Projectleider

De projectleider richt zich op het coördineren en aansturen van alle betrokken partijen en processen bij de ontwikkeling van algoritmes. Projectleiders zorgen ervoor dat projecten door de verschillende fasen van de levenscyclus van algoritmes worden geleid, van probleemanalyse tot monitoring & beheer, of zelfs uitfasering.

Relevantie

Projectmanagement binnen het Algoritmekader betekent het verbinden van benodigde expertises en het waarborgen dat alle stappen van het ontwikkelproces verantwoord en volgens de gestelde kaders worden uitgevoerd. Projectmanagers maken afspraken over de te navolgen vereisten en stellen prioriteiten in uit te voeren maatregelen. Zij houden contact met opdrachtgevers en verantwoordelijken om te zorgen dat de projectdoelen worden behaald en risico’s worden gemitigeerd. Zij spelen een hoofdrol bij het realiseren van een verantwoorde en effectieve inzet van algoritmes binnen een organisatie.

Bijbehorende functies

• Projectleider
• Product owner
• Proceseigenaar
• IT-projectmanager

Vereisten

id	Vereisten
aia-01	Personeel en gebruikers zijn voldoende AI-geletterd.
aia-01	Verboden AI-systemen mogen niet worden gebruikt.
aia-02	Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd.
aia-03	Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
aia-04	Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen.
aia-05	Datasets voor hoog-risico-AI-systemen voldoen aan kwaliteitscriteria
aia-06	Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie.
aia-07	Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens.
aia-08	Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen.
aia-09	Hoog-risico-AI-systemen staan onder menselijk toezicht.
aia-10	Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig.
aia-11	Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem.
aia-12	Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder.
aia-13	Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder.
aia-14	Hoog-risico-AI-systemen worden pas geleverd of gebruikt na een conformiteitsbeoordelingsprocedure.
aia-15	Hoog-risico-AI-systemen zijn voorzien van een EU-conformiteitsverklaring.
aia-16	Hoog-risico-AI-systemen zijn voorzien van een CE-markering.
aia-17	Hoog-risico-AI-systemen zijn geregistreerd in de EU-databank.
aia-18	Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in.
aia-19	Hoog-risico-AI-systemen voldoen aan de toegankelijkheidseisen.
aia-20	Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing.
aia-21	Menselijk toezicht van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkheden.
aia-22	De werking van hoog-risico-AI-systemen wordt gemonitord.
aia-23	Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke.
aia-24	Werknemers weten dat hun organisatie een hoog-risico AI-systeem gebruikt.
aia-25	Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank.
aia-26	Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-27	Hoog-risico-AI-systemen voor publieke taken worden beoordeeld op gevolgen voor grondrechten
aia-28	AI-systemen worden zo ontworpen en gebruikt, dat mensen begrijpen wanneer zij met een AI-systeem communiceren en welke content gemaakt is door een AI-systeem.
aia-29	AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische documentatie en informatie.
aia-30	Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen extra maatregelen.
aia-31	Als AI-modellen voor algemene doeleinden met systeemrisico’s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd.
aia-33	AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden.
aia-34	Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem.
aia-35	Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder.
aia-36	Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening.
aia-37	Klachtrecht voor aanbieders verder in AI-waardeketen.
aia-29	Er is beleid opgesteld ter naleving van auteursrechten en naburige rechten door aanbieders van AI-modellen voor algemene doeleinden.
aia-39	Hoog-risico-AI-systemen zijn getest.
arc-01	Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig.
avg-01	Persoonsgegevens worden op een rechtmatige manier verwerkt.
avg-05	Persoonsgegevens zijn juist en actueel.
avg-07	Organisaties zijn transparant over het verwerken van persoonsgegevens
avg-08	Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt.
avg-10	Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd.
avg-11	Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen.
avg-13	Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
awb-01	Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig.
awb-02	Organisaties kunnen duidelijk uitleggen waarom en hoe algoritmes leiden tot een besluit
bzk-01	Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister
grw-01	Algoritmes schenden geen grondrechten of mensenrechten
grw-02	Algoritmes discrimineren niet
woo-01	Iedereen kan openbare informatie over algoritmes vinden of aanvragen

Maatregelen

id	Maatregelen
org-01	Bepaal of er genoeg experts beschikbaar zijn
org-03	Maak een plan voor het omgaan met risico’s
org-04	Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.
org-05	Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
org-06	Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat
org-07	Richt een algoritmegovernance in met three lines of defence
org-08	Maak gebruik van beslismomenten in de algoritmelevenscyclus
org-09	Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.
org-10	Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
org-11	Maak afspraken over het beheer van gebruikers
org-12	Controleer en verbeter regelmatig de kwaliteit van het algoritme
org-13	Maak afspraken over het beheer van wachtwoorden
org-14	Maak afspraken over het wijzigen van de code
imp-10	Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe.
pba-01	Beschrijf het probleem dat het algoritme moet oplossen
pba-02	Beschrijf het doel van het algoritme
pba-03	Beschrijf waarom een algoritme het probleem moet oplossen
pba-04	Overleg regelmatig met belanghebbenden
owp-01	Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes
owp-11	Voer voorafgaand aan een project een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit.
owp-03	Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag
owp-05	Bepaal het soort algoritme en de risicogroep en vereisten die hierbij horen
owp-06	Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafweging
owp-08	Bepaal welke documenten voor hoe lang gearchiveerd moeten worden
owp-09	Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt
owp-09	Stel een multidisciplinair team samen bij het ontwikkelen of inkopen van algoritmes.
owp-10	Maak een Project Startarchitectuur (PSA) voor de ontwikkeling of inkoop van algoritmes
owp-11	Koop duurzaam algoritmes in
owp-12	Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders.
owp-13	Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.
owp-14	Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt.
owp-15	Maak het leveren van bewijs voor het voldoen aan de vereisten voor algoritmes onderdeel van de beoordeling van een inschrijving.
owp-16	Laat aanbieder(s) bewijs leveren dat de door hen ontwikkelde algoritmes geen inbreuk maken op de auteursrechten van derden met de trainingsdata en de output.
owp-19	Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-20	Vul technische documentatie van aanbieder aan met relevante informatie vanuit de gebruiksverantwoordelijke.
owp-21	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-22	Bepaal in een aanbesteding of algoritmes van een aanbieder bepalende invloed hebben in een besluit richting personen
owp-23	Laat de aanbieder aangeven welke mate van opleiding en ondersteuning bij de implementatie nodig is om de beoogde algoritmes verantwoord te gebruiken.
owp-24	Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstraject
owp-25	Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-26	Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owp-28	Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.
pba-04	Stel vast welke betrokkenen geïnformeerd moeten worden en welke informatie zij nodig hebben.
owp-07	Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze.
imp-10	Maak gebruik van een algoritme dat bronvermelding kan genereren bij de output.
org-02	Pas vastgestelde beleidskaders toe
dat-04	Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure
dat-07	Gebruik duurzame datacenters
dat-08	Zorg dat je controle of eigenaarschap hebt over de data
dat-09	Beperk de omvang van datasets voor energie-efficiëntie
owk-01	Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-02	Maak een noodplan voor het stoppen van het algoritme
owk-03	Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden
ver-01	Controleer regelmatig of het algoritme werkt zoals het bedoeld is
ver-01	Toets het algoritme op bias
imp-01	Stel een werkinstructie op voor gebruikers.
imp-03	Richt de juiste menselijke controle in van het algoritme
imp-04	Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister
imp-06	Spreek af hoe de organisatie omgaat met privacy-verzoeken
imp-05	Spreek af hoe medewerkers omgaan met het algoritme.
imp-07	Vermeld het gebruik van persoonsgegevens in een privacyverklaring
imp-09	Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces.
imp-08	Vermeld het gebruik van persoonsgegevens in het verwerkingsregister
imp-01	Maak een openbaar besluit over de inzet van het algoritme
mon-02	Beveilig de software
mon-03	Maak een noodplan voor beveiligingsincidenten
mon-05	Meten, monitoren en rapporteren van milieu-impact van algoritmes