Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie

org-05OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance

Maatregel

Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.

Toelichting

Zoek bij het opstellen van een algoritmegovernance van een organisatie aansluiting en samenwerking met huidige governancestructuren. Dit kan op drie manieren: aansluiting bij bestaande governance binnen je organisatie, governance van andere sectoren en governance van andere overheidsorganisaties.

Aansluiting met bestaande governancestructuren binnen je eigen organisatie

Zoek aansluiting met bestaande governance binnen je organsatie, zoals:

• IT governance
• datagovernance
• informatiebeveiliging zoals governance rondom de NIS2 richtlijn
• privacygovernance

Deze governancestructuren kunnen waardevolle aanknopingspunten bieden voor algoritmegovernance, omdat hierin vaak al duidelijke afspraken zijn gemaakt en processen zijn geschreven om bijvoorbeeld risico's zo goed mogelijk te managen. In veel organisaties werken bijvoorbeeld privacy- en informatiebeveiliging en informatiebeheerders nauw samen van strategisch organisatieniveau tot operationeel, omdat deze onderwerpen raken aan beide domeinen. Voor een verantwoorde inzet van algoritmes zullen deze expertise moeten gaan samengewerkt met andere expertise, zoals die van data science en ethiek. Het is van belang dat deze expertises tijdig en voldoende ruimte krijgen om samen te werken, zodat de functionele en niet functionele requirements kunnen worden gedefinieerd voor een verantwoorde inzet van algoritmes.
Stel vast waar deze expertises elkaar nodig hebben en waar deze zelfstandige taken en verantwoordelijkheden hebben. Voorgaande geeft inzichten om te bepalen in hoeverre algoritmegovernance, naast de bestaande governancestructuren, moet worden ingericht.

De volgende vragen kunnen bedragen om bovenstaande inzichtelijk te krijgen:

• Welke lessen zijn geleerd met de implementatie van de AVG of de toepassing van de BIO?
• Is er iemand intern verantwoordelijk gemaakt voor (toezicht op) algoritmes?
• Hoe werken experts vanuit verschillende onderwerpen zoals privacy, informatiebeheer, informatiebeveiliging en data op dit moment samen als het gaat om de inzet van algoritmes?

Governance van andere sectoren

Andere sectoren hebben in veel gevallen al governancestructuren met vergelijkbare elementen. Denk aan governancestructuren uit de verzekeringssector of de bankensector.

Aansluiting met andere overheidsorganisaties

Probeer aansluiting te zoeken met vergelijkbare overheidsorganisaties.

Risico

Als er bij de bestaande governancestructuren geen rekening wordt gehouden met het invoeren van algoritmegovernance is er een risico dat verantwoord gebruik van algoritmes niet genoeg wordt overwogen binnen de organisatie.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Geen vereisten beschikbaar voor deze maatregel.

Bronnen

Geen beschikbare bron voor deze maatregel.

Voorbeelden

Ervaring uit de praktijk

"Misschien is het grootste succes wel dat we het vooral niet helemaal zelf bedacht hebben. En dat we het gewoon grotendeels gekopieerd hebben van andere partijen die dit hebben gemaakt. En vooral hebben gekeken naar wat we als organisatie nodig hebben."

Voorbeeld: Ervaringen Kadaster

Enkele ervaringen van het Kadaster bij het aansluiten van nieuwe onderwerpen op de bestaande governance-structuren:

1. Bij de inwerkingtreding van de AVG ging men bij veel organisaties, waaronder het Kadaster, voortvarend aan de slag met DPIA’s en andere instrumenten. Volgens het Kadaster is het echter belangrijk te waken voor een schijndossier: begrijp goed wat daadwerkelijk toegepast moet worden voordat je begint; voer geen acties uit alleen om maar aan te tonen dat je eraan voldoet.
2. Het Kadaster benadrukt daarnaast het belang van een doordachte governance. Hoewel de rol van de Functionaris Gegevensbescherming (FG) wettelijk is vastgelegd, is dit niet voldoende. Er moet worden nagedacht over de benodigde profielen ter ondersteuning van de uitvoering, zoals (centrale) privacy officers, en of hiervoor voldoende capaciteit beschikbaar is.
3. Verder is het volgens het Kadaster essentieel dat interpretaties van wet- en regelgeving consistent zijn binnen de organisatie en tussen collega’s die binnen de governance-structuur samenwerken.
4. Uit ervaring blijkt bovendien dat er vaak beleid wordt opgesteld, maar dat in de praktijk de capaciteit ontbreekt om dit uit te voeren. Daarom pleit het Kadaster voor een realistisch beleidsplan waarmee de gestelde doelen daadwerkelijk kunnen worden gerealiseerd.

Handreiking gezamenlijk gebruik IAMA en DPIA - Ministerie van BZK

Binnen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is een handreiking opgesteld voor het gezamenlijk gebruik van twee impact assessments: de Data Protection Impact Assessment (DPIA) en Impact Assessment Mensenrechten en Algoritmes (IAMA).

In deze handreiking wordt toegelicht wat de overeenkomsten en verschillen tussen het IAMA en DPIA zijn. Daarnaast wordt aangegeven hoe deze instrumenten gecombineerd kunnen worden. Het doel is om zo deze instrumenten op een efficiënte en gebruikersvriendelijke manier samen te kunnen gebruiken.

Bron: Handreiking gezamenlijk gebruik IAMA en Model DPIA Rijksdienst

Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl