Ga naar inhoud

Governance van algoritmes binnen je organisatie

Zorg voor effectieve governance van je algoritmes. Dit is het beleid van je organisatie voor het verantwoordelijk omgaan met algoritmes en AI-systemen. Leg bijvoorbeeld vast wie waarvoor verantwoordelijk is.

Wat is governance van algoritmes binnen je organisatie?

Algoritme-governance is de manier waarop je organisatie omgaat met algoritmes en AI-systemen. Je maakt duidelijke afspraken over processen, regels en verantwoordelijkheden.

Deze afspraken maak je op 2 niveaus:

Organisatieniveau

Hoe de organisatie met algoritmes in het algemeen omgaat, bijvoorbeeld:

  • richtlijnen en gedragscode voor medewerkers
  • strategie en visie
  • werkwijze
  • teamleden en hun verantwoordelijkheden, zoals chief data officers en algoritmefunctionarissen

Toepassingsniveau

Dit zijn afspraken over het beheer van de algoritmes zelf, bijvoorbeeld:

  • best practices
  • multidisciplinair ontwikkelen
  • AI-levenscyclusmodellen

Belang van algoritme-governance

Zonder governance verlies je grip op het inkopen, ontwikkelen, gebruiken en uitfaseren van algoritmes en AI. Dit vergroot het risico op overtredingen van wetten en regels zoals de AI-verordening, Grondwet, Algemene Verordening Gegevensbescherming (AVG) en Auteurswet.

Goede governance van algoritmes helpt bij het:

  • correct uitvoeren van wetten en regels
  • toepassen van je eigen strategie, doelstellingen en publieke waarden

Aanpak algoritme-governance

Algoritme-governance bepaal je zelf als organisatie.

Houd in elk geval rekening met:

[!TIP] Zorg dat iemand verantwoordelijk is voor algoritme-governance. En betrek stakeholders.

Vereisten

idVereisten
aia-01Personeel en gebruikers zijn voldoende AI-geletterd.
aia-01Verboden AI-systemen mogen niet worden gebruikt.
aia-02Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.
aia-03Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
aia-11Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem.
aia-14Hoog-risico-AI-systemen worden pas geleverd of gebruikt na een conformiteitsbeoordelingsprocedure.
aia-15Hoog-risico-AI-systemen zijn voorzien van een EU-conformiteitsverklaring.
aia-20Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing.
aia-21Menselijk toezicht van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkheden.
aia-25Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank.
aia-26Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-31Als AI-modellen voor algemene doeleinden met systeemrisico’s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd.
aia-35Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder.
aia-36Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening.
avg-06Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken.

Aanbevolen maatregelen

idMaatregelen
org-01Bepaal of er genoeg experts beschikbaar zijn
org-04Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.
org-03Maak een plan voor het omgaan met risico’s
org-04Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.
org-05Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
org-06Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat
org-07Richt een algoritmegovernance in met three lines of defence
org-08Maak gebruik van beslismomenten in de algoritmelevenscyclus
org-09Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.
org-10Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
org-11Maak afspraken over het beheer van gebruikers
org-12Controleer en verbeter regelmatig de kwaliteit van het algoritme
org-13Maak afspraken over het beheer van wachtwoorden
org-14Maak afspraken over het wijzigen van de code
pba-01Beschrijf het probleem dat het algoritme moet oplossen
pba-02Beschrijf het doel van het algoritme
pba-03Beschrijf waarom een algoritme het probleem moet oplossen
pba-04Overleg regelmatig met belanghebbenden
pba-05Beschrijf de wettelijke grondslag voor de inzet van het algoritme
owp-01Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes
owp-05Bepaal het soort algoritme en de risicogroep en vereisten die hierbij horen
owp-28Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
org-02Pas vastgestelde beleidskaders toe
owk-02Maak een noodplan voor het stoppen van het algoritme
ver-03Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleid
imp-03Richt de juiste menselijke controle in van het algoritme
imp-06Spreek af hoe de organisatie omgaat met privacy-verzoeken
imp-05Spreek af hoe medewerkers omgaan met het algoritme.
imp-09Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.
imp-01Maak een openbaar besluit over de inzet van het algoritme
mon-03Maak een noodplan voor beveiligingsincidenten

Aanbevolen hulpmiddelen

Hulpmiddelen
Onderzoekskader algoritmes Auditdienst Rijk 2023
Toetsingskader Algoritmes Algemene Rekenkamer