Fix empty descriptions (#86)

measures/0-org-01-benodigde-expertise-en-capaciteit.yaml

@@ -1,8 +1,25 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Bepaal of er genoeg experts beschikbaar zijn
-description: ''
-explanation: ''
+description: "\nBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen,\
+  \ inkopen en gebruiken van algoritmes en stel vast of er voldoende expertise en\
+  \ capaciteit beschikbaar is.\n  "
+explanation: "- Bepaal welke expertise en capaciteit binnen de organisatie noodzakelijk\
+  \ is voor het ontwikkelen, inkopen en gebruiken van algoritmes.\n- Dit is sterk\
+  \ afhankelijk van de specifieke toepassing en de inzichten die voortkomen uit risicoanalyses.\
+  \ Hoe complexer en risicovoller de toepassing, des te meer expertise en capaciteit\
+  \ noodzakelijk is. \n- Interne en externe actoren die betrokken zijn bij het ontwikkelen,\
+  \ inkopen en gebruik moeten over voldoende expertise en capaciteit beschikken om\
+  \ hun taken naar behoren uit te voeren.\n- Stel vast of er afhankelijkheden van\
+  \ externe aanbieders ontstaan.  \n- Bepaal voorafgaand aan het (laten) ontwikkelen\
+  \ of inkopen van algoritmes of voldoende expertise en capaciteit beschikbaar is\
+  \ om tot een verantwoorde inzet ervan te komen.\n- Leg vast of er voldoende expertise\
+  \ en capaciteit beschikbaar is en onderbouw dit in projectdocumentatie.\n- Om menselijke\
+  \ controle te kunnen uitoefenen in verschillende fases van de ontwikkeling (of inkoop)\
+  \ van algortimes moet de mens bepaalde kennis, tijd en vaardigheden hebben. Alleen\
+  \ met de juiste kennis, tijd en vaardigheden kunnen risico’s op tijd geïdentificeerd\
+  \ en afgedekt worden. Deze kennis en expertise kan ook buiten de organisatie liggen,\
+  \ maar dan is het belangrijk om verantwoordelijkheden goed vast te leggen.     \n"
 urn: urn:nl:ak:mtr:org-01
 language: nl
 owners:

measures/0-org-02-beleid_opstellen_inzet_algoritmes.yaml

@@ -1,9 +1,34 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie.
-description: 'Stel beleid op voor een verantwoorde inzet van algoritmes binnen de
-  organisatie. '
-explanation: ''
+description: "\nStel beleid op voor een verantwoorde inzet van algoritmes binnen de\
+  \ organisatie. \n"
+explanation: "Een duidelijk beleid over de inzet van algoritmes helpt organisaties\
+  \ te voldoen aan de vereisten voor het verantwoord gebruik ervan. Hierin worden\
+  \ zaken beschreven als:\n\n- Hoe de inzet van algoritmes gaat bijdragen aan het\
+  \ realiseren van de organisatiedoelstellingen. \n\n- Het beschrijven van de stappen\
+  \ die moeten worden gezet om algoritmes op een verantwoorde wijze in te gaan zetten.\
+  \ Dit is afhankelijk en verschilt per type algoritme en de bijbehorende risicoclassificatie.\n\
+  \n- Het beschrijven van welke hulpmiddelen in welke gevallen moeten worden ingezet\
+  \ om te voldoen aan de vereisten die gelden voor algoritmes. Hierbij kan worden\
+  \ gedacht aan:\n    - Een [Impact Assessment Mensenrechten en Algoritmes](../hulpmiddelen/IAMA.md).\n\
+  \    - Een [Data Protection Impact Assessment](../hulpmiddelen/DPIA.md).\n    -\
+  \ Het hanteren van [inkoopvoorwaarden](../hulpmiddelen/inkoopvoorwaarden.md).\n\
+  \  \n- Hoe burgers worden geïnformeerd over de inzet van algoritmes door de organisatie\
+  \ (communicatiestrategie) en welke kanalen hiervoor kunnen worden gebruikt. Hierbij\
+  \ kan worden gedacht aan:\n    - Het [Algoritmeregister](../hulpmiddelen/algoritmeregister.md)\
+  \ voor het publiceren van hoog risico AI-systemen of impactvolle algoritmes. \n\
+  \    - Een algemene pagina op de website met informatie over de inzet van algoritmes.\n\
+  \    - Het [verwerkingsregister](6-imp-08-vermelding-in-verwerkingsregister.md).\n\
+  \    - Een intern registratiesysteem, bijvoorbeeld voor het registreren van laag\
+  \ risico of niet-impactvolle algoritmes zodat deze informatie voor medewerkers beschikbaar\
+  \ is.\n    - In welke gevallen een [(openbaar) besluit](6-imp-09-politiek-bestuurlijk-besluit.md)\
+  \ wordt genomen door het bestuur over de inzet van een algoritme. \n\n- Er is beschreven\
+  \ welke informatie over welke typen algoritmes wordt gecommuniceerd met betrokkenen\
+  \ bij de ontwikkeling of gebruik ervan door de organisatie. \n\n- Er is beschreven\
+  \ welke stappen worden gezetten in het geval dat er incidenten ontstaan rondom de\
+  \ inzet van algoritmes, denk hierbij aan een [discriminatieprotocol](0-org-15-discriminatieprotocol.md).\n\
+  \n- Dit beleidsdocument is beschikbaar en toegankelijk voor geïnteresseerden. \n"
 urn: urn:nl:ak:mtr:org-04
 language: nl
 owners:

measures/0-org-03-toepassen_risicobeheer.yaml

@@ -1,8 +1,26 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Maak een plan voor het omgaan met risico’s
-description: ''
-explanation: ''
+description: "\nPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling\
+  \ en gebruik van algoritmes.\n  "
+explanation: "- Bepaal tijdig, bijvoorbeeld in de probleemanalyse- of ontwikkelfase,\
+  \ om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie\
+  \ hierbij hoort.\n- Bepaal op basis van de toepassing en de risicoclassificatie,\
+  \ welke aspecten van risicobeheer moeten worden toegepast.\n- Inventariseer tijdig,\
+  \ bijvoorbeeld in de probleemanalayse- of ontwikkelfase, bij betrokken experts welke\
+  \ beleidskaders en hulpmiddelen binnen de organisatie moeten worden ingezet om risicobeheer\
+  \ toe te passen.\n- Bepaal op basis van de levenscyclus van een algoritme of AI-systeem\
+  \ wanneer welke aspecten van risicobeheer moeten worden toegepast. \n- Maak inzichtelijk\
+  \ op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en\
+  \ gebruiken van algoritmes.\n- Daarbij gaat het om het identificeren, analyseren,\
+  \ evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a.\
+  \ maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's.\n\
+  - Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's\
+  \ ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is\
+  \ van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer\
+  \ periodiek wordt toegepast.\n\nLet op! Sommige maatregelen in het Algoritmekader\
+  \ gaan dieper in op het uitvoeren van risicoanalyses. \n   \nRisico's worden niet\
+  \ (tijdig) vastgesteld en adequaat geadresseerd en behandeld.  \n"
 urn: urn:nl:ak:mtr:org-03
 language: nl
 owners:

measures/0-org-04-politiek-bestuurlijke-verantwoordelijkheid.yaml

@@ -1,8 +1,28 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.
-description: ''
-explanation: ''
+description: "Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.\
+  \ \n"
+explanation: "- Voor een passende algoritmegovernance is politiek-bestuurlijk bewustzijn,\
+  \ betrokkenheid en verantwoordelijkheid essentieel. \n- De kernvraag voor publieke\
+  \ organisaties bij de inzet van algoritmen is altijd: Hoe wegen we (als publieke\
+  \ organisatie of samenleving) de voordelen en nadelen van de inzet van algoritmen?\
+  \ \n- Dit is per definitie een kwalitatieve en politieke vraag.\n- Dit gaat niet\
+  \ alleen over direct opbrengsten maar ook over lange termijn en indirecte effecten,\
+  \ de mate waarin de inzet van technologie bijdraagt aan de legitimiteit van publieke\
+  \ organisatie en hoe burgers met deze technologie worden bejegend. \n- Om te zorgen\
+  \ voor politiek-bestuurlijke betrokkenheid kan het helpen om een [meerjarige visie/strategie\
+  \ rondom verantwoorde inzet](0-org-02-beleid_opstellen_inzet_algoritmes.md) te formuleren\
+  \ waar een communicatiestrategie richting burgers onderdeel van is.\n- Zorg ervoor\
+  \ dat bestuurders bewust zijn van de voor- en nadelen van de inzet van algoritmes\
+  \ en daarnaar kunnen handelen.\n- Dit ondersteunt teams bij het maken van de juiste\
+  \ overwegingen bij de ontwikkeling en gebruik van algoritmes. Het geeft ook inzicht\
+  \ wanneer de politiek of bestuurlijk verantwoordelijke(n) moeten worden betrokken\
+  \ bij het project om beslissingen te nemen, bijvoorbeeld of de mate van onbewuste\
+  \ vooringenomenheid (bias) binnen acceptabele grenzen ligt. \n- Het doorlopen van\
+  \ een concrete casus voor de ontwikkeling en gebruik van een algoritme, inclusief\
+  \ het uitvoeren van een IAMA, kan waardevolle informatiegeven om een meerjarige\
+  \ visie of strategie op te stellen. \n"
 urn: urn:nl:ak:mtr:org-04
 language: nl
 owners:

measures/0-org-05-bestaande-governance.yaml

@@ -1,9 +1,35 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
-description: Sluit algoritmegovernance aan op bestaande governancestructuren binnen
-  de organisatie.
-explanation: ''
+description: '
+
+  Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie.
+
+  '
+explanation: "Bij de vormgeving van een algoritmegovernance van een organisatie is\
+  \ het van belang om aansluiting en samenwerking te bewerkstelligen met huidige governancestructuren\
+  \ binnen de organisatie, zoals:\n\n- IT governance\n  \n- [datagovernance](../../onderwerpen/data.md#goed-databeheer-datagovernance-en-datamanagement)\n\
+  \  \n- informatiebeveiliging zoals governance rondom de [NIS2 richtlijn](https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/)\n\
+  \  \n- [privacygovernance](https://www.cip-overheid.nl/media/eeqkauey/20200814-handleiding-privacy-governance-v3_2.pdf)\n\
+  \nDeze governancestructuren kunnen waardevolle aanknopingspunten bieden voor algoritmegovernance,\
+  \ omdat hierin vaak al duidelijke afspraken zijn gemaakt en processen zijn geschreven\
+  \ om bijvoorbeeld risico's zo goed mogelijk te managen.\nIn veel organisaties werken\
+  \ bijvoorbeeld privacy- en informatiebeveiliging en informatiebeheerders nauw samen\
+  \ van strategisch organisatieniveau tot operationeel, omdat deze onderwerpen raken\
+  \ aan beide domeinen. \nVoor een verantwoorde inzet van algoritmes zullen deze expertise\
+  \ moeten gaan samengewerkt met andere expertise, zoals die van data science en ethiek.\n\
+  Het is van belang dat deze expertises tijdig en voldoende ruimte krijgen om samen\
+  \ te werken, zodat de functionele en niet functionele requirements kunnen worden\
+  \ gedefinieerd voor een verantwoorde inzet van algoritmes.  \nStel vast waar deze\
+  \ expertise elkaar nodig hebben en waar deze zelfstandige taken en verantwoordelijkheden\
+  \ hebben. \nVoorgaande geeft inzichten om te bepalen in hoeverre algoritmegovernance,\
+  \ naast de bestaande governancestructuren, moet worden ingericht.\n\nDe volgende\
+  \ vragen kunnen bedragen om bovenstaande inzichtelijk te krijgen:\n- Welke lessen\
+  \ zijn geleerd met de implementatie van de AVG of de toepassing van de BIO?\n- Is\
+  \ er iemand intern verantwoordelijk gemaakt voor (toezicht op) algoritmes?\n- Hoe\
+  \ werken experts vanuit verschillende onderwerpen zoals privacy, informatiebeheer,\
+  \ informatiebeveiliging en data op dit moment samen als het gaat om de inzet van\
+  \ algoritmes?\n"
 urn: urn:nl:ak:mtr:org-05
 language: nl
 owners:

measures/0-org-06-volwassenheidsmodel.yaml

@@ -1,8 +1,11 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat
-description: Breng de volwassenheid van je organisatie op het gebied van algoritmes
-  in kaart.
+description: '
+
+  Breng de volwassenheid van je organisatie op het gebied van algoritmes in kaart.
+
+  '
 explanation: '-   Om tot een passende algoritmegovernance voor een organisatie te
   komen, moet eerst worden vastgesteld wat op dit moment al is ingericht binnen een
   organisatie op het gebied van algoritmes.
@@ -21,7 +24,12 @@ explanation: '-   Om tot een passende algoritmegovernance voor een organisatie t
   vervolgens hoe algoritmegovernance moet worden ingericht.
 
   -   Het is aan te raden om verantwoordelijkheden te beleggen voor het realiseren
-  van algoritmegovernance.'
+  van algoritmegovernance.
+
+
+
+
+  '
 urn: urn:nl:ak:mtr:org-06
 language: nl
 owners:

measures/0-org-07-intern-toezicht.yaml

@@ -1,7 +1,11 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Richt een algoritmegovernance in met three lines of defence
-description: Richt een algoritmegovernance in met three lines of defence.
+description: '
+
+  Richt een algoritmegovernance in met three lines of defence.
+
+  '
 explanation: "Een inrichting van algoritmegovernance die vaak wordt toegepast is het\
   \ three lines of defence model:\n\n- De eerste linie gaat over eigenaarschap, ontwikkeling,\
   \ gebruik en risicobeheersing van algoritmes.\n- De tweede linie identificeert,\
@@ -10,7 +14,7 @@ explanation: "Een inrichting van algoritmegovernance die vaak wordt toegepast is
   \ interne advisering en toetsing. \n\nSchuett (2022) presenteert het three lines\
   \ of defence model als volgt:\n\n![Three Lines of Defence Model](https://github.com/user-attachments/assets/4974f07d-9810-44e0-a0bb-56f1b1061732)\n\
   \nHet toepassen van een 'three lines of defence' is slechts één aspect van het toepassen\
-  \ van algoritmegoverance. "
+  \ van algoritmegoverance. \n"
 urn: urn:nl:ak:mtr:org-07
 language: nl
 owners:

measures/0-org-08-beslismoment-levenscyclus.yaml

@@ -1,8 +1,21 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Maak gebruik van beslismomenten  in de algoritmelevenscyclus
-description: Maak gebruik van beslismomenten in de levenscyclus van een algoritme.
-explanation: ''
+description: '
+
+  Maak gebruik van beslismomenten in de levenscyclus van een algoritme.
+
+  '
+explanation: "- Algoritmegovernance kan op de levenscyclus aansluiten door 'gates'\
+  \ of controlepunten in te voeren. Deze gates bevatten belangrijke mijlpalen om te\
+  \ beoordelen of de juiste taken zijn uitgevoerd, of ethische afwegingen zijn geamaakt,\
+  \ of documentatie heeft plaatsgevonden en of akkoord is ingewonnen (go/no-go moment)\
+  \ bij de verantwoordelijke(n) om naar de volgende fase te mogen. \n- Het is belangrijk\
+  \ om te weten dat toepassing van deze ‘gates’ niet altijd hetzelfde is. Dit kan\
+  \ namelijk verschillen afhankelijk van het type algoritme. \n- Een hoog-risico-AI-systeem\
+  \ moet aan meer vereisten voldoen dan een niet impactvol algoritme. Een hoog-risico\
+  \ AI-systeem moet daarom binnen de gates worden getoetst op meer onderdelen dan\
+  \ een niet impactvol algoritme.\n"
 urn: urn:nl:ak:mtr:org-08
 language: nl
 owners:

