Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst

owp-16OntwerpProjectleiderBeleid en adviesPublieke inkoopTransparantie

Maatregel

Maak vereisten voor algoritmes onderdeel van contractvoorwaarden en de contractovereenkomst.

Toelichting

• Door vereisten die gelden voor algoritmes onderdeel te maken van contractvoorwaarden, is voor een aanbieder vooraf duidelijk aan welke voorwaarden zij moeten voldoen als zij algoritmes willen aanbieden aan overheidsorganisaties.
• Het is van belang om een afweging te maken welke vereisten voor algoritmes als 'algemene contractvoorwaarden' kunnen gelden en welke aanvullend in een contractovereenkomst moeten worden opgenomen.

Risico

Door de vereisten voor een verantwoorde inzet van algoritmes niet te communiceren met aanbieders, is het voor hen (deels) onduidelijk aan welke vereisten diens algoritmes moet voldoen om te kunnen contractueren met overheidsorganisaties.

Bijbehorende vereiste(n)

Bekijk alle vereisten

Vereiste
aia-01 - Personeel en gebruikers zijn voldoende AI-geletterd
aia-02 - Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd
aia-03 - Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem
aia-04 - Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen
aia-05 - Datasets voor hoog-risico-AI-systemen voldoen aan kwaliteitscriteria
aia-06 - Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie
aia-07 - Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens
aia-08 - Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen
aia-09 - Hoog-risico-AI-systemen staan onder menselijk toezicht
aia-10 - Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig
aia-11 - Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem
aia-12 - Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder
aia-13 - Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder
aia-14 - Hoog-risico-AI-systemen worden pas geleverd of gebruikt na een conformiteitsbeoordelingsprocedure
aia-15 - Hoog-risico-AI-systemen zijn voorzien van een EU-conformiteitsverklaring
aia-16 - Hoog-risico-AI-systemen zijn voorzien van een CE-markering
aia-17 - Hoog-risico-AI-systemen zijn geregistreerd in de EU-databank
aia-18 - Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in
aia-19 - Hoog-risico-AI-systemen voldoen aan de toegankelijkheidseisen
aia-20 - Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing
aia-21 - Menselijk toezicht van hoog-risico-AI-systemen wordt uitgevoerd door mensen met voldoende kennis en mogelijkheden
aia-22 - De werking van hoog-risico-AI-systemen wordt gemonitord
aia-23 - Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke
aia-24 - Werknemers weten dat hun organisatie een hoog-risico AI-systeem gebruikt
aia-25 - Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem in de EU-databank
aia-26 - Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten
aia-27 - Hoog-risico-AI-systemen voor publieke taken worden beoordeeld op gevolgen voor grondrechten
aia-28 - AI-systemen worden zo ontworpen en gebruikt, dat mensen begrijpen wanneer zij met een AI-systeem communiceren en welke content gemaakt is door een AI-systeem
aia-29 - AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische documentatie en informatie
aia-30 - Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen extra maatregelen
aia-31 - Als AI-modellen voor algemene doeleinden met systeemrisico’s ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd
aia-32 - AI-modellen voor algemene doeleinden met systeemrisico’s zijn voldoende beveiligd tegen cyberaanvallen
aia-33 - AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden
aia-34 - Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem
aia-35 - Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder
aia-36 - Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan de AI-verordening
aia-37 - Klachtrecht voor aanbieders verder in AI-waardeketen
arc-01 - Informatie over algoritmes wordt in goede, geordende en toegankelijke staat gebracht, bewaard en vernietigd wanneer nodig
aut-01 - Auteursrechten zijn beschermd
avg-01 - Persoonsgegevens worden op een rechtmatige manier verwerkt
avg-02 - Persoonsgegevens worden zo kort mogelijk bewaard
avg-03 - Persoonsgegevens worden zo min mogelijk verwerkt
avg-04 - Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair
avg-05 - Persoonsgegevens zijn juist en actueel
avg-06 - Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken
avg-07 - Organisaties zijn transparant over het verwerken van persoonsgegevens
avg-08 - Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke uitzondering geldt
avg-09 - Betrokkenen kunnen een beroep doen op hun privacyrechten
avg-10 - Besluiten die levens kunnen beïnvloeden, zijn niet volledig geautomatiseerd
avg-11 - Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de privacy van betrokkenen
avg-12 - Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
avg-13 - Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen
awb-01 - Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig
awb-02 - Organisaties kunnen duidelijk uitleggen waarom en hoe algoritmes leiden tot een besluit
bio-01 - Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen
bzk-01 - Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister
dat-01 - Databanken worden alleen gebruikt met toestemming van de databank-producent
grw-01 - Algoritmes schenden geen grondrechten of mensenrechten
grw-02 - Algoritmes discrimineren niet

Bronnen

• Onderzoekskader Algoritmes Auditdienst Rijk, SV.11
• Specificeren algemene inkoopvoorwaarden

Voorbeelden

Gemeente Amsterdam - Modelbepalingen

De gemeente Amsterdam heeft contractvoorwaarden voor algoritmen opgesteld waarin sommige vereisten opgenomen zijn. Hieronder vallen bijvoorbeeld “Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem” en "Organisaties kunnen duidelijk uitleggen waarom en hoe algoritmes leiden tot een besluit”. Deze staan respectievelijk in artikel 6.2 en artikel 5.4 verder uitgewerkt. Op dit moment zijn de vereisten impliciet verwerkt in deze voorwaarden in tegenstelling tot een expliciete verwijzing. Het is goed dit explicieter te benoemen zodat de aanbieder hier volledig van op de hoogte is.

Gebruik generieke inkoopvoorwaarden als template of inspiratie voor andere inkoopvoorwaarden.

Bron: Contractvoorwaarden voor algoritmen - Innovatie

Europese Inkoopvoorwaarden

• Europese Inkoopvoorwaarden Hoog Risico
• Europese Inkoopvoorwaarden Laag Risico

Heb je een voorbeeld of best practice, laat het ons weten via algoritmes@minbzk.nl