Hoog-risico AI-systemen loggen automatisch bepaalde gegevens

aia-07OntwikkelenMonitoring en beheerOntwikkelaarProjectleiderTransparantieTechnische robuustheid en veiligheid

Vereiste

Algoritmes en AI-systemen zijn dusdanig technisch vormgegeven dat gebeurtenissen gedurende hun levenscyclus automatisch worden geregistreerd (“logs”).

Toelichting

AI-systemen met een hoog risico zijn ontworpen met functionaliteiten die gebeurtenissen gedurende hun levenscyclus automatisch registreren. Dit wordt vaak aangeduid als "logs". Deze logs bieden een traceerbaarheidsmechanisme waarmee gebruiksverantwoordelijken en autoriteiten incidenten en fouten kunnen analyseren, naleving kunnen controleren en mogelijke risico's kunnen identificeren en aanpakken. Het doel van deze registratie is om de transparantie en verantwoordingsplicht van AI-systemen te vergroten, waardoor het beheer van risico's en incidenten verbetert.

Voor AI-systemen met een hoog-risico voorziet de loggingcapaciteit ten minste in:

1. de registratie van de duur van elk gebruik van het systeem;
2. de referentiedatabank aan de hand waarvan de inputdata zijn gecontroleerd door het systeem;
3. de inputdata ten aanzien waarvan de zoekopdracht een match heeft opgeleverd;
4. de identificatie van natuurlijke personen die betrokken zijn bij de verificatie van de resultaten. Specifiek voor gebruiksverantwoordelijken

Voor AI-systemen die door bestuursorganen worden gebruikt of AI-systmen die persoonsgegevens verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing zijn op AI-systmen die niet gezien worden als een AI-systeem met hoog risico. Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren op incidenten.

Bronnen

• Artikel 12 Verordening Artificiële Intelligentie
• Artikel 26.6 Verordening Artificiële Intelligentie, zie ook deze vereiste over logging door gebruiksverantwoordelijke.
• Hoofdstuk 12.4 Baseline Informatiebeveiliging Overheid
• Artikel 5 en 32 Algemene Verordening Gegevensbescherming

Wanneer van toepassing?

AI-systeemAI-systeem voor algemene doeleindenhoog risico AI-systeemAanbieder

Risico

Ontbreken van automatische logregistratie kan leiden tot een gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert en betrokkenen wiens persoonsgegevens worden verwerkt of geraakt worden door beslissingen van het AI-systeem in hun rechten kunnen worden beperkt.

Maatregelen

id	Maatregelen
owp-12	Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders.
owp-13	Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst.
owp-19	Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren
owp-21	Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst
owp-25	Maak vereisten onderdeel van het programma van eisen bij een aanbesteding
owp-26	Maak vereisten voor algoritmes onderdeel van de Service Level Agreement
owk-01	Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’
owk-04	Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code