From 6c06e46584570371f0845ba2db352e4c7ac18fb8 Mon Sep 17 00:00:00 2001 From: Ravi Meijer Date: Wed, 18 Dec 2024 12:12:15 +0100 Subject: [PATCH] Fix empty descriptions --- ...-01-benodigde-expertise-en-capaciteit.yaml | 21 ++- ...-02-beleid_opstellen_inzet_algoritmes.yaml | 31 +++- measures/0-org-03-toepassen_risicobeheer.yaml | 22 ++- ...iek-bestuurlijke-verantwoordelijkheid.yaml | 24 ++- measures/0-org-05-bestaande-governance.yaml | 32 +++- measures/0-org-06-volwassenheidsmodel.yaml | 14 +- measures/0-org-07-intern-toezicht.yaml | 8 +- .../0-org-08-beslismoment-levenscyclus.yaml | 17 +- ...org-09-governance-per-risicocategorie.yaml | 21 ++- ...ntwoordelijkheden-algoritmegovernance.yaml | 18 +- measures/0-org-11-gebruikersbeheer.yaml | 29 ++- ...org-12-periodieke-evaluatie-kwaliteit.yaml | 22 ++- measures/0-org-13-wachtwoordbeheer.yaml | 17 +- measures/0-org-14-wijzigingenproces.yaml | 15 +- measures/0-org-15-discriminatieprotocol.yaml | 64 ++++++- ...1-pba-01-formuleren-probleemdefinitie.yaml | 9 +- .../1-pba-02-formuleren-doelstelling.yaml | 11 +- ...-pba-03-onderbouwen-gebruik-algoritme.yaml | 7 +- measures/1-pba-04-betrek-belanghebbenden.yaml | 27 ++- measures/1-pba-05-wettelijke-grondslag.yaml | 13 +- ...wp-01-rollen-en-verantwoordelijkheden.yaml | 54 +++++- measures/2-owp-02-data-beschikbaarheid.yaml | 26 ++- ...wp-03-doel-verwerken-persoonsgegevens.yaml | 29 ++- measures/2-owp-04-gebruikte-techniek.yaml | 23 ++- measures/2-owp-05-soort-algoritme.yaml | 15 +- measures/2-owp-06-afwegen-grondrechten.yaml | 39 +++- measures/2-owp-07-kwetsbare-groepen.yaml | 42 ++++- measures/2-owp-08-archiveren-documenten.yaml | 9 +- ...rsovereenkomst-onderdeel-aanbesteding.yaml | 18 +- ...2-owp-09-multidisciplinair-inkoopteam.yaml | 29 ++- .../2-owp-10-projectstartarchitectuur.yaml | 13 +- measures/2-owp-11-duurzaam-inkopen.yaml | 58 +++++- measures/2-owp-11-gebruikte-data.yaml | 12 +- ...-12-bespreek-vereisten-met-aanbieders.yaml | 17 +- .../2-owp-12-eenvoudigere-algoritmes.yaml | 50 +++++- ...opvoorwaarden-en-contractovereenkomst.yaml | 16 +- ...rsovereenkomst-onderdeel-aanbesteding.yaml | 14 +- ...oen-aan-vereisten-algoritme-aanbieder.yaml | 14 +- ...anbieder-niet-schenden-auteursrechten.yaml | 62 ++++--- ...akelijkheidsvoorwaarden-van-aanbieder.yaml | 9 +- ...ten-onderdeel-van-subgunningscriteria.yaml | 15 +- ...uimte-voor-samenwerking-met-aanbieder.yaml | 24 ++- ...en-informatie-technische-documentatie.yaml | 12 +- ...tvoeren-audit-voor-naleving-vereisten.yaml | 8 +- ...-besluitvorming-algoritmes-aanbieders.yaml | 19 +- ...overdracht-en-ondersteuning-aanbieder.yaml | 18 +- ...yse-informatiebeveiliging-leverancier.yaml | 14 +- ...ten-onderdeel-van-programma-van-eisen.yaml | 14 +- ...onderdeel-van-service-level-agreement.yaml | 17 +- ...ractuele-afspraken-data-en-artefacten.yaml | 12 +- ...gestelde-beleidskaders-zijn-nageleefd.yaml | 17 +- measures/2-owp-29-informeer_betrokkenen.yaml | 43 ++++- ...0-toepassen_uitlegbaarheidstechnieken.yaml | 34 +++- .../2-owp-31-genereren-bronvermelding.yaml | 19 +- ...-toepassen_vastgestelde-beleidskaders.yaml | 18 +- measures/3-dat-01-datakwaliteit.yaml | 11 +- measures/3-dat-02-fair-data.yaml | 51 +++++- ...t-04-bewaartermijnen-persoonsgegevens.yaml | 10 +- ...3-dat-05-pseudonimiseren-anonimiseren.yaml | 13 +- .../3-dat-06-schending-auteursrechten.yaml | 18 +- measures/3-dat-07-duurzame-datacenters.yaml | 46 ++++- ...dat-07-training-validatie-en-testdata.yaml | 52 +++++- measures/3-dat-08-eigenaarschap-data.yaml | 18 +- measures/3-dat-09-dataminimalisatie.yaml | 37 +++- measures/4-owk-01-security-by-design.yaml | 22 ++- measures/4-owk-02-stopzetten-gebruik.yaml | 20 ++- measures/4-owk-03-privacyrisico.yaml | 8 +- measures/4-owk-04-logging.yaml | 31 +++- ...05-energiezuinige-programmeermethoden.yaml | 30 +++- .../4-owk-06-optimaliseer-AI-training.yaml | 41 ++++- ...1-functioneren-in-lijn-met-doeleinden.yaml | 17 +- measures/5-ver-02-biasanalyse.yaml | 168 +++++++++++++++++- ...r-03-vertaling-wetgeving-naar-systeem.yaml | 36 +++- .../6-imp-01-werkinstructies-gebruikers.yaml | 18 +- measures/6-imp-02-aselecte-steekproeven.yaml | 44 ++++- measures/6-imp-03-menselijke-tussenkomst.yaml | 119 ++++++++----- ...6-imp-04-publiceren-algoritmeregister.yaml | 23 ++- measures/6-imp-05-proces-privacyrechten.yaml | 14 +- .../6-imp-05-werkinstructies-medewerkers.yaml | 20 ++- ...mp-06-vermelding-in-privacyverklaring.yaml | 11 +- measures/6-imp-07-klacht-bezwaar-beroep.yaml | 21 +-- ...-08-vermelding-in-verwerkingsregister.yaml | 17 +- ...6-imp-09-politiek-bestuurlijk-besluit.yaml | 18 +- measures/7-mon-01-backups-maken.yaml | 24 ++- measures/7-mon-02-beveiliging-algoritme.yaml | 12 +- ...n-03-informatiebeveiligingsincidenten.yaml | 17 +- ...04-evalueer-bij-veranderingen-in-data.yaml | 19 +- measures/7-mon-05-meten-milieu-impact.yaml | 33 +++- requirements/aia-01-ai-geletterdheid.yaml | 22 ++- ...tatie-beoordeling-niet-hoog-risico-ai.yaml | 17 +- requirements/aia-03-risicobeheersysteem.yaml | 12 +- ...oordeling-voor-jongeren-en-kwetsbaren.yaml | 22 ++- .../aia-05-data-kwaliteitscriteria.yaml | 34 +++- .../aia-06-technische-documentatie.yaml | 26 ++- .../aia-07-automatische-logregistratie.yaml | 9 +- ...rantie-aan-gebruiksverantwoordelijken.yaml | 15 +- requirements/aia-09-menselijk-toezicht.yaml | 7 +- ...urigheid-robuustheid-cyberbeveiliging.yaml | 11 +- .../aia-11-systeem-voor-kwaliteitsbeheer.yaml | 11 +- ...ia-12-bewaartermijn-voor-documentatie.yaml | 19 +- ...-bewaartermijn-voor-gegenereerde-logs.yaml | 16 +- .../aia-14-conformiteitsbeoordeling.yaml | 15 +- .../aia-15-eu-conformiteitsverklaring.yaml | 16 +- requirements/aia-16-ce-markering.yaml | 10 +- .../aia-17-registratieverplichtingen.yaml | 11 +- ...ende-maatregelen-voor-non-conforme-ai.yaml | 20 ++- .../aia-19-toegankelijkheidseisen.yaml | 15 +- ...ebruiksverantwoordelijken-maatregelen.yaml | 33 +++- ...verantwoordelijken-menselijk-toezicht.yaml | 34 ++-- ...sverantwoordelijken-monitoren-werking.yaml | 55 +++--- ...bruiksverantwoordelijken-bewaren-logs.yaml | 46 +++-- .../aia-24-informeren-werknemers.yaml | 30 ++-- ...oordelijken-registratieverplichtingen.yaml | 22 +-- .../aia-26-recht-op-uitleg-ai-besluiten.yaml | 23 ++- ...a-27-beoordelen-gevolgen-grondrechten.yaml | 41 +++-- .../aia-28-transparantieverplichtingen.yaml | 20 ++- ...ia-29-ai-modellen-algemene-doeleinden.yaml | 31 ++-- ...len-algemene-doeleinden-systeemrisico.yaml | 62 ++++--- ...den-systeemrisico-ernstige-incidenten.yaml | 13 +- ...einden-systeemrisico-cyberbeveiliging.yaml | 25 +-- .../aia-33-verwerking-in-testomgeving.yaml | 33 ++-- ...onitoring-na-het-in-de-handel-brengen.yaml | 45 ++--- .../aia-35-melding-ernstige-incidenten.yaml | 32 ++-- ...-36-melding-inbreuk-op-ai-verordening.yaml | 27 ++- ...7-recht-klacht-indienen-bij-ai-bureau.yaml | 19 +- requirements/aia-39-testen.yaml | 92 +++++++++- requirements/arc-01-archiefwet.yaml | 15 +- requirements/aut-01-auteursrechten.yaml | 25 ++- ...nsgegevens-worden-rechtmatig-verwerkt.yaml | 33 ++-- ...te-bewaartermijn-van-persoonsgegevens.yaml | 38 ++-- ...imale-verwerking-van-persoonsgegevens.yaml | 28 +-- ...4-proportionaliteit-en-subsidiariteit.yaml | 25 ++- ...d-en-actualiteit-van-persoonsgegevens.yaml | 22 ++- ...-verantwoordingsplicht-rechtmatigheid.yaml | 14 +- ...rantie-bij-verwerken-persoonsgegevens.yaml | 24 +-- ...jke-verwerking-van-gevoelige-gegevens.yaml | 24 +-- ...recht-bij-verwerking-persoonsgegevens.yaml | 19 +- ...-niet-geautomatiseerde-besluitvorming.yaml | 109 ++++++++++-- ...p-bij-verwerking-van-persoonsgegevens.yaml | 16 +- .../avg-12-beveiliging-van-verwerking.yaml | 16 +- requirements/avg-13-dpia-verplicht.yaml | 40 ++++- .../awb-01-zorgvuldigheidsbeginsel.yaml | 17 +- requirements/awb-02-motiveringsbeginsel.yaml | 3 +- ...ging-informatie-en-informatiesystemen.yaml | 25 ++- requirements/bzk-01-algoritmeregister.yaml | 16 +- requirements/dat-01-databankenwet.yaml | 20 ++- requirements/grw-01-fundamentele-rechten.yaml | 32 ++-- requirements/grw-02-non-discriminatie.yaml | 26 ++- ...ht-op-toegang-tot-publieke-informatie.yaml | 22 ++- .../conversion/convert_mkdocs_to_yaml_measure | 21 ++- .../convert_mkdocs_to_yaml_requirements | 22 ++- 151 files changed, 3166 insertions(+), 771 deletions(-) diff --git a/measures/0-org-01-benodigde-expertise-en-capaciteit.yaml b/measures/0-org-01-benodigde-expertise-en-capaciteit.yaml index fd47ec9..7d1fc1a 100644 --- a/measures/0-org-01-benodigde-expertise-en-capaciteit.yaml +++ b/measures/0-org-01-benodigde-expertise-en-capaciteit.yaml @@ -1,8 +1,25 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Bepaal of er genoeg experts beschikbaar zijn -description: '' -explanation: '' +description: "\nBepaal welke expertise en capaciteit noodzakelijk is voor het ontwikkelen,\ + \ inkopen en gebruiken van algoritmes en stel vast of er voldoende expertise en\ + \ capaciteit beschikbaar is.\n " +explanation: "- Bepaal welke expertise en capaciteit binnen de organisatie noodzakelijk\ + \ is voor het ontwikkelen, inkopen en gebruiken van algoritmes.\n- Dit is sterk\ + \ afhankelijk van de specifieke toepassing en de inzichten die voortkomen uit risicoanalyses.\ + \ Hoe complexer en risicovoller de toepassing, des te meer expertise en capaciteit\ + \ noodzakelijk is. \n- Interne en externe actoren die betrokken zijn bij het ontwikkelen,\ + \ inkopen en gebruik moeten over voldoende expertise en capaciteit beschikken om\ + \ hun taken naar behoren uit te voeren.\n- Stel vast of er afhankelijkheden van\ + \ externe aanbieders ontstaan. \n- Bepaal voorafgaand aan het (laten) ontwikkelen\ + \ of inkopen van algoritmes of voldoende expertise en capaciteit beschikbaar is\ + \ om tot een verantwoorde inzet ervan te komen.\n- Leg vast of er voldoende expertise\ + \ en capaciteit beschikbaar is en onderbouw dit in projectdocumentatie.\n- Om menselijke\ + \ controle te kunnen uitoefenen in verschillende fases van de ontwikkeling (of inkoop)\ + \ van algortimes moet de mens bepaalde kennis, tijd en vaardigheden hebben. Alleen\ + \ met de juiste kennis, tijd en vaardigheden kunnen risico’s op tijd geïdentificeerd\ + \ en afgedekt worden. Deze kennis en expertise kan ook buiten de organisatie liggen,\ + \ maar dan is het belangrijk om verantwoordelijkheden goed vast te leggen. \n" urn: urn:nl:ak:mtr:org-01 language: nl owners: diff --git a/measures/0-org-02-beleid_opstellen_inzet_algoritmes.yaml b/measures/0-org-02-beleid_opstellen_inzet_algoritmes.yaml index cde4ff8..176ee87 100644 --- a/measures/0-org-02-beleid_opstellen_inzet_algoritmes.yaml +++ b/measures/0-org-02-beleid_opstellen_inzet_algoritmes.yaml @@ -1,9 +1,34 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Stel beleid op voor een verantwoorde inzet van algoritmes binnen de organisatie. -description: 'Stel beleid op voor een verantwoorde inzet van algoritmes binnen de - organisatie. ' -explanation: '' +description: "\nStel beleid op voor een verantwoorde inzet van algoritmes binnen de\ + \ organisatie. \n" +explanation: "Een duidelijk beleid over de inzet van algoritmes helpt organisaties\ + \ te voldoen aan de vereisten voor het verantwoord gebruik ervan. Hierin worden\ + \ zaken beschreven als:\n\n- Hoe de inzet van algoritmes gaat bijdragen aan het\ + \ realiseren van de organisatiedoelstellingen. \n\n- Het beschrijven van de stappen\ + \ die moeten worden gezet om algoritmes op een verantwoorde wijze in te gaan zetten.\ + \ Dit is afhankelijk en verschilt per type algoritme en de bijbehorende risicoclassificatie.\n\ + \n- Het beschrijven van welke hulpmiddelen in welke gevallen moeten worden ingezet\ + \ om te voldoen aan de vereisten die gelden voor algoritmes. Hierbij kan worden\ + \ gedacht aan:\n - Een [Impact Assessment Mensenrechten en Algoritmes](../hulpmiddelen/IAMA.md).\n\ + \ - Een [Data Protection Impact Assessment](../hulpmiddelen/DPIA.md).\n -\ + \ Het hanteren van [inkoopvoorwaarden](../hulpmiddelen/inkoopvoorwaarden.md).\n\ + \ \n- Hoe burgers worden geïnformeerd over de inzet van algoritmes door de organisatie\ + \ (communicatiestrategie) en welke kanalen hiervoor kunnen worden gebruikt. Hierbij\ + \ kan worden gedacht aan:\n - Het [Algoritmeregister](../hulpmiddelen/algoritmeregister.md)\ + \ voor het publiceren van hoog risico AI-systemen of impactvolle algoritmes. \n\ + \ - Een algemene pagina op de website met informatie over de inzet van algoritmes.\n\ + \ - Het [verwerkingsregister](6-imp-08-vermelding-in-verwerkingsregister.md).\n\ + \ - Een intern registratiesysteem, bijvoorbeeld voor het registreren van laag\ + \ risico of niet-impactvolle algoritmes zodat deze informatie voor medewerkers beschikbaar\ + \ is.\n - In welke gevallen een [(openbaar) besluit](6-imp-09-politiek-bestuurlijk-besluit.md)\ + \ wordt genomen door het bestuur over de inzet van een algoritme. \n\n- Er is beschreven\ + \ welke informatie over welke typen algoritmes wordt gecommuniceerd met betrokkenen\ + \ bij de ontwikkeling of gebruik ervan door de organisatie. \n\n- Er is beschreven\ + \ welke stappen worden gezetten in het geval dat er incidenten ontstaan rondom de\ + \ inzet van algoritmes, denk hierbij aan een [discriminatieprotocol](0-org-15-discriminatieprotocol.md).\n\ + \n- Dit beleidsdocument is beschikbaar en toegankelijk voor geïnteresseerden. \n" urn: urn:nl:ak:mtr:org-04 language: nl owners: diff --git a/measures/0-org-03-toepassen_risicobeheer.yaml b/measures/0-org-03-toepassen_risicobeheer.yaml index 46f3dc6..15e30fa 100644 --- a/measures/0-org-03-toepassen_risicobeheer.yaml +++ b/measures/0-org-03-toepassen_risicobeheer.yaml @@ -1,8 +1,26 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak een plan voor het omgaan met risico’s -description: '' -explanation: '' +description: "\nPas risicobeheer gestructureerd toe voorafgaand en gedurende de ontwikkeling\ + \ en gebruik van algoritmes.\n " +explanation: "- Bepaal tijdig, bijvoorbeeld in de probleemanalyse- of ontwikkelfase,\ + \ om wat voor toepassing het gaat (algoritme of AI-systeem) en bepaal welke risicoclassificatie\ + \ hierbij hoort.\n- Bepaal op basis van de toepassing en de risicoclassificatie,\ + \ welke aspecten van risicobeheer moeten worden toegepast.\n- Inventariseer tijdig,\ + \ bijvoorbeeld in de probleemanalayse- of ontwikkelfase, bij betrokken experts welke\ + \ beleidskaders en hulpmiddelen binnen de organisatie moeten worden ingezet om risicobeheer\ + \ toe te passen.\n- Bepaal op basis van de levenscyclus van een algoritme of AI-systeem\ + \ wanneer welke aspecten van risicobeheer moeten worden toegepast. \n- Maak inzichtelijk\ + \ op welke niveaus risicobeheer kan en moet worden belegd bij het ontwikkelen en\ + \ gebruiken van algoritmes.\n- Daarbij gaat het om het identificeren, analyseren,\ + \ evalueren (afhankelijk van de risicobereidheid), behandelen (risicoreactie, o.a.\ + \ maatregelen), monitoren & beoordelen en communiceren & rapporteren van risico's.\n\ + - Gedurende de levenscyclus van een algoritme of AI-systemen kunnen nieuwe risico's\ + \ ontstaan waar mogelijk nieuwe maatregelen voor moeten worden getroffen. Het is\ + \ van belang dat iteratief wordt gewerkt aan mitigerende maatregelen en dat risicobeheer\ + \ periodiek wordt toegepast.\n\nLet op! Sommige maatregelen in het Algoritmekader\ + \ gaan dieper in op het uitvoeren van risicoanalyses. \n \nRisico's worden niet\ + \ (tijdig) vastgesteld en adequaat geadresseerd en behandeld. \n" urn: urn:nl:ak:mtr:org-03 language: nl owners: diff --git a/measures/0-org-04-politiek-bestuurlijke-verantwoordelijkheid.yaml b/measures/0-org-04-politiek-bestuurlijke-verantwoordelijkheid.yaml index 0e19bb6..2897e10 100644 --- a/measures/0-org-04-politiek-bestuurlijke-verantwoordelijkheid.yaml +++ b/measures/0-org-04-politiek-bestuurlijke-verantwoordelijkheid.yaml @@ -1,8 +1,28 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid. -description: '' -explanation: '' +description: "Zorg voor politiek-bestuurlijk bewustzijn, betrokkenheid, en verantwoordelijkheid.\ + \ \n" +explanation: "- Voor een passende algoritmegovernance is politiek-bestuurlijk bewustzijn,\ + \ betrokkenheid en verantwoordelijkheid essentieel. \n- De kernvraag voor publieke\ + \ organisaties bij de inzet van algoritmen is altijd: Hoe wegen we (als publieke\ + \ organisatie of samenleving) de voordelen en nadelen van de inzet van algoritmen?\ + \ \n- Dit is per definitie een kwalitatieve en politieke vraag.\n- Dit gaat niet\ + \ alleen over direct opbrengsten maar ook over lange termijn en indirecte effecten,\ + \ de mate waarin de inzet van technologie bijdraagt aan de legitimiteit van publieke\ + \ organisatie en hoe burgers met deze technologie worden bejegend. \n- Om te zorgen\ + \ voor politiek-bestuurlijke betrokkenheid kan het helpen om een [meerjarige visie/strategie\ + \ rondom verantwoorde inzet](0-org-02-beleid_opstellen_inzet_algoritmes.md) te formuleren\ + \ waar een communicatiestrategie richting burgers onderdeel van is.\n- Zorg ervoor\ + \ dat bestuurders bewust zijn van de voor- en nadelen van de inzet van algoritmes\ + \ en daarnaar kunnen handelen.\n- Dit ondersteunt teams bij het maken van de juiste\ + \ overwegingen bij de ontwikkeling en gebruik van algoritmes. Het geeft ook inzicht\ + \ wanneer de politiek of bestuurlijk verantwoordelijke(n) moeten worden betrokken\ + \ bij het project om beslissingen te nemen, bijvoorbeeld of de mate van onbewuste\ + \ vooringenomenheid (bias) binnen acceptabele grenzen ligt. \n- Het doorlopen van\ + \ een concrete casus voor de ontwikkeling en gebruik van een algoritme, inclusief\ + \ het uitvoeren van een IAMA, kan waardevolle informatiegeven om een meerjarige\ + \ visie of strategie op te stellen. \n" urn: urn:nl:ak:mtr:org-04 language: nl owners: diff --git a/measures/0-org-05-bestaande-governance.yaml b/measures/0-org-05-bestaande-governance.yaml index 7e92214..cefe892 100644 --- a/measures/0-org-05-bestaande-governance.yaml +++ b/measures/0-org-05-bestaande-governance.yaml @@ -1,9 +1,35 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie. -description: Sluit algoritmegovernance aan op bestaande governancestructuren binnen - de organisatie. -explanation: '' +description: ' + + Sluit algoritmegovernance aan op bestaande governancestructuren binnen de organisatie. + + ' +explanation: "Bij de vormgeving van een algoritmegovernance van een organisatie is\ + \ het van belang om aansluiting en samenwerking te bewerkstelligen met huidige governancestructuren\ + \ binnen de organisatie, zoals:\n\n- IT governance\n \n- [datagovernance](../../onderwerpen/data.md#goed-databeheer-datagovernance-en-datamanagement)\n\ + \ \n- informatiebeveiliging zoals governance rondom de [NIS2 richtlijn](https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/)\n\ + \ \n- [privacygovernance](https://www.cip-overheid.nl/media/eeqkauey/20200814-handleiding-privacy-governance-v3_2.pdf)\n\ + \nDeze governancestructuren kunnen waardevolle aanknopingspunten bieden voor algoritmegovernance,\ + \ omdat hierin vaak al duidelijke afspraken zijn gemaakt en processen zijn geschreven\ + \ om bijvoorbeeld risico's zo goed mogelijk te managen.\nIn veel organisaties werken\ + \ bijvoorbeeld privacy- en informatiebeveiliging en informatiebeheerders nauw samen\ + \ van strategisch organisatieniveau tot operationeel, omdat deze onderwerpen raken\ + \ aan beide domeinen. \nVoor een verantwoorde inzet van algoritmes zullen deze expertise\ + \ moeten gaan samengewerkt met andere expertise, zoals die van data science en ethiek.\n\ + Het is van belang dat deze expertises tijdig en voldoende ruimte krijgen om samen\ + \ te werken, zodat de functionele en niet functionele requirements kunnen worden\ + \ gedefinieerd voor een verantwoorde inzet van algoritmes. \nStel vast waar deze\ + \ expertise elkaar nodig hebben en waar deze zelfstandige taken en verantwoordelijkheden\ + \ hebben. \nVoorgaande geeft inzichten om te bepalen in hoeverre algoritmegovernance,\ + \ naast de bestaande governancestructuren, moet worden ingericht.\n\nDe volgende\ + \ vragen kunnen bedragen om bovenstaande inzichtelijk te krijgen:\n- Welke lessen\ + \ zijn geleerd met de implementatie van de AVG of de toepassing van de BIO?\n- Is\ + \ er iemand intern verantwoordelijk gemaakt voor (toezicht op) algoritmes?\n- Hoe\ + \ werken experts vanuit verschillende onderwerpen zoals privacy, informatiebeheer,\ + \ informatiebeveiliging en data op dit moment samen als het gaat om de inzet van\ + \ algoritmes?\n" urn: urn:nl:ak:mtr:org-05 language: nl owners: diff --git a/measures/0-org-06-volwassenheidsmodel.yaml b/measures/0-org-06-volwassenheidsmodel.yaml index bb27023..50e39b7 100644 --- a/measures/0-org-06-volwassenheidsmodel.yaml +++ b/measures/0-org-06-volwassenheidsmodel.yaml @@ -1,8 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Gebruik een algoritme volwassenheidsmodel om te weten waar de organisatie staat -description: Breng de volwassenheid van je organisatie op het gebied van algoritmes - in kaart. +description: ' + + Breng de volwassenheid van je organisatie op het gebied van algoritmes in kaart. + + ' explanation: '- Om tot een passende algoritmegovernance voor een organisatie te komen, moet eerst worden vastgesteld wat op dit moment al is ingericht binnen een organisatie op het gebied van algoritmes. @@ -21,7 +24,12 @@ explanation: '- Om tot een passende algoritmegovernance voor een organisatie t vervolgens hoe algoritmegovernance moet worden ingericht. - Het is aan te raden om verantwoordelijkheden te beleggen voor het realiseren - van algoritmegovernance.' + van algoritmegovernance. + + + + + ' urn: urn:nl:ak:mtr:org-06 language: nl owners: diff --git a/measures/0-org-07-intern-toezicht.yaml b/measures/0-org-07-intern-toezicht.yaml index 0a30682..3281b32 100644 --- a/measures/0-org-07-intern-toezicht.yaml +++ b/measures/0-org-07-intern-toezicht.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Richt een algoritmegovernance in met three lines of defence -description: Richt een algoritmegovernance in met three lines of defence. +description: ' + + Richt een algoritmegovernance in met three lines of defence. + + ' explanation: "Een inrichting van algoritmegovernance die vaak wordt toegepast is het\ \ three lines of defence model:\n\n- De eerste linie gaat over eigenaarschap, ontwikkeling,\ \ gebruik en risicobeheersing van algoritmes.\n- De tweede linie identificeert,\ @@ -10,7 +14,7 @@ explanation: "Een inrichting van algoritmegovernance die vaak wordt toegepast is \ interne advisering en toetsing. \n\nSchuett (2022) presenteert het three lines\ \ of defence model als volgt:\n\n![Three Lines of Defence Model](https://github.com/user-attachments/assets/4974f07d-9810-44e0-a0bb-56f1b1061732)\n\ \nHet toepassen van een 'three lines of defence' is slechts één aspect van het toepassen\ - \ van algoritmegoverance. " + \ van algoritmegoverance. \n" urn: urn:nl:ak:mtr:org-07 language: nl owners: diff --git a/measures/0-org-08-beslismoment-levenscyclus.yaml b/measures/0-org-08-beslismoment-levenscyclus.yaml index edf6a4d..2930261 100644 --- a/measures/0-org-08-beslismoment-levenscyclus.yaml +++ b/measures/0-org-08-beslismoment-levenscyclus.yaml @@ -1,8 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak gebruik van beslismomenten in de algoritmelevenscyclus -description: Maak gebruik van beslismomenten in de levenscyclus van een algoritme. -explanation: '' +description: ' + + Maak gebruik van beslismomenten in de levenscyclus van een algoritme. + + ' +explanation: "- Algoritmegovernance kan op de levenscyclus aansluiten door 'gates'\ + \ of controlepunten in te voeren. Deze gates bevatten belangrijke mijlpalen om te\ + \ beoordelen of de juiste taken zijn uitgevoerd, of ethische afwegingen zijn geamaakt,\ + \ of documentatie heeft plaatsgevonden en of akkoord is ingewonnen (go/no-go moment)\ + \ bij de verantwoordelijke(n) om naar de volgende fase te mogen. \n- Het is belangrijk\ + \ om te weten dat toepassing van deze ‘gates’ niet altijd hetzelfde is. Dit kan\ + \ namelijk verschillen afhankelijk van het type algoritme. \n- Een hoog-risico-AI-systeem\ + \ moet aan meer vereisten voldoen dan een niet impactvol algoritme. Een hoog-risico\ + \ AI-systeem moet daarom binnen de gates worden getoetst op meer onderdelen dan\ + \ een niet impactvol algoritme.\n" urn: urn:nl:ak:mtr:org-08 language: nl owners: diff --git a/measures/0-org-09-governance-per-risicocategorie.yaml b/measures/0-org-09-governance-per-risicocategorie.yaml index 4540e54..4f7d6cb 100644 --- a/measures/0-org-09-governance-per-risicocategorie.yaml +++ b/measures/0-org-09-governance-per-risicocategorie.yaml @@ -1,8 +1,25 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Richt algoritmegovernance op basis van de risicoclassificatie van algoritmes. -description: '' -explanation: '' +description: 'Richt algoritmegovernance in op basis van de risicoclassificatie van + algoritmes. + + ' +explanation: "- Er is een verschil in de vereisten die van toepassing zijn op type\ + \ algoritmes. Dit is mede afhankelijk van de risioclassificatie en de impact van\ + \ het algoritme op betrokkenen.\n- Zo zullen op basis van de AI-verordening meer\ + \ vereisten moeten worden nageleefd bij hoog-risico AI-systemen, dan voor een AI-systeem\ + \ met een beperkt risico. \n- Dit betekent dat algoritmegovernance uitgebreider\ + \ moet zijn voor de risicovollere, complexere toepassingen dan voor de eenvoudige,\ + \ niet-risicovolle toepassingen.\n\n- Stel daarom tijdig vast om welk type algoritme\ + \ het gaat en welke vereisten hiervoor gelden. Dat draagt eraan bij dan alleen wordt\ + \ gefocust op het realiseren van de vereisten waar daadwerkelijk aan moet worden\ + \ voldaan. Dit zorgt ervoor dat projecten sneller kunnen worden gerealiseerd.\n\ + - Let op dat niet enkel naar de AI-verordening wordt gekeken. Ook op impactvolle\ + \ algoritmes die niet vallen onder het bereik van de AI-Verordening zijn ook vereisten\ + \ van toepassing, en moet algoritmegovernance op worden toegepast.\n- Is algoritmegovernance\ + \ nieuw bij jouw organisatie, dan kan het helpen om een use-case met beperkt risico\ + \ grondig te doorlopen om hiervan te leren.\n" urn: urn:nl:ak:mtr:org-09 language: nl owners: diff --git a/measures/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance.yaml b/measures/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance.yaml index 5991c3e..da76037 100644 --- a/measures/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance.yaml +++ b/measures/0-org-10-inrichten-taken-en-verantwoordelijkheden-algoritmegovernance.yaml @@ -1,8 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance -description: Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance -explanation: '' +description: ' + + Taken en verantwoordelijkheden zijn toebedeeld in de algoritmegovernance + + ' +explanation: "- Bij het vormgeven van een doeltreffende algoritmegovernance is het\ + \ beleggen van expliciete taken en verantwoordelijkheden cruciaal.\n- Het beleggen\ + \ van deze taken en verantwoordelijkheden zorgt voor een actiegerichte structuur\ + \ waarin duidelijkheid bestaat over wie wanneer aan zet is.\n- Denk hierbij aan\ + \ het opstellen van een RACI-matrix en pas dit binnen de organisatie toe per risicoclassificatie\ + \ voor algoritmes. \n- Rollen en verantwoordelijkheden kunnen worden gekoppeld aan\ + \ de vereisten en maatregelen die moeten worden gerealiseerd in de verschillende\ + \ fasen van de levenscyclus van een algoritme.\n- Organisaties zullen zelf moeten\ + \ beoordelen welke taken en verantwoordelijkheden ze willen koppelen aan de beschikbare\ + \ (of nieuwe) rollen binnen hun organisaties. \n- Zie hieronder een mogelijk voorbeeld\ + \ van hoe dit eruit kan zien. \n\n![Format](https://github.com/user-attachments/assets/3debe7b6-0c42-40f5-a366-9cc5cc90cd3e)\n" urn: urn:nl:ak:mtr:org-10 language: nl owners: diff --git a/measures/0-org-11-gebruikersbeheer.yaml b/measures/0-org-11-gebruikersbeheer.yaml index d1695e1..87702cb 100644 --- a/measures/0-org-11-gebruikersbeheer.yaml +++ b/measures/0-org-11-gebruikersbeheer.yaml @@ -1,8 +1,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak afspraken over het beheer van gebruikers -description: Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot - wat, en wat er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding. +description: ' + + Richt gebruikersbeheer in, waarmee bepaald wordt wie toegang heeft tot wat, en wat + er bijvoorbeeld gebeurt bij indiensttreding, functiewijziging en uitdiensttreding. + + ' explanation: 'Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheerst worden aangevraagd, geautoriseerd, gewijzigd en ingetrokken bij indiensttreding, functiewijziging en uitdiensttreding. Ook wordt functievermenging voorkomen bij @@ -54,7 +58,26 @@ explanation: 'Gebruikersbeheer zorgt ervoor dat accounts en autorisaties beheers - Lijst met wijzigingen rollen en bijbehorende goedkeuringen - - Overzicht aantallen en rechten per (systeem)laag' + - Overzicht aantallen en rechten per (systeem)laag + + + Er bestaan meerdere risico''s wanneer er geen gebruikersbeheer is: + + - Toegangsrechten kunnen niet meer up-to-date zijn, bijvoorbeeld wanneer er geen + rekening wordt gehouden met het IDU-proces (). Er bestaat dan het risico dat gebruikers + toegang tot de omgeving van het algoritme, de data of de uitkomsten van het algoritme + hebben die zij niet zouden mogen hebben. + + - Wanneer functievermenging niet wordt voorkomen bij toegang en gebruik van het + algoritme, bestaat het risico dat er ongeautoriseerde wijzigingen worden doorgevoerd + aan het algoritme, de data of de uitkomsten van het algoritme. + + - Wanneer gebruik wordt gemaakt van generieke-, groeps- of onpersoonlijke accounts, + bestaat het risico dat handelingen niet te herleiden zijn naar een verantwoordelijke + persoon. + + + ' urn: urn:nl:ak:mtr:org-11 language: nl owners: diff --git a/measures/0-org-12-periodieke-evaluatie-kwaliteit.yaml b/measures/0-org-12-periodieke-evaluatie-kwaliteit.yaml index 8437c08..71bfec2 100644 --- a/measures/0-org-12-periodieke-evaluatie-kwaliteit.yaml +++ b/measures/0-org-12-periodieke-evaluatie-kwaliteit.yaml @@ -1,8 +1,26 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Controleer en verbeter regelmatig de kwaliteit van het algoritme -description: '' -explanation: '' +description: " Richt een proces in voor een periodieke evaluatie van de kwaliteit\ + \ van het algoritme.\n " +explanation: "- Het is van belang dat een proces wordt ingericht waarmee periodiek\ + \ de kwaliteit van algoritmes wordt geëvalueerd.\n-\tBij kwaliteit van een algoritme\ + \ kan worden gedacht aan doeltreffenheid, doelmatigheid, betrouwbaarheid en accuraatheid\ + \ (geschiktheid), non-discriminatie en menselijke controle.\n-\tHieronder vallen\ + \ het analyseren en evalueren van ingediende klachten en incidenten.\n-\tHieronder\ + \ vallen ook het analyseren evalueren van besluiten door of aan de hand van het\ + \ algoritmen.\n- Na verloop van tijd kan de accuraatheid van machine learning modellen\ + \ bijvoorbeeld wijzigen of kan het gebeuren dat bepaalde groepen (indien van toepassing)\ + \ anders worden behandeld.\n- Het is van belang dat monitoringsactiviteiten worden\ + \ ingericht om deze kwaliteitsaspecten tijdig te beoordelen.\n- Als er ongewenste\ + \ wijzigingen plaatsvinden met betrekking tot de kwaliteit, moeten die worden geëvalueerd\ + \ en zullen maatregelen moeten worden getroffen om deze te herstellen.\n- Het proces\ + \ moet er voor zorgen dat de juiste experts of stakeholders worden betrokken bij\ + \ het proces van evaluatie en het treffen van passende maatregelen.\n\nLet op! Sommige\ + \ maatregelen in het Algoritmekader gaan dieper in op het uitvoeren van risicoanalyses.\ + \ \n \nZonder evaluatie van de kwaliteit van het algoritme is er geen goede sturing,\ + \ beheersing en verantwoording mogelijk als er ongewenste wijzigingen plaatsvinden\ + \ in het algoritme of AI-systeem. \n" urn: urn:nl:ak:mtr:org-12 language: nl owners: diff --git a/measures/0-org-13-wachtwoordbeheer.yaml b/measures/0-org-13-wachtwoordbeheer.yaml index 144c5ca..e3c3813 100644 --- a/measures/0-org-13-wachtwoordbeheer.yaml +++ b/measures/0-org-13-wachtwoordbeheer.yaml @@ -1,10 +1,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak afspraken over het beheer van wachtwoorden -description: 'Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden - opgeslagen, wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten - voldoen. Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld - op een veilige manier. +description: ' + + Richt wachtwoordbeheer in, waarmee bepaald wordt hoe wachtwoorden worden opgeslagen, + wanneer wijzigingen moeten plaatsvinden en waaraan wachtwoorden moeten voldoen. + Hiermee wordt de toegang tot bijvoorbeeld ontwikkelomgevingen geregeld op een veilige + manier. + ' explanation: 'Bij het inrichten van wachtwoordbeheer moeten de volgende zaken worden @@ -32,6 +35,12 @@ explanation: 'Bij het inrichten van wachtwoordbeheer moeten de volgende zaken wo - De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen. + + + Als het wachtwoordbeheer van onvoldoende kwaliteit is, kan oneigenlijke toegang + plaatsvinden tot het algoritme of uitkomsten van het algoritme, bijvoorbeeld doordat + het wachtwoord te eenvoudig is. + ' urn: urn:nl:ak:mtr:org-13 language: nl diff --git a/measures/0-org-14-wijzigingenproces.yaml b/measures/0-org-14-wijzigingenproces.yaml index 3be83fd..53698b6 100644 --- a/measures/0-org-14-wijzigingenproces.yaml +++ b/measures/0-org-14-wijzigingenproces.yaml @@ -1,8 +1,10 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak afspraken over het wijzigen van de code -description: 'Richt een wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen - plaatsvinden. +description: ' + + Richt een wijzigingenproces in, waarmee bepaald wordt hoe codewijzigingen plaatsvinden. + ' explanation: 'Bij het inrichten van een proces om wijzigingen aan de code te mogen @@ -24,7 +26,14 @@ explanation: 'Bij het inrichten van een proces om wijzigingen aan de code te mog (BIO 6.1.2, 14.2.2) - Er dient periodiek controle plaats te vinden op wijzigingen aan het systeem, zodanig - dat oneigenlijke wijzigingen worden gesignaleerd. (BIO 9.4.4, 12.4.1)' + dat oneigenlijke wijzigingen worden gesignaleerd. (BIO 9.4.4, 12.4.1) + + + Als een formeel wijzigingenproces ontbreekt bestaat het risico van ongeautoriseerde + toegang, wijziging of beschadiging van de code van het algoritme, of de uitkomsten + van het algoritme. + + ' urn: urn:nl:ak:mtr:org-14 language: nl owners: diff --git a/measures/0-org-15-discriminatieprotocol.yaml b/measures/0-org-15-discriminatieprotocol.yaml index 2e14755..10756e4 100644 --- a/measures/0-org-15-discriminatieprotocol.yaml +++ b/measures/0-org-15-discriminatieprotocol.yaml @@ -2,8 +2,68 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie door een algoritme is geconstateerd en pas dit wanneer nodig toe. -description: '' -explanation: '' +description: 'Stel een protocol vast voor de situatie dat er (een vermoeden van) discriminatie + door een algoritme is geconstateerd en pas dit wanneer nodig toe. + + ' +explanation: "De inzet van algoritme kan onbedoeld leiden tot discriminerende effecten.\ + \ \nHet is van belang om als organisatie een protocol te hebben vastgesteld waarin\ + \ is uitgewerkt hoe wordt omgegaan met situaties waarin (een vermoeden van) discriminatie\ + \ door een algoritme is geconstateerd.\nIn een dergelijk protocol kunnen de handelingen\ + \ worden beschreven die moeten worden uitgevoerd om deze situatie te gaan herstellen.\n\ + Het vaststellen van een dergelijk protocol geeft ontwikkelaar en gebruikers (vooraf)\ + \ duidelijkheid wat van hen wordt verwacht en wat zij kunnen doen om discriminatie\ + \ door algoritmes te voorkomen. \nEen voorbeeld hiervan is het analyseren van de\ + \ data op [datakwaliteit en bias in de data](3-dat-01-datakwaliteit.md) en [toets\ + \ regelmatig je algoritmisch systeem op bias](5-ver-02-biasanalyse.md). \n\nHet\ + \ Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een [discriminatieprotocol](https://minbzk.github.io/discriminatieprotocol)\ + \ opgesteld wat organisaties handvatten biedt.\n\nEen discriminatieprotocol kan\ + \ de volgende stappen bevatten:\n\n### Stap 1: Vermoeden van onrechtmatigheid\n\n\ + Een vermoeden van bevooroordeeldheid of discriminatie kan vanuit verschillende partijen\ + \ gemeld worden. \nSignalen hiervoor kunnen worden ontvangen vanuit de interne organisatie,\ + \ bijvoorbeeld door de betrokken ontwikkelaars, gebruikers of beheerders, of door\ + \ externe partijen, zoals belanghebbenden, toezichthouder, journalisten. \n \n\ + \ - Zorg dat signalen tijdig bij de goede medewerkers terecht komen. \n - Indien\ + \ er sprake is van zo'n vermoeden, zorg je dat bijvoorbeeld de uitvoerend directeur,\ + \ de interne toezichthouder en/of de CIO en CDO hierover worden geïnformeerd. \n\ + \ - Maak met de verantwoordelijken een afweging of het betreffende systeem in werking\ + \ kan blijven of dat bijvoorbeeld [het noodplan voor het stopzetten van het algoritme](4-owk-02-stopzetten-gebruik.md)\ + \ (tijdelijk) in gang moet worden gezet. \n\n### Stap 2: Inzicht en overzicht\n\n\ + Het is van belang om inzicht en overzicht te krijgen over de oorzaak en de gevolgen\ + \ van eventuele discriminerende effecten van het algoritme. \nDaarvoor kan worden\ + \ gedacht aan het uitvoeren van een bias analyse.\n\n - Bepaal wie er verantwoordelijk\ + \ is voor het uitvoeren van het onderzoek.\n - Bepaal of je een onafhankelijk onderzoek\ + \ wilt doen naar het algoritme.\n - Breng in kaart wat de omvang van het probleem\ + \ is. Hoe lang doet het probleem zich al voort, en hoeveel mensen betreft het?\n\ + \ - Ga snel met (vertegenwoordigers van) gedupeerden in gesprek over de gevolgen\ + \ en de mogelijke schade\n - Trek een conclusie of er sprake is van discriminatie,\ + \ of een sterk vermoeden van discriminatie. \n\n### Stap 3: Beperken schade\n\n\ + Bepaal welke mitigerende maatregelen er genomen moeten worden. Als er in het onderzoek\ + \ is vastgesteld dat er sprake is van discriminatie, dan moet het betreffende systeem\ + \ worden stopgezet. Hierbij kan je denken aan:\n\n - Het in werking stellen van\ + \ het [het noodplan voor het stopzetten van het algoritme](4-owk-02-stopzetten-gebruik.md),\ + \ indien dat in stap 1 nog niet gebeurd is. \n - Aanpassingen in het algoritme,\ + \ de werkinstructies of de bijbehorende processen.\n - Indien het algoritme essentieel\ + \ is in de uitvoer kan er sprake zijn van een een proportionaliteitsvraagstuk. In\ + \ dat geval moet er worden bezien wat de alternatieven zijn, en of er delen van\ + \ het systeem kunnen worden uitgeschakeld.\n \n### Stap 4: Melden en informeren\n\ + \nDe conclusies van de eerdere stappen moeten, indien nodig, worden gemeld bij de\ + \ betreffende instanties. De eventuele gedupeerde burgers dienen te worden geïnformeerd\ + \ over de gevolgen.\n\n - Als er sprake is van een hoog-risico-AI-systeem moeten\ + \ ernstige incidenten worden gemeld bij de markttoezichtautoriteiten. Zie [artikel\ + \ 73 van de AI-verordening](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202401689#d1e7117-1-1)\ + \ en [artikel 3 (49.c) van de AI-verordening](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202401689#d1e2093-1-1).\n\ + \ - Voor alle algoritmes geldt: Informeer de interne toezichthouder, de externe\ + \ toezichthouder en de politiek, afhankelijk van hoeveel mensen geraakt en gedupeerd\ + \ zijn en de impact. \n - Informeer de betrokken burgers over de sitatie. Maak\ + \ indien nodig excuses en geef de mensen die (mogelijk) geraakt zijn uitleg zodat\ + \ zij:\n \n - begrijpen wat er is gebeurd\n - weten wat de waarschijnlijke\ + \ gevolgen zijn\n - welke mitigerende maatregelen zijn genomen\n - waar\ + \ mensen terecht kunnen met vragen\n - op de hoogte zijn van het proces rondom\ + \ de afhandeling van de schade.\n \n### Stap 5: Registratie en afhandeling\n\ + \n - Registreer het algoritme in het [algoritmeregister](https://algoritmes.overheid.nl/nl),\ + \ indien dat nog niet gebeurd is.\n - Zorg voor goede klachtenafhandeling en herstelprocedures.\ + \ \n" urn: urn:nl:ak:mtr:imp-10 language: nl owners: diff --git a/measures/1-pba-01-formuleren-probleemdefinitie.yaml b/measures/1-pba-01-formuleren-probleemdefinitie.yaml index b8a77b9..1363af7 100644 --- a/measures/1-pba-01-formuleren-probleemdefinitie.yaml +++ b/measures/1-pba-01-formuleren-probleemdefinitie.yaml @@ -1,8 +1,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf het probleem dat het algoritme moet oplossen -description: '' -explanation: '' +description: "Formuleer en documenteer wat de aanleiding is om een algoritme in te\ + \ willen zetten. \nFormuleer duidelijk de probleemdefinitie en probleemafbakening\ + \ waarvoor het algoritme een oplossing zou moeten vormen. \n" +explanation: "Formuleer de probleemdefinitie en probleemafbakening zo concreet en\ + \ precies mogelijk. Maak dit waar mogelijk kwantificeerbaar. \n\nHet algoritme dient\ + \ niet het onderliggende probleem. \nZonder eenduidigheid over het op te lossen\ + \ probleem is geen sturing op en verantwoording over het algoritme mogelijk. \n" urn: urn:nl:ak:mtr:pba-01 language: nl owners: diff --git a/measures/1-pba-02-formuleren-doelstelling.yaml b/measures/1-pba-02-formuleren-doelstelling.yaml index b6a0d9c..adae436 100644 --- a/measures/1-pba-02-formuleren-doelstelling.yaml +++ b/measures/1-pba-02-formuleren-doelstelling.yaml @@ -1,10 +1,10 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf het doel van het algoritme -description: "Het doel en de eventuele subdoelen van het algoritme moeten zo specifiek\ +description: "\nHet doel en de eventuele subdoelen van het algoritme moeten zo specifiek\ \ mogelijk zijn geformuleerd, en waar mogelijk gekwantificeerd. \nMaak de consequenties\ \ van het algoritme specifiek en zorg dat het doel van het algoritme formeel is\ - \ vastgesteld en vastgelegd. " + \ vastgesteld en vastgelegd. \n" explanation: "- Het doel van de inzet van een algoritme dient zo concreet en specifiek\ \ mogelijk gedefinieerd te worden. \nIndien er meerdere doelen zijn, is het belangrijk\ \ om een zekere rangorde te maken: wat zijn de belangrijkste doelen? En waarom?\n\ @@ -14,7 +14,12 @@ explanation: "- Het doel van de inzet van een algoritme dient zo concreet en spe \ om [voldoende belanghebbenden te betrekken](1-pba-04-betrek-belanghebbenden.md).\ \ \nHierbij kan het ook helpen om burgers te betrekken bij de totstandkoming van\ \ de doelstellingen, bijvoorbeeld door middel van een burgerpanel of het betrekken\ - \ van belangengroepen. " + \ van belangengroepen. \n\nHet algoritme dient niet het beoogde doel en onderliggend\ + \ probleem. \nZonder eenduidigheid over het doel is geen sturing op en verantwoording\ + \ over het algoritme mogelijk. \nEr is dan een groter risico op fouten en/of verschillen\ + \ in interpretatie. \n\nWanneer doelstellingen niet meetbaar zijn gemaakt, is het\ + \ onmogelijk om achteraf te kwantificeren of de doelstellingen zijn behaald. \n\ + Doelstellingen zijn in dat geval moeilijk bespreekbaar.\n" urn: urn:nl:ak:mtr:pba-02 language: nl owners: diff --git a/measures/1-pba-03-onderbouwen-gebruik-algoritme.yaml b/measures/1-pba-03-onderbouwen-gebruik-algoritme.yaml index fe19e0c..741a4ce 100644 --- a/measures/1-pba-03-onderbouwen-gebruik-algoritme.yaml +++ b/measures/1-pba-03-onderbouwen-gebruik-algoritme.yaml @@ -1,14 +1,17 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf waarom een algoritme het probleem moet oplossen -description: '' +description: "Bepaal en documenteer waarom het gewenst of nodig is om een algoritme\ + \ in te zetten om het probleem te kunnen aanpakken. \n" explanation: "- Bepaal waarom het gewenst of nodig is om een algoritme in te zetten,\ \ en of er ook alternatieven zijn om het probleem op te lossen. \nDocumenteer de\ \ onderbouwing waarom een algoritme een betere oplossing zou bieden dan een niet-geautomatiseerd\ \ of niet-digitaal proces. \n\n- Maak een bewuste afweging of een algoritme het\ \ juiste middel is om [het probleem](1-pba-01-formuleren-probleemdefinitie.md) op\ \ doelmatige en doeltreffende wijze op te lossen, en documenteer deze afweging.\n\ - \n- Beoordeel of de gewenste oplossing is [toegestaan op grond van de AI-Verordening](aia-01-verboden-AI-praktijken.md). " + \n- Beoordeel of de gewenste oplossing is [toegestaan op grond van de AI-Verordening](aia-01-verboden-AI-praktijken.md).\ + \ \n\nHet algoritme is niet het juiste middel om het probleem op te lossen. Het\ + \ risico daarbij bestaat dat het probleem niet wordt opgelost. \n" urn: urn:nl:ak:mtr:pba-03 language: nl owners: diff --git a/measures/1-pba-04-betrek-belanghebbenden.yaml b/measures/1-pba-04-betrek-belanghebbenden.yaml index bbfc715..88476cf 100644 --- a/measures/1-pba-04-betrek-belanghebbenden.yaml +++ b/measures/1-pba-04-betrek-belanghebbenden.yaml @@ -1,8 +1,31 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Overleg regelmatig met belanghebbenden -description: '' -explanation: '' +description: ' + + Breng in kaart welke belanghebbenden er zijn en betrek hen op verschillende momenten + in de levenscyclus. + + ' +explanation: "Het betrekken van belanghebbenden is van belang in bijna alle fasen\ + \ van de levenscyclus.\nBelanghebbenden zijn onder meer eindgebruikers, mensen en\ + \ rechtspersonen die door het algoritme geraakt kunnen worden en vertegenwoordigende\ + \ organisaties.\n\nIn de fase van de probleemanalyse is het allereerst van belang\ + \ in kaart te brengen welke stakeholders er zijn.\nWie gaan bijvoorbeeld werken\ + \ met het algoritme (eindgebruikers)? En welke demografieën worden geraakt door\ + \ een algoritme?\nBij wie liggen de voordelen en bij wie liggen de nadelen?\nGa\ + \ in gesprek met deze belanghebbenden - al dan niet vertegenwoordigd door belangenorganisaties\ + \ zoals burgerrechtenorganisaties - over het te ontwerpen algoritme en de context\ + \ waarin het gebruikt wordt. Zij kunnen waardevolle inzichten en wensen delen, wat\ + \ kan bijdragen aan een betere werking van het algoritme. \n\nEnkele voorbeelden\ + \ hierbij zijn:\n- Het betrekken van burgers bij het ontwerpen van een algoritme\ + \ in de ontwerpfase. \n- Het bespreken welke definitie en metriek van _fairness_\ + \ past bij de context met de proceseigenaar en een ethicus.\n- Het betrekken van\ + \ domeinexperts in de fase van dataverkenning en datapreparatie, om zo in kaart\ + \ te brengen wat de data features betekenen en waar zij vandaan komen.\n- Het betrekken\ + \ van eindgebruikers bij het ontwikkelen en het implementeren van het algoritme.\n\ + - Het betrekken van belanghebbenden bij het monitoren en evalueren van het algoritme.