Ga naar inhoud

Standaarden

OntwerpOntwikkelenVerificatie en validatieMonitoring en beheerProjectleiderOntwikkelaarJuristBeleid en adviesDataBias en non discriminatieDuurzaamheidGovernanceMenselijke controlePrivacy en gegevensbeschermingTechnische robuustheid en veiligheidTransparantiePublieke inkoopGrondrechten

Wat zijn standaarden?

Standaarden zijn afspraken die worden vastgelegd om ervoor te zorgen dat producten, processen of diensten voldoen aan specifieke eisen op het gebied van kwaliteit, veiligheid en prestaties. Sommige standaarden worden ontwikkeld door standaardisatieorganisaties, meestal op initiatief van belanghebbenden die een behoefte aan een bepaalde standaard zien bij of na het ontwikkelen van Europese regelgeving, zoals de Europese Commissie. Normen zijn standaarden die door standaardisatieorganisaties worden gemaakt, zoals ISO of CEN/CENELEC, of NEN.

Standaarden zijn er op allerlei gebieden. Momenteel speelt de ontwikkeling van standaarden voor de Europese AI-verordening een belangrijke rol voor de betrouwbare ontwikkeling en gebruik van AI. Vandaar dat deze pagina focust op standaarden voor AI.

Europese geharmoniseerde standaarden zijn essentieel voor de AI-Verordening, omdat ze juridische zekerheid verschaffen. Geharmoniseerde standaarden zijn er bijvoorbeeld al voor speelgoed, elektrische apparaten, medische hulpmiddelen, en straks dus ook voor hoog risico AI-systemen. Als het over standaarden voor de AI-verordening gaat, gaat het dus om geharmoniseerde standaarden.

Waarom zijn standaarden belangrijk voor de AI-verordening?

Wanneer AI-systemen worden ontworpen of gebruikt, bieden standaarden praktische richtlijnen en technische kaders (praktische meerwaarde) waarmee compliance aantoonbaar kan worden gemaakt (juridische meerwaarde).

Juridische waarde van standaarden

Als een organisatie zich houdt aan de bij de wet behorende geharmoniseerde Europese normen, wordt aangenomen dat er wordt voldaan aan de essentiële eisen voor hoog-risico AI-systemen in de AI-verordening (Presumption of Conformity), ofwel, een vermoeden van conformiteit. Dit betekent dat het AI-systeem wordt beschouwd als conform de wettelijke vereisten voor hoog-risico AI-systemen, wat zorgt voor juridische zekerheid en eenvoudiger toezicht​. Let wel: dit geldt voor de vereisten voor hoog-risico systemen waar een standardisation-request (SR) voor uitstaat; Artikel 4 (AI-geletterdheid) valt bijvoorbeeld buiten deze scope omdat daar geen SR voor ligt.

De geharmoniseerde normen zijn niet wettelijk verplicht, maar dankzij de presumption of conformity bieden ze organisaties wel juridische duidelijkheid. Organisaties mogen er voor kiezen om de geharmoniseerde norm níet te implementeren in de eigen organisatie, maar moeten dan onderbouwen dat hun eigen werkwijze op adequate wijze invulling geeft aan de essentiële eisen. Dit kost tijd en geld, en er is schaarse expertise voor nodig. Het geeft bovendien juridische onzekerheid. De verwachting is dat verreweg de meeste organisaties daarom de geharmoniseerde normen zullen volgen.

Praktische waarde van standaarden

Geharmoniseerde normen hebben daarnaast een duidelijke praktische waarde. Ze vertalen abstracte wettelijke verplichtingen uit de AI-verordening naar concrete technische en organisatorische eisen, bijvoorbeeld op het gebied van risicomanagement en kwaliteitsmanagement, maar ook voor duurzaamheid en transparantie​. Er zullen standaarden ontwikkeld worden voor de AI-verordening op het gebied van verschillende fases in de algoritme-levenscyclus. Zo helpen standaarden organisaties dus bij het ontwikkelen, inkopen en implementeren van betrouwbare AI-systemen.

Een overzicht van belangrijke standaarden

Normen die worden ontwikkeld voor de AI-verordening

Er is een standaardisatieverzoek gedaan door de Europese Commissie op 10 specifieke wettelijke vereisten in de AI-Verordening die gaan over belangrijke aspecten van AI. Deze aspecten vind je ook terug in de verschillende onderwerpen, vereisten en maatregelen die in het Algoritmekader terugkomen.

  1. Risicomanagement
  2. Gegevensbeheer en -kwaliteit
  3. Logging ("Record Keeping" in de Engelse teksten)
  4. Transparantie
  5. Menselijke controle (soms ook wel Menselijk toezicht genoemd)
  6. Accuraatheid
  7. Robuustheid
  8. Cybersecurity
  9. Kwaliteitsmanagement
  10. Conformiteitsbeoordeling

Enkele van de belangrijkste normen die worden ontwikkeld voor het voldoen aan de vereisten voor hoog-risico AI systemen, zullen zijn: - AI trustworthiness framework - AI risk management (AI risicomanagement) - Quality management for EU AI regulatory purposes (AI kwaliteitsmanagement) - Conformity assessment (conformiteitsbeoordeling)

Duurzaamheid

Wat in deze 10 standaardisatieverzoeken nog niet terugkomt, maar wel in het Algoritmekader, is duurzaamheid. Momenteel worden er wel enkele TR's en TS's ontwikkeld. Zodra die bekend zijn, zullen deze worden aangevuld met meer informatie of links.

  • TR 20226 'Environmental sustainability aspects of AI systems' is een technisch rapport (TS), geen standaard. Dit TS bevindt zich in de 'committee draft' fase, wat wil zeggen dat er een concept is waar nog overeenstemming over moet worden gevonden.
  • TR 18145 'Environmentally sustainable Artificial Intelligence' is een technisch rapport (TR). Het is nu "under approval".
  • Werkgroep JTC 21 heeft een "preliminary work item" genaamd 'Guidelines and metrics for the Environmental Impact of Artificial Intelligence Systems and Services' wat nog aan werk onderhevig is.

Welke standaarden, rapporten en specificaties zijn er al?

Op dit moment zijn er verschillende Technische Rapporten, Technische Specificaties en Normen (onder de tabel kun je meer informatie vinden over deze termen) die al van belang zijn voor AI. In onderstaande tabel worden er enkele uitgelicht. Ben je opzoek naar meer, kijk dan eens op de AI Standards Hub van het Verenigd Koninkrijk, of op NEN Connect.

Norm Titel Status
ISO/IEC 42001 Information technology - Artificial intelligence - Management system ISO Norm
ISO/IEC TS 25058 Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Guidance for quality evaluation of artificial intelligence (AI) systems Technische Specificatie
NEN-EN-ISO/IEC 23894 Information technology - Artificial intelligence - Guidance on risk management Europese Norm
NEN-EN-ISO/IEC 25059 Software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Quality model for AI systems Europese Norm
NEN-ISO/IEC 38507 Information technology - Governance of IT - Governance implications of the use of artificial intelligence by organizations Nederlandse Norm
NPR-CEN/CLC ISO/IEC TR 24027 Information technology - Artificial intelligence (AI) - Bias in AI systems and AI aided decision making Nederlandse Praktijk Richtlijn
NPR-ISO/IEC TR 27563 Security and privacy in artificial intelligence use cases - Best practices Nederlandse Praktijk Richtlijn
NVN-ISO/IEC TS 8200 Information technology - Artificial intelligence - Controllability of automated artificial intelligence systems Nederlandse Voornorm
Uitleg over gebruikte termen

Er zijn verschillende soorten standaarden, zoals normen, Technische Rapporten (TR) en Technische Specificaties (TS).

  • Normen zijn standaarden die door standaardisatieorganisaties worden gemaakt, zoals ISO of CEN/CENELEC, of NEN.
  • Geharmoniseerde normen zijn standaarden gemaakt door Europese standaardisatieorganisaties in opdracht van de Europese Commissie om de implementatie van Europese richtlijnen of verordeningen eenvoudiger te maken. De meeste normen zijn geen geharmoniseerde normen en worden níet in opdracht van de Europese Commissie gemaakt.
  • Technische Rapporten (TR) hebben een meer informatief karakter. Een TR wordt gebruikt om informatie te delen die niet geschikt is voor een norm, bijvoorbeeld gegevens uit onderzoeken of enquêtes. Een TR is vaak de opmaat voor het opstellen van een norm.
  • Technische Specificaties (TS) zijn normatief, en bieden voorlopige specificaties, vooral voor technologieën in ontwikkeling. Een TS kan in een later stadium worden omgezet in een volledige norm als er voldoende consensus voor is.

Zowel een Technisch Rapport als een Technische Specificatie bieden dus ondersteuning in situaties waar nog geen norm bestaat of waar consensus nog niet is bereikt. Dus een TS of TR kan ook zeker interessante informatie bevatten voor organisaties, maar ze hebben niet de status of juridische binding van een norm.

Er is een onderscheid tussen internationale normen (ISO), Europese normen (EN) en Nederlandse normen (NEN). De NEN onderscheidt ook verschillende typen afspraken, zoals Nederlandse praktijkrichtlijn (NPR) of Nederlandse voornorm (NVN).

Voor een compleet overzicht van internationaal gepubliceerde standaarden die relateren aan AI, kijk op de website van de ISO, of gebruik NEN Connect.

Wat moeten Nederlandse overheidsorganisaties doen?

Nederlandse overheidsorganisaties kunnen standaarden gebruiken als praktische hulpmiddelen om te voldoen aan de eisen van de AI-verordening.

Hoe gebruik je standaarden?

  1. Kies de juiste standaarden: Begin met het identificeren van relevante standaarden en het begrijpen hoe deze toegepast kunnen worden. Focus op geharmoniseerde Europese normen die aansluiten bij de AI-verordening, en wanneer die er nog niet zijn, kies standaarden die aansluiten bij de onderwerpen uit de AI-verordening, door te kijken naar de lijst van 10 onderwerpen waarvoor een standaardisatieverzoek ligt (zie hierboven).
  2. Pas standaarden toe in de praktijk: Gebruik standaarden als richtlijnen om technische processen en organisatorische maatregelen in te richten, zoals het waarborgen van datakwaliteit, transparantie en betrouwbaarheid van AI-systemen​. Stel de afdeling inkoop op de hoogte van de ontwikkeling, zodat zij hierop kunnen anticiperen als hoog-risico-AI-systemen moet worden ingekocht.
  3. Blijf op de hoogte: Volg de ontwikkelingen binnen JTC 21 en houd bij welke internationale standaarden worden opgenomen in het Europese normalisatieproces. Door standaarden actief te gebruiken, kunnen overheidsorganisaties hun AI-systemen veiliger en betrouwbaarder maken en tegelijkertijd voldoen aan de wettelijke vereisten van de AI-verordening.

Verwachte ontwikkelingen en tijdlijn

De komende jaren zullen nieuwe AI-standaarden worden ontwikkeld en gepubliceerd om te voldoen aan de eisen van de AI-verordening. Deze standaarden zullen geharmoniseerd worden en juridisch relevant zijn, met name voor hoog-risico AI-systemen. Dit proces is complex en vereist samenwerking tussen vele stakeholders, inclusief industrie, overheid en maatschappelijke organisaties.

Een overzicht van lopende en verwachte ontwikkelingen rondom standaarden voor de AI-verordening:

  • 2024 – 2025: Europese standaardisatieorganisaties (CEN/CENELEC) werken aan de afronding van geharmoniseerde standaarden. Conceptversies van belangrijke horizontale standaarden verschijnen ter beoordeling door leden van de NEN normcommissie. (Meer info via AI@nen.nl)
  • Begin 2025: Publicatie van een update van het standaardisatieverzoek van de Europese Commissie.
  • Eind 2025: Publicatie van eerste geharmoniseerde Europese normen in het Official Journal of the EU. Deze normen creëren juridische zekerheid (Presumption of Conformity) voor organisaties die AI-systemen ontwikkelen.
  • Augustus 2026: De verplichtingen voor hoog-risico AI-systemen treden in werking. Vanaf dit moment moeten systemen voldoen aan de eisen van de AI-verordening, ondersteund door geharmoniseerde standaarden​.

De rol van JTC21

De JTC 21 (CEN-CENELEC Joint Technical Committee on Artificial Intelligence) speelt een centrale rol in het ontwikkelen van Europese AI-standaarden. Deze commissie volgt de strategie van adopt, adapt en develop: eerst wordt gekeken naar bestaande internationale standaarden (zoals ISO-normen), waarna deze indien nodig worden aangepast aan de Europese context. Als er geen geschikte standaarden beschikbaar zijn, ontwikkelt JTC 21 zelf nieuwe Europese standaarden​.

Omdat de door JTC 21 ontwikkelde geharmoniseerde Europese normen straks juridische zekerheid bieden voor organisaties, betekent dit dat organisaties de ontwikkelingen binnen JTC 21 goed moeten volgen. Door inzicht te krijgen in lopende projecten, kunnen organisaties zich tijdig voorbereiden op toekomstige standaarden en compliance-eisen​.

Bronnen

Lijst van gebruikte bronnen, standaarden, en aanvullende documentatie

Beslishulp AI-verordening

Met de beslishulp AI-verordening bepaal je snel en gemakkelijk of jouw AI-product onder de AI-verordening valt. En wat je dan moet doen.

Help ons deze pagina te verbeteren

Deel je idee, suggestie of opmerking via GitHub of mail ons via algoritmes@minbzk.nl.