Ga naar inhoud

Fase 0: Organisatieverantwoordelijkheden

Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen. In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes. Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.

Vereisten

idVereisten
aia-00Verboden AI-systemen mogen niet worden gebruikt.
aia-01Personeel en gebruikers zijn voldoende AI-geletterd.
aia-03Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
aia-11Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem.
aia-18Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in.
aia-21Menselijk toezicht van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkheden.
aia-25Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank.
aia-26Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-33AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden.
aia-35Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder.
aia-36Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening.
aia-37Klachtrecht voor aanbieders verder in AI-waardeketen.
avg-09Betrokkenen kunnen een beroep doen op hun privacyrechten.
avg-12Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen.
bio-01Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
woo-01Iedereen kan openbare informatie over algoritmes vinden of aanvragen

Aanbevolen maatregelen

idMaatregelen
org-01Bepaal of er genoeg experts beschikbaar zijn
org-02Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.
org-03Maak een plan voor het omgaan met risico’s
org-04Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.
org-05Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
org-06Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat
org-07Richt een algoritmegovernance in met three lines of defence
org-08Maak gebruik van beslismomenten in de algoritmelevenscyclus
org-09Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.
org-10Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
org-11Maak afspraken over het beheer van gebruikers
org-12Controleer en verbeter regelmatig de kwaliteit van het algoritme
org-13Maak afspraken over het beheer van wachtwoorden
org-14Maak afspraken over het wijzigen van de code
org-15Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe.
owp-32Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
owp-35Pas vastgestelde beleidskaders toe
imp-09Maak een openbaar besluit over de inzet van het algoritme
imp-11Spreek af hoe de organisatie omgaat met privacy-verzoeken
mon-03Maak een noodplan voor beveiligingsincidenten

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.