\ + \ \n" urn: urn:nl:ak:mtr:pba-04 language: nl owners: diff --git a/measures/1-pba-05-wettelijke-grondslag.yaml b/measures/1-pba-05-wettelijke-grondslag.yaml index 012d5a2..b8c8eae 100644 --- a/measures/1-pba-05-wettelijke-grondslag.yaml +++ b/measures/1-pba-05-wettelijke-grondslag.yaml @@ -1,8 +1,17 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf de wettelijke grondslag voor de inzet van het algoritme -description: '' -explanation: '' +description: 'Beschrijf de wettelijke grondslag voor de inzet van het algoritme en + de beoogde besluiten die genomen zullen worden op basis van het algoritme. + + ' +explanation: "- Analyseer of er een concrete wettelijke grondslag is die de inzet\ + \ van het algoritme mogelijk maakt en deze inzet voldoende voorzienbaar maakt. \n\ + - Als de verwachting is dat een algoritme tot gevolg heeft dat wordt ingegrepen\ + \ in het leven of de vrijheid van mensen, en zeker als de verwachting is dat er\ + \ grondrechten worden geraakt, moet er een wettelijke grondslag bestaan voor de\ + \ inzet van het algoritme.\n- Voor het verwerken van persoonsgegevens is een wettelijke\ + \ grondslag noodzakelijk. \n" urn: urn:nl:ak:mtr:pba-05 language: nl owners: diff --git a/measures/2-owp-01-rollen-en-verantwoordelijkheden.yaml b/measures/2-owp-01-rollen-en-verantwoordelijkheden.yaml index 9cb0137..606eab6 100644 --- a/measures/2-owp-01-rollen-en-verantwoordelijkheden.yaml +++ b/measures/2-owp-01-rollen-en-verantwoordelijkheden.yaml @@ -2,8 +2,58 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en gebruiken van algoritmes -description: '' -explanation: '' +description: 'Beschrijf de rollen en verantwoordelijkheden voor het ontwikkelen en + gebruiken van algoritmes. De rollen en verantwoordelijkheden worden vastgesteld + door de verantwoordelijke(n). + + ' +explanation: "Een reëel risico is dat bepaalde groepen en belanghebbenden over het\ + \ hoofd worden gezien tijdens het ontwikkelproces van een algoritme.\nDaarom is\ + \ het noodzakelijk om al vroeg in kaart te brengen welke groepen allemaal een mening\ + \ over het beoogde algoritme kunnen hebben.\n\nDuidelijkheid en borging van rollen\ + \ en verantwoordelijkheden zorgen voor een effectief en verantwoord verloop van\ + \ het proces rondom de ontwikkeling, inkoop en gebruik van een algoritme. \nZeker\ + \ wanneer ongewenste effecten optreden en maatregelen nodig zijn, is duidelijkheid\ + \ over rollen, verantwoordelijkheden en bijbehorende besluitvormingsstructuren van\ + \ belang.\n\nOm deze reden kan het handig zijn om een matrix van belanghebbenden\ + \ op te stellen. \nDeze matrix kan in verdere fases helpen wanneer belanghebbenden\ + \ betrokken moeten worden. In deze matrix kunnen de volgende onderdelen staan: \n\ + \n- Per belanghebbende een beschrijving van wie deze groep is \n- Mate van invloed\ + \ van belanghebbende op het algoritme: wie, wanneer in de levenscyclus zorgt voor\ + \ passende [menselijke controle](../../onderwerpen/menselijke-controle.md)\n- Impact\ + \ van algoritme op de belanghebbende \n- Risico’s voor belanghebbende (wat zal de\ + \ belanghebbende merken als het algoritme eventueel niet naar behoren functioneert).\ + \ \n\nEen RACI-matrix/VERI-matrix is een passend middel om de verantwoordelijkheden\ + \ (Responsible/Verantwoordelijk, Accountable/Eindverantwoordelijk, Consulted/Geraadpleegd,\ + \ Informed/Geïnfomeerd) te bepalen.\nWerk specifieke, gevoelige activiteiten nader\ + \ uit te in concrete taken en verantwoordelijkheden, bijvoorbeeld welke stappen\ + \ moeten worden gezet om data veilig te leveren ten behoeve van een onderzoek naar\ + \ onbwuste vooringenomenheid. \n\n### Vaststellen van rollen en verantwoordelijkheden\n\ + - Laat de rollen en verantwoordelijkheden vaststellen door de verantwoordelijke(n).\ + \ Het doel van vaststelling is dat de verantwoordelijke(n) de verantwoordelijkheid\ + \ neemt en actief een keuze maakt om het algoritme te (laten) ontwikkelen of gebruiken\ + \ op de beoogde wijze en met de bijbehorende verantwoordelijkheden. Met het vaststellen\ + \ worden afspraken geformaliseerd. \n- Vaststelling van de verantwoordelijkheden\ + \ kan plaatsvinden door beleidsdocumenten, werkinstructies, verwerkersovereenkomst\ + \ of een PIA/DPIA, mits de verantwoordelijkheden voldoende duidelijk zijn beschreven.\n\ + - Gedurende de levenscyclus kan het voorkomen dat rollen en verantwoordelijkheden\ + \ opnieuw moet worden beschreven en vastgesteld.\n\n### Verwerking van persoonsgegevens\n\ + - Bij het verwerken van persoonsgegevens moet worden vastgelegd wie de (gezamelijke)\ + \ verwerkingsverantwoordelijken zijn en wie de verwerkers. Uit deze vaststelling\ + \ van de rolverdeling volgen onder de AVG verschillende rechten en plichten.\n-\ + \ Bij de ontwikkeling en gebruiken van algoritmes is het denkbaar dat de noodzaak\ + \ voor het verwerken van persoonsgegevens wijzigt en dat meer of andere verwerkingen\ + \ moeten plaatsvinden. Het is van belang dat wederom wordt beoordeeld wat dit betekent\ + \ voor de bijbehorende verantwoordelijkheden. Als er sprake is van een wezenlijke\ + \ wijziging ten opzichte van de al vastgestelde situatie, bijvoorbeeld doordat er\ + \ meer persoonsgegevens worden verwerkt door een andere partij, dan zal de verwerkingsverantwoordelijke\ + \ opnieuw tot vaststelling moeten overgaan om de afspraken te formaliseren.\n\n\ + De sturing en verantwoording is ontoereikend of niet geborgd, waardoor er onvoldoende\ + \ betrokkenheid of capaciteit is van verantwoordelijken. Ook kan er dan onvoldoende\ + \ deskundigheid in de organisatie zijn, wat de kans vergroot op fouten en ongewenste\ + \ effecten. Zonder het vaststellen van rollen en verantwoordelijkheden, kan er geen\ + \ effectieve sturing plaatsvinden op partijen die betrokken zijn bij het ontwikkelen\ + \ of gebruiken van algoritmes.\n" urn: urn:nl:ak:mtr:owp-01 language: nl owners: diff --git a/measures/2-owp-02-data-beschikbaarheid.yaml b/measures/2-owp-02-data-beschikbaarheid.yaml index fae1ce7..850cc2d 100644 --- a/measures/2-owp-02-data-beschikbaarheid.yaml +++ b/measures/2-owp-02-data-beschikbaarheid.yaml @@ -2,8 +2,30 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Voer voorafgaand aan een project een data beschikbaarheid, kwaliteit- en toegankelijkheidsanalayse uit. -description: '' -explanation: '' +description: ' + + Voer voorafgaand aan een project een data beschikbaarheids- en [datakwaliteitsanalayse](3-dat-01-datakwaliteit.md) + uit. + + ' +explanation: '- Het is van belang om voorafgaand aan een project vast te stellen of + de data die noodzakelijk is om een algoritme te ontwikkelen of te kunnen gebruiken + beschikbaar is, gaat worden en of de data van voldoende [kwaliteit](3-dat-01-datakwaliteit.md) + is. + + - Er moet worden onderzocht of en hoe data vanuit de eigen organisatie, die van + een eventuele externe aanbieder of elders beschikbaar kan worden gesteld, kan worden + opgeslagen en of goedkeuring kan worden gegeven voor het verwerken van de data. + + - De infrastructuur van de eigen organisatie en/of die van een eventuele externe + aanbieder moet van voldoende niveau zijn om de beoogde verwerkingen uit te kunnen + voeren. + + - Een dergelijke analyse levert inzichten op welke problemen er eventueel op dit + vlak kunnen ontstaan en geeft input voor de verdere ontwikkeling of (in geval van + inkoop) de behoeftestelling. + + ' urn: urn:nl:ak:mtr:owp-11 language: nl owners: diff --git a/measures/2-owp-03-doel-verwerken-persoonsgegevens.yaml b/measures/2-owp-03-doel-verwerken-persoonsgegevens.yaml index 3b93bea..c1095f4 100644 --- a/measures/2-owp-03-doel-verwerken-persoonsgegevens.yaml +++ b/measures/2-owp-03-doel-verwerken-persoonsgegevens.yaml @@ -2,9 +2,32 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf voor welk doel het algoritme persoonsgegevens gebruikt en waarom dit mag -description: Het doel voor het verwerken van persoonsgegevens met een algoritme is - welbepaald en omschreven. -explanation: '' +description: ' + + Het doel voor het verwerken van persoonsgegevens met een algoritme is welbepaald + en omschreven. + + ' +explanation: "Persoonsgegevens mogen alleen worden verwerkt voor een ‘welbepaald,\ + \ uitdrukkelijk omschreven en gerechtvaardigd’ doel. De wettelijke grondslag voor\ + \ de verwerking van de persoonsgegevens moet zijn beschreven.\n\nDe verwerking van\ + \ persoonsgevens voor het ontwikkelen en gebruiken van een algoritme moet verenigbaar\ + \ met het oorspronkelijke verwerkingsdoel (doelbinding). Eventuele verdere (subsidiaire)\ + \ verwerkingen, zoals het verwerken van persoonsgegevens voor een onderzoek naar\ + \ onbewuste vooringenomenheid, moeten uitdrukkelijk worden omschreven.\n \nStel\ + \ een overzicht op waarin is beschreven welke persoonsgegevens mogen worden verwerkt.\n\ + Bij de persoonsgegevens is aangegeven om wat voor categorie persoonsgegevens het\ + \ gaat.\nPer kenmerk is toegelicht waarom deze noodzakelijk is om te verwerken voor\ + \ het ontwikkelen en gebruiken van het algoritme.\nHet principe van dataminimalisatie\ + \ is toegepast, wat betekent dat een keuze is gemaakt of een persoonsgegevens al\ + \ dan niet strikt noodzakelijk is om het doel te bereiken of dat verwerking ervan\ + \ achterwege kan blijven.\n\nVoor [het beschermen van deze persoonsgegevens](3-dat-05-pseudonimiseren-anonimiseren.md)\ + \ wordt per kenmerk aangegeven op welke manier deze kan worden beschermd. Denk hierbij\ + \ aan het anonimiseren, pseudonomiseren, aggregeren van de persoonsgegevens. \n\n\ + Gebruik een [DPIA](../hulpmiddelen/DPIA.md) om bovenstaande zaken te beschrijven.\n\ + \ \nAls het doel voor het verwerken van persoonsgegevens onvoldoende is omschreven\ + \ en onderbouwd, ontstaat het risico dat onrechtmatig persoonsgegevens worden verwerken\ + \ en een inbreuk wordt gemaakt op privacyrechten van betrokkenen.\n\n" urn: urn:nl:ak:mtr:owp-03 language: nl owners: diff --git a/measures/2-owp-04-gebruikte-techniek.yaml b/measures/2-owp-04-gebruikte-techniek.yaml index 9ac97ec..4402897 100644 --- a/measures/2-owp-04-gebruikte-techniek.yaml +++ b/measures/2-owp-04-gebruikte-techniek.yaml @@ -1,9 +1,26 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf welke techniek gebruikt wordt voor de beoogde toepassing -description: '' -explanation: " ## Bijbehorende vereiste(n) { data-search-exclude }\n??? expander \"\ - Bekijk alle vereisten\"\n " +description: "Beschrijf welke techniek gebruikt wordt voor de beoogde toepassing.\ + \ \n" +explanation: "- Beschrijf wat voor soort algoritme er gebruikt gaat worden voor de\ + \ beoogde toepassing. \n- Bepaal of je gebruik wilt maken van een:\n\n - [zelflerend\ + \ algoritme](../../overhetalgoritmekader/soorten-algoritmes.md#zelflerende-algoritmes)\n\ + \ - niet-zelflerend algoritme zoals een algoritme gebaseerd op [rekenregels](../../overhetalgoritmekader/soorten-algoritmes.md#rekenregels)\n\ + \n- Beschrijf vervolgens ook:\n \n - waarom er voor dit type algoritme wordt\ + \ gekozen\n - wat de alternatieven zijn en waarom die minder passend zijn?\n\ + \ - waarom dit algoritme het meest geschikt is om het [beoogde doel](1-pba-02-formuleren-doelstelling.md)\ + \ van het algoritme te bereiken. \n\n- De precieze details kunnen in dit stadium\ + \ van de levenscyclus waarschijnlijk nog niet ingevuld worden. Maak een goede eerste\ + \ inschatting van de gebruikte techniek. Eventueel kan je er ook voor kiezen om\ + \ verschillende technieken verder te onderzoeken. Dat betekent dat er meerdere algoritmes\ + \ ontwikkeld worden (op basis van verschillende technieken), en je later een definitieve\ + \ keuze maakt. \n\n- Het is belangrijk om uiteindelijk een passend uitlegbaar algoritme\ + \ te selecteren voor de context waarin het wordt toegepast. Daarin moet de afweging\ + \ gemaakt worden of de technische [uitlegbaarheid](2-owp-30-toepassen_uitlegbaarheidstechnieken.md)\ + \ voldoende is in de context die de inzet van het algoritme vereist. Hierbij kan\ + \ ook de conclusie worden getrokken dat een simpeler, inzichtelijker algoritme de\ + \ voorkeur krijgt. \n\n" urn: urn:nl:ak:mtr:owp-04 language: nl owners: diff --git a/measures/2-owp-05-soort-algoritme.yaml b/measures/2-owp-05-soort-algoritme.yaml index d4d240c..6d60e0a 100644 --- a/measures/2-owp-05-soort-algoritme.yaml +++ b/measures/2-owp-05-soort-algoritme.yaml @@ -1,8 +1,19 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Bepaal het soort algoritme en de risicogroep en vereisten die hierbij horen -description: '' -explanation: '' +description: ' + + Stel vast om wat voor type algoritme het gaat en wat de bijbehorende risicoclassificatie + is om te bepalen welke vereisten hierop van toepassing zijn. + + ' +explanation: "Het verschilt per type algoritme welke vereisten hierop van toepassing\ + \ is en waar een aanbieder of gebruiksverantwoordelijke aan moet voldoen. \nDit\ + \ is mede afhankelijk van de bijbehorende risicoclassificatie. \nHiervoor kan in\ + \ de nabije toekomst de 'beslisboom' in het Algoritmekader voor worden gebruikt'.\ + \ \nDeze stap is van groot belang, omdat dit ook bepalend is welke contractuele\ + \ verplichtingen moeten worden gecreëerd tussen opdrachtgever en opdrachtnemer/aanbieder.\ + \ \n" urn: urn:nl:ak:mtr:owp-05 language: nl owners: diff --git a/measures/2-owp-06-afwegen-grondrechten.yaml b/measures/2-owp-06-afwegen-grondrechten.yaml index 15355a1..cc25da3 100644 --- a/measures/2-owp-06-afwegen-grondrechten.yaml +++ b/measures/2-owp-06-afwegen-grondrechten.yaml @@ -1,8 +1,43 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Inventariseer welke grondrechten het algoritme kan schenden en maak een belangenafweging -description: '' -explanation: '' +description: 'Identificeer welke grondrechten geraakt worden door het in te zetten + algoritme en maak een afweging of dit aanvaardbaar is + + ' +explanation: "Een algoritme kan invloed hebben op grondrechten. Op een aantal grondrechten\ + \ kan een algoritme sneller invloed hebben, zoals recht op [persoonsgegevensbescherming](../../onderwerpen/privacy-en-gegevensbescherming.md),\ + \ recht op behoorlijk bestuur en recht op [gelijke behandeling](../../onderwerpen/bias-en-non-discriminatie.md).\n\ + Deze veelvoorkomende grondrechten krijgen op andere plekken in het Algoritmekader\ + \ specifieke aandacht. \nEr zijn echter ook grondrechten die bij minder algoritmen\ + \ relevant zijn, maar desalniettemin in die gevallen zeer invloedrijk kunnen zijn.\ + \ \nHet is van belang uiteindelijk een totale afweging te maken van alle grondrechten\ + \ die (mogelijk) geraakt worden ten opzichte van de voordelen van het in te zetten\ + \ algoritme. \nEen voorbeeld van een grondrecht dat minder snel geraakt wordt is\ + \ bijvoorbeeld een algoritme om hate speech te kunnen detecteren. Zo'n algoritme\ + \ zal van invloed kunnen zijn op de vrijheid van meningsuiting en het recht op informatie.\n\ + \nDoorloop in lijn met Deel 4 van het [Impact Assessment Mensenrechten en Algoritmes](../hulpmiddelen/IAMA.md)\ + \ de volgende stappen:\n\n1. Breng in kaart welke grondrechten geraakt kunnen worden\ + \ door de inzet van het algoritme. Hiervoor kan [bijlage 1 uit het Impact Assessment\ + \ Mensenrechten en Algoritmes](../hulpmiddelen/IAMA.md) gebruikt worden.\n2. Als\ + \ dat het geval is, is het allereerst van belang om te controleren of hiervoor specifieke\ + \ wetgeving is waar de inzet van het algoritme aan moet voldoen.\n3. Bepaal hoe\ + \ zwaar de geindentificeerde grondrechten worden geraakt door het beoogde algoritme.\n\ + 4. Bepaal hoe [doeltreffend/effectief](5-ver-01-functioneren-in-lijn-met-doeleinden.md)\ + \ het algoritme in de praktijk is.\n5. Bepaal of de inzet van het algoritme noodzakelijk\ + \ is om het [beoogde doel](1-pba-02-formuleren-doelstelling.md) te bereiken. Zijn\ + \ er alternatieven? Of zijn er mitigerende maatregelen die genomen kunnen worden\ + \ waardoor grondrechten niet of minder worden geraakt en eventuele nadelige gevolgen\ + \ verzacht kunnen worden?\n6. Gegeven alle voorgaande stappen, bepaal of de inzet\ + \ van het algoritme en proportioneel is om het [beoogde doel](1-pba-02-formuleren-doelstelling.md)\ + \ te bereiken. Wegen de voordelen op tegen de nadelen?\n\nHet is van belang voldoende\ + \ [belanghebbenden te betrekken](1-pba-04-betrek-belanghebbenden.md) bij het doorlopen\ + \ van deze stappen om te zorgen dat alle eventueel nadelige aspecten van het in\ + \ te zetten algoritme worden meegenomen. \nDocumenteer de doorlopen stappen en leg\ + \ de keuzes en afwegingen goed vast. \n\n!!! note \"Opmerking\"\n\n Zoals vermeld\ + \ in de [vereiste voor beoordeling van gevolgen voor grondrechten uit de AI-verordening](../vereisten/aia-27-beoordelen-gevolgen-grondrechten.md)\ + \ moeten sommige hoog-risico AI-systemen een beoordeling doen van de gevolgen voor\ + \ grondrechten. Het is nog niet bekend welke vorm dit precies moet hebben.\n" urn: urn:nl:ak:mtr:owp-06 language: nl owners: diff --git a/measures/2-owp-07-kwetsbare-groepen.yaml b/measures/2-owp-07-kwetsbare-groepen.yaml index f1c45b2..b59cd73 100644 --- a/measures/2-owp-07-kwetsbare-groepen.yaml +++ b/measures/2-owp-07-kwetsbare-groepen.yaml @@ -1,8 +1,46 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak een lijst van de meest kwetsbare groepen en bescherm hen extra -description: '' -explanation: '' +description: 'Bepaal wat de impact van het in te zetten algoritme is voor betrokkenen + (personen of groepen). + + Bepaal vervolgens of er groepen zijn waarbij de impact van het algoritme dermate + groot kan zijn, dat het wenselijk is om deze groepen extra bescherming te bieden. + + ' +explanation: "- Verschillende groepen kunnen op een andere manier geraakt worden door\ + \ het inzetten van een algoritme. Dit is afhankelijk van de context waarin het algoritme\ + \ wordt ingezet, en dient daardoor bij iedere toepassing opnieuw bekeken te worden.\ + \ \n- Bedenk wat er met de uitkomsten van het algoritme gedaan wordt, en wat de\ + \ consequenties daarvan zijn voor burgers. Hierbij kan gedacht worden aan de volgende\ + \ aspecten:\n - Worden bepaalde groepen sneller gemonitord?\n - Wat als het\ + \ model het fout heeft? \n - Wordt het systeem gebruikt om informatie te verkrijgen,\ + \ om besluiten voor te bereiden of om zelfstandige besluiten te nemen en welke gevolgen\ + \ heeft dat voor de mate waarin het algoritme bepalend zal zijn in de praktijk?\ + \ \n - Worden de gegevens veilig en vertrouwelijk behandeld; welke gevolgen zou\ + \ een datalek hebben voor groepen of categorieën personen?\n - Worden data gedeeld\ + \ met andere partijen en wat is het gevaar dat die misbruik maken van de data met\ + \ negatieve gevolgen voor groepen of categorieën personen?\n- Houd hierbij ook rekening\ + \ met de impact van het in te zetten algoritme op de samenleving (vanuit sociaal,\ + \ democratisch en milieu/ecologisch perspectief).\n- Om de impact op groepen te\ + \ bepalen, kan het handig zijn een mensenrechtentoets zoals het [Impact Assessment\ + \ Mensenrechten en Algoritmes](https://open.overheid.nl/documenten/ronl-c3d7fe94-9c62-493f-b858-f56b5e246a94/pdf)\ + \ toe te passen. \n- Bepaal of er maatregelen genomen kunnen worden om de geïdentificeerde\ + \ groepen extra bescherming te bieden. Hierbij kan men denken aan de volgende aspecten:\ + \ Kan de (extra) administratieve druk voor bepaalde groepen worden weggenomen? Worden\ + \ resultaten van het algoritme naast de resultaten van een expert gelegd? Is het\ + \ wenselijk om een proces in te richten waarbij zowel algoritme als een expert een\ + \ uitkomst geven? Kunnen we de betreffende groep extra hulp aanbieden? Is het wenselijk\ + \ bij negatieve uitkomsten een vier-ogen-principe toe te passen? \n- De impact van\ + \ het algoritme op de groepen die geïdentificeerd worden in deze stap, kunnen mogelijk\ + \ onderzocht worden in een [biasanalyse](5-ver-02-biasanalyse.md). Daarbij kan geidentificeerd\ + \ worden of bepaalde groepen oververtegenwoordigd of ondervertegenwoordigd zijn\ + \ in selecties, of dat het algoritme andere of meer fouten maakt voor bepaalde groepen.\ + \ \n- Merk op dat het onmogelijk is om de risico's voor alle specifieke groepen\ + \ af te vangen. Hierbij kan het helpen om te focussen op de meest kwetsbare groepen.\ + \ \n\nDe impact van het algoritme op de besluitvorming en op personen, doelgroepen\ + \ en/of de samenleving is niet inzichtelijk, waardoor onvoldoende maatregelen zijn\ + \ getroffen om ongewenste effecten (zoals bias en discriminatie) te voorkomen. \n" urn: urn:nl:ak:mtr:owp-07 language: nl owners: diff --git a/measures/2-owp-08-archiveren-documenten.yaml b/measures/2-owp-08-archiveren-documenten.yaml index bccf412..605646c 100644 --- a/measures/2-owp-08-archiveren-documenten.yaml +++ b/measures/2-owp-08-archiveren-documenten.yaml @@ -1,11 +1,14 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Bepaal welke documenten voor hoe lang gearchiveerd moeten worden -description: 'Stel vast welke documenten, (samengesteld geheel van) data/informatie - van/in het algoritme gelden als "archiefbescheiden" in de zin van [artikel 1 c Archiefwet](https://wetten.overheid.nl/jci1.3:c:BWBR0007376&hoofdstuk=I&artikel=1&z=2024-06-19&g=2024-06-19) +description: ' + + Stel vast welke documenten, (samengesteld geheel van) data/informatie van/in het + algoritme gelden als "archiefbescheiden" in de zin van [artikel 1 c Archiefwet](https://wetten.overheid.nl/jci1.3:c:BWBR0007376&hoofdstuk=I&artikel=1&z=2024-06-19&g=2024-06-19) en documenteer daarvan een overzicht, bij voorkeur vastgesteld door een daartoe bevoegde. Bepaal de bijbehorende bewaartermijnen vast voor de archiefbescheiden. + ' explanation: "- Bij archiefbescheiden kan worden gedacht aan de broncode, trainings-\ \ en testdata, (technische) documentatie en de output. \n- Deze archiefbescheiden\ @@ -25,7 +28,7 @@ explanation: "- Bij archiefbescheiden kan worden gedacht aan de broncode, traini \ welke voorziening hiervoor beschikbaar is binnen de organisatie.\n\n!!! tip \"\ Tip\" \n\n Formeer hierbij een multi-discipinaire groep (bestaande uit bijvoorbeeld\ \ een inkoper, ontwikkelaar, data scientist, proceseigenaar en archiefdeskundige)\ - \ om deze maatregel toe te passen." + \ om deze maatregel toe te passen.\n" urn: urn:nl:ak:mtr:owp-08 language: nl owners: diff --git a/measures/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding.yaml b/measures/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding.yaml index b7e43ab..eaedb39 100644 --- a/measures/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding.yaml +++ b/measures/2-owp-09-model-verwerkersovereenkomst-onderdeel-aanbesteding.yaml @@ -2,16 +2,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Een model-verwerkersovereenkomst is onderdeel van de aanbesteding als persoonsgegevens worden verwerkt -description: Inventariseer of er mogelijk sprake is van een algoritme dat een hoog - risico kan inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol - kan zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst - een uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) - of (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld +description: ' + + Inventariseer of er mogelijk sprake is van een algoritme dat een hoog risico kan + inhouden voor de rechten en vrijheden van natuurlijke personen of impactvol kan + zijn voor hen en maak in voorkomend geval in de model-verwerkersovereenkomst een + uitdrukkelijke verwijzing naar een concreet DPIA-document (met datum/kenmerk) of + (indien op dat moment nog in bezit of bekend bij de steller) een expliciet invulveld voor het duiden van de betreffende DPIA, zodat die wordt genoemd ter completeren van de verwerkersovereenkomst vooraf het overeenkomen/ondertekenen van die verwerkersovereenkomst. -explanation: Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij + + ' +explanation: 'Een model-verwerkersoverenkomst is veelal een verplicht onderdeel bij het publiek inkopen van software waarbij persoonsgegevens worden verwerkt en bij de totstandkoming van de overeenkomst. + + ' urn: urn:nl:ak:mtr:owp-09 language: nl owners: diff --git a/measures/2-owp-09-multidisciplinair-inkoopteam.yaml b/measures/2-owp-09-multidisciplinair-inkoopteam.yaml index 8e8f070..b6fd74f 100644 --- a/measures/2-owp-09-multidisciplinair-inkoopteam.yaml +++ b/measures/2-owp-09-multidisciplinair-inkoopteam.yaml @@ -1,8 +1,33 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Stel een multidisciplinair team samen bij het ontwikkelen of inkopen van algoritmes. -description: '' -explanation: '' +description: 'Stel een multidisciplinair team samen bij het ontwikkelen of inkopen + van algoritmes. + + ' +explanation: '- Bij een project gericht op het ontwikkelen of inkopen van algoritmes + is het belangrijk dat betrokkenen al in een vroeg stadium samenwerken. Dit betekent + dat zowel een interne opdrachtgever als het ontwikkelingsteam of de afdeling inkoop + tijdig worden aangehaakt om te zorgen voor een goed afgestemd proces. + + - Wanneer het gaat om het ontwikkelen of inkopen van algoritmes, is een multidisciplinair + team wenselijk. Zo''n team brengt relevante kennis en ervaring samen om de behoeften + en specificaties helder te krijgen. Afhankelijk van de aard en complexiteit van + het algoritme kunnen de rollen binnen dit team variëren. + + - Naast een interne opdrachtgever, materiedeskundige en gebruiker kun je voor het + ontwikkelen van algoritmes denken aan een data-engineer, data scientist, IT-architect, + ethicus, data- en privacy-officer. Bij een overheidsopdracht gericht op de inkoop + van een algiritme, horen daar nog een (aanbestedings)jurist en inkoper bij. Afhankelijk + van de complexiteit van de oplossing zijn meer of minder disciplines en dus te beleggen + verantwoordelijkheden binnen het team wenselijk. + + - Een multidisciplinair team kan ondersteunen bij het [formuleren van de probleemstelling](1-pba-01-formuleren-probleemdefinitie.md) + of [formuleren van de doelstellingen](1-pba-02-formuleren-doelstelling.md) van een + project, verkennen van de mogelijke oplossingsrichtingen en het vertalen van de + gewenste oplossingsrichting naar de concrete behoefte. + + ' urn: urn:nl:ak:mtr:owp-09 language: nl owners: diff --git a/measures/2-owp-10-projectstartarchitectuur.yaml b/measures/2-owp-10-projectstartarchitectuur.yaml index 0d51fb2..eee0537 100644 --- a/measures/2-owp-10-projectstartarchitectuur.yaml +++ b/measures/2-owp-10-projectstartarchitectuur.yaml @@ -2,8 +2,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak een Project Startarchitectuur (PSA) voor de ontwikkeling of inkoop van algoritmes -description: Voer een Project Startarchitectuur (PSA) uit als algoritmes worden ontwikkeld - of ingekocht. +description: ' + + Voer een Project Startarchitectuur (PSA) uit als algoritmes worden ontwikkeld of + ingekocht. + + ' explanation: "- Een Project Startarchitectuur (PSA) is een hulpmiddel dat bij een\ \ project wordt ingezet om veranderingen van A naar Beter te faciliteren.\n- De\ \ PSA richt zich daarbij op de kaders die op een project van toepassing zijn en\ @@ -17,8 +21,9 @@ explanation: "- Een Project Startarchitectuur (PSA) is een hulpmiddel dat bij ee \ bijvoorbeeld kan worden voorkomen dat het algoritme of AI-systeem na verloop van\ \ tijd geen input meer kan ontvangen door onverwachte wijzigingen in systemen.\n\ - Onderwerpen als privacy, informatiebeheer en beheer worden hierin ook globaal\ - \ meegenomen. \n \n## Bijbehorende vereiste(n) { data-search-exclude }\n??? expander\ - \ \"Bekijk alle vereisten\"\n " + \ meegenomen. \n \nHet algoritme kan niet of na verloop van tijd niet meer functioneren,\ + \ doordat onverwachte of ongewenst wijzigingen in het applicatielandschap plaatsvinden.\ + \ \n" urn: urn:nl:ak:mtr:owp-10 language: nl owners: diff --git a/measures/2-owp-11-duurzaam-inkopen.yaml b/measures/2-owp-11-duurzaam-inkopen.yaml index 7f3258c..26194c1 100644 --- a/measures/2-owp-11-duurzaam-inkopen.yaml +++ b/measures/2-owp-11-duurzaam-inkopen.yaml @@ -1,8 +1,62 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Koop duurzaam algoritmes in -description: '' -explanation: '' +description: ' + + Kies softwareoplossingen van aanbieders die duurzaamheid bevorderen, en stel heldere + eisen aan energieverbruik, hernieuwbare energiebronnen en transparantie over de + milieuprestaties van software. + + ' +explanation: 'Door software duurzaam in te kopen, kun je als organisatie al vroeg + in het ontwikkelproces bijdragen aan de verduurzaming van je algoritmes. Kies daarom + softwareoplossingen van aanbieders die maatschappelijk verantwoord ondernemen (MVI) + en energie-efficiëntie vooropstellen. + + + ### Duurzaamheidscriteria en selectie van aanbieders + + Om software duurzaam in te kopen, kun je aanbieders beoordelen op specifieke duurzaamheidscriteria. + Enkele belangrijke criteria zijn: + + + - het energieverbruik van de software + + - het gebruik van hernieuwbare energiebronnen in de benodigde datacenters + + - het beperken van CO₂-uitstoot tijdens de levenscyclus van de software + + + Vraag om inzicht in milieuprestaties en certificeringen, zoals ISO-14001, om de + toewijding van aanbieders aan duurzaamheid te toetsen. + + De ISO-14001 is een internationaal geaccepteerde standaard met eisen voor een milieumanagementsysteem. + + + ### Inkoopvoorwaarden en contractuele eisen + + Stel bij het inkopen duidelijke eisen aan duurzaamheidscriteria, zoals het gebruik + van "groene technologieën", het aanbieden van Software-as-a-Service (SaaS) en open + standaarden. Zo maak je duurzame keuzes die bijdragen aan een langere levensduur + en energie-efficiëntie van je algoritmes. Door KPI’s op te nemen voor energie-efficiëntie + en CO₂-reductiedoelen kun je de voortgang van deze doelen concreet monitoren. Je + kunt deze voorwaarden opnemen als [standaard inkoopvoorwaarden](../hulpmiddelen/inkoopvoorwaarden.md). + + + ### Bonus-malusregeling en monitoring + + Om naleving van duurzame doelstellingen te stimuleren, kun je een bonus-malusregeling + inzetten. Aanbieders ontvangen een bonus wanneer zij duurzame doelstellingen halen, + en kunnen worden aangesproken als beloofde duurzaamheidsnormen niet worden behaald. + Monitoring via jaarlijkse rapportages helpt om de voortgang van de duurzaamheidsdoelen + te evalueren en, indien nodig, bij te sturen. + + + Zonder duurzaamheidscriteria bij het inkopen van software loop je het risico op + hogere energie- en kostenlasten, en beperk je de mogelijkheden om duurzaamheidsdoelstellingen + te halen bij je algoritmes. + + ' urn: urn:nl:ak:mtr:owp-11 language: nl owners: diff --git a/measures/2-owp-11-gebruikte-data.yaml b/measures/2-owp-11-gebruikte-data.yaml index 11f4a6a..5c125cf 100644 --- a/measures/2-owp-11-gebruikte-data.yaml +++ b/measures/2-owp-11-gebruikte-data.yaml @@ -1,9 +1,15 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beschrijf welke data gebruikt wordt voor de beoogde toepassing -description: '' -explanation: " \n## Bijbehorende vereiste(n) { data-search-exclude }\n??? expander\ - \ \"Bekijk alle vereisten\"\n " +description: "Beschrijf welke data gebruikt wordt voor de beoogde toepassing. \n" +explanation: "- Maak in een vroege fase van de ontwikkeling een inschatting van welke\ + \ data er gebruikt gaat worden voor het algoritme.\n- Leg na het uitvoeren van een\ + \ [beschikbaarheids-](2-owp-02-data-beschikbaarheid.md), [kwaliteit](3-dat-01-datakwaliteit.md)\ + \ en toegankelijkheidsanalyse vast, welke data wordt verwerkt voor het ontwikkelen\ + \ en gebruiken van het algoritme\n- Beschrijf daarbij om wat voor gegevens het gaat\ + \ en uit welke bron deze komen.\n- Bepaal of het is [toegestaan om deze data](2-owp-03-doel-verwerken-persoonsgegevens.md)\ + \ te verwerken.\n- Het is denkbaar dat het onderzoek van de kwaliteit van de data\ + \ in een latere fase in de levenscyclus pas grondig kan worden uitgevoerd. \n\n\n" urn: urn:nl:ak:mtr:owp-02 language: nl owners: diff --git a/measures/2-owp-12-bespreek-vereisten-met-aanbieders.yaml b/measures/2-owp-12-bespreek-vereisten-met-aanbieders.yaml index 776ccc6..53ac060 100644 --- a/measures/2-owp-12-bespreek-vereisten-met-aanbieders.yaml +++ b/measures/2-owp-12-bespreek-vereisten-met-aanbieders.yaml @@ -2,8 +2,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Bespreek de vereisten die gelden voor een verantwoorde inzet van algoritmes met aanbieders. -description: '' -explanation: '' +description: ' + + Bespreek de vereiste die gelden voor een verantwoorde inzet van algoritmes met een + aanbieder. + + ' +explanation: "Ga met een aanbieder in gesprek over in hoeverre zij invulling kunnen\ + \ geven aan de vereisten die gelden voor een verantwoorde inzet van algoritmes.\ + \ Dit kan worden gedaan bijvoorbeeld bij een informatiesessie met aanbieders voorafgaand\ + \ aan een aanbesteding. \n\nOp basis van nieuwe of gewijzigde wet- en regelgeving\ + \ of de totstandkoming van nieuwe standaard, is het denkbaar dat aanbieders van\ + \ algoritmes nog niet of niet meer voldoet aan deze vereisten. Het is van belang\ + \ om deze inzichten bijvoorbeeld tijdens een aanbesteding worden verkregen. Indien\ + \ van toepassing, laat de aanbieder inzichtelijk maken welke stappen deze gaat zetten\ + \ om hieraan te gaan voldoen. Dit is ook relevant bij reeds afgesloten contracten.\n" urn: urn:nl:ak:mtr:owp-12 language: nl owners: diff --git a/measures/2-owp-12-eenvoudigere-algoritmes.yaml b/measures/2-owp-12-eenvoudigere-algoritmes.yaml index 1f969a9..c23a340 100644 --- a/measures/2-owp-12-eenvoudigere-algoritmes.yaml +++ b/measures/2-owp-12-eenvoudigere-algoritmes.yaml @@ -1,8 +1,54 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Ontwerp algoritmes zo eenvoudig mogelijk -description: '' -explanation: '' +description: 'Ontwerp algoritmes gericht op eenvoud en efficiëntie, zodat het energieverbruik + en de benodigde rekenkracht tijdens gebruik minimaal blijven. + + ' +explanation: 'Complexe algoritmes vereisen vaak aanzienlijke rekenkracht, wat energie-intensief + kan zijn. Door algoritmes minder complex en rekenintensief te ontwerpen, verlaag + je de benodigde middelen en energie bij het trainen en uiteindelijk toepassen van + deze algoritmes. Een efficiënter ontwerp maakt de algoritmes energiezuiniger in + de trainings- en gebruiksfase en draagt zo bij aan duurzaamheid in de gehele levenscyclus. + + + ### Modellen vereenvoudigen en focussen op kernfunctionaliteit + + Wanneer je een nieuw algoritme ontwikkelt, kun je de omvang en rekenbelasting beperken + door alleen noodzakelijke functionaliteit op te nemen. Focus op de kernfunctionaliteit, + zodat je gebruik maakt van een kleiner model dat beter te begrijpen en gemakkelijker + te beheren is. Het vermijden van overbodige functionaliteiten maakt het algoritme + minder zwaar en verlaagt de milieu-impact aanzienlijk. + + + ### Minder complexiteit door divide-and-conquer en dynamisch programmeren + + Een populaire methode om complexiteit te verlagen is het *divide-and-conquer* principe, + waarbij je een grote algoritmische berekening opsplitst in kleinere, overzichtelijke + deelberekeningen en deze vervolgens oplost (je splitst hierbij het technische probleem + in meerdere kleinere problemen). Dit vermindert de rekenlast aanzienlijk en verhoogt + de efficiëntie. Ook kun je met *dynamisch programmeren* optimalisaties toevoegen + door eerder berekende resultaten op te slaan en te hergebruiken, wat herhaling van + berekeningen voorkomt en de rekenkracht vermindert. + + + ### Minder complexiteit door modeloptimalisatie + + - Door gebruik te maken van *pruning* kunnen minder relevante verbindingen en nodes + in een neuraal netwerk worden verwijderd, waardoor de rekenbelasting vermindert. + + - *Quantization* verlaagt de precisie van numerieke waarden in een model, wat opslag + en rekenkracht verlaagt zonder de prestaties significant te beïnvloeden. + + - *Knowledge distillation* kan verder helpen door de kennis van een groot model + over te dragen naar een kleiner, minder complex model, dat vervolgens efficiënter + werkt. + + + Ontwerpen zonder oog voor efficiëntie kan leiden tot energie-intensieve algoritmes + die hoge kosten en milieubelasting met zich meebrengen. + + ' urn: urn:nl:ak:mtr:owp-12 language: nl owners: diff --git a/measures/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst.yaml b/measures/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst.yaml index 8cbebf1..6a6a259 100644 --- a/measures/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst.yaml +++ b/measures/2-owp-13-vereisten-onderdeel-algemene-inkoopvoorwaarden-en-contractovereenkomst.yaml @@ -2,8 +2,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak vereisten voor algoritmes onderdeel van algemene inkoopvoorwaarden en de contractovereenkomst. -description: '' -explanation: '' +description: ' + + Maak vereisten voor algoritmes onderdeel van contractvoorwaarden en de contractovereeenkomst. + + ' +explanation: '- Door vereisten die gelden voor algoritmes onderdeel te maken van contractvoorwaarden, + is voor een aanbieder vooraf duidelijk aan welke voorwaarden zij moeten voldoen + als zijn algoritmes willen aanbieden aan overheidsorganisaties. + + - Het is van belang om een afweging te maken welke vereisten voor algoritmes als + [''algemene contractvoorwaarden''](../hulpmiddelen/inkoopvoorwaarden.md) kunnen + gelden en welke aanvullend in een contractovereenkomst moeten worden opgenomen. + + ' urn: urn:nl:ak:mtr:owp-13 language: nl owners: diff --git a/measures/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding.yaml b/measures/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding.yaml index 850e827..f9f3dbb 100644 --- a/measures/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding.yaml +++ b/measures/2-owp-14-verwerkersovereenkomst-onderdeel-aanbesteding.yaml @@ -2,9 +2,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak het opstellen van een verwerkersovereenkomst onderdeel van de aanbesteding als persoonsgegevens worden verwerkt. -description: Het opstellen van een verwerkersovereenkomst met aanbieder is onderdeel - van de aanbesteding als persoonsgegevens worden verwerkt of noodzakelijk zijn voor - het trainen of genereren van output door algoritmes van aanbieder. +description: ' + + Het opstellen van een verwerkersovereenkomst met aanbieder is onderdeel van de aanbesteding + als persoonsgegevens worden verwerkt of noodzakelijk zijn voor het trainen of genereren + van output door algoritmes van aanbieder. + + ' explanation: 'Een verwerkersovereenkomst moet worden opgesteld als persoonsgegevens worden verwerkt voor het trainen of het genereren van output door algoritmes van aanbieder. Met een verwerkersovereenkomst worden een aantal afspraken schriftelijk @@ -56,7 +60,9 @@ explanation: 'Een verwerkersovereenkomst moet worden opgesteld als persoonsgegev - Audits. De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich - houdt aan de hierboven genoemde verplichtingen (artikel 28 AVG).' + houdt aan de hierboven genoemde verplichtingen (artikel 28 AVG). + + ' urn: urn:nl:ak:mtr:owp-14 language: nl owners: diff --git a/measures/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder.yaml b/measures/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder.yaml index 979cac5..830d377 100644 --- a/measures/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder.yaml +++ b/measures/2-owp-15-leveren-bewijs_voldoen-aan-vereisten-algoritme-aanbieder.yaml @@ -2,8 +2,18 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak het leveren van bewijs voor het voldoen aan de vereisten voor algoritmes onderdeel van de beoordeling van een inschrijving. -description: '' -explanation: '' +description: "\n Maak het leveren van bewijs voor het voldoen aan de vereiste onderdeel\ + \ van de beoordeling van een inschrijving\n" +explanation: "Het leveren van bewijs door aanbieder dat de ontwikkelde algoritmes\ + \ voldoen aan de vereisten, draagt bij aan het kunnen beoordelen of een aanbieder\ + \ geschikt is om mee te contracteren. Bij het leveren van bewijs kan worden gedacht\ + \ aan het overhandigen van bijvoorbeeld een certificaat of een EU-conformiteitsverklaring\ + \ voor hoog risico AI-systemen. \n\nDaarbij is het relevant om te beoordelen in\ + \ hoeverre er is voldaan aan geharmoniseerde standaarden. Deze standaarden zijn\ + \ momenteel in ontwikkeling. In de (nabije) toekomst zal dit naar verwachting op\ + \ een vergelijkbare manier kunnen worden benaderd als bij het moeten leveren van\ + \ een NEN-ISO 27001 certificaat (voldoen aan informatiebeveiligingsvereisten) door\ + \ een leverancier. \n" urn: urn:nl:ak:mtr:owp-15 language: nl owners: diff --git a/measures/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten.yaml b/measures/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten.yaml index 5cf0554..9231fe3 100644 --- a/measures/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten.yaml +++ b/measures/2-owp-16-leveren-bewijs-door-aanbieder-niet-schenden-auteursrechten.yaml @@ -2,34 +2,44 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Laat aanbieder(s) bewijs leveren dat de door hen ontwikkelde algoritmes geen inbreuk maken op de auteursrechten van derden met de trainingsdata en de output. -description: Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat - auteursrechten niet worden geschonden met de trainingsdata en output van diens algoritme - van bijvoorbeeld een aanbesteding. -explanation: '### Trainingsdata +description: ' - - Algoritmes worden veelal getraind aan de hand van een omvangrijke hoeveelheid - data. Wanneer grote hoeveelheden data, bijvoorbeeld door deze te scrapen van internet, - worden gebruikt is het zeer aannemelijk (of: nagenoeg zeker) dat zich onder de gescrapete - inhoud (ook) veel auteursrechtelijk beschermde werken bevinden, zoals bijvoorbeeld - e-books en afbeeldingen. De gebruikte auteursrechtelijke werken kunnen soms bijvoorbeeld - uit illegale bron verkregen zijn, en ook los daarvan zijn rechthebbenden veelal - niet op de hoogte van het feit dat hun auteursrechtelijke werken voor de ontwikkeling - van een algoritme of AI gebruikt worden. + Maak het al dan niet kunnen leveren van bewijs door een aanbieder dat auteursrechten + niet worden geschonden met de trainingsdata en output van diens algoritme van bijvoorbeeld + een aanbesteding. - - - Onder auteursrechtjuristen wordt aangenomen dat het gebruik van auteursrechtelijk - beschermde werken ter training van algoritmes (waarschijnlijk) als kopiëren geldt: - een handeling die de rechthebbende kan verbieden. Dat betekent dat aanbieders van - algoritmes het gebruik van auteursrechtelijk beschermd materiaal in de inputfase - steeds moeten kunnen legitimeren op grond van (a) toestemming van de rechthebbende(n) - of (b) een in de wet neergelegde exceptie op het auteursrechtelijke verveelvoudigingsrecht. - - - - Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de - trainingsdata is verkregen en of dit rechtmatig was. Laat de aanbieders(s) ook aantonen - welke maatregelen er zijn getroffen om dit te voorkomen en ga hier eventueel over - in gesprek. Maak een jurist onderdeel van de beoordeling hiervan. Overweeg om een - bronvermelding te laten opnemen.' + ' +explanation: "### Trainingsdata\n- Algoritmes worden veelal getraind aan de hand van\ + \ een omvangrijke hoeveelheid data. Wanneer grote hoeveelheden data, bijvoorbeeld\ + \ door deze te scrapen van internet, worden gebruikt is het zeer aannemelijk (of:\ + \ nagenoeg zeker) dat zich onder de gescrapete inhoud (ook) veel auteursrechtelijk\ + \ beschermde werken bevinden, zoals bijvoorbeeld e-books en afbeeldingen. De gebruikte\ + \ auteursrechtelijke werken kunnen soms bijvoorbeeld uit illegale bron verkregen\ + \ zijn, en ook los daarvan zijn rechthebbenden veelal niet op de hoogte van het\ + \ feit dat hun auteursrechtelijke werken voor de ontwikkeling van een algoritme\ + \ of AI gebruikt worden.\n\n- Onder auteursrechtjuristen wordt aangenomen dat het\ + \ gebruik van auteursrechtelijk beschermde werken ter training van algoritmes (waarschijnlijk)\ + \ als kopiëren geldt: een handeling die de rechthebbende kan verbieden. Dat betekent\ + \ dat aanbieders van algoritmes het gebruik van auteursrechtelijk beschermd materiaal\ + \ in de inputfase steeds moeten kunnen legitimeren op grond van (a) toestemming\ + \ van de rechthebbende(n) of (b) een in de wet neergelegde exceptie op het auteursrechtelijke\ + \ verveelvoudigingsrecht.\n\n- Laat de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen\ + \ op welke manier de trainingsdata is verkregen en of dit rechtmatig was. Laat de\ + \ aanbieders(s) ook aantonen welke maatregelen er zijn getroffen om dit te voorkomen\ + \ en ga hier eventueel over in gesprek. Maak een jurist onderdeel van de beoordeling\ + \ hiervan. Overweeg om een bronvermelding te laten opnemen.\n\n### Output\nLaat\ + \ de aanbieder(s) uitleggen en (aantoonbaar) onderbouwen op welke manier de trainingsdata\ + \ is verkregen en of dit rechtmatig was. Laat de aanbieders(s) ook aantonen welke\ + \ maatregelen er zijn getroffen om dit te voorkomen. Maak een jurist onderdeel van\ + \ de beoordeling hiervan. Overweeg om een bronvermelding te laten opnemen.\n\n###\ + \ Risicomanagement\nHet is van belang dat de (rest)risico's inzichtelijk zijn gemaakt\ + \ als er sprake is van een (potentiële) schending van auteursrechten. Laat een aanbieder\ + \ deze risico's inzichtelijk maken, zodat aanbieder en gebruiksverantwoordelijke\ + \ maatregelen kunnen treffen en handelen als dit nodig is. Beoordeel of deze rest(risico's)\ + \ acceptabel zijn. \n\n### Contractovereenkomst\nNeem in de conceptovereenkomst\ + \ op dat de aanbieder garandeert dat auteursrechten niet worden geschonden met de\ + \ trainingsdata of output van het algoritme en dat aanbieder dit gedurende de ontwikkeling\ + \ en levensduur actief bewaakt.\n" urn: urn:nl:ak:mtr:owp-16 language: nl owners: diff --git a/measures/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder.yaml b/measures/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder.yaml index 13b0180..29a3981 100644 --- a/measures/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder.yaml +++ b/measures/2-owp-17-beoordeel-aansprakelijkheidsvoorwaarden-van-aanbieder.yaml @@ -1,8 +1,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Aansprakelijkheidsvoorwaarden van een aanbieder worden beoordeeld in de aanbesteding -description: Maak de aansprakelijkheidsvoorwaarden die een aanbieder stelt ten aanzien - van auteursrechten een vast onderdeel om te beoordelen in de aanbesteding. +description: ' + + Maak de aansprakelijkheidsvoorwaarden die een aanbieder stelt ten aanzien van auteursrechten + een vast onderdeel om te beoordelen in de aanbesteding. + + ' explanation: '- Eindgebruikers van algoritmes kunnen er niet altijd op vertrouwen, of (eenvoudig) nagaan, of datgene wat zij door middel van een algoritme laten genereren, inbreuk maakt op rechten van anderen. Het is onwenselijk dat een eindgebruiker aansprakelijk @@ -28,6 +32,7 @@ explanation: '- Eindgebruikers van algoritmes kunnen er niet altijd op vertrouwe - Het is daarom van belang om een beoordeling te maken in hoeverre de aansprakelijkheidsvoorwaarden van de aanbieder passend zijn. Maak een jurist onderdeel van de beoordeling. + ' urn: urn:nl:ak:mtr:owp-17 language: nl diff --git a/measures/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria.yaml b/measures/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria.yaml index d70e5f6..e1ea2da 100644 --- a/measures/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria.yaml +++ b/measures/2-owp-18-maak-vereisten-onderdeel-van-subgunningscriteria.yaml @@ -1,8 +1,19 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding. -description: '' -explanation: '' +description: ' + + Maak vereisten onderdeel van (sub)gunningscriteria bij een aanbesteding. + + ' +explanation: "- Door een vereiste onderdeel te maken van een (sub)gunningscriteria,\ + \ ontstaat een mogelijkheid voor aanbieders om zich te onderscheiden van andere\ + \ aanbieders.\n- Dit kan zorgen voor een extra stimulatie op kwaliteitsaspecten\ + \ van algoritmes\n- In de context van algoritmes is dit in het bijzonder relevant,\ + \ bijvoorbeeld in relatie tot vereisten als non-discriminatie, eerbiedigen fundamentele\ + \ rechten of het verbod op schenden auteursrechten. \n- Door vereisten te vertalen\ + \ naar een (sub)gunningscriteria, kan een inhoudelijke beoordeling worden gemaakt\ + \ in hoeverre een aanbieder voldoet aan deze vereisten.\n" urn: urn:nl:ak:mtr:owp-18 language: nl owners: diff --git a/measures/2-owp-19-ruimte-voor-samenwerking-met-aanbieder.yaml b/measures/2-owp-19-ruimte-voor-samenwerking-met-aanbieder.yaml index cd69337..062b74b 100644 --- a/measures/2-owp-19-ruimte-voor-samenwerking-met-aanbieder.yaml +++ b/measures/2-owp-19-ruimte-voor-samenwerking-met-aanbieder.yaml @@ -2,8 +2,28 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten te realiseren -description: '' -explanation: '' +description: ' + + Creëer ruimte om met een aanbieder samen te gaan werken om specifieke vereisten + te gaan realiseren. + + ' +explanation: "- Om op een betekenisvolle manier invulling te geven aan bepaalde vereisten,\ + \ kan het noodzakelijk zijn dat opdrachtgever en aanbieder (innovatief) moeten gaan\ + \ samenwerken. Op basis van nieuwe wet- en regelgeving (bv. AI-Verordening) of geharmoniseerde\ + \ standaarden kunnen aanbieders mogelijk nog niet voldoen aan nieuwe vereisten.\ + \ Het kan ook onduidelijk zijn hoe moet worden voldaan aan vereisten nu de technologie\ + \ zich snel ontwikkelt of dat de specifieke omstandigheden van het beoogde gebruik\ + \ vragen om een samenspel tussen opdrachtgever en aanbieder.\n\n- Bij een verantwoorde\ + \ inzet van algoritmes kan het bij vereisten zoals [non-discriminatie](../../onderwerpen/bias-en-non-discriminatie.md),\ + \ [transparantie](../../onderwerpen/transparantie.md), [menselijke controle](../../onderwerpen/menselijke-controle.md)\ + \ en [grondrechten](../../onderwerpen/fundamentele-rechten.md) van belang zijn om\ + \ samen te onderzoeken hoe hier invulling aan moet worden gegeven. Het is belangrijk\ + \ om bij de behoeftestelling al te verkennen om welke onderwerpen dit mogelijk van\ + \ toepassing is. Bij een marktverkenning of informatiesessie kan worden verkend\ + \ hoe aanbieders ervoor staan. Op basis hiervan kan worden beoordeeld in hoeverre\ + \ bijvoorbeeld in een aanbesteding contractuele ruimte moet worden gecreëerd voor\ + \ opdrachtgever en aanbieder om hieraan te werken. \n\n" urn: urn:nl:ak:mtr:owp-19 language: nl owners: diff --git a/measures/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie.yaml b/measures/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie.yaml index 3f79266..02e9412 100644 --- a/measures/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie.yaml +++ b/measures/2-owp-20-vaststellen-aanleveren-informatie-technische-documentatie.yaml @@ -2,9 +2,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Vul technische documentatie van aanbieder aan met relevante informatie vanuit de gebruiksverantwoordelijke. -description: Vul technische documentatie van aanbieder aan met relevante informatie - vanuit de gebruiksverantwoordelijke, zodat het alle relevante onderdelen van het - algoritme zijn beschreven. +description: ' + + Vul technische documentatie van aanbieder aan met relevante informatie vanuit de + gebruiksverantwoordelijke, zodat het alle relevante onderdelen van het algoritme + zijn beschreven. + + ' explanation: "- Het is van belang dat duidelijke afspraken worden gemaakt over het\ \ opstellen, aanvullen en actueel houden van technische documentatie van algorites.\ \ Bij het inkopen van algoritmes moet hier rekening mee worden gehouden. De aanbieder\ @@ -18,7 +22,7 @@ explanation: "- Het is van belang dat duidelijke afspraken worden gemaakt over h \ verschillende toepassingen of versies. Bespreek met het projectteam welke onderdelen\ \ van de technische documentatie voor AI-systemen, als genoemd in de Bijlage 4 AI-verordening,\ \ door welke partij (aanbieder of gebruiksverantwoordelijke) moeten worden ingevuld\ - \ of aangevuld. " + \ of aangevuld. \n" urn: urn:nl:ak:mtr:owp-20 language: nl owners: diff --git a/measures/2-owp-21-uitvoeren-audit-voor-naleving-vereisten.yaml b/measures/2-owp-21-uitvoeren-audit-voor-naleving-vereisten.yaml index b60f08e..08378f3 100644 --- a/measures/2-owp-21-uitvoeren-audit-voor-naleving-vereisten.yaml +++ b/measures/2-owp-21-uitvoeren-audit-voor-naleving-vereisten.yaml @@ -2,8 +2,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst -description: '' -explanation: '' +description: "\nNeem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden\ + \ en de contractovereenkomst \n" +explanation: 'Het is van belang dat opdrachtgever mogelijkheden heeft om te controleren + in hoeverre door aanbieder/opdrachtnemer wordt voldaan aan naleving van de contractvoorwaarden + + ' urn: urn:nl:ak:mtr:owp-21 language: nl owners: diff --git a/measures/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders.yaml b/measures/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders.yaml index e8d9f06..8476faa 100644 --- a/measures/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders.yaml +++ b/measures/2-owp-22-invloed-besluitvorming-algoritmes-aanbieders.yaml @@ -2,8 +2,23 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Bepaal in een aanbesteding of algoritmes van een aanbieder bepalende invloed hebben in een besluit richting personen -description: '' -explanation: '' +description: 'Ga na of algoritmes van een aanbieder een bepalende invloed hebben in + een besluit richting personen en laat de aanbieder onderbouwen in hoeverre dit wel + of niet het geval is. + + ' +explanation: "- Als overheidsorganisaties algoritmes willen gebruiken van aanbieders,\ + \ dan zal bijvoorbeeld tijdens een aanbestedingsproces moeten worden beoordeeld\ + \ in hoeverre deze algoritmes invloed hebben op besluitvormingprocessen van deze\ + \ organisaties. Algoritmes kunnen namelijk gebruikers ondersteunen bij de totstandkoming\ + \ van besluiten, maar ook de besluitvorming van gebruikers overnemen. De mate van\ + \ [menselijke tussenkomst](../../onderwerpen/menselijke-controle.md) speelt daarbij\ + \ een belangrijk rol. \n\n- Een opdrachtgever moet zelf bepalen welke algoritmes,\ + \ gezien de specifieke context, wenselijk en toegestaan zijn. Vervolgens moet worden\ + \ beoordeeld of de algoritmes die worden aangeboden door aanbieder daarbij aansluiten.\n\ + \n- Tijdens het aanbestedingsproces moeten daarom inzichten worden verkregen hoe\ + \ de algoritmes van aanbieders functioneren om tot een beoordeling te kunnen komen.\ + \ Laat de aanbieder dit toelichten. \n\n\n" urn: urn:nl:ak:mtr:owp-22 language: nl owners: diff --git a/measures/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder.yaml b/measures/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder.yaml index 8761f7e..3430de5 100644 --- a/measures/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder.yaml +++ b/measures/2-owp-23-kennisoverdracht-en-ondersteuning-aanbieder.yaml @@ -2,10 +2,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Laat de aanbieder aangeven welke mate van opleiding en ondersteuning bij de implementatie nodig is om de beoogde algoritmes verantwoord te gebruiken. -description: 'Laat de aanbieder aangeven welke mate van kennisoverdracht (opleiding - en training) en ondersteuning bij de organisatorische implementatie nodig is om - de beoogde algoritmes verantwoord te kunnen gebruiken. ' -explanation: '' +description: "\nLaat de aanbieder aangeven welke mate van kennisoverdracht (opleiding\ + \ en training) en ondersteuning bij de organisatorische implementatie nodig is om\ + \ de beoogde algoritmes verantwoord te kunnen gebruiken. \n" +explanation: 'Beoordeel of de kennisoverdracht en ondersteuning van aanbieder voldoende + is om voor een langere periode zelfstandig op een verantwoorde wijze gebruikt te + kunnen maken van de algoritmes. + + + Laat de aanbieder aangeven op welk niveau de noodzakelijkerwijs te leveren trainingen + passend is voor het beoogde gebruik, waarbij de opdrachtgever vooraf inzicht geeft + in het bestaande niveau, zodat een aanbieder concreet kan zijn over eventuele verschillen + tussen beiden. + + ' urn: urn:nl:ak:mtr:owp-23 language: nl owners: diff --git a/measures/2-owp-24-risico-analyse-informatiebeveiliging-leverancier.yaml b/measures/2-owp-24-risico-analyse-informatiebeveiliging-leverancier.yaml index f929cf4..d426c2a 100644 --- a/measures/2-owp-24-risico-analyse-informatiebeveiliging-leverancier.yaml +++ b/measures/2-owp-24-risico-analyse-informatiebeveiliging-leverancier.yaml @@ -2,8 +2,18 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging bij een uitbestedingstraject -description: '' -explanation: '' +description: 'Voer een risico-analyse met de aanbieder uit op het gebied van informatiebeveiliging + bij een uitbestedingstraject + + ' +explanation: '- Stel vast of een aanbieder voldoet aan de Baseline Informatiebeveiliging + Overheid. + + - Bespreek de informatiebeveiligingseisen met aanbieder die verband houden met de + beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en de informatiesystemen. + + - Bepaal of er, gezien de restrisico''s, aanvullende beveiligingsmaatregelen (door + de aanbieder of opdrachtgever) moeten worden getroffen om deze te beschermen.' urn: urn:nl:ak:mtr:owp-24 language: nl owners: diff --git a/measures/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen.yaml b/measures/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen.yaml index bd3ddda..d25c44b 100644 --- a/measures/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen.yaml +++ b/measures/2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen.yaml @@ -1,8 +1,18 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak vereisten onderdeel van het programma van eisen bij een aanbesteding -description: '' -explanation: '' +description: ' + + Maak vereisten onderdeel van het programma van eisen bij een aanbesteding + + ' +explanation: "- Door vereisten onderdeel te maken van het programma van eisen bij\ + \ een aanbesteding, is het voor aanbieders duidelijk aan welke specifieke eisen\ + \ een oplossing moet voldoen.\n- Op basis hiervan kan een aanbieder een zo goed\ + \ mogelijke aanbieding doen.\n- Afhankelijk van de behoeftestelling kan het relevant\ + \ zijn om bepaalde vereisten te verfijnen in het Programma van Eisen en aan te geven\ + \ wanneer hieraan voldaan is, bijvoorbeeld met betrekking tot het transparantievereiste.\ + \ Bepaal met het inkoopteam bij welke vereisten dit noodzakelijk is. \n" urn: urn:nl:ak:mtr:owp-25 language: nl owners: diff --git a/measures/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement.yaml b/measures/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement.yaml index 34419c6..29a9faa 100644 --- a/measures/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement.yaml +++ b/measures/2-owp-26-maak-vereisten-onderdeel-van-service-level-agreement.yaml @@ -1,8 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak vereisten voor algoritmes onderdeel van de Service Level Agreement -description: '' -explanation: '' +description: ' + + Maak de vereiste onderdeel van Service Level Agreement + + ' +explanation: "- Onderzoek met het inkoopteam het relevant is om vereiste voor een\ + \ verantwoorde inzet van algoritmes onderdeel te maken van de Service Level Agreement.\ + \ \n- Met een SLA kunnen specifieke afspraken worden gemaakt over de kwaliteit van\ + \ de dienstverlening van aanbieder.\n- Hierbij kan worden gedacht aan onderwerpen\ + \ als incidentmanagement, servicemanagement, verantwoordelijkheden matrix, hersteltijd,\ + \ prestatiecriteria, reproduceerbaarheid, versiebeheer van de gebruikte algoritmes\ + \ en informatiebeveiliging. \n- Laat de aanbieder aangeven welke vormen van onderhoud\ + \ aan de betreffende algoritmes nodig zijn en de snelheid waarmee signalen vanuit\ + \ gebruik, ongeacht de bron, kunnen worden verwerkt in het systeem en welke expertise\ + \ hiervoor beschikbaar is. \n\n" urn: urn:nl:ak:mtr:owp-26 language: nl owners: diff --git a/measures/2-owp-27-contractuele-afspraken-data-en-artefacten.yaml b/measures/2-owp-27-contractuele-afspraken-data-en-artefacten.yaml index 48e1816..3221cb6 100644 --- a/measures/2-owp-27-contractuele-afspraken-data-en-artefacten.yaml +++ b/measures/2-owp-27-contractuele-afspraken-data-en-artefacten.yaml @@ -1,10 +1,14 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak (contractuele) afspraken over data en artefacten met een aanbieder -description: Maak (contractuele) afspraken met de aanbieder wie eigenaar is van de - data en artefacten die ontstaan bij het gebruik van algoritmes. -explanation: 'Hier kan worden gedacht aan (initiële) trainingsdatasets, outputdata - (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers). ' +description: ' + + Maak (contractuele) afspraken met de aanbieder wie eigenaar is van de data en artefacten + die ontstaan bij het gebruik van algoritmes. + + ' +explanation: "Hier kan worden gedacht aan (initiële) trainingsdatasets, outputdata\ + \ (richting gebruikers) en nieuwe trainingsdata (vanuit gebruikers). \n" urn: urn:nl:ak:mtr:owp-27 language: nl owners: diff --git a/measures/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd.yaml b/measures/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd.yaml index c74884c..497e858 100644 --- a/measures/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd.yaml +++ b/measures/2-owp-28-pas-vastgestelde-beleidskaders-zijn-nageleefd.yaml @@ -2,9 +2,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes. -description: ' Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat - deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.' -explanation: '' +description: "\n Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat\ + \ deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes.\n" +explanation: "- Interne vastgestelde beleidskaders moeten worden toegepast bij het\ + \ ontwikkelen, inkopen of gebruiken van algoritmes.\n- Het is van belang dat tijdig,\ + \ bijvoorbeeld in de [probleemanalyse fase](../../levenscyclus/probleemanalyse.md),\ + \ inzichtelijk wordt gemaakt welke interne beleidskaders moeten worden toegepast.\n\ + - Hierbij kan worden gedacht aan definities die moeten worden gehanteerd, het naleven\ + \ van inkoopbeleid, strategisch beleid volgen met betrekking tot het mogen inzetten\ + \ van algoritmes binnen de organisaties of het doorlopen van processen en protocollen\ + \ die moeten worden toegepast.\n- Vraag de [betrokken experts](1-pba-04-betrek-belanghebbenden.md)\ + \ welke beleidskaders van toepassing zijn vanuit diens specifieke expertise. \n\ + - Ten behoeve van controles en audits is het van belang dat aantoonbaar wordt gemaakt\ + \ dat de vastgestelde beleidskaders zijn nageleefd. \n \nDe in te zetten algoritmes\ + \ voldoen niet aan vastgestelde beleidskaders. \n" urn: urn:nl:ak:mtr:owp-28 language: nl owners: diff --git a/measures/2-owp-29-informeer_betrokkenen.yaml b/measures/2-owp-29-informeer_betrokkenen.yaml index 8a83db6..60ad750 100644 --- a/measures/2-owp-29-informeer_betrokkenen.yaml +++ b/measures/2-owp-29-informeer_betrokkenen.yaml @@ -2,8 +2,47 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Stel vast welke betrokkenen geïnformeerd moeten worden en welke informatie zij nodig hebben. -description: '' -explanation: '' +description: ' + + Stel vast welke betrokkenen geïnformeerd moeten worden over de ontwikkeling en het + gebruik van algoritmes en welke informatie zij hierover nodig hebben. + + ' +explanation: "Welke informatie over algoritmes relevant is, verschilt per partij.\ + \ Het is van belang om deze partijen in beeld te brengen en vast te stellen welke\ + \ informatie voor hen relevant is. Raadpleeg hierbij vastgestelde [beleidskaders](0-org-02-beleid_opstellen_inzet_algoritmes.md),\ + \ waarin is beschreven welke informatie in welke gevallen moet worden gecommuniceerd.\n\ + \nStel bijvoorbeeld de volgende vragen:\n\n| Vragen\t|Acties die je kan ondernemen\ + \ |\n| :-----------------|---------------|\n| Wie heeft informatie nodig over het\ + \ ontwikkelen en gebruiken van algoritmes? |\tStel vast welke betrokken(en) binnen\ + \ of buiten de organisatie iets over het algoritme wil of zou moeten weten. |\n\ + | Wat voor informatie voor algoritmes heeft deze betrokken partij nodig? | Toets\ + \ dit ook bij vastgesteld beleid. \tGa na wat de doelgroep moet weten over de werking\ + \ of inzet van het algoritme. Bepaal om welk technisch niveau dit gaat. |\n| Op\ + \ wat voor manier informeer je de betrokken partij?\t| Pas de juiste methodes toe\ + \ om de doelgroep te informeren. |\n| Wanneer wordt deze informatie gebruikt? |\ + \ Ga na in welke fase van de levenscyclus de gewenste informatie over de werking\ + \ of inzet van het algoritme wordt gebruikt. Hoe verschilt de informatiebehoefte\ + \ in elke fase van de levenscyclus? |\n| Wie is er verantwoordelijk voor de informatieverstrekking?\ + \ | Bepaal wie er informatie over het algoritme moet ophalen, en wie er voor die\ + \ informatie kan zorgen. |\n\nMaak bij het vaststellen van de informatiebehoefte\ + \ onderscheid tussen transparantie, [uitlegbaarheid](2-owp-30-toepassen_uitlegbaarheidstechnieken.md)\ + \ en interpreteerbaarheid. Houd daarbij ook rekening met zaken die moeten worden\ + \ gecommuniceerd. Denk hierbij aan het kunnen uitleggen hoe een automatisch genomen\ + \ besluit tot stand is gekomen. \n\nStel een communicatieplan op over de ontwikkeling\ + \ en gebruik van het algoritme. Bepaal vervolgens aan de hand van de levenscyclus\ + \ wanneer, welke informatie wanneer beschikbaar moet worden gesteld. Stel vast wie\ + \ verantwoordelijk is voor het opstellen of het leveren van een bijdrage aan deze\ + \ informatie. In het communicatieplan kunnen verder zaken worden opgenomen als:\n\ + \n - Het doel van het algoritme.\n - Mogelijkheden van het algoritme.\n - Beperkingen\ + \ van het algoritme.\n - Context waarin het algoritme wordt toegepast.\n - Wie\ + \ heeft informatie nodig?\n - Wat voor informatie heeft deze betrokken partij nodig?\n\ + \ - Op wat voor manier informeer je de betrokken partij?\n - Wanneer wordt deze\ + \ informatie gebruikt?\n - Wie is er verantwoordelijk voor de informatieverstrekking?\n\ + \ - Hoe en naar wie communiceer je in het geval van een incident?\n - Wat is de\ + \ planning voor de communicatieactiviteiten?\n\nOverleg regelmatig met betrokkenen\ + \ en [belanghebbenden](1-pba-04-betrek-belanghebbenden.md) in hoeverre de informatieverstrekking\ + \ aansluit bij de (nieuwe) behoeften.\n" urn: urn:nl:ak:mtr:pba-04 language: nl owners: diff --git a/measures/2-owp-30-toepassen_uitlegbaarheidstechnieken.yaml b/measures/2-owp-30-toepassen_uitlegbaarheidstechnieken.yaml index a821de0..fb3ece8 100644 --- a/measures/2-owp-30-toepassen_uitlegbaarheidstechnieken.yaml +++ b/measures/2-owp-30-toepassen_uitlegbaarheidstechnieken.yaml @@ -1,8 +1,38 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze. -description: '' -explanation: '' +description: 'Pas uitlegbaarheidstechnieken toe en evalueer en valideer deze. + + ' +explanation: "Uitlegbaarheidstechnieken helpen om de werking van een algoritme transparant\ + \ te maken.\nDe keuze voor het type algoritme bepaalt hoe transparant je kunt zijn.\ + \ Van rekenregels kun je namelijk precies uitleggen hoe deze tot een beslissing\ + \ komen. Maar complexe AI-systemen kunnen een black box zijn. Het is dan onduidelijk\ + \ hoe deze systemen beslissingen maken. \n\nAfhankelijk van het type algoritme zijn\ + \ er uitlegbaarheidstechnieken beschikbaar om de werking en keuzes van een algoritme\ + \ bloot te leggen. Er moet eerst een keuze worden gemaakt welk type algoritme geschikt\ + \ is gezien de [informatiebehoefte](2-owp-29-informeer_betrokkenen.md). Het is belangrijk\ + \ om samen met de betrokken partijen vast te leggen welke uitlegbaarheidstechnieken\ + \ moeten worden toegepast. Bij bronnen kan informatie worden geraadpleegd die helpen\ + \ bij het vinden van de juiste methodiek.\n\n### Gebruik uitlegbaarheid bij besluiten\n\ + \nOnderzoek hoe uitlegbaarheidstechnieken kunnen bijdragen aan het motiveren van\ + \ besluiten. Dit kan bijvoorbeeld door:\n\t\n\t- De output van het algoritme te\ + \ koppelen aan het zaakdossier, met een toelichting op de interpretatie van die\ + \ output.\n\t- De output of een samenvatting hiervan op te nemen in de beschikking.\n\ + \ \n### Beperkingen en veiligheid\n\nVanuit veiligheidsoverwegingen kan bij specifieke\ + \ algoritmes besloten worden om bepaalde informatie over de werking van een algoritme\ + \ niet aan iedereen vrij te geven. Denk hierbij aan de beperkingen die de [Wet Open\ + \ Overheid](../vereisten/woo-01-recht-op-toegang-tot-publieke-informatie.md) oplegt.\ + \ Houd ook rekening met mogelijke risico’s op aanvallen die kunnen ontstaan door\ + \ het gebruik van uitlegbaarheidstechnieken, zoals omschreven in: A Survey of Privacy-Preserving\ + \ Model Explanations: Privacy Risks, Attacks, and Countermeasures. \n\n### Evaluatie\ + \ en validatie\n\nEvalueer de uitlegbaarheid van het systeem op functionele, operationele,\ + \ bruikbaarheids- en veiligheidsvereisten in samenwerking met betrokkenen zoals\ + \ gebruikers. Valideer of de uitkomst van het algoritme begrijpelijk genoeg is voor\ + \ gebruiker om hier op een verantwoorde wijze mee te werken.\n\nAls er geen rekening\ + \ wordt gehouden met de uitlegbaarheid van een algoritme binnen een bepaalde context,\ + \ ontstaat het risico dat de output van het algoritme niet wordt begrepen of verkeerd\ + \ wordt geïnterpreteerd, wat kan leiden tot onjuist gebruik.\n" urn: urn:nl:ak:mtr:owp-07 language: nl owners: diff --git a/measures/2-owp-31-genereren-bronvermelding.yaml b/measures/2-owp-31-genereren-bronvermelding.yaml index b6eb5c8..0cd1355 100644 --- a/measures/2-owp-31-genereren-bronvermelding.yaml +++ b/measures/2-owp-31-genereren-bronvermelding.yaml @@ -1,8 +1,23 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak gebruik van een algoritme dat bronvermelding kan genereren bij de output. -description: '' -explanation: '' +description: 'Maak gebruik van een algoritme dat bronvermelding kan genereren bij + de output. + + ' +explanation: "Bij het gebruik van generatieve AI/LLM’s is bronvermelding van belang.\n\ + Hiermee kan tot op zekere hoogte een beoordeling worden gegeven in hoeverre bij\ + \ het trainen van het AI-model [rechtmatig](aut-01-auteursrechten.md) [gebruik](dat-01-databankenwet.md)\ + \ is gemaakt van bronnen.\nBronvermelding is daarnaast essentieel om de output van\ + \ het AI-model [inhoudelijk te kunnen controleren](../../levenscyclus/verificatie-en-validatie.md),\ + \ wat ook informatie geeft in hoeverre het AI-model bijvoorbeeld al dan niet hallucineert\ + \ of manipuleert. \n\nVoor het ontwikkelen van een AI-model is bronvermelding noodzakelijk,\ + \ omdat het voor ontwikkelaars de enige manier is om te kunnen controleren of het\ + \ model goed werkt. Dit geldt ook voor ontwikkelaars die pre-trained modellen gebruiken.\ + \ \n\nNeem het kunnen generenen van een bronvermelding mee als een 'requirement'\ + \ voor het te ontwikkelen AI-model in de ontwerpfase of maakt het onderdeel van\ + \ de behoeftestelling en [specificeer deze behoefte](2-owp-25-maak-vereisten-onderdeel-van-programma-van-eisen.md)\ + \ in het inkoopproces.\n" urn: urn:nl:ak:mtr:imp-10 language: nl owners: diff --git a/measures/2-owp-31-toepassen_vastgestelde-beleidskaders.yaml b/measures/2-owp-31-toepassen_vastgestelde-beleidskaders.yaml index 1cbd95f..e35a74a 100644 --- a/measures/2-owp-31-toepassen_vastgestelde-beleidskaders.yaml +++ b/measures/2-owp-31-toepassen_vastgestelde-beleidskaders.yaml @@ -1,8 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Pas vastgestelde beleidskaders toe -description: '' -explanation: '' +description: 'Pas vastgestelde beleidskaders toe. + + ' +explanation: "- Vastgestelde (interne) beleidskaders moeten worden toegepast bij het\ + \ ontwikkelen, inkopen of gebruiken van algoritmes. Denk aan [specifiek beleid voor\ + \ de inzet van algoritmes]([0-org-02-beleid_opstellen_inzet_algoritmes.md).\n- Het\ + \ is van belang dat tijdig, bijvoorbeeld in de [probleemanalyse fase](../../levenscyclus/probleemanalyse.md),\ + \ inzichtelijk wordt gemaakt welke interne beleidskaders moeten worden toegepast.\n\ + - Hierbij kan worden gedacht aan definities die moet worden gehanteerd, het naleven\ + \ van inkoopbeleid, strategisch beleid volgen met betrekking tot het mogen inzetten\ + \ van algoritmes binnen de organisaties of het doorlopen van processen en protocollen\ + \ die moeten worden toegepast.\n- Vraag de [betrokken experts](1-pba-04-betrek-belanghebbenden.md)\ + \ welke beleidskaders van toepassing zijn vanuit diens expertise. \n- Ten behoeve\ + \ van controles en audits is het van belang dat aantoonbaar wordt gemaakt dat de\ + \ vastgestelde beleidskaders zijn nageleefd. \n \nDe in te zetten algoritmes voldoen\ + \ niet aan vastgestelde beleidskaders. \n" urn: urn:nl:ak:mtr:org-02 language: nl owners: diff --git a/measures/3-dat-01-datakwaliteit.yaml b/measures/3-dat-01-datakwaliteit.yaml index 13e736c..2d4ed38 100644 --- a/measures/3-dat-01-datakwaliteit.yaml +++ b/measures/3-dat-01-datakwaliteit.yaml @@ -1,7 +1,10 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Controleer de datakwaliteit -description: '' +description: 'Stel vast of de gebruikte data van voldoende kwaliteit is voor de beoogde + toepassing. + + ' explanation: "- Stel functionele eisen voor de datakwaliteit vast en [analyseer structureel\ \ of er aan deze eisen wordt voldaan](7-mon-04-evalueer-bij-veranderingen-in-data.md).\ \ \n\n- De kwaliteit van de data die als input voor het algoritme wordt gebruikt\ @@ -23,7 +26,11 @@ explanation: "- Stel functionele eisen voor de datakwaliteit vast en [analyseer \ is.\n\n\n!!! note \"Let op!\"\n\n Wanneer je een algoritme inkoopt en de ontwikkeling\ \ van het algoritme uitbesteedt aan een derde partij, houdt er dan dan rekening\ \ mee dat data traceerbaar en reproduceerbaar moet zijn. Maak hier heldere afspraken\ - \ over met de aanbieder. " + \ over met de aanbieder. \n\n- Door onjuiste beslissingen van gegevens kunnen verkeerde\ + \ beslissingen genomen worden. \n- Het model creëert onwenselijke systematische\ + \ afwijking voor specifieke personen, groepen of andere eenheden. Dit kan leiden\ + \ tot ongelijke behandeling en discriminerende effecten met eventuele schade voor\ + \ betrokkenen. \n" urn: urn:nl:ak:mtr:dat-01 language: nl owners: diff --git a/measures/3-dat-02-fair-data.yaml b/measures/3-dat-02-fair-data.yaml index 652b05c..b448b0e 100644 --- a/measures/3-dat-02-fair-data.yaml +++ b/measures/3-dat-02-fair-data.yaml @@ -2,8 +2,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak waardevolle data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) binnen en buiten de eigen organisatie. -description: Maak waardevolle data vindbaar, toegankelijk, interoperabel en herbruikbaar - (FAIR) binnen en buiten de eigen organisatie. +description: ' + + Maak waardevolle data vindbaar, toegankelijk, interoperabel en herbruikbaar (FAIR) + binnen en buiten de eigen organisatie. + + ' explanation: "De internationale [FAIR-principes](https://www.gofair.foundation/) zijn\ \ richtlijnen voor de manier van beschrijven, opslag en publicatie van data. \n\n\ - **Findable** (vindbaar): Metadata moet gemakkelijk te vinden zijn voor zowel mensen\ @@ -17,7 +21,48 @@ explanation: "De internationale [FAIR-principes](https://www.gofair.foundation/) \ betekent niet per definitie dat data open data is. Juist ook voor (privacy) gevoelige\ \ data (gesloten data) kan het heel zinvol zijn om te voldoen aan de principes voor\ \ FAIR data, om juist daarmee specifieke geautoriseerde toegang tot gevoelige data\ - \ mogelijk te kunnen maken." + \ mogelijk te kunnen maken.\n\n### 15 principes voor FAIR data\n\nEr zijn 15 principes\ + \ voor FAIR data geformuleerd:\n\n#### Findable (vindbaar)\n- [F1: Aan (meta)data\ + \ wordt een wereldwijd unieke en permanente identifier toegevoegd](https://www.gofair.foundation/f1)\n\ + \n !!! example \"Voorbeeld\"\n\n Met behulp van [Persistent Identifiers\ + \ (PID)](https://www.surf.nl/diensten/persistent-identifiers) zorg je ervoor dat\ + \ jouw data (bijvoorbeeld onderzoeksdata) altijd vindbaar blijft. \n PID's\ + \ kun je vergelijken met het ISBN-nummer bij boeken. Het idee is dat ook als de\ + \ locatie of de onderliggende infrastructuur verandert, de verwijzing intact blijft.\ + \ \n\n- [F2: Data wordt beschreven met rijke metadata](https://www.gofair.foundation/f2)\n\ + \n !!! example \"Voorbeeld\"\n\n Het team van [data.overheid.nl](https://data.overheid.nl/)\ + \ heeft de metadata standaard [DCAT-AP-DONL](https://docs.datacommunities.nl/data-overheid-nl-documentatie/dcat/dcat-ap-donl)\ + \ ontwikkeld die speciaal voor de uitwisseling van dataset informatie voor de Nederlandse\ + \ situatie is ingericht. Dit is gebaseerd op de [Data Catalog Vocabulary (DCAT)\ + \ versie](https://www.w3.org/TR/vocab-dcat/) die de Europese Unie heeft opgesteld.\ + \ Je kan hierover meer lezen op de site van [data.overheid.nl](https://data.overheid.nl/ondersteuning/open-data/dcat).\n\ + \n- [F3: Metadata bevat duidelijk en expliciet de identificatie van de data die\ + \ ze beschrijven](https://www.gofair.foundation/f3)\n- [F4: (Meta)data worden geregistreerd\ + \ of geïndexeerd in een doorzoekbare bron](https://www.gofair.foundation/f4) \n\n\ + #### Accessible (toegankelijk)\n- [A1: (Meta)data zijn opvraagbaar op basis van\ + \ hun identificatiecode met behulp van een gestandaardiseerd communicatieprotocol](https://www.gofair.foundation/a1)\ + \ \n- [A1.1: Het protocol is open, vrij en universeel implementeerbaar](https://www.gofair.foundation/a1-1)\ + \ \n- [A1.2: Het protocol maakt waar nodig een authenticatie- en autorisatieprocedure\ + \ mogelijk](https://www.gofair.foundation/a1-2) \n- [A2: Metadata zijn toegankelijk,\ + \ ook als de data niet meer beschikbaar zijn](https://www.gofair.foundation/a2)\ + \ \n\n#### Interoperable (uitwisselbaar)\n- [I1: (Meta)data gebruikt een formele,\ + \ toegankelijke, gedeelde en breed toepasbare taal voor kennisrepresentatie](https://www.gofair.foundation/i1)\ + \ \n- [I2: (Meta)data gebruikt gegevenswoordenboeken of vocabulaires die FAIR-principes\ + \ volgen](https://www.gofair.foundation/i2) \n\n !!! example \"Voorbeeld woordenboek\"\ + \n\n In het [woordenboek Hitte](https://woordenboek.klimaatadaptatienederland.nl/hitte/nl/)\ + \ staan ongeveer 230 definities van termen rond het thema hitte die gebruikt worden\ + \ in het klimaatadaptatieveld. Dit woordenboek is ontwikkeld in opdracht van het\ + \ ministerie van Infrastructuur en Waterstaat door overheidsstichting Geonovum.\n\ + \n- [I3: (Meta)data bevat gekwalificeerde verwijzingen naar andere (meta)data](https://www.gofair.foundation/i3)\ + \ \n\n#### Reusable (herbruikbaar)\n- [R1: (Meta)data wordt rijkelijk beschreven\ + \ met een veelheid aan nauwkeurige en relevante attributen](https://www.gofair.foundation/r1)\ + \ \n- [R1.1: (Meta)data wordt vrijgegeven met een duidelijke en toegankelijke licentie\ + \ voor datagebruik](https://www.gofair.foundation/r1-1) \n- [R1.2: (Meta)data wordt\ + \ geassocieerd met gedetailleerde herkomst](https://www.gofair.foundation/r1-1)\ + \ \n\n !!! example \"Voorbeeld\"\n\n [PROV-DM](https://www.w3.org/TR/prov-dm/)\ + \ is een conceptueel datamodel dat gebruikt kan worden voor de herkomstinformatie\ + \ (provenance) van data. \n \n- [R1.3: (Meta)data voldoet aan domein-relevante\ + \ normen](https://www.gofair.foundation/r1-3) \n" urn: urn:nl:ak:mtr:dat-02 language: nl owners: diff --git a/measures/3-dat-04-bewaartermijnen-persoonsgegevens.yaml b/measures/3-dat-04-bewaartermijnen-persoonsgegevens.yaml index 3f78439..2b9940a 100644 --- a/measures/3-dat-04-bewaartermijnen-persoonsgegevens.yaml +++ b/measures/3-dat-04-bewaartermijnen-persoonsgegevens.yaml @@ -1,8 +1,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Geef data zoals persoonsgegevens een bewaartermijn met een vernietigingsprocedure -description: Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor - de verwerkte (persoons)gegevens. +description: ' + + Bepaal de bewaartermijnen en richt een vernietigingsprocesdure in voor de verwerkte + (persoons)gegevens. + + ' explanation: "- (Persoons)gegevens die het algoritme verwerkt worden niet langer bewaard\ \ dan voor de verwezenlijking van de \nverwerkingsdoeleinden noodzakelijk is.\n\ - Beschrijf de bewaartermijnen voor de gegevens, bijvoorbeeld in een DPIA.\n- Beschrijf\ @@ -12,7 +16,7 @@ explanation: "- (Persoons)gegevens die het algoritme verwerkt worden niet langer \ bewaartermijnen en vernietiging van de (persoons)gegevens (in de onderliggende\ \ systemen) zijn getroffen en zorg dat dit aantoonbaar is, bijvoorbeeld met logbestanden.\n\ - Maak aantoonbaar dat persoonsgegevens zijn vernietigd, bijvoorbeeld met logbestanden.\ - \ " + \ \n" urn: urn:nl:ak:mtr:dat-04 language: nl owners: diff --git a/measures/3-dat-05-pseudonimiseren-anonimiseren.yaml b/measures/3-dat-05-pseudonimiseren-anonimiseren.yaml index c7a88aa..a27990e 100644 --- a/measures/3-dat-05-pseudonimiseren-anonimiseren.yaml +++ b/measures/3-dat-05-pseudonimiseren-anonimiseren.yaml @@ -1,9 +1,16 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Bescherm persoonsgegevens door data te anonimiseren, pseudonimiseren of te aggregeren -description: 'Pas maatregelen toe als pseudonimiseren, anonimisering of aggregeren - van persoonsgegevens toe bij het verwerken van de data. ' -explanation: '' +description: "\nPas maatregelen toe als pseudonimiseren, anonimisering of aggregeren\ + \ van persoonsgegevens toe bij het verwerken van de data. \n" +explanation: "- Als is vastgesteld welke persoonsgegevens mogen worden verwerkt voor\ + \ het ontwikkelen en gebruiken van algoritmes, moet worden nagegaan of er maatregelen\ + \ kunnen worden getroffen om deze te beschermen.\n- Het algoritme verwerkt niet\ + \ meer persoonsgegevens dan noodzakelijk; de verwerkte gegevens zijn proportioneel\ + \ en substantieel.\n- Hierbij kan worden gedacht aan het pseudonomiseren, anonimiseren\ + \ of aggregeren van persoonsgegevens.\n- Het bepalen of persoonsgegevens mogen worden\ + \ verwerkt voor algoritmes moet worden bekeken in samenhang met maatregelen die\ + \ kunnen worden getroffen om deze gegevens te beschermen. \n\n" urn: urn:nl:ak:mtr:dat-05 language: nl owners: diff --git a/measures/3-dat-06-schending-auteursrechten.yaml b/measures/3-dat-06-schending-auteursrechten.yaml index b5aeaec..0eac75e 100644 --- a/measures/3-dat-06-schending-auteursrechten.yaml +++ b/measures/3-dat-06-schending-auteursrechten.yaml @@ -1,11 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Controleer de auteursrechten van eigen data -description: 'Controleer of eventueel door de eigen organisatie verstrekte data binnen - of buiten auteursrechten vallen. +description: ' - Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie.' -explanation: '' + Controleer of eventueel door de eigen organisatie verstrekte data binnen of buiten + auteursrechten vallen. + + Bij voorkeur blijven de data eigendom van de (verstrekkende) overheidsorganisatie. + + ' +explanation: 'Het is van belang om te controleren of de te verwerken data waar overheidsorganisaties + zelf over beschikken rechtmatig zijn verkregen en geen inbreuken maken op auteursrechten. + + Hier kan worden gedacht aan data die is gescraped van het internet en zou kunnen + worden gebruikt voor de ontwikkeling van een algoritme. + + ' urn: urn:nl:ak:mtr:dat-06 language: nl owners: diff --git a/measures/3-dat-07-duurzame-datacenters.yaml b/measures/3-dat-07-duurzame-datacenters.yaml index a78c03d..c6ddb71 100644 --- a/measures/3-dat-07-duurzame-datacenters.yaml +++ b/measures/3-dat-07-duurzame-datacenters.yaml @@ -1,8 +1,50 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Gebruik duurzame datacenters -description: '' -explanation: '' +description: 'Maak gebruik van datacenters die gebruikmaken van duurzame energiebronnen + en energie-efficiënte technologieën voor de opslag en verwerking van data. + + ' +explanation: 'Door data op te slaan en algoritmes te laten draaien in datacenters + die hernieuwbare energiebronnen inzetten en bijvoorbeeld de ontstane restwarmte + recyclen, kun je de ecologische voetafdruk van de algoritmes aanzienlijk verkleinen. + + Datacenters die zich op duurzaamheid richten, verlagen de CO₂-uitstoot van hun infrastructuur + en bieden mogelijk duurzaamheidsrapportages. Let bij het kiezen van een aanbieder + op mogelijke greenwashing; dit gebeurt wanneer bedrijven beweren groen te zijn zonder + dit met concrete maatregelen te onderbouwen. + + + ### Technologieën voor energie-efficiënte datacenters + + Om datacenters energie-efficiënt te maken, zijn er verschillende benaderingen: + + + - **Gebruik van groene energiebronnen**: Kies voor datacenters/aanbieders die hernieuwbare + energie gebruiken. Maak bijvoorbeeld afspraken over [een doel, zoals een DCie-score + van minimaal 50%](https://www.denkdoeduurzaam.nl/themas/ict/doelen), gewogen over + een heel jaar. De DCie score van elk Overheids Datacenter (ODC) [kun je hier bekijken](https://rijksictdashboard.nl/duurzaamheid). + + Je kunt ook kijken of naast duurzame stroom ook restwarmte van servers wordt benut + om bijvoorbeeld nabijgelegen gebouwen te verwarmen. + + - **Koeling en energiebeheer optimaliseren**: Adiabatische koeling, waarbij water + en lucht worden gebruikt in plaats van elektriciteit, verlaagt het energieverbruik. + Efficiënte stroomverdeling en warmteterugwinning dragen verder bij aan een lagere + ecologische voetafdruk. + + - **Monitoren**: Blijf controleren op duurzame prestaties door te letten op certificeringen, + zoals [ISO 14001](https://www.nen.nl/milieu/milieumanagement), [ISO 50001](https://www.nen.nl/energie/energiemanagement) + en [BREEAM](https://www.breeam.nl/certificeren-in-5-stappen), en vraag naar energierapportages + en details over het energieverbruik en de herkomst van stroom. Dit helpt om claims + van duurzaamheid te toetsen en te voorkomen dat je in greenwashing trapt. + + + Door geen gebruik te maken van duurzame datacenters, loop je het risico op een hogere + CO₂-uitstoot, en wordt daardoor niet aangesloten bij Rijksbreed beleid. Ook loop + je risico op hogere energiekosten. + + ' urn: urn:nl:ak:mtr:dat-07 language: nl owners: diff --git a/measures/3-dat-07-training-validatie-en-testdata.yaml b/measures/3-dat-07-training-validatie-en-testdata.yaml index 9493983..28025c3 100644 --- a/measures/3-dat-07-training-validatie-en-testdata.yaml +++ b/measures/3-dat-07-training-validatie-en-testdata.yaml @@ -2,8 +2,56 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Gebruik bij machine learning technieken gescheiden train-, test- en validatiedata en houdt rekening met underfitting en overfitting. -description: '' -explanation: '' +description: "Indien je gebruik maakt van machine learning technieken, maak een passende\ + \ keuze voor gescheiden train-, test- en validatiedata en houd hierbij rekening\ + \ met underfitting en overfitting. \n" +explanation: "Verdeel je dataset in drie delen:\n\n1. **de trainingsset**\n\n Deze\ + \ dataset wordt gebruikt om het model te trainen. Uit deze dataset worden de onderliggende\ + \ patronen of relaties geleerd die later gebruikt kunnen worden om voorspellingen\ + \ mee te doen.\n\n De [kwaliteit](3-dat-01-datakwaliteit.md) van deze dataset\ + \ moet goed zijn en zo representatief mogelijk voor de doelpopulatie. Eventuele\ + \ [bias](../../onderwerpen/bias-en-non-discriminatie.md#verschillende-vormen-van-bias)\ + \ of vooroordelen in deze dataset kan door het trainen in het model sluipen.\n\n\ + \ Let bij het samenstellen van de traningsset op dat de data waarop het model\ + \ gebaseerd is, niet beschikbaar zijn voordat de uitkomsten zijn geobserveerd. Met\ + \ andere woorden, zorg ervoor de de voorspellingen geen onderdeel kunnen zijn van\ + \ de inputvariabelen. \n\n3. **de validatieset**\n\n De validatieset fungeert\ + \ als een onafhankelijke, onbevooroordeelde dataset voor het vergelijken van de\ + \ prestaties van verschillende algoritmes die zijn getraind op onze trainingsset.\n\ + \n Verschillende modellen kunnen getraind worden op de trainingsdataset. Zo kan\ + \ je bijvoorbeeld variëren in de (hyper)parameters of de inputvariabelen. Dit leidt\ + \ tot verschillende varianten van het model. Om de prestaties van de verschillende\ + \ modellen te vergelijken, moeten we een nieuwe dataset gebruiken: de validatieset.\ + \ Zou je hiervoor de trainingsdataset gebruiken, kan dat leiden tot [overfitting](https://hastie.su.domains/ISLP/ISLP_website.pdf.download.html),\ + \ wanneer het model dan te specifiek afgestemd is op 1 dataset. Het model kan dan\ + \ niet voldoende generaliseren voor nieuwe situaties.\n\n4. **de testset**\n\n \ + \ Nadat er met behulp van de validatieset een keuze is gemaakt voor een passend\ + \ model en bijbehorende (hyper)parameters, moet je het model nog testen op nieuwe\ + \ data. Dit geeft een beeld van de werkelijke prestaties van het model in nieuwe\ + \ omstandigheden. \n\n Let op dat je pas naar deze resultaten kijkt als laatste\ + \ stap. Inzichten uit deze testdataset mogen niet worden meegenomen in de ontwikkeling,\ + \ omdat dit kan leiden tot overfitting. Het model zal dan in productie mogelijk\ + \ minder goed presteren. \n\n### Grootte van de drie datasets\n\nEr is geen optimale\ + \ verdeling van de drie datsets. Veelvoorkomende verhoudingen om je data in te splitten\ + \ zijn:\n\n- 80% trainingsset, 10% validatieset, 10% testset\n- 70% trainingsset,\ + \ 15% validatieset, 15% testset\n- 60% trainingsset, 20% validatieset, 20% testset\n\ + \nAfhankelijk van de hoeveelheid beschikbare data en de context maak je hierin een\ + \ keuze. Houdt hierbij rekening met:\n\n- Hoe minder trainingdata, hoe groter de\ + \ variantie van het model tijdens het trainen. De patronen en relaties die ontdekt\ + \ zijn, bevatten dan een grotere onzekerheid. \n- Hoe minder validatie- en testdata\ + \ je gebruikt, hoe grote de variantie en de onzekerheid in de verwachte prestaties\ + \ van het algoritme. \n- Hoe complexer het model, en hoe meer (hyper)parameters\ + \ er zijn om te optimaliserne, hoe groter de validatieset moet zijn om het model\ + \ met optimale presetaties te vinden. Wanneer er weinig hyperparameters zijn, is\ + \ een relatief kleine validatieset vaak voldoende.\n\n### k-fold cross validation\n\ + \nNaast dat je de datasets willekeurig kan verdelen in drie delen (aselect), kan\ + \ je ook meer geavanceerde technieken gebruiken. Een robuuste en veelgebruikte techniek\ + \ is [k-fold cross validation](https://hastie.su.domains/ISLP/ISLP_website.pdf.download.html),\ + \ waarbij het model *k* keer wordt getraind op verschillende delen van de data.\ + \ \n\nDoor onjuiste training van het model presteert het model in de praktijk minder\ + \ goed dan bij de tests. Als trainings-, validatie- en testdata door elkaar lopen\ + \ (\"data leakage\"), kan dit leiden tot overfitting, waardoor het model beter lijkt\ + \ te presteren dan in werkelijkheid het geval is.\n" urn: urn:nl:ak:mtr:dat-07 language: nl owners: diff --git a/measures/3-dat-08-eigenaarschap-data.yaml b/measures/3-dat-08-eigenaarschap-data.yaml index 3c366df..806a4fa 100644 --- a/measures/3-dat-08-eigenaarschap-data.yaml +++ b/measures/3-dat-08-eigenaarschap-data.yaml @@ -1,8 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Zorg dat je controle of eigenaarschap hebt over de data -description: '' -explanation: '' +description: 'De organisatie heeft volledige controle of eigenaarschap over de data. + Wanneer dit niet mogelijk is, zijn afspraken gemaakt om de functionele eisen te + waarborgen. + + ' +explanation: "Wanneer een algoritme ontwikkeld of ingekocht wordt, is het belangrijk\ + \ om [toegang tot de gebruikte data](3-dat-02-fair-data.md) goed te regelen.\nMaak\ + \ bijvoorbeeld afspraken over wie ervoor zorgt dat de data:\n\n- op een centrale\ + \ plek beschikbaar wordt gesteld\n- van voldoende [kwaliteit](3-dat-01-datakwaliteit.md)\ + \ is\n- goed beveiligd is\n\nWanneer een algoritme wordt ontwikkeld door een derde\ + \ partij en dus niet wordt beheerd door de eigen organisatie, maak je duidelijke\ + \ afspraken over eigenaarschap van de data. Dat geldt zowel voor de inputdata als\ + \ de outputdata. \nZorg dat de inputdata tot je beschikking blijft, zodat resultaten\ + \ altijd reproduceerbaar zijn. \n\nDe organisatie is afhankelijk voor de data of\ + \ het model afhankelijk van derden en kan daardoor reproduceerbaarheid en prestatie\ + \ niet garanderen.