Ga naar inhoud

Ontwerp

In de ontwerpfase wordt het conceptuele ontwerp van het AI-systeem uitgedacht. Het is van belang om belangrijke uitgangspunten en beleid, zoals doelarchitectuur en de datastrategie, van de betreffende organisatie meteen te verwerken in het ontwerp en dat het applicatielandschap en de databronnen in beeld wordt gebracht. In deze fase worden doorgaans veel werkzaamheden verzet, zoals business- en informatieanalyse, om een goed beeld te krijgen hoe aan de beoogde doelstellingen kan worden voldaan met een passende oplossing.

Het is goed denkbaar dat meerdere ontwerpen in deze fase tot stand komen voor het te ontwikkelen algoritme of AI-systeem. Het is van belang om deze ontwerpen te toetsen bij bijvoorbeeld de proceseigenaar, opdrachtgever en gebruiker, maar ook bij informatiebeveiligingsadviseurs, privacy officers, informatiebeheerders, architecten of een ethicus. Deze experts kunnen vanuit hun vakgebied een eerste toets doen in hoeverre het ontwerp haalbaar of gewenst is, aansluit bij de gebruikersbehoefte, aan welke vereisten moet worden voldaan of dat er risicoanalyses moeten worden uitgevoerd en een onafhankelijke commissies moet worden betrokken.

Met deze input kan het ontwerp worden verbeterd en vraagstukken over bijvoorbeeld governance en risicomanagement verder worden uitgewerkt. In deze fase kan ook een eerste stap worden gezet om de vereisten te vertalen naar concrete maatregelen, te structureren en te beleggen bij de betrokken experts. Als bijvoorbeeld is vastgesteld dat persoonsgegevens noodzakelijkerwijs moeten worden verwerkt en hier een grondslag voor is, dan is het van belang dat voorafgaand aan de dataverkenning en datapreparatie fase voldoende (technische) maatregelen zijn getroffen om de data veilig te verwerken in de beoogde (ontwikkel)omgeving.

Daarnaast dient er in de ontwerpfase ook aandacht besteed te worden aan de succesfactoren van een algoritme of AI-systeem. Het is belangrijk om in een multidisciplinaire setting te bepalen hoe het algoritme in de praktijk geëvalueerd kan worden en wanneer we kunnen spreken van een rechtvaardig succes. Hierbij dient er ook te worden nagedacht over evaluatiemethoden om na te gaan of het algoritme of AI-systeem voldoet aan bijvoorbeeld het vereiste van non-discriminatie.

Nadat een besluit is genomen over het definitieve ontwerp van het algoritme of AI-systeem, kan worden gestart met het inrichten van de ontwikkelomgeving (indien nodig), de dataverkenning, datapreparatie. Dit besluit betekent dat een akkoord wordt gegeven voor het type algoritme en de beoogde werking.

Vereisten

idVereisten
aia-02Documentatie beoordeling niet-hoog-risico AI
aia-04Risicobeoordeling voor jongeren en kwetsbaren
aia-05Data van hoog-risico ai moet voldoen aan kwaliteitscriteria
aia-06Technische documentatie voor hoog-risico AI
aia-08Transparantie in ontwerp voor hoog-risico AI
aia-09Toezichtmogelijkheden voor gebruikers
aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging
aia-11Kwaliteitsbeheersysteem voor hoog-risico AI
aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie
aia-13Bewaartermijn voor gegenereerde logs
aia-26Informeren werknemers
aia-28Recht op uitleg AI-besluiten
aia-29Beoordeling van grondrechten
aia-31Verplichtingen van aanbieders van AI-modellen voor algemene doeleinden
aut-01Auteursrechten mogen niet worden geschonden
avg-01Verwerking van persoonsgegevens moet rechtmatig plaatsvinden
avg-02Beperkte bewaartermijn van persoonsgegevens
avg-03Persoonsgegevens verzamelen voor specifieke doeleinden
avg-05Juistheid en actualiteit van gegevens
avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking
avg-07Transparantie bij verwerking persoonsgegevens
avg-08Wettelijke uitzondering nodig voor verwerken bijzondere categorieën persoonsgegevens
avg-09Privacyrechten
avg-10Recht op niet geautomatiseerde besluitvorming
avg-11Privacy door ontwerp
avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen
dat-01Verbod op schenden databankenrechten
grw-01Beschermen van fundamentele rechten en vrijheden
grw-02AI-systemen en algoritmes mogen niet discrimineren

Maatregelen

idMaatregelen
Afwegen grondrechten
Archiveren beperkingen openbaarheid
Vaststellen bewaartermijnen voor archiefbescheiden
Archiefbescheiden vaststellen
Maak back-ups van algoritmes
Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.
Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.
Bespreek de vereiste met aanbieder of opdrachtnemer
Betrek belanghebbenden
Zorg voor een goede beveiliging van een algoritme.
Contractuele afspraken over data en artefacten
Controleren eigen data op schending auteursrechten
Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.
Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.
Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.
Kwetsbare groepen in kaart brengen en beschermen
Bewijs laten leveren dat auteursrechten niet worden geschonden met de output
Bewijs laten leveren dat auteursrechten niet worden geschonden met de trainingsdata
Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving
Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen
Maak de vereiste onderdeel van het programma van eisen
Maak de vereiste onderdeel van de contractovereenkomst
Maak de vereiste onderdeel van Service Level Agreement
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden
Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.
Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.
Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.
Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.
Richt een wijzigingenproces in voor codewijzigingen
Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject
Garantie in conceptovereenkomst dat auteursrechten niet worden geschonden met de trainingsdata
Pas het principe van security by design toe
Stel archiefbescheiden vast
Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's
Vul technische documentatie van aanbieder aan met informatie vanuit de gebruiksverantwoordelijke
De mate waarin aanbieder kennisoverdracht en ondersteuning bij implementatie biedt is onderdeel van de aanbesteding
Vaststellen niveau van benodigde training voor gebruik algoritmen en AI-systemen
Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.
Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.
Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.
Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Voer een biasanalyse uit
Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.