measures/0-org-09-governance-per-risicocategorie.yaml

@@ -1,8 +1,25 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes.
-description: ''
-explanation: ''
+description: 'Richt algoritmegovernance in op basis van de risicoclassificatie van
+  algoritmes.
+
+  '
+explanation: "- Er is een verschil in de vereisten die van toepassing zijn op type\
+  \ algoritmes. Dit is mede afhankelijk van de risioclassificatie en de impact van\
+  \ het algoritme op betrokkenen.\n- Zo zullen op basis van de AI-verordening meer\
+  \ vereisten moeten worden nageleefd bij hoog-risico AI-systemen, dan voor een AI-systeem\
+  \ met een beperkt risico. \n- Dit betekent dat algoritmegovernance uitgebreider\
+  \ moet zijn voor de risicovollere, complexere toepassingen dan voor de eenvoudige,\
+  \ niet-risicovolle toepassingen.\n\n- Stel daarom tijdig vast om welk type algoritme\
+  \ het gaat en welke vereisten hiervoor gelden. Dat draagt eraan bij dan alleen wordt\
+  \ gefocust op het realiseren van de vereisten waar daadwerkelijk aan moet worden\
+  \ voldaan. Dit zorgt ervoor dat projecten sneller kunnen worden gerealiseerd.\n\
+  - Let op dat niet enkel naar de AI-verordening wordt gekeken. Ook op impactvolle\
+  \ algoritmes die niet vallen onder het bereik van de AI-Verordening zijn ook vereisten\
+  \ van toepassing, en moet algoritmegovernance op worden toegepast.\n- Is algoritmegovernance\
+  \ nieuw bij jouw organisatie, dan kan het helpen om een use-case met beperkt risico\
+  \ grondig te doorlopen om hiervan te leren.\n"
 urn: urn:nl:ak:mtr:org-09
 language: nl
 owners:

measures/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance.yaml

@@ -1,8 +1,22 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
-description: Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
-explanation: ''
+description: '
+
+  Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance
+
+  '
+explanation: "- Bij het vormgeven van een doeltreffende algoritmegovernance is het\
+  \ beleggen van expliciete taken en verantwoordelijkheden cruciaal.\n- Het beleggen\
+  \ van deze taken en verantwoordelijkheden zorgt voor een actiegerichte structuur\
+  \ waarin duidelijkheid bestaat over wie wanneer aan zet is.\n- Denk hierbij aan\
+  \ het opstellen van een RACI-matrix en pas dit binnen de organisatie toe per risicoclassificatie\
+  \ voor algoritmes. \n- Rollen en verantwoordelijkheden kunnen worden gekoppeld aan\
+  \ de vereisten en maatregelen die moeten worden gerealiseerd in de verschillende\
+  \ fasen van de levenscyclus van een algoritme.\n- Organisaties zullen zelf moeten\
+  \ beoordelen welke taken en verantwoordelijkheden ze willen koppelen aan de beschikbare\
+  \ (of nieuwe) rollen binnen hun organisaties.  \n- Zie hieronder een mogelijk voorbeeld\
+  \ van hoe dit eruit kan zien. \n\n![Format](https://github.com/user-attachments/assets/3debe7b6-0c42-40f5-a366-9cc5cc90cd3e)\n"
 urn: urn:nl:ak:mtr:org-10
 language: nl
 owners:

measures/0-org-11-gebruikersbeheer.yaml

@@ -1,8 +1,12 @@
 systemcard_path: .systemcard.requirements[]
 schema_version: 1.1.0
 name: Maak afspraken over het beheer van gebruikers
-description: Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot
-  wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.
+description: '
+
+  Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat
+  er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding.
+
+  '
 explanation: 'Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst
   worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding,
   functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij
@@ -54,7 +58,26 @@ explanation: 'Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheers
 
   - Lijst met wijzigingen rollen en bijbehorende goedkeuringen
 
-  - Overzicht aantallen en rechten per (systeem)laag'
+  - Overzicht aantallen en rechten per (systeem)laag
+
+
+  Er bestaan meerdere risico''s wanneer er geen gebruikersbeheer is:
+
+  - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen
+  rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers
+  toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme
+  hebben die zij niet zouden mogen hebben.
+
+  - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het
+  algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd
+  aan het algoritme, de data of de uitkomsten van het algoritme.
+
+  - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts,
+  bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke
+  persoon.
+
+
+  '
 urn: urn:nl:ak:mtr:org-11
 language: nl
 owners: