Ga naar inhoud

Maak een plan voor het omgaan met risico’s

org-03OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance

Maatregel

Pas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling en gebruik van algoritmes.

Toelichting

  • Bepaal tijdig, bijvoorbeeld in de ontwerpfase om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie hierbij hoort.
  • Bepaal op basis van de toepassing en de risicoclassificatie, welke aspecten van risicobeheer moeten worden toegepast.
  • Inventariseer tijdig, bijvoorbeeld in de probleemanalayse- of ontwerpfase, bij betrokken experts welke beleidskaders en hulpmiddelen binnen de organisatie moeten worden ingezet om risicobeheer toe te passen.
  • Bepaal op basis van de levenscyclus van een algoritme of AI-systeem wanneer welke aspecten van risicobeheer moeten worden toegepast.
  • Maak inzichtelijk op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en gebruiken van algoritmes.
  • Daarbij gaat het om het identificeren, analyseren, evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a. maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's.
  • Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer periodiek wordt toegepast.

Let op! Sommige maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.

Risico

Risico's worden niet (tijdig) vastgesteld en adequaat geadresseerd en behandeld.

Bijbehorende vereiste(n)

Bekijk alle vereisten
Vereiste
aia-03 - Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig

Bronnen

Voorbeelden

Nationaal Cyber Security Centrum: Richtlijnen veilig software ontwikkelen

Het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid heeft een publicatie over het ontwikkelen van veilige software. Hierin staat beschreven hoe op beleidsmatig niveau beveiligingsrichtlijnen toegepast kunnen worden. Er wordt in Hoofdstuk B.03 'Risicomanagement' een duidelijk beeld geschetst van wat noodzakelijke maatregelen hiervoor zijn.

Hier worden ook verschillende methodes voorgesteld voor de risicoanalyse. Omdat deze publicatie uit 2021 komt is bijvoorbeeld de NEN-ISO/IEC 27005:2011 niet maar van toepassing maar is deze vervangen door de versie uit 2024 (NEN-ISO/IEC 27005:2024).

Bron: Beleids- en beheersingsrichtlijnen voor de ontwikkeling van veilige software

Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl