-niet-hoog-risico-ai/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-03-risicobeheersysteem/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aantoonbaarheid_vereisten_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/ai_modellen_algemene_doeleinden_syteemrisico_cyberbeveiliging/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-05-data-kwaliteitscriteria/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/ai_modellen_algemene_doeleinden_syteemrisico_informatie_ernstige_incidenten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-06-technische-documentatie/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/algoritmeregister/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-07-automatische-logregistratie/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/archiefwet/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-08-transparantie-aan-gebruiksverantwoordelijken/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/auteursrechten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-09-menselijk-toezicht/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/automatische_logregistratie/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/beginsel_van_proportionaliteit_en_subsidiariteit/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-11-systeem-voor-kwaliteitsbeheer/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/beoordelen_gevolgen_voor_grondrechten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-12-bewaartermijn-voor-documentatie/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/beperkte_bewaartermijn_van_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-13-bewaartermijn-voor-gegenereerde-logs/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/beschrijven_en_toewijzen_van_verantwoordelijkheden_bij_verwerking_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-14-conformiteitsbeoordeling/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/beveiliging_informatie_en_informatiesystemen/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-15-eu-conformiteitsverklaring/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/beveiliging_van_verwerking/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-16-ce-markering/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/bevorder_ai_geletterdheid_personeel/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-17-registratieverplichtingen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/bewaartermijn_voor_documentatie/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-18-corrigerende-maatregelen-voor-non-conforme-ai/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/bewaartermijn_voor_gegenereerde_logs/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-19-toegankelijkheidseisen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/conformiteitsbeoordelingsprocedure_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-20-verstrekken-van-informatie-op-verzoek/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/corrigerende_maatregelen_voor_non_conforme_ai/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-21-aantoonbaarheid-vereisten-hoog-risico/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/databankenwet/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-22-gebruiksverantwoordelijken-maatregelen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/documentatie_beoordeling_niet_hoog_risico_ai/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-23-gebruiksverantwoordelijken-menselijk-toezicht/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/dpia_verplicht_bij_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-24-gebruiksverantwoordelijken-monitoren-werking/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/fundamentele_rechten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-25-gebruiksverantwoordelijken-bewaren-logs/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-26-informeren-werknemers/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_leven_registratieverplichting_na/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-27-gebruiksverantwoordelijken-registratieverplichtingen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_menselijk_toezicht_natuurlijke_personen/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-28-recht-op-uitleg-ai-besluiten/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_monitoren_werking_%20hoog_risico_AI-systeem/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-29-beoordelen-gevolgen-grondrechten/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/inroepen_privacyrecht_bij_verwerking_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-30-transparantieverplichtingen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/juistheid_en_actualiteit_van_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-31-ai-modellen-algemene-doeleinden/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/kwaliteitsbeheersysteem_voor_hoog_risico_ai/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/kwaliteitscriteria_voor_data/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-33-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/maatregelen_van_gebruiksverantwoordelijken_voor_gebruik/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-34-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/melding_ernstige_incidenten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-35-verwerking-in-testomgeving/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/minimale_verwerking_van_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-36-monitoring-na-het-in-de-handel-brengen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/monitoring_na_het_in_de_handel_brengen/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-37-melding-ernstige-incidenten/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/motiveringsbeginsel/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-38-melding-inbreuk-op-ai-verordening/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/non_discriminatie/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aia-39-recht-klacht-indienen-bij-ai-bureau/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/ontwerp_voor_nauwkeurigheid_robuustheid_en_cyberbeveiliging/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/arc-01-archiefwet/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/persoonsgegevens_worden_rechtmatig_verwerkt/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/aut-01-auteursrechten/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/privacy_bij_ontwerp_bij_verwerking_van_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/recht_klacht_indienen_bij_ai_bureau/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-02-beperkte-bewaartermijn-van-persoonsgegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/recht_op_niet_geautomatiseerd_besluitvorming/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-03-minimale-verwerking-van-persoonsgegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/recht_op_toegang_tot_publieke_informatie/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-04-proportionaliteit-en-subsidiariteit/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/recht_op_uitleg_AI-besluiten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-05-juistheid-en-actualiteit-van-persoonsgegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/recht_op_uitleg_ai_besluiten/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-06-verantwoordingsplicht-rechtmatigheid/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/registratieverplichtingen_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-07-transparantie-bij-verwerken-persoonsgegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/risicobeoordeling_voor_jongeren_en_kwetsbaren/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-08-wettelijke-verwerking-van-gevoelige-gegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/technische_documentatie_voor_hoog_risico_ai/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/toegankelijkheidseisen_hoog_risico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-10-recht-op-niet-geautomatiseerde-besluitvorming/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/toezichtmogelijkheden_voor_gebruikers/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/transparantie/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-12-beveiliging-van-verwerking/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/transparantie_bij_verwerken_persoonsgegevens/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/avg-13-dpia-verplicht/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verantwoordingsplicht_rechtmatigheid/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/awb-01-zorgvuldigheidsbeginsel/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verboden_toepassingen_evaluatie_of_classificatie_natuurlijke_personen_of_groepen_personen/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/awb-02-motiveringsbeginsel/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verdere_verwerking_van_persoonsgegevens_in_ai_testomgevingen/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/bio-01-beveiliging-informatie-en-informatiesystemen/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verplicht_risicobeheersysteem_voor_hoog_risico_ai/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/bzk-01-algoritmeregister/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/dat-01-databankenwet/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_met_systeemrisico/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/grw-01-fundamentele-rechten/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/verstrekking_van_informatie_op_verzoek/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/grw-02-non-discriminatie/2024-09-24
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/werknemersvertegenwoordigers_en_betrokken_werknemers_worden_ge%C3%AFnformeerd_inzet_hoog_risico_AI/
- 2024-09-24
-
-
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/wettelijke_verwerking_van_gevoelige_gegevens/
- 2024-09-24
-
-
- https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/zorgvuldigheidsbeginsel/
+ https://minbzk.github.io/Algoritmekader/pr-preview/pr-283/vereisten/woo-01-recht-op-toegang-tot-publieke-informatie/2024-09-24
\ No newline at end of file
diff --git a/pr-preview/pr-283/sitemap.xml.gz b/pr-preview/pr-283/sitemap.xml.gz
index b806b101ba..1bc712647f 100644
Binary files a/pr-preview/pr-283/sitemap.xml.gz and b/pr-preview/pr-283/sitemap.xml.gz differ
diff --git a/pr-preview/pr-283/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/index.html b/pr-preview/pr-283/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/index.html
deleted file mode 100644
index f9082ebdef..0000000000
--- a/pr-preview/pr-283/vereisten/Verplichtingen_van_aanbieders_van_ai_modellen_voor_algemene_doeleinden_/index.html
+++ /dev/null
@@ -1,4385 +0,0 @@
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden - Algoritmekader [concept]
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Aanbieders van AI-modellen voor algemene doeleinden moeten de technische documentatie van het model opstellen en up-to-date houden, inclusief het trainings- en testproces en de resultaten van de evaluatie ervan, die ten minste de in bijlage XI AI verordening vermelde elementen moet bevatten, zodat deze op verzoek aan het AI-bureau en de nationale bevoegde autoriteiten kunnen worden verstrekt.
Aanbieders van AI-modellen voor algemene doeleinden zijn verplicht om gedetailleerde technische documentatie bij te houden, inclusief informatie over hoe het model is getraind, getest en geëvalueerd.
-Deze documentatie moet voldoen aan de minimale vereisten zoals uiteengezet in bijlage XI van de AI-verordening.
-Hierbij kan worden gedacht aan taken die het model uitvoert en het type en de aard van AI-systemen waarin het kan worden geïntegreerd, acceptabel gebruiks beleid, architectuur, het aantal paramaters, licentie, specificaties van het ontwerp van het model, het trainingsproces, informatie over de gegevens die zijn verwerkt en een gedetailleerde beschrijving van de evaluatiestrategieën.
