Ga naar inhoud

Richt een algoritmegovernance in met three lines of defence

org-07OrganisatieverantwoordelijkhedenProjectleiderBeleid en adviesGovernance

Maatregel

Richt een algoritmegovernance in met three lines of defence.

Toelichting

Een inrichting van algoritmegovernance die vaak wordt toegepast is het three lines of defence model:

  • De eerste linie gaat over eigenaarschap, ontwikkeling, gebruik en risicobeheersing van algoritmes.
  • De tweede linie identificeert, beoordeelt en rapporteert over risico’s en het uitgevoerde gebruik algoritmes.
  • De derde verdedigingslinie controleert de werking van de governance en betreft interne advisering en toetsing.

Schuett (2022) presenteert het three lines of defence model als volgt:

Three Lines of Defence Model

Het toepassen van een 'three lines of defence' is slechts één aspect van het toepassen van algoritmegoverance.

Risico

Een risico van het vermijden van het three lines of defence model is dat er stappen worden overgeslagen bij het ontwikkelen van een algoritmegovernance.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Geen vereisten beschikbaar voor deze maatregel.

Bronnen

Geen beschikbare bron voor deze maatregel.

Voorbeelden

UWV - Risicomanagementbeleid

Het UWV maakt sinds 2012 gebruik van het Three-lines-of-defence model als onderdeel van hun governance. Zij blijven dit model verder aanscherpen binnen hun organisatie waardoor de drie lijnen concreter worden. Zo geven ze aan dat ze toewerken naar meer uniformiteit in rapporteren van risico’s uit de eerste lijn en een meer onafhankelijk oordeel over risico’s en beheersing van de tweede lijn.

Bron: Beslisnotitie vaststellen risicomanagementbeleid

Gemeente Rotterdam - Kleur Bekennen

De gemeente Rotterdam maakt gebruik van het three-lines-of-defence model voor het sturen en verantwoorden binnen de gemeente. De lijnen binnen Rotterdam werken iets anders dan het model van Schuett hierboven. De eerste lijn is namelijk verantwoordelijk van het realiseren van de gestelde doelen, de tweede lijn voor de kaders en het advies (onafhankelijk van de eerste lijn) en de derde lijn controleert of lijn een en twee correct functioneren/hebben gefunctioneerd.

Zij geven ook aan wie binnen iedere lijn verantwoordelijk is. Zo zijn Proceseigenaren verantwoordelijk voor het algoritme en operationeel verantwoordelijken voor de ontwikkeling binnen de eerste lijn. In de tweede lijn is de Algoritme Expert verantwoordelijk en in de derde lijn Financial Audit.

Bron: Kleur Bekennen

Heb je een ander voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl.