Governance

Wat is governance

Governance gaat over de inrichting van een organisatie en de daarbij horende processen, regels, gebruiken en bijbehorende verantwoordelijkheden. In het Algoritmekader gaat governance over de governance van AI en algoritmes ingezet door een overheidsorganisatie.

Let op!

Omdat het Algoritmekader uitgaat van de brede definitie van een algoritme, hanteren we voor het gemak de term “algoritmegovernance” als we het hebben over governance over algoritmes én AI.

De noodzaak van algoritmegovernance is om grip te hebben (of krijgen) op algoritmes binnen een organisatie en nadelige gevolgen ervan, zoals (onbedoelde) discriminatie, te voorkomen. Een algoritmegovernance is een belangrijke randvoorwaarde om de vereisten die gelden voor een verantwoorde inzet van algoritmes gestructureerd toe te passen.

Er bestaan verschillende niveaus van algoritmegovernance: het (inter)nationaal niveau, het organisatieniveau en het niveau van het algoritme zelf, het systeemniveau (zie figuur hieronder). Het Algoritmekader focust op de onderste twee niveaus, waar een organisatie invloed op heeft. Dit zijn organisatieniveau en systeemniveau.

Bron: TNO, 2024

Leeswijzer

Als je deze sectie leest ben je waarschijnlijk geïnteresseerd in het opzetten of verbeteren van algoritmegovernance bij jouw organisatie. Dit vindt plaats op het organisatieniveau en in de levenscyclus bij "organisatieverantwoordelijkheden". Het gaat over het inrichten van processen zoals (die rondom) de levenscyclus van een algoritme Alles op deze pagina gaat dus over het inrichten van governance.

Er worden maatregelen gegeven waar concreet mee aan de slag kan worden gegaan. Deze maatregelen zijn nog onder te verdelen in twee stappen:

Randvoorwaarden algoritmegovernance: Dit speelt zich af op organisatieniveau. Bijvoorbeeld een duidelijke visie op de ontwikkeling en gebruik van algoritmes is hier onderdeel van.
Inrichten van algoritmegovernance: Dit speelt zich af op organisatieniveau, maar heeft betrekking op het systeemniveau. Er worden bijvoorbeeld keuzes gemaakt hoe de levenscyclus, rollen en verantwoordelijkheden specifiek voor jouw organisatie wordt ingericht.

Het Algoritmekader schrijft niet voor hoe je algoritmegovernance moet inrichten. Organisaties zullen dit zelf moeten bepalen. (In latere versies komt mogelijk tooling om vereisten en maatregelen te koppelen aan rollen binnen een eigen organisatie.)

Waar te starten

Is er al een visie of beleid over hoe om te gaan algoritmes binnen de organisatie? Is er al iemand verantwoordelijk voor de ontwikkeling en gebruik van algoritmes? Wie gaat over de naleving van bijvoorbeeld de AI-verordening? Stap 1 kan ondersteunen bij deze vragen.

Voorbeelden bij stap 1: Randvoorwaarden algoritmegovernance

Deze maatregelen gaan over de basis leggen om algortimegovernance mogelijk te maken. Kijk eens naar maatregelen zoals:

Voorbeelden bij stap 2: Inrichten van algoritmegovernance

We geven bij deze maatregelen meer voorbeelden en best practices voor het inrichten van algoritmegovernance. Kijk eens naar maatregelen (onderaan deze pagina) zoals:

Let op!

Voorbeelden bieden in hoofdlijnen een ‘blauwdruk’ voor hoe algoritmegovernance kan worden ingericht. Overheidsorganisaties verschillen, onder andere in grootte. Er moet altijd moet worden gekeken hoe dit in de eigen organisatie is in te passen.

Aandachts- en actiepunten algoritmegovernance algemeen

Maak iemand verantwoordelijk voor het opstellen van de algoritmegovernance.
Zorg voor (bestuurlijk) bewustzijn als je ziet dat algoritmegovernance ontbreekt maar nog niet belegd is.
Zorg voor overlegstructuren met keuzemandaat met belangrijke partijen/stakeholders.

Aanbevolen maatregelen

id	Maatregelen
org-01	Bepaal of er genoeg experts beschikbaar zijn
org-02	Bepaal het beleid voor het ontwikkelen, inkopen en gebruiken van algoritmes
org-03	Maak een plan voor het omgaan met risico’s
org-04	Politiek-bestuurlijke verantwoordelijkheid
org-05	Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
org-06	Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat
org-07	Richt een algoritmegovernance in met three lines of defence
org-08	Maak gebruik van beslismomenten in de algoritmelevenscyclus
org-09	Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.
org-10	Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
org-11	Maak afspraken over het beheer van gebruikers
org-12	Controleer en verbeter regelmatig de kwaliteit van het algoritme
org-13	Maak afspraken over het beheer van wachtwoorden
org-14	Maak afspraken over het wijzigen van de code
pba-01	Beschrijf het probleem dat het algoritme moet oplossen
pba-02	Beschrijf het doel van het algoritme
pba-03	Beschrijf waarom een algoritme het probleem moet oplossen
pba-04	Overleg regelmatig met belanghebbenden
pba-05	Beschrijf de wettelijke grondslag voor de inzet van het algoritme
owp-01	Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes
owp-05	Bepaal het soort algoritme en de risicogroep en vereisten die hierbij horen
owp-28	Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
owk-02	Maak een noodplan voor het stoppen van het algoritme
ver-03	Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleid
imp-01	Maak een openbaar besluit over de inzet van het algoritme
imp-03	Organiseer menselijke controle van het algoritme
imp-05	Spreek af hoe medewerkers omgaan met het algoritme of AI-systeem
imp-06	Spreek af hoe de organisatie omgaat met privacy-verzoeken
imp-09	Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.
mon-03	Maak een noodplan voor beveiligingsincidenten

Aanbevolen hulpmiddelen

Hulpmiddelen
Onderzoekskader algoritmes Auditdienst Rijk 2023
Toetsingskader Algoritmes Algemene Rekenkamer