Ga naar inhoud

Fase 7: Monitoring en beheer

Het algoritme wordt in deze fase voortdurend gemonitord om ervoor te zorgen dat het blijft presteren zoals verwacht en kan worden gebruikt door gebruikers. Eventuele afwijkingen of degradatie van prestaties worden gesignaleerd en er worden maatregelen getroffen om dit te herstellen. Dit is van belang vanuit een technisch perspectief (presteert het model nog wel waar het voor ontworpen is), maar ook vanuit een juridische en ethische blik (functioneert het model nog wel rechtmatig en zijn er geen onvoorziene nadelige effecten op mens en maatschappij). Hierbij dient ook voortdurend gemonitord te worden of de omstandigheden waarin het algoritme wordt gebruikt veranderlijk zijn, en of daar op geanticipeerd moet worden. Dit kan bijvoorbeeld spelen bij veranderende data of bij het uitvoeren van nieuw beleid of wet- en regelgeving in het werkproces dat wordt ondersteund met het algoritme.

Het is van belang dat beheer wordt uitgevoerd over het algoritme, zodat de (gehele) oplossing operationeel blijft. Een wijziging in onderliggende systemen kan er bijvoorbeeld voor zorgen dat het algoritme niet meer wordt voorzien van de noodzakelijk data om de benodigde output te genereren. Het beheerteam zorgt ervoor dat dergelijke situaties worden voorkomen of opgelost. Er kunnen ook incidenten worden gemeld door gebruikers die worden opgelost door het beheerteam.

Vereisten

idVereisten
aia-04Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen.
aia-07Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens.
aia-08Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen.
aia-09Hoog-risico-AI-systemen staan onder menselijk toezicht.
aia-10Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.
aia-12Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder.
aia-13Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder.
aia-18Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in.
aia-22De werking van hoog-risico-AI-systemen wordt gemonitord.
aia-23Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke.
aia-25Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank.
aia-26Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-29AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische documentatie en informatie.
aia-30Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen extra maatregelen.
aia-31Als AI-modellen voor algemene doeleinden met systeemrisico’s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd.
aia-32AI-modellen voor algemene doeleinden met systeemrisico’s zijn voldoende beveiligd tegen cyberaanvallen.
aia-34Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem.
aia-35Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder.
aia-36Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening.
aia-29Er is beleid opgesteld ter naleving van auteursrechten en naburige rechten door aanbieders van AI-modellen voor algemene doeleinden.
aia-39Hoog-risico-AI-systemen zijn getest.
arc-01Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig.
avg-07Organisaties zijn transparant over het verwerken van persoonsgegevens
awb-02Organisaties kunnen duidelijk uitleggen waarom en hoe algoritmes leiden tot een besluit
bzk-01Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister
grw-01Algoritmes schenden geen grondrechten of mensenrechten
grw-02Algoritmes discrimineren niet

Maatregelen

idMaatregelen
org-12Controleer en verbeter regelmatig de kwaliteit van het algoritme
owp-01Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes
owp-06Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafweging
owp-09Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
owp-14Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt.
dat-04Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-07Gebruik duurzame datacenters
owk-03Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden
owk-04Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code
ver-01Controleer regelmatig of het algoritme werkt zoals het bedoeld is
ver-01Toets het algoritme op bias
imp-02Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie’ te controleren
imp-03Richt de juiste menselijke controle in van het algoritme
imp-04Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister
imp-09Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.
mon-01Maak back-ups van algoritmes
mon-02Beveilig de software
mon-03Maak een noodplan voor beveiligingsincidenten
mon-04Monitor regelmatig op veranderingen in de data. Bij veranderingen evalueer je de prestaties en output van het algoritme.
mon-05Meten, monitoren en rapporteren van milieu-impact van algoritmes

Disclaimer

Het Algoritmekader is nog volop in ontwikkeling. Op deze plek willen we vooral aan de slag gaan op een open en transparante wijze. Het is dus niet definitief. Dat betekent dat er dingen opstaan die niet af zijn en soms zelfs fout. Mocht er iets niet kloppen, laat het ons weten via GitHub.