\n" urn: urn:nl:ak:mtr:dat-08 language: nl owners: diff --git a/measures/3-dat-09-dataminimalisatie.yaml b/measures/3-dat-09-dataminimalisatie.yaml index 5a7eb52..976624f 100644 --- a/measures/3-dat-09-dataminimalisatie.yaml +++ b/measures/3-dat-09-dataminimalisatie.yaml @@ -1,8 +1,41 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beperk de omvang van datasets voor energie-efficiëntie -description: '' -explanation: '' +description: 'Houd datasets beperkt tot het noodzakelijke en voldoende specifiek om + onnodige energieconsumptie te voorkomen tijdens de verwerking en opslag van data + voor algoritmes. We noemen dit ook wel dataminimalisatie. + + ' +explanation: 'Hoe meer je bewaart, hoe meer ruimte dat kost om op te slaan. Bovendien + verbruikt elk apparaat dat nodig is om data op te slaan stroom. Dat heeft grote + invloed op de CO₂-uitstoot van een datacentrum. + + Grote datasets brengen daarom hoge energie- en opslagkosten met zich mee. Door de + dataset bewust te beperken tot relevante gegevens, kun je ook de energie-efficiëntie + van algoritmes aanzienlijk verbeteren. Vooral bij de ontwikkeling van AI-systemen + kan het verminderen van data bijdragen aan lagere energiebehoeften en CO₂-uitstoot. + + + ### Technieken voor dataminimalisatie + + - **Slimme selectie van trainingsdata**: Gebruik methoden die irrelevante data uit + de dataset filteren, zoals dataselectie-algoritmes en sampling-technieken. Door + te focussen op relevante data, beperk je de omvang zonder de prestaties van het + model te beïnvloeden. + + - **Verwijderen van redundante en dubbele data**: Deduplicatie van data minimaliseert + onnodige verwerkingskracht. Door alleen unieke en relevante gegevens op te slaan, + wordt de opslagbehoefte verder beperkt. + + - **Opschonen en archiveren van verouderde data**: [Regelmatige archivering](2-owp-08-archiveren-documenten.md) + of verwijdering van verouderde data in je dataset zorgt voor een verminderde voetafdruk + en verhoogt ook de efficiëntie. + + + Zonder dataminimalisatie loopt je organisatie het risico op onnodig hoge energie- + en opslagkosten, en een grotere ecologische impact. + + ' urn: urn:nl:ak:mtr:dat-09 language: nl owners: diff --git a/measures/4-owk-01-security-by-design.yaml b/measures/4-owk-01-security-by-design.yaml index ee4c665..485c581 100644 --- a/measures/4-owk-01-security-by-design.yaml +++ b/measures/4-owk-01-security-by-design.yaml @@ -1,16 +1,30 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Ontwerp en ontwikkel het algoritme volgens de principes van ‘security by design’ -description: 'Hanteer principes van ‘security by design’ (informatiebeveiligingsmaatregelen) - als uitgangspunten bij de ontwikkeling van het algoritme. +description: ' + + Hanteer principes van ‘security by design’ (informatiebeveiligingsmaatregelen) als + uitgangspunten bij de ontwikkeling van het algoritme. Stel vast welke principes horen bij security by design en welke relevant zijn voor het ontwerp of de ontwikkeling van het algoritme. Mogelijke documenten waarin deze principes kunnen worden opgenomen, zijn het security beleid, of ontwikkelbeleid. Bij het bepalen en vaststellen van de juiste principes - kunnen interviews met de ontwikkelaar en software-architecten helpen.' -explanation: '' + kunnen interviews met de ontwikkelaar en software-architecten helpen. + + ' +explanation: "Security by design is gehanteerd en terug te zien als uitgangspunt.\ + \ (BIO 14.2.1.1) \n\nSecurity by design benadrukt het belang van het in een vroeg\ + \ stadium integreren van securitymaatregelen. Op die manier kan worden voldaan aan\ + \ regelgeving, maar wordt de weerbaarheid tegen bijvoorbeeld cyberaanvallen verhoogd.\ + \ In een vroeg stadium nadenken over security betekent dat vroeg al de [benodigde\ + \ expertise wordt betrokken](1-pba-04-betrek-belanghebbenden.md), zoals een security-officer.\n\ + \nWanneer tijdens het ontwerp en de inrichting van het algoritmisch systeem niet\ + \ voldoende rekening wordt gehouden met vastgestelde security-by-design principes\ + \ kan dit leiden tot een onvoldoende veilige (software-)omgeving. Dit kan tot gevolg\ + \ hebben: oneigenlijke toegang, wijzigingen of vernietigingen van het algoritme,\ + \ de data of uitkomsten van het algoritme.\n\n" urn: urn:nl:ak:mtr:owk-01 language: nl owners: diff --git a/measures/4-owk-02-stopzetten-gebruik.yaml b/measures/4-owk-02-stopzetten-gebruik.yaml index 0f19fbb..21b9fcc 100644 --- a/measures/4-owk-02-stopzetten-gebruik.yaml +++ b/measures/4-owk-02-stopzetten-gebruik.yaml @@ -1,8 +1,24 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak een noodplan voor het stoppen van het algoritme -description: '' -explanation: '' +description: "\n Tref (technische) maatregelen waarmee het gebruik van het algoritme\ + \ kan worden stopgezet.\n " +explanation: "- Er moet in een proces zijn beschreven wanneer en hoe het gebruik van\ + \ algoritmes moet worden stopgezet.\n- Het is van belang dat bij het ontwerp van\ + \ algoritmes er rekening wordt gehouden met dat het werkproces ook zonder het algoritme\ + \ kan worden uitgevoerd.\n- In het geval van risicoselectie kan er bijvoorbeeld\ + \ worden teruggevallen op het enkel uitvoeren van een [aselecte steekproef](6-imp-02-aselecte-steekproeven.md)\ + \ als selectieinstrument. \n- Als blijkt dat het algoritme ongewenst functioneert,\ + \ dan moeten (technische) maatregelen zijn getroffen waarmee het gebruik daadwerkelijk\ + \ kan worden stopgezet. Denk hierbij aan een stopknop en werkinstructies hoe het\ + \ gebruik kan worden beëindigd.\n- Maak aantoonbaar dat deze maatregelen zijn getroffen.\n\ + - De proceseigenaar of een menselijk toezichthouder moet in staat zijn om het algoritme\ + \ op elk moment te kunnen beëindigen.\n- Het stopzetten van het gebruik van een\ + \ algoritme mag niet tot gevolg hebben dat betrokkenen niet meer kunnen achterhalen\ + \ hoe besluiten tot stand zijn gekomen of dat gevolgen niet meer kunnen worden gecorrigeerd\ + \ als dat noodzakelijk is. \n \nBetrokkenen of belanghebbenden kunnen nadelige\ + \ gevolgen ondervinden van een algoritme dat onjuist functioneert en niet tijdig\ + \ kan worden stopgezet. \n" urn: urn:nl:ak:mtr:owk-02 language: nl owners: diff --git a/measures/4-owk-03-privacyrisico.yaml b/measures/4-owk-03-privacyrisico.yaml index 2907803..6fc2807 100644 --- a/measures/4-owk-03-privacyrisico.yaml +++ b/measures/4-owk-03-privacyrisico.yaml @@ -1,7 +1,9 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Analyseer de privacy-risico’s en neem maatregelen om deze risico’s laag te houden -description: '' +description: 'Uitvoeren risicoanalyse en formuleren mitigerende maatregelen voor privacyrisico. + + ' explanation: "- Verifieer of een [DPIA](../hulpmiddelen/DPIA.md) is uitgevoerd over\ \ het werkproces dat wordt of zal worden ondersteund met een algoritme. Zo nee,\ \ voer een risico analyse (DPIA) uit om de risico's voor de rechten en vrijheden\ @@ -22,7 +24,9 @@ explanation: "- Verifieer of een [DPIA](../hulpmiddelen/DPIA.md) is uitgevoerd o \ het algoritme moet aandacht blijven voor het uitvoeren van de risicoanalyse voor\ \ privacyrisico's.\n- Bij hoge risico's voor het verwerken van persoonsgegevens\ \ is een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens onder artikel\ - \ 36 AVG verplicht. Bepaal of raadpleging noodzakelijk is. " + \ 36 AVG verplicht. Bepaal of raadpleging noodzakelijk is. \n\nPrivacyrisico's met\ + \ de inzet van algoritmes worden niet gemitigeerd, waardoor privacyrechten van betrokkenen\ + \ worden geschonden. \n" urn: urn:nl:ak:mtr:owk-03 language: nl owners: diff --git a/measures/4-owk-04-logging.yaml b/measures/4-owk-04-logging.yaml index e760e28..092a721 100644 --- a/measures/4-owk-04-logging.yaml +++ b/measures/4-owk-04-logging.yaml @@ -1,8 +1,35 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak logbestanden waarin staat wie wanneer toegang had tot de data en de code -description: '' -explanation: '' +description: 'Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt + geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen. + + Door goede logging is te achterhalen wanneer en door wie er toegang is geweest tot + code en data (audit trail). + + Er kan loginformatie gegenereerd, bewaard, toegankelijk gemaakt en gemonitord worden. + Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten, uitzonderingen + en informatiebeveiligingsgebeurtenissen registreren. + + Bedenk wat deze informatie betekent in de context van de werking van het algoritme. + + ' +explanation: "- Met logbestanden is te achterhalen wanneer en door wie er (ongewenste)\ + \ aanpassingen zijn gedaan (audit trail).\n- Loginformatie moet worden gegenereerd,\ + \ bewaard, gemonitord en toegankelijk worden gemaakt.\n- Logbestanden bevatten vaak\ + \ gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen\ + \ registreren.\n- Bedenk wat deze informatie betekent in de context van de werking\ + \ van het algoritme. loginformatie gegenereerd, bewaard, toegankelijk gemaakt en\ + \ gemonitord worden. Logbestanden bevatten vaak gebeurtenissen die gebruikersactiviteiten,\ + \ uitzonderingen en informatiebeveiligingsgebeurtenissen registreren.\n- Stel vast\ + \ welke informatie bij het ontwikkelen en gebruiken van algoritmes relevant is om\ + \ te loggen. \n- Log behalve het aanpassen van gegevens ook het uitlezen van gegevens\ + \ waar dat relevant is. Bijvoorbeeld als persoonsgegevens worden opgevraagd.\n-\ + \ Logs dienen periodiek (of doorlopend) gecontroleerd to worden op relevante incidenten.\ + \ Dat betekent dat wat er gelogd wordt geschikt moet zijn om relevante beveiligingsincidenten\ + \ op te merken. \n\nWanneer loginformatie ontbreekt, is niet te achterhalen wanneer\ + \ er (eventueel ongewenste) aanpassingen zijn gedaan (audit trail) op (de code van)\ + \ het algoritme, of door wie.\n" urn: urn:nl:ak:mtr:owk-04 language: nl owners: diff --git a/measures/4-owk-05-energiezuinige-programmeermethoden.yaml b/measures/4-owk-05-energiezuinige-programmeermethoden.yaml index 48cacfd..b5e4fe5 100644 --- a/measures/4-owk-05-energiezuinige-programmeermethoden.yaml +++ b/measures/4-owk-05-energiezuinige-programmeermethoden.yaml @@ -1,8 +1,34 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Kies energiezuinige programmeermethoden -description: '' -explanation: '' +description: 'Gebruik energie-efficiënte programmeertechnieken en methoden die de + benodigde rekenkracht minimaliseren. + + ' +explanation: "Energiezuinig programmeren maakt het mogelijk om de voetafdruk van algoritmes\ + \ te verkleinen door minder energie en middelen te verbruiken. Door specifieke technieken\ + \ toe te passen, zoals optimalisatie van processen en efficiënte geheugenbeheerstrategieën,\ + \ kun je als ontwikkelaar bijdragen aan het verduurzamen van algoritmes.\n\n###\ + \ Technieken voor energiezuinige softwareontwikkeling\n1. **Lean coding en minimalisatie\ + \ van code bloat** \n Lean coding richt zich op het gebruik van alleen de benodigde\ + \ code zonder overbodige complexiteit of libraries, wat resulteert in lagere energieconsumptie.\ + \ Door “code bloat” te vermijden, zorg je ervoor dat het algoritme minder verwerkingskracht\ + \ en geheugen verbruikt.\n\n2. **Gebruik van energiezuinige programmeertalen en\ + \ frameworks** \n Programmeren in talen zoals Rust, Go en Elixir draagt bij aan\ + \ energie-efficiëntie doordat deze ontworpen zijn voor lage resource-omvang en hoge\ + \ efficiëntie. Ook frameworks die lichtgewicht en modulair zijn, ondersteunen energiezuinige\ + \ processen.\n\n3. **Parallel processing en multi-core optimalisaties** \n Door\ + \ parallelle verwerking en multi-core optimalisaties toe te passen, wordt rekenwerk\ + \ verdeeld over meerdere cores. Dit reduceert de totale verwerkingstijd, bespaart\ + \ energie en verhoogt de prestaties van je code op het vlak van duurzaamheid.\n\n\ + 4. **Microservices en modulaire architecturen** \n Een modulaire architectuur,\ + \ zoals microservices, zorgt ervoor dat je onderdelen van de applicatie alleen activeert\ + \ wanneer dat nodig is. Dit voorkomt onnodige belasting en beperkt energieverbruik\ + \ behoorlijk.\n\n5. **Geoptimaliseerd geheugenbeheer** \n Door efficiënt geheugenbeheer,\ + \ zoals caching en lazy loading, voorkom je onnodige data-opslag en bewerkingen.\ + \ Dit verlaagt de energievraag en verbetert de snelheid van het algoritme aanzienlijk.\n\ + \nZonder energie-efficiënte methoden kan het algoritme onnodig veel energie verbruiken,\ + \ wat leidt tot hogere operationele kosten en een grotere milieu-impact.\n" urn: urn:nl:ak:mtr:owk-05 language: nl owners: diff --git a/measures/4-owk-06-optimaliseer-AI-training.yaml b/measures/4-owk-06-optimaliseer-AI-training.yaml index 4a61c2d..622cd08 100644 --- a/measures/4-owk-06-optimaliseer-AI-training.yaml +++ b/measures/4-owk-06-optimaliseer-AI-training.yaml @@ -1,8 +1,45 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Optimaliseer AI-trainingsprocessen voor energie-efficiëntie -description: '' -explanation: '' +description: 'Streef naar energiezuinige methoden voor AI-training, zoals het beperken + van trainingscycli en het gebruik van energie-efficiënte hardware. + + ' +explanation: 'Het trainen van AI, vooral generatieve AI-modellen, vergt aanzienlijke + energie en heeft daardoor een grote ecologische voetafdruk. Een enkele trainingsronde + kan al een enorme hoeveelheid CO₂ uitstoten. Door enkele concrete methoden toe te + passen, kun je deze impact beperken. + + + ### Energie-optimalisatie door hardwarekeuze en serverbeheer + + - Gebruik energie-efficiënte hardware zoals specifiek afgestemde GPU''s, die geschikt + zijn voor de trainingsbehoeften van het model. Door bijvoorbeeld te kiezen voor + GPU’s die optimaal bij je model passen in plaats van de krachtigste beschikbare + hardware, kan het energieverbruik drastisch worden verminderd. Houd hiermee rekening + in je keuze voor een trainingsomgeving. + + - Verder kan servergebruik geoptimaliseerd worden door onnodige trainingsomgevingen + tijdig te stoppen of voor andere trainingsomgevingen of testomgevingen te kiezen. + Ook kun je servers dynamisch schalen met tools zoals Kubernetes of autoscaling technologie. + + + ### Slimme data- en trainingsoptimalisatie + + Niet alle beschikbare data dragen bij aan de modelprestaties. Door een dataselectiestrategie + toe te passen, [gebruik je enkel relevante datasets (dataminimalisatie)](3-dat-09-dataminimalisatie.md), + wat zorgt voor minder intensieve rekenbelasting tijdens het trainingsproces. Daarnaast + kan slimme caching helpen om repetitieve data-opvragingen te beperken, wat bijdraagt + aan een lagere energievraag. Bovendien kun je hertrainingscycli van AI beperken + door enkel updates te doen wanneer nieuwe data dit echt vereist. Dit voorkomt overbodige + trainingscycli en bespaart energie. + + + Zonder energie-efficiënte methoden kan AI-training leiden tot hoge operationele + kosten en een aanzienlijke ecologische impact, met name door overmatig gebruik van + rekenkracht en energie-intensieve hardware. + + ' urn: urn:nl:ak:mtr:owk-06 language: nl owners: diff --git a/measures/5-ver-01-functioneren-in-lijn-met-doeleinden.yaml b/measures/5-ver-01-functioneren-in-lijn-met-doeleinden.yaml index e33bc4a..52978bb 100644 --- a/measures/5-ver-01-functioneren-in-lijn-met-doeleinden.yaml +++ b/measures/5-ver-01-functioneren-in-lijn-met-doeleinden.yaml @@ -1,8 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Controleer regelmatig of het algoritme werkt zoals het bedoeld is -description: '' -explanation: '' +description: "Stel vast dat het algoritme voortdurend functioneert in lijn met de\ + \ [vastgestelde doelstelling](1-pba-02-formuleren-doelstelling.md). \n" +explanation: "- Vertaal de [vastgestelde doelstelling](1-pba-02-formuleren-doelstelling.md)\ + \ naar functionele eisen voor het algoritme. Werk het vastgestelde doel uit in een\ + \ beschrijving in logische taal/pseudo code of documentatie die handvatten biedt\ + \ aan de ontwikkelaar. \n- Monitor de mate waarin aan deze eisen wordt voldaan door\ + \ het algoritme. \n- Bepaal en leg vast hoe eventuele parameters, business rules\ + \ en indicatoren bepaald worden. Zorg dat dit breed wordt afgestemd in de organisatie\ + \ (ontwikkelteam, opdrachtgevers en beheer).\n- Houd hier rekening met eventuele\ + \ [(statistische) bias](../../onderwerpen/bias-en-non-discriminatie.md#statistische-bias):\ + \ meten we daadwerkelijk wat we denken te meten? \n- Wanneer het algoritme meerdere\ + \ doelen dient, is het belangrijk ook te evalueren op meerdere functionele eisen.\ + \ \n- Wanneer er sprake is van een (handmatige) behandeling, bepaal dan wanneer\ + \ deze behandeling als 'succesvol' gezien kan worden. \n\nHet algoritme functioneert\ + \ niet in lijn met geformuleerde doelstellingen. \n\n\n" urn: urn:nl:ak:mtr:ver-01 language: nl owners: diff --git a/measures/5-ver-02-biasanalyse.yaml b/measures/5-ver-02-biasanalyse.yaml index 14503e9..567a89e 100644 --- a/measures/5-ver-02-biasanalyse.yaml +++ b/measures/5-ver-02-biasanalyse.yaml @@ -1,8 +1,172 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Toets het algoritme op bias -description: '' -explanation: '' +description: "Analyseer of het gebruik van het algoritme of het proces daaromheen\ + \ leidt tot onwenselijke of onrechtmatige verschillen in de behandeling van individuen\ + \ en/of groepen. \n" +explanation: "Het uitvoeren van een analyse over onwenselijke of onrechtmatige verschillen\ + \ bestaat grofweg uit 3 stappen:\n\n- [Stap 1](#stap-1-analyseer-of-er-sprake-is-van-bias):\ + \ Analyseer of er sprake is van bias: *systematisch verschil in behandeling van\ + \ bepaalde objecten, mensen of groepen in vergelijking met anderen.*\n- [Stap 2](#stap-2-voer-een-rechtvaardigingstoets-uit):\ + \ Voer een rechtvaardigingstoets uit om te bepalen of het geconstateerde verschil\ + \ uit stap 1 te rechtvaardigen is. \n- [Stap 3](#stap-3-voer-een-ethische-wenselijkheidstoets-uit):\ + \ Voer een ethische wenselijkheidstoets uit om te bepalen of het geconstateerde\ + \ verschil uit stap 1 ethisch wenselijk is. \n\nVoor alle stappen geldt dat het\ + \ belangrijk is om de gemaakte keuzes en afwegingen zorgvuldig te onderbouwen en\ + \ te documenteren. De 3 stappen worden hieronder verder toegelicht. \n\n!!! note\ + \ \"Opmerking\" \n\n Deze maatregel is in ieder geval van toepassing op natuurlijke\ + \ personen. Voor andere rechtspersonen zoals bedrijven kan dit ook van toepassing\ + \ zijn. Denk bijvoorbeeld aan een gelijke behandeling tussen eenmanszaken en grotere\ + \ bedrijven. \n\n### Stap 1: Analyseer of er sprake is van bias\nIn deze stap is\ + \ het doel om te bepalen in welke mate er sprake is van een systematisch verschil\ + \ in behandeling van bepaalde objecten, mensen of groepen in vergelijking met anderen.\ + \ \nDit verschil kan zowel op een [directe als een indirecte manier](../../onderwerpen/bias-en-non-discriminatie.md/#bias-in-algoritmische-context)\ + \ ontstaan. \n\n#### Toetsen op direct onderscheid\nToetsen op direct onderscheid\ + \ is in vergelijking tot toetsen op indirect onderscheid relatief eenvoudig. \n\n\ + :material-arrow-right: Bepaal of de inputvariabelen die gebruikt worden leiden tot\ + \ een direct onderscheid op basis van godsdienst, levensovertuiging, politieke gezindheid,\ + \ ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid[^1] of burgelijke\ + \ staat. \n\nHet is niet mogelijk om een uitputtend overzicht te geven van alle\ + \ selectiecriteria die mogelijk tot direct onderscheid op grond van ras of nationaliteit\ + \ kunnen leiden. \nWel zijn in de jurisprudentie verschillende voorbeelden en aanknopingspunten\ + \ te vinden. \nZo staat vast dat selectie op basis van fysieke etnische kenmerken,\ + \ zoals huidskleur, direct onderscheid op grond van ras oplevert[^2].\nEen ander\ + \ voorbeeld is dat onderscheid op grond van een niet-westers klinkende naam direct\ + \ onderscheid op grond van afkomst (en dus ras) oplevert[^3].\n\n[^1]: Er is een\ + \ wetsvoorstel om de term 'hetero- of homoseksuele gerichtheid' in de Algmemene\ + \ wet gelijke behandeling (Awgb) te wijzigingen in 'seksuele gerichtheid'. Met deze\ + \ wijziging sluit de Awgb aan bij een eerdere wijziging van artikel 1 van de Grondwet.\ + \ \n\n[^2]: Zie [Discriminatie door risicoprofielen, een mensenrechtelijk toetsingskader,\ + \ College voor de Rechten van de Mens](https://publicaties.mensenrechten.nl/publicatie/61a734e65d726f72c45f9dce)\n\ + \n[^3]: Zie [Discriminatie door risicoprofielen, een mensenrechtelijk toetsingskader,\ + \ College voor de Rechten van de Mens](https://publicaties.mensenrechten.nl/publicatie/61a734e65d726f72c45f9dce),\ + \ [College voor de Rechten van de Mens 7 juni 2021, oordeel 2021-70](https://oordelen.mensenrechten.nl/oordeel/2021-70);\ + \ [College voor de Rechten van de Mens 23 april 2015, oordeel 2015-44](https://oordelen.mensenrechten.nl/oordeel/2015-44);\ + \ [College voor de Rechten van de Mens 23 april 2015, oordeel 2014-0426](https://oordelen.mensenrechten.nl/oordeel/2015-43).\n\ + \n#### Toetsen op indirect onderscheid\nOok selectiecriteria die op het eerste gezicht\ + \ geen enkele link lijken te hebben met een [discriminatiegrond](../../onderwerpen/bias-en-non-discriminatie.md#discriminatiegrond)\ + \ kunnen leiden tot indirect onderscheid op grond van een discriminatiegrond. \n\ + Enkele voorbeelden van zulke 'ogenschijnlijk neutrale' selectiecriteria die verband\ + \ hebben met ras of nationaliteit zijn: postcode, hoogte van het inkomen, kenteken,\ + \ familielid in het buitenland, laaggeletterdheid. \nIndirect onderscheid is in\ + \ vergelijking met direct onderscheid lastiger op te signaleren en te voorkomen.\ + \ \nDaarom is het belangrijk jouw algoritmische toepassing regelmatig te analyseren\ + \ op eventueel indirect onderscheid. \nHet toetsen op indirect onderscheid bestaat\ + \ uit 5 stappen:\n\n1. **Bepaal wat de [kwetsbare groepen](2-owp-07-kwetsbare-groepen.md)\ + \ zijn.**\nEventueel kan dit aangevuld worden op basis van de [discriminatiegronden](../../onderwerpen/bias-en-non-discriminatie.md#discriminatiegrond)\ + \ uit non-discriminatie wetgeving. Of andere groepen waarvoor verschillen in behandeling\ + \ ethisch onwenselijk zijn.\n\n2. **Bepaal wat \"verschillen in behandeling\" betekent\ + \ in de context van het algoritme.**\nIn deze stap is het belangrijk om voorafgaand\ + \ aan de daadwerkelijke analyse met een [brede groep stakeholders](1-pba-04-betrek-belanghebbenden.md)\ + \ te bepalen wat 'eerlijk' en 'rechtvaardig' wordt bevonden in de context van het\ + \ betreffende algoritme. \nEr zijn veel verschillende manieren waarop je kan kijken\ + \ naar onderscheid bij het gebruik van algoritmes. Voorbeelden van manieren waarop\ + \ je naar onderscheid kan kijken zijn:\n\n - **Onderscheid op basis van gelijke\ + \ uitkomsten (representatie)**. \n De belangrijkste vraag die hier mee beantwoord\ + \ wordt is: hebben personen uit verschillende groepen gelijke kans om geselecteerd\ + \ te worden door het algoritme? Of is er sprake van een over- of ondervertegenwoording\ + \ van bepaalde groepen in de selectie ten opzichte van de betreffende populatie?\n\ + \ - **Onderscheid op basis van gelijke prestaties (fouten)**. \n De belangrijkste\ + \ vraag die hier mee beantwoord wordt is: presteert het algoritme gelijk voor personen\ + \ uit verschillende groepen? Met andere woorden: maakt het algoritme vaker fouten\ + \ bij bepaalde groepen? Dat kan er eventueel toe leiden dat bepaalde groepen vaker\ + \ onterecht wel of niet geselecteerd worden door het algoritme. \n\n Om te toetsen\ + \ of er sprake is van onderscheid op basis van gelijke prestaties, is het noodzakelijk\ + \ om [de prestaties van het algoritme goed te analyseren](5-ver-01-functioneren-in-lijn-met-doeleinden.md).\ + \ \n In het geval van classificatie is het daarvoor nodig om een zogeheten *confusion\ + \ matrix* op te stellen. \n Een confusion matrix is een tabel waarin de voorspellingen\ + \ van het algoritme worden vergeleken met de werkelijke waarden (de *ground truth*).\ + \ \n\n De verschillende maten/metrieken waarop gekeken kan worden naar onderscheid,\ + \ worden in de (wetenschappelijke) literatuur ook wel *fairness metrieken* genoemd.\ + \ \n Veel van deze metrieken kunnen op basis van de confusion matrix berekend\ + \ worden. \n Een hulpmiddel om de meest passende metrieken te kiezen in jouw\ + \ situatie is de [Fairness tree](https://openresearch.amsterdam/en/media/inline/2022/7/14/fairness_handbook.pdf).