-Zie bijlage XI voor het gehele overzicht.
-
Op verzoek moeten deze documenten beschikbaar zijn voor zowel het AI-bureau als de nationale bevoegde autoriteiten, wat essentieel is om te zorgen voor transparantie en naleving van de voorschriften.
Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik van AI-modellen.
Aanbieders van AI-systemen met een hoog risico moeten op verzoek van een met reden omkleed verzoek van een nationale bevoegde autoriteit aan kunnen tonen dat het AI-systeem in overeenstemming is met de vereisten van afdeling 2 AI-Verordening.
Op verzoek van een nationale bevoegde autoriteit moeten aanbieders van AI-systemen met een hoog risico aantonen dat het betreffende systeem voldoet aan de eisen.
Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen.
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van het model
Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende cyberbeveiligingsmaatregelen.
-Dit omvat het beschermen van zowel het AI-model als de fysieke infrastructuur tegen potentiële cyberdreigingen.
-Het doel is om de integriteit en veiligheid van het model en de infrastructuur te waarborgen.
-Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend geval, aan de nationale bevoegde autoriteiten.
Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren.
-Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten.
-Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen.
-Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
\ No newline at end of file
diff --git a/pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/index.html b/pr-preview/pr-283/vereisten/aia-01-ai-geletterdheid/index.html
similarity index 73%
rename from pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/index.html
rename to pr-preview/pr-283/vereisten/aia-01-ai-geletterdheid/index.html
index 20c6c68a8f..0acb1c5641 100644
--- a/pr-preview/pr-283/vereisten/gebruiksverantwoordelijken_bewaren_automatisch_gegenereerde_logs/index.html
+++ b/pr-preview/pr-283/vereisten/aia-01-ai-geletterdheid/index.html
@@ -10,13 +10,13 @@
-
+
-
+
-
+
@@ -24,7 +24,7 @@
- Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd - Algoritmekader [concept]
+ Bevorder AI-geletterdheid van personeel en gebruikers - Algoritmekader [concept]
@@ -129,7 +129,7 @@
- Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd
+ Bevorder AI-geletterdheid van personeel en gebruikers
Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens
+
Aanbieders en exploitanten van AI-systemen nemen maatregelen om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid bij hun personeel en andere personen die namens hen AI-systemen exploiteren en gebruiken, en houden daarbij rekening met hun technische kennis, ervaring, onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt, evenals met de personen of groepen personen ten aanzien van wie de AI-systemen zullen worden gebruikt.
Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken.
-Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de inzet van het AI-systeem.
-Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke hier 'controle' over heeft.
-De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen om dit te realiseren.
-
Gebruiksverantwoordelijken die in de hoedanigheid van financiële instellingen onderworpen zijn aan eisen met betrekking tot hun interne governance, regelingen of processen uit hoofde van het Unierecht inzake financiële diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt krachtens het desbetreffende Unierecht inzake financiële diensten.
+
Aanbieders en exploitanten van AI-systemen nemen maatregelen om ervoor te zorgen dat hun personeel en andere betrokkenen voldoende kennis hebben van AI.
+Dit omvat het bevorderen van kennis over de techniek, evenals kennis over de context waarin de AI-systemen worden gebruikt en de gebruikers van deze systemen.
+Daarnaast moet er worden ingezet op het delen van ervaringen, passend onderwijs en opleiding van inidividuen.
+Het doel is om een adequaat niveau van begrip en vaardigheden te waarborgen, wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.
Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij mogelijke problemen met het AI-systeem.
+
Onvoldoende AI-geletterdheid kan leiden tot misbruik of onjuist gebruik van AI-systemen en tot situaties waarin AI-systemen verkeerd worden ingezet, onbedoeld gebruikt worden voor taken waar ze niet geschikt voor zijn, of dat de veiligheid en effectiviteit van de systemen in het gedrang komt.
+Dit kan leiden tot inefficiëntie, fouten, en mogelijk schade aan organisaties, gebruikers of betrokkenen.