Ga naar inhoud

Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens

aia-07OntwikkelenMonitoring en beheerOntwikkelaarProjectleiderTechnische robuustheid en veiligheid

Vereiste

Algoritmes en AI-systemen zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (“logs”).

Toelichting

AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als "logs". Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken. Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert.

Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in:

  1. de registratie van de duur van elk gebruik van het systeem;
  2. de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem;
  3. de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd;
  4. de identificatie van natuurlijke personen die betrokken zijn bij de verificatie van de resultaten. Specifiek voor gebruiksverantwoordelijken

Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systmen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.

Bronnen

Wanneer van toepassing?

AI-systeemAI-systeem voor algemene doeleindenhoog risico AI-systeemAanbieder

Risico

Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert en betrokkenen wiens persoonsgegevens worden verwerkt of geraakt worden door beslissingen van het AI-systeem in hun rechten kunnen worden beperkt.

Maatregelen

idMaatregelen
owp-12Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders.
owp-13Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.
owp-19Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-21Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-25Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-26Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owk-01Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-04Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code