Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem

aia-03OrganisatieverantwoordelijkhedenProjectleiderGovernance

Vereiste

Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden.

Toelichting

Het systeem voor risicobeheer moet bestaan uit een gepland iteratief proces, dat tijdens de gehele levensduur van een hoog-risico AI-systeem wordt doorlopen. Een organisatie moet ervoor zorgen dat een risicobeheersysteem wordt ingericht in de organisatie.

Het risicobeheersysteem moet gericht zijn op het vaststellen en beperken van de relevante risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten met passende maatregelen.

Het systeem voor risicobeheer moet periodiek worden geëvalueerd en geactualiseerd om de blijvende doeltreffendheid ervan te waarborgen, alsook de motivering en de documentatie van eventuele significante besluiten en maatregelen die op grond van de AI-verordening zijn genomen.

Dit proces moet ervoor zorgen dat de aanbieder de risico’s of negatieve effecten vaststelt en risicobeperkende maatregelen uitvoert voor de bekende en de redelijkerwijs te voorziene risico’s van AI-systemen voor de gezondheid, veiligheid en grondrechten.

Hierin moeten ook maatregelen zitten voor redelijkerwijs te voorzien misbruik, met inbegrip van de mogelijke risico’s die voortvloeien uit de wisselwerking tussen het AI-systeem en de omgeving waarin het werkt. De aanbieder moet aandacht hebben voor het gebruik van AI-systemen waarvan, hoewel zij niet rechtstreeks onder het beoogde doel vallen en niet in de gebruiksinstructies worden vermeld, mag worden verwacht dat zij kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.

Bij het vaststellen van passende risicobeheersmaatregelen moet de aanbieder de gemaakte keuzes hebben gedocumenteerd en voorzien van een toelichting en, in voorkomend geval, deskundigen en externe belanghebbenden hierbij betrekken.

Bronnen

Artikel 9(1) Verordening Artificiële Intelligentie

Wanneer van toepassing?

AI-systeemAI-systeem voor algemene doeleindenAanbieder

Risico

Het ontbreken van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke aansprakelijkheid voor de aanbieder.

Maatregelen

id	Maatregelen
org-03	Maak een plan voor het omgaan met risico’s
owp-12	Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders.
owp-13	Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.
owp-18	Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding.
owp-19	Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-21	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-25	Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-26	Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owp-28	Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
org-02	Pas vastgestelde beleidskaders toe