Ga naar inhoud

Ontwikkelen

Dit is de fase waarin het algoritme of AI-systeem wordt ontwikkeld door het ontwikkelteam. Als het gaat om AI-systemen, omvat deze fase het trainen van modellen met behulp van de voorbereide gegevens. Als het gaat om algoritmes op basis van rekenregels, betreft dit het implementeren van deze rekenregels in de (ontwikkelomgeving van de) systemen.

Het algoritme of AI-systeem technisch correct ontwikkelen, inclusief het kunnen begrijpen van de beperkingen ervan, vraagt om een samenspel van expertise vanuit verschillende disciplines. Denk hierbij aan de proceseigenaar, domeinexperts van het te ondersteunen werkproces, data scientists, data engineer, (privacy)juristen, beleidsmedewerkers en een ethicus. Een voorbeeld hiervan is het beoordelen van de zogenaamde inputvariabelen of rekenregels (die voor een groot deel bepalen hoe een algoritme of AI-systeem functioneert) van een machine learning model of algoritme. Deze rollen zijn bijzonder waardevol bij het beoordelen of deze variabelen of rekenregels juridisch zijn toegestaan, ethisch wenselijk zijn, technisch gezien- voldoende significant zijn en of deze van toegevoegde waarde zijn voor gebruikers. Dit multidisciplinaire team kan tijdens de ontwikkeling continu bijsturen, zodat het algoritme of AI-systeem op een verantwoorde wijze functioneert en aansluit bij de beoogde doelstellingen.

In deze fase is niet alleen het ontwikkelen van een algoritme of AI-systeem, maar ook het documenteren van belangrijke afwegingen en het opstellen van technische documentatie van groot belang. Daarnaast zullen tal van (technische) maatregelen moeten worden getroffen zoals de verdere beveiliging van het informatiesysteem of bij de ontsluiting van de output naar gebruikers, het automatische genereren van logs en het inrichten van service en incidentmanagementprocedures.

Vereisten

idVereisten
aia-04Risicobeoordeling voor jongeren en kwetsbaren
aia-06Technische documentatie voor hoog-risico AI
aia-07Automatische logregistratie voor hoog-risico AI
aia-08Transparantie in ontwerp voor hoog-risico AI
aia-10Ontwerp voor nauwkeurigheid, robuustheid en cyberbeveiliging
aia-12Hoog risico ai systemen voldoen aan bewaartermijn voor documentatie
aia-13Bewaartermijn voor gegenereerde logs
aia-16Aanbieders van AI-systemen met een hoog risico voegen een CE-markering toe aan het AI-systeem
aia-17Registratieverplichtingen voor aanbieders van AI-systemen met een hoog risico
aia-19Aanbieders van AI-systemen met een hoog risico zorgen voor toegankelijkheidseisen
aia-21Aanbieders van AI-systemen met een hoog risico kunnen aantonen dat het AI-systeem in overeenstemming is met de vereisten uit de AI-verordening
aia-25Gebruiksverantwoordelijken bewaren logs van een hoog risico AI-systeem die automatisch worden gegenereerd
aia-29Beoordeling van grondrechten
aia-30Transparantieverplichtingen
aia-32Aanvullende verplichtingen voor aanbieders van AI-modellen met systeemrisico
aia-34Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico zorgen voor passend niveau van cyberbeveiliging
aia-35Verdere verwerking van persoonsgegevens in AI-testomgevingen
arc-01De archiefwet is ook van toepassing op algoritmes en AI-systemen
avg-02Beperkte bewaartermijn van persoonsgegevens
avg-03Persoonsgegevens verzamelen voor specifieke doeleinden
avg-05Juistheid en actualiteit van gegevens
avg-06Verantwoordingsplicht voor de rechtmatigheid van de verwerking
avg-07Transparantie bij verwerking persoonsgegevens
avg-09Privacyrechten
avg-10Recht op niet geautomatiseerde besluitvorming
avg-11Privacy door ontwerp
avg-13Een DPIA is verplicht bij hoog risico voor de rechten en vrijheden van natuurlijke personen

Maatregelen

idMaatregelen
Archiveren beperkingen openbaarheid
Vaststellen bewaartermijnen voor archiefbescheiden
Archiefbescheiden zijn duurzaam toegankelijk
Archiefbescheiden vaststellen
Maak back-ups van algoritmes
Bepaal de bewaartermijen en richt een vernietigingsprocesdure in voor de verwerkte (persoons)gegevens.
Bepaal of de output bepalende invloed heeft in een besluit richting personen
Bescherm persoonsgegevens die mogen worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen.
Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes en AI-systemen en pas een RACI-matrix toe.
Bespreek de vereiste met aanbieder of opdrachtnemer
Betrek belanghebbenden
Zorg voor een goede beveiliging van een algoritme.
Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren.
Het doel voor het verwerken van persoonsgegevens met een algoritme of AI-systeem is welbepaald en omschreven.
Stel vast dat het algoritme voortdurend functioneert in lijn met de vastgestelde doelstelling
Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes of AI-systemen op basis van deze gegevens worden ontwikkeld of gebruikt.
Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel van de beoordeling van een inschrijving
Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen
Maak de vereiste onderdeel van het programma van eisen
Maak de vereiste onderdeel van de contractovereenkomst
Maak de vereiste onderdeel van Service Level Agreement
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden
Richt (technische) controlemechanismen in voor menselijk tussenkomst waarmee de output van een algoritme of AI-systeem kan worden gecontroleerd.
Menselijke tussenkomst is een vast onderdeel in een projecptlan of een déchargedocument
Neem technische documentatie op in het algoritmeregister
Neem de vereiste op als een subgunningscriteria bij gunningscriteria beste prijs-kwaliteitverhouding.
Restrisico's met betrekking tot schending auteursrechten zijn inzichtelijk gemaakt
Persoonsgegevens die worden verwerkt voor het ontwikkelen en gebruiken van algoritmes en AI-systemen zijn beschreven en onderbouwd.
Publiceer de ontwikkeling en gebruik van algoritme of AI-systeem in het Algoritmeregister.
Richt een wijzigingenproces in voor codewijzigingen
Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject
Garantie in conceptovereenkomst dat aanbieder auteursrechten niet schendt met de output
Pas het principe van security by design toe
Stel archiefbescheiden vast
Tref (technische) maatregelen waarmee het gebruik van het algoritme of AI-systeem kan worden stopgezet.
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico's
Stel vast of het gaat om een algoritme en/of AI-systeem en wat de bijbehorende risicoclassificatie is om te bepalen welke vereisten hierop van toepassing zijn.
Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in een privacyverklaring als persoonsgegevens worden verwerkt.
Neem de ontwikkeling en gebruik van een algoritme of AI-systeem op in het verwerkingsregister als persoonsgegevens worden verwerkt.
Stel vast dat wetgeving en (lokaal) beleid correct is vertaald naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.
Voer voorafgaand aan een aanbesteding een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
Voer een Project Startarchitectuur (PSA) uit als algoritmes of AI-systemen worden ontwikkeld of ingekocht.

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.