Ga naar inhoud

Fase 7: Monitoring en beheer

Het algoritme wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme.

Het is van belang dat beheer wordt uitgevoerd over het algoritme, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.

Vereisten

idVereisten
aia-04Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen.
aia-07Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens.
aia-08Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen.
aia-09Hoog-risico-AI-systemen staan onder menselijk toezicht.
aia-10Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.
aia-12Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder.
aia-13Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder.
aia-18Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in.
aia-22De werking van hoog-risico-AI-systemen wordt gemonitord.
aia-23Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke.
aia-25Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank.
aia-26Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-29AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische documentatie en informatie.
aia-30Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen extra maatregelen.
aia-31Als AI-modellen voor algemene doeleinden met systeemrisico’s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd.
aia-32AI-modellen voor algemene doeleinden met systeemrisico’s zijn voldoende beveiligd tegen cyberaanvallen.
aia-34Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem.
aia-35Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder.
aia-36Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening.
aia-38Hoog-risico-AI-systemen zijn getest.
aia-39Er is beleid opgesteld ter naleving van auteursrechten en naburige rechten door aanbieders van AI-modellen voor algemene doeleinden.
arc-01Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig.
avg-07Organisaties zijn transparant over het verwerken van persoonsgegevens
awb-02Organisaties kunnen duidelijk uitleggen waarom en hoe algoritmes leiden tot een besluit
bzk-01Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister
grw-01Algoritmes schenden geen grondrechten of mensenrechten.
grw-02Algoritmes discrimineren niet.

Aanbevolen maatregelen

idMaatregelen
org-12Controleer en verbeter regelmatig de kwaliteit van het algoritme
owp-01Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes
owp-07Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafweging
owp-14Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
owp-17Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt.
dat-03Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-06Gebruik duurzame datacenters
dat-11Controleer de data op manipulatie en ongewenste afhankelijkheden
dat-12Controleer de input van gebruikers op misleiding
owk-03Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden
owk-04Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code
owk-09Zorg dat er (gevoelige) informatie niet kan lekken op basis van de output van het algoritme.
ver-01Controleer regelmatig of het algoritme werkt zoals het bedoeld is
ver-02Evalueer de nauwkeurigheid van het algoritme
ver-03Toets het algoritme op bias
ver-05Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleid
ver-06Evalueer de betrouwbaarheid van het algoritme
imp-02Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie’ te controleren
imp-03Richt de juiste menselijke controle in van het algoritme
imp-04Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister
imp-07Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.
mon-01Maak back-ups van algoritmes
mon-02Beveilig de software
mon-03Maak een noodplan voor beveiligingsincidenten
mon-05Maak een evaluatieplan voor tijdens het gebruik van het algoritme
mon-05Monitor regelmatig op veranderingen in de data. Bij veranderingen evalueer je de prestaties en output van het algoritme.
mon-06Meten, monitoren en rapporteren van milieu-impact van algoritmes
mon-07Stel een plan op voor continue monitoring
mon-08Controleer regelmatig of een algoritme voldoende weerbaar is tegen bekende aanvallen.

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.