Organisatieverantwoordelijkheden

Voordat je start met de ontwikkeling of het gebruik van een algoritme, zul je moeten zorgen dat je organisatie voldoende ingericht is om algoritmes te gebruiken of te ontwikkelen. In deze fase beschrijven we de randvoorwaarden die je als organisatie moet hebben om aan de slag te gaan. Dit zijn aspecten die je in het ideale geval al regelt voordat je begint aan het gebruik van algoritmes. Het zijn ook taken die je voortdurend aandacht zal moeten geven, maar die je niet voor ieder algorite opnieuw hoeft te organiseren.

Vereisten

id	Vereisten
aia-01	Personeel en gebruikers zijn voldoende AI-geletterd
aia-03	Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
aia-11	Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem
aia-18	Als een hoog-risico AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in
aia-20	Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing
aia-21	Menselijke controle van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkheden
aia-25	Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank
aia-28	Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-33	AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden
aia-35	Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder
aia-36	Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening
aia-37	Klachtrecht aanbieders verder in AI-waardeketen
avg-09	Betrokkenen kunnen een beroep doen op hun privacyrechten
avg-12	Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
bio-01	Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
woo-01	Iedereen kan openbare informatie over algoritmes vinden of aanvragen

Maatregelen

id	Maatregelen
org-01	Bepaal of er genoeg experts beschikbaar zijn
org-02	Bepaal het beleid voor het ontwikkelen, inkopen en gebruiken van algoritmes
org-03	Maak een plan voor het omgaan met risico’s
org-04	Politiek-bestuurlijke verantwoordelijkheid
org-05	Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
org-06	Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat
org-07	Richt een algoritmegovernance in met three lines of defence
org-08	Maak gebruik van beslismomenten in de algoritmelevenscyclus
org-09	Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.
org-10	Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
org-11	Maak afspraken over het beheer van gebruikers
org-12	Controleer en verbeter regelmatig de kwaliteit van het algoritme
org-13	Maak afspraken over het beheer van wachtwoorden
org-14	Maak afspraken over het wijzigen van de code
owp-28	Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
imp-01	Maak een openbaar besluit over de inzet van het algoritme
imp-06	Spreek af hoe de organisatie omgaat met privacy-verzoeken
imp-10	Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe.
mon-03	Maak een noodplan voor beveiligingsincidenten

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.