\ + \ \n\n Door te denken vanuit verschillende perspectieven, zullen er in de praktijk\ + \ meerdere metrieken van belang zijn. \n Het kan echter voorkomen dat deze metrieken\ + \ elkaar tegenspreken. \n Maak een duidelijke prioritering van de verschillende\ + \ metrieken om afwegingen te maken tussen de verschillende opvattingen van eerlijkheid.\ + \ \n\n3. **Verzamel de benodigde data die nodig is om bovenstaande groepen te bepalen.**\n\ + Bepaal welke data benodigd is om te analyseren of er verschillen zijn tussen bepaalde\ + \ groepen. \nIn veel gevallen zal data benodigd zijn die demografische en beschermde\ + \ kenmerken van groepen omschrijft. \nHet verzamelen en verwerken van deze data\ + \ kan in strijd zijn met privacy vereisten uit bijvoorbeeld de [Algemene Verordening\ + \ Gegevensbescherming](../vereisten/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.md).\n\ + Het is daarom van belang om duidelijk afwegingen te maken tussen privacy en het\ + \ analyseren van bias die rekening houdt met de juridische en ethische vereisten.\n\ + \n !!! info \"Uitzondering voor hoog risico AI-systemen\"\n\n De AI-verordening\ + \ biedt een uitzondering voor het verwerken van bijzondere categorieën persoonsgegevens\ + \ voor het monitoren, opsporen en corrigeren van bias bij AI-systemen met een hoog\ + \ risico. Zie [artikel 10.5, AI-verordening](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=OJ:L_202401689#d1e3348-1-1).\ + \ \n\n Om de data op een veilige en rechtmatige manier te gebruiken voor een\ + \ biasanalyse dient de data van voldoende kwaliteit te zijn. \n Denk hier goed\ + \ na of de data eventuele bias bevat die kan duiden op een bepaalde vooringenomenheid\ + \ in de biasanalyse zelf (historische bias of representatie bias). \n De data\ + \ dient bijvoorbeeld voldoende actueel en volledig te zijn.\n\n Voor sommige\ + \ groepen zal het onmogelijk zijn om te beschikken over data van voldoende kwaliteit\ + \ om zorgvuldig te toetsen op bias. \n De laaggeletterdheid van burgers of personen\ + \ is bijvoorbeeld lastig meetbaar en in veel gevallen niet beschikbaar. \n Bepaal\ + \ in zo'n situatie [of er andere mogelijkheden zijn deze groepen te helpen](2-owp-07-kwetsbare-groepen.md),\ + \ of dat er andere mogelijkheden zijn om eventuele ongelijke behandeling bij deze\ + \ groepen te constateren. \n Bijvoorbeeld door hierop te monitoren in de klacht-\ + \ en bezwarenprocedure. \n\n4. **Bereken de verschillen in behandeling en/of uitkomsten\ + \ van het algoritme**.\nEr zijn verschillende open source softwarepakketten die\ + \ je hierbij kunnen ondersteunen, zoals [fairlearn](https://fairlearn.org/), [Aequitas](https://github.com/dssg/aequitas),\ + \ [fairml](https://cran.r-project.org/web/packages/fairml/index.html), [fairness](https://cran.r-project.org/web/packages/fairness/index.html)\ + \ of [AI Fairness 360](https://aif360.res.ibm.com/).\n\n5. **Probeer te verklaren\ + \ hoe het geconstateerde onderscheid is ontstaan**.\nAls er in de vorige stap een\ + \ significant onderscheid is geconstateerd, is het belangrijk om na te gaan hoe\ + \ dit onderscheid is ontstaan. \nDit kan bijvoorbeeld ontstaan door:\n - een\ + \ vorm van bias in de onderliggende inputdata. Je kan hierbij denken aan: \n \ + \ - historische bias: in hoeverre beschrijft de data de huidige situatie?\n\ + \ - representatie bias: is de data waarop getraind wordt representatief voor\ + \ de bijbehorende populatie? Zijn trends uit de gebruikte data generaliseerbaar\ + \ naar de totale populatie?\n - meetbias: beschrijven de inputvariabelen\ + \ wel wat ze moeten beschrijven? In hoeverre zijn dit benaderingen waarbij eventuele\ + \ factoren worden weggelaten?\n - een vorm van bias in het proces na afloop van\ + \ het algoritme\n - is er sprake van automatiseringsbias of bevestigingsbias\ + \ in de (handmatige) beoordeling?\n\n:material-arrow-right: Wanneer duidelijker\ + \ is hoe de geconstateerde bias is ontstaan, is het goed om te verkennen of er mogelijkheden\ + \ zijn om dit (in de toekomst) te voorkomen. \n\nHet is belangrijk hier [een brede\ + \ groep aan belanghebbenden bij te betrekken](1-pba-04-betrek-belanghebbenden.md).\ + \ \nDe oorzaken van bias komen uit de 'echte wereld', waarbij patronen in datasets\ + \ historische, demografische en sociale verschillen weerspiegielen. \nHet verklaren\ + \ en voorkomen van bias vraagt daarmee niet alleen om technische oplossingen, maar\ + \ het is belangrijk de hele socio-technische omgeving waarin het algoritme wordt\ + \ ingezet mee te nemen. \n\n### Stap 2: Voer een rechtvaardigingstoets uit\nWanneer\ + \ er in [Stap 1](#stap-1-analyseer-of-er-sprake-is-van-bias) is geconstateerd dat\ + \ er sprake is van een onderscheid, dient de volgende vraag beantwoord te worden:\n\ + \n> Valt dit onderscheid te rechtvaardigen?\n\nEen geconstateerd systematisch onderscheid\ + \ is niet altijd fout en is niet altijd verboden, maar het vraagt wel altijd om\ + \ aandacht en zorgvuldigheid. \nHet geconstateerde onderscheid kan in bepaalde situaties\ + \ en onder bepaalde strikte voorwaarden gerechtvaardigd zijn:\n\n- Voor **direct\ + \ onderscheid** kan er bijvoorbeeld sprake zijn van een wettelijke uitzondering\ + \ die het gemaakte onderscheid toelaat. \n- Voor **indirect onderscheid** geldt\ + \ dat behalve een wettelijke uitzondering er ook een **objectieve rechtvaardiging**\ + \ kan bestaan, waarmee het geconstateerde onderscheid in bepaalde gevallen toelaatbaar\ + \ kan zijn. \n\nTwee subvragen die hierbij beantwoord moeten worden zijn:\n\n- streeft\ + \ het in te zetten algoritme een legitiem doel na?\n- bestaat er een redelijke relatie\ + \ van evenredigheid tussen het gebruikte algoritme en de nagestreefde doelstelling?\n\ + \nWanneer er geen rechtvaardiging is voor het gemaakte onderscheid, spreken we van\ + \ een verboden direct of indirect onderscheid, ofwel discriminatie. \nHet algoritme\ + \ mag in dat geval niet gebruikt worden.\n\nVoor meer toelichting over het uitvoeren\ + \ van een rechtvaardigingstoets, verwijzen we naar het rapport [Discriminatie door\ + \ risicoprofielen - Een mensenrechtelijk toetsingskader](https://publicaties.mensenrechten.nl/publicatie/61a734e65d726f72c45f9dce)\ + \ van het College voor de Rechten van de Mens. \n\n### Stap 3: Voer een ethische\ + \ wenselijkheidstoets uit\nBepaal of het geconstateerde onderscheid uit [Stap 1](#stap-1-analyseer-of-er-sprake-is-van-bias)\ + \ ethisch wenselijk is. Dit hangt samen met de algemene wenselijkheid van de inzet\ + \ van het algoritme. \n\n\nIn sommige gevallen kan het zo zijn dat ondanks dat\ + \ er een objectieve rechtvaardiging bestaat voor het gemaakte onderscheid, dit vanuit\ + \ ethisch perspectief toch onwenselijk is. \nBepaal [met een grote groep belanghebbenden](1-pba-04-betrek-belanghebbenden.md)\ + \ wat eventuele (nadelige) effecten van het gemaakte onderscheid kunnen zijn, of\ + \ jullie dit eerlijk vinden en of er eventuele alternatieven zijn. \n\n!!! note\ + \ \"Opmerking\"\n\n De bepaling over wat eerlijk is en wat ethisch wenselijk\ + \ is kan in sommige gevallen ook politiek bevonden worden. Houd hier rekening met\ + \ de politiek-bestuurlijke verantwoordelijkheden en zorg indien nodig dat de [politiek-bestuurlijke\ + \ verantwoordelijkhden](0-org-04-politiek-bestuurlijke-verantwoordelijkheid.md)\ + \ duidelijk zijn. \n\nWanneer er geen zorgvuldige analyse naar (onwenselijke) bias\ + \ is uitgevoerd, bestaat het risico dat het gebruik van het algoritme discriminerende\ + \ effecten met zich meebrengt. \nDit kan leiden tot een ongelijke behandeling van\ + \ burgers met eventuele schade voor betrokkenen.\n" urn: urn:nl:ak:mtr:ver-01 language: nl owners: diff --git a/measures/5-ver-03-vertaling-wetgeving-naar-systeem.yaml b/measures/5-ver-03-vertaling-wetgeving-naar-systeem.yaml index bf168ad..ac5b532 100644 --- a/measures/5-ver-03-vertaling-wetgeving-naar-systeem.yaml +++ b/measures/5-ver-03-vertaling-wetgeving-naar-systeem.yaml @@ -2,8 +2,40 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Controleer regelmatig of het algoritme voldoet aan alle wetten en regels en het eigen beleid -description: '' -explanation: '' +description: "Stel regelmatig vast dat wetgeving en (lokaal) beleid correct is vertaald\ + \ naar de uitvoering van het te ondersteunen werkproces en de onderliggende systemen.\ + \ \n " +explanation: "- Systemen die overheidsorganisaties inzetten voor bijvoorbeeld het\ + \ verlenen van subsidies, vergunningen of bijstandsuitkeringen moeten de regels\ + \ en processtappen volgen die in wetgeving zijn voorgeschreven.\n- Er is een vertaling\ + \ nodig van deze regels en processtappen naar de uitvoering van het werkproces,\ + \ het datagebruik en onderliggende systemen.\n- Algoritmes moeten ook voldoen aan\ + \ deze regels en processtappen.\n- Als algoritmes worden ontwikkeld, moet worden\ + \ onderzocht wat deze regels zijn en hoe deze moeten worden toegepast bij het ontwikkelen\ + \ van algoritmes.\n- Het moeten voldoen aan wetgeving en beleid kan dus in zekere\ + \ zin 'begrenzend' werken op wat mag worden gedaan met algoritmes. Dit is mede afhankelijk\ + \ van de risico classificatie van de specifieke toepassing. \n- Voor algoritmes,\ + \ bijvoorbeeld regelgebaseerde rekenregels, moet bijvoorbeeld nauwkeurig worden\ + \ geprogrammeerd in welke gevallen welke bedragen moeten worden uitgekeerd voor\ + \ een bijstandsuitkering.\n- Voor machine learning algoritmes moet bijvoorbeeld\ + \ worden vastgesteld of de trainingsdata wel tot stand is gekomen in lijn met wetgeving\ + \ en vastgesteld beleid (datakwaliteit) en welke verbanden en patronen (inputvariabelen)\ + \ al dan niet passend zijn bij het ondersteunen van wettelijke taken.\n \n- Er is\ + \ een multidisciplinaire samenwerking nodig tussen de proceseigenaar, gebruikers,\ + \ juristen, informatieanalisten en ontwikkelaar om deze vertaling zorgvuldig en\ + \ doorlopend te maken.\n- Voorafgaand aan het (laten) ontwikkelen van een algoritme\ + \ moet dit zijn uitgevoerd.\n- De toegepaste 'business rules' en de verwerkte data\ + \ voor de uitvoering van het te ondersteunen werkproces met algoritmes moeten worden\ + \ onderzocht en beoordeeld.\n- Diepgaande procesanalyses (Bv. BPMN niveau Analytisch)\ + \ en procesbeschrijvingen kunnen hierbij ondersteunen. \n- Als blijkt dat een werkproces\ + \ niet (meer) conform (gewijzigde) wetgeving of beleid wordt uitgevoerd, dan moet\ + \ worden beoordeeld of de verworven data of welke deel van de data geschikt is voor\ + \ het ontwikkelen een algoritme.\n- Het is dan raadzaam om de uitvoering van het\ + \ betreffende werkproces en de werking van onderliggende systemen eerst te 'herstellen'\ + \ en om hiermee een nieuw datafundament te creëeren (eerst een groot aantal zaken\ + \ behandelen) die later als trainingsdata kan worden gebruikt. \n \nEen beslissing\ + \ of besluit wordt niet conform wetgeving genomen en is daarmee onrechtmatig, als\ + \ geen goede vertaling wordt gemaakt van wetgeving naar het algoritme. \n" urn: urn:nl:ak:mtr:ver-03 language: nl owners: diff --git a/measures/6-imp-01-werkinstructies-gebruikers.yaml b/measures/6-imp-01-werkinstructies-gebruikers.yaml index cae089c..e610ea6 100644 --- a/measures/6-imp-01-werkinstructies-gebruikers.yaml +++ b/measures/6-imp-01-werkinstructies-gebruikers.yaml @@ -1,8 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Stel een werkinstructie op voor gebruikers. -description: '' -explanation: '' +description: "Stel een werkinstructie op voor gebruikers. \n" +explanation: "Het is belangrijk dat gebruikers een werkinstructie ontvangen met informatie\ + \ over hoe zij met het algoritme kunnen en moeten werken. Hierin worden zaken beschreven\ + \ als:\n\n-\tOp wat voor manier het algoritme ondersteunt bij het uitvoeren van\ + \ (wettelijke) taken.\n-\tWat de mogelijkheden en beperkingen zijn bij het gebruik\ + \ van het algoritme.\n-\tWat de impact is van het gebruik van het algoritme op de\ + \ samenleving en individuen (denk aan [energieverbruik](7-mon-05-meten-milieu-impact)\ + \ of dat een besluit met rechtsgevolgen wordt genomen).\n-\tWat de risico's zijn\ + \ die aan het gebruik verbonden zijn (bijv. (automation) bias, false positives/negatives).\n\ + -\tWelke maatregelen zijn getroffen om deze risico's te beperken (bijv. [bias analyse](5-ver-02-biasanalyse),\ + \ ['stopknop' ingebouwd](4-owk-02-stopzetten-gebruik), transparantie over de output).\n\ + -\tHoe de output van het algoritme moet worden geïnterpreteerd.\n-\tHoe het werkproces\ + \ kan worden uitgevoerd, zonder ondersteuning van het algoritme.\n-\tWelke protocollen\ + \ er zijn als incidenten zich voordoen.\n\t\nDenk hierbij na over het eventueel\ + \ bijscholen van medewerkers als het kennisniveau nog onvoldoende is om de werkinstructies\ + \ goed te begrijpen. \n" urn: urn:nl:ak:mtr:imp-01 language: nl owners: diff --git a/measures/6-imp-02-aselecte-steekproeven.yaml b/measures/6-imp-02-aselecte-steekproeven.yaml index 7023216..33c8e0b 100644 --- a/measures/6-imp-02-aselecte-steekproeven.yaml +++ b/measures/6-imp-02-aselecte-steekproeven.yaml @@ -1,8 +1,48 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Doe aselecte steekproeven om algoritmes met 'risicogestuurde selectie’ te controleren -description: '' -explanation: '' +description: 'Uitvoeren van aselecte steekproeven als aanvulling wanneer gebruik gemaakt + wordt van risicogestuurde selectie. + + ' +explanation: "Aselecte steekproeven kunnen een waardevolle toevoeging zijn bij risicogestuurde\ + \ selectie.\n\nHet toevoegen van aselecte steekproeven maakt het mogelijk om over\ + \ tijd te beoordelen of het algoritme nog voldoende effectief is.\nPopulaties veranderen\ + \ immers over tijd. Een selectie die het meest effectief was bij ingebruikname,\ + \ kan over tijd dat niet meer zijn.\nDoor alleen risicogestuurd te selecteren, wordt\ + \ dit niet inzichtelijk, omdat bepaalde groepen zelden tot nooit gecontroleerd worden.\n\ + Door de aanvullende mogelijkheid van monitoring, kan over tijd beoordeeld worden\ + \ of er nog steeds sprake is van de meest proportionele vorm.\nAls dat niet zo is,\ + \ kan bijvoorbeeld gekozen worden voor aanpassing van de risicogestuurde selectie\ + \ of overgaan op volledig aselect.\n\nDe maatregel gaat daarmee niet direct discriminatie\ + \ tegen, omdat er sprake kan zijn van discriminatie ongeacht de effectiviteit van\ + \ de risicogestuurde selectie.\nEen lagere effectiviteit maakt het echter lastiger\ + \ het gemaakte onderscheid te rechtvaardigen.\n\nHet gebruik van een aselecte steekproef\ + \ is in veel gevallen essentieel om het systeem te kunnen toetsen op vooringenomenheid.\ + \ \nEen aselecte steekproef geeft ook inzicht in heel deel van de populatie dat\ + \ doorgaans niet geselecteerd en behandeld wordt door het betreffende risicogestuurde\ + \ algoritme. \nDit maakt het mogelijk om te toetsen of er sprake is van een over-\ + \ of ondervertegenwoordiging van bepaalde groepen, of om te bepalen of bepaalde\ + \ typen fouten vaker gemaakt worden in bepaalde groepen.\n\nBij AI-systemen die\ + \ verder leren op basis van verkregen data kan daarnaast sprake zijn van een reinforcing\ + \ feedbackloop, omdat zij geen representatieve data krijgen.\nHet toevoegen van\ + \ aselecte steekproeven kan deze feedbackloop doorbreken.\n\nHet is aan te bevelen\ + \ om, waar mogelijk, behandelaars niet in te lichten of een casus toegewezen is\ + \ op basis van een risicogestuurd of aselecte selectie.\nDaardoor wordt beperkt\ + \ dat een behandelaar met tunnelvisie een zaak bekijkt.\nDe behandelaar weet immers\ + \ dat er tussen de selecties zaken zitten waar niet sprake is van verhoogd risico.\n\ + Op die manier kan automation bias beperkt te worden.\nNiet in alle gevallen zal\ + \ dit mogelijk zijn, omdat de behandelaar ook uit andere aangeleverde gegevens kan\ + \ halen op basis waarvan een casus geselecteerd is.\nHet is dan belang om op andere\ + \ wijze de tunnelvisie tegen te gaan.\n\nDe precieze inzet van aselecte steekproeven\ + \ zal afhangen van de context.\nZo verschilt het per context hoeveel zaken aselect\ + \ geselecteerd moeten worden.\nBepaal welke groepen er precies vergeleken dienen\ + \ te worden en bepaal aan de hand daarvan een passende steekproefgrootte zodanig\ + \ dat er gesproken kan worden over statistische significantie. \n\nIn sommige gevallen\ + \ zal de impact van een selectie ook dusdanig zijn, dat het zich niet leent voor\ + \ aselecte steekproef.\nZo kan een aselecte steekproef wel de basis zijn voor bureauonderzoek,\ + \ maar mogelijk niet als enige basis voor een huisbezoek.\nDeze belangenenafweging\ + \ moet per context gemaakt worden.\n" urn: urn:nl:ak:mtr:imp-02 language: nl owners: diff --git a/measures/6-imp-03-menselijke-tussenkomst.yaml b/measures/6-imp-03-menselijke-tussenkomst.yaml index 46fc092..df117b0 100644 --- a/measures/6-imp-03-menselijke-tussenkomst.yaml +++ b/measures/6-imp-03-menselijke-tussenkomst.yaml @@ -1,54 +1,77 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Richt de juiste menselijke controle in van het algoritme -description: '' -explanation: 'Algoritmes ondersteunen vaak beslissingen en besluitvorming van overheidsorganisaties. - Deze beslissingen of besluiten kunnen betrokkenen in [aanmerkelijke mate raken of - zelfs rechtsgevolgen](avg-10-recht-op-niet-geautomatiseerde-besluitvorming.md) hebben. - Omdat algoritmes niet foutloos zijn, is het belangrijk dat een mens controleert - wat een algoritme doet en, waar nodig, corrigeert. Dit proces heet ''menselijke - tussenkomst'' en moet betekenisvol zijn, niet slechts symbolisch. - - - Het inrichten, monitoren en evalueren van menselijke controle is cruciaal om te - voorkomen dat algoritmes negatieve effecten veroorzaken of de menselijke autonomie - ondermijnen. - - - Betekenisvolle menselijke controle houdt in dat: - - - - Het toezicht wordt uitgevoerd door iemand die bevoegd en bekwaam is om een beslissing - of besluit te wijzigen. - - - Automatische aanbevelingen niet klakkeloos worden overgenomen. Bijvoorbeeld: een - systeem dat standaard een suggestie accepteert door een enkele klik voldoet hier - niet aan. - - - De vormen van menselijke tussenkomst al in een vroeg stadium, bijvoorbeeld in - de ontwerpfase, worden vastgesteld op basis van risicoanalyses. - - - Gebruikers voldoende kennis, tijd en verantwoordelijkheid hebben om weloverwogen - beslissingen te nemen over het functioneren van algoritmes. Dit betekent ook dat - externe factoren, zoals tijdsdruk of onvoldoende informatie, de beoordeling van - de output niet mogen beïnvloeden. (zie ook het [onderzoekskader van de ADR, SV.6](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023)) - - - Soms is menselijke tussenkomst minder relevant, zoals bij ‘gebonden bevoegdheden’. - Hierbij is weinig tot geen ruimte om een beslissing of besluit aan te passen. Voorbeelden - zijn: - - - - Het opleggen van verkeersboetes onder de Wet administratiefrechtelijke handhaving - verkeersvoorschriften (Wahv). - - - Het automatisch aanpassen van studiefinanciering op basis van inkomenswijzigingen. - - - Om menselijke tussenkomst goed te organiseren, zijn technische en organisatorische - maatregelen nodig. Dit geldt ook wanneer een externe aanbieder de algoritmes levert. - In dat geval moet de verantwoordelijke organisatie (gebruiksverantwoordelijke) samen - met de aanbieder bepalen hoe menselijke tussenkomst zinvol kan worden ingericht.' +description: 'Richt (technische) controlemechanismen in voor menselijke tussenkomst + (of: menselijke controle) waarmee de output van een algoritme kan worden gecontroleerd. + + + ' +explanation: "Algoritmes ondersteunen vaak beslissingen en besluitvorming van overheidsorganisaties.\ + \ Deze beslissingen of besluiten kunnen betrokkenen in [aanmerkelijke mate raken\ + \ of zelfs rechtsgevolgen](avg-10-recht-op-niet-geautomatiseerde-besluitvorming.md)\ + \ hebben. Omdat algoritmes niet foutloos zijn, is het belangrijk dat een mens controleert\ + \ wat een algoritme doet en, waar nodig, corrigeert. Dit proces heet 'menselijke\ + \ tussenkomst' en moet betekenisvol zijn, niet slechts symbolisch.\n\nHet inrichten,\ + \ monitoren en evalueren van menselijke controle is cruciaal om te voorkomen dat\ + \ algoritmes negatieve effecten veroorzaken of de menselijke autonomie ondermijnen.\n\ + \nBetekenisvolle menselijke controle houdt in dat:\n\n- Het toezicht wordt uitgevoerd\ + \ door iemand die bevoegd en bekwaam is om een beslissing of besluit te wijzigen.\n\ + - Automatische aanbevelingen niet klakkeloos worden overgenomen. Bijvoorbeeld: een\ + \ systeem dat standaard een suggestie accepteert door een enkele klik voldoet hier\ + \ niet aan.\n- De vormen van menselijke tussenkomst al in een vroeg stadium, bijvoorbeeld\ + \ in de ontwerpfase, worden vastgesteld op basis van risicoanalyses.\n- Gebruikers\ + \ voldoende kennis, tijd en verantwoordelijkheid hebben om weloverwogen beslissingen\ + \ te nemen over het functioneren van algoritmes. Dit betekent ook dat externe factoren,\ + \ zoals tijdsdruk of onvoldoende informatie, de beoordeling van de output niet mogen\ + \ beïnvloeden. (zie ook het [onderzoekskader van de ADR, SV.6](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023))\n\ + \nSoms is menselijke tussenkomst minder relevant, zoals bij ‘gebonden bevoegdheden’.\ + \ Hierbij is weinig tot geen ruimte om een beslissing of besluit aan te passen.\ + \ Voorbeelden zijn:\n\n- Het opleggen van verkeersboetes onder de Wet administratiefrechtelijke\ + \ handhaving verkeersvoorschriften (Wahv).\n- Het automatisch aanpassen van studiefinanciering\ + \ op basis van inkomenswijzigingen.\n\nOm menselijke tussenkomst goed te organiseren,\ + \ zijn technische en organisatorische maatregelen nodig. Dit geldt ook wanneer een\ + \ externe aanbieder de algoritmes levert. In dat geval moet de verantwoordelijke\ + \ organisatie (gebruiksverantwoordelijke) samen met de aanbieder bepalen hoe menselijke\ + \ tussenkomst zinvol kan worden ingericht.\n\n### Inrichten van menselijke controle\n\ + \nEr zijn verschillende manieren om menselijke tussenkomst in te richten, afhankelijk\ + \ van de specifieke toepassing van een algoritme. Hieronder worden vier mogelijkheden\ + \ beschreven die kunnen worden ingezet, los of in combinatie:\n\n#### 1. Human in\ + \ the loop\nBij dit model speelt de mens een actieve rol in elke fase van het algoritme.\ + \ Deze variant geeft de meeste controle en invloed, maar kan leiden tot vertraagde\ + \ of minder efficiënte besluitvorming, vooral bij real-time of zeer complexe taken\ + \ waarbij snelheid cruciaal is.\nEen voorbeeld van toepassen van Human-in-the-loop\ + \ is het nakijken en beoordelen van de output van een algoritme door een mens, telkens\ + \ voordat een beslissing wordt genomen. Het verwerken van data gebeurt alleen in\ + \ opdracht van de mens en verder neemt het algoritme of AI model geen autonome beslissingen.\ + \ \n\n#### 2. Human on the loop\nHier behoudt de mens toezicht en kan ingrijpen\ + \ wanneer dat nodig is, om te garanderen dat een model veilig en ethisch opereert.\ + \ Dit model biedt daardoor een balans tussen autonome besluitvorming en menselijke\ + \ controle. Het is vooral nuttig in situaties waarin afwijkende keuzes of acties\ + \ van het algoritme grote gevolgen kunnen hebben. De menselijke operator houdt de\ + \ werking van het algoritme in de gaten en staat klaar om in te grijpen of beslissingen\ + \ terug te draaien wanneer nodig.\n\n#### 3. Human above the loop\nIn dit model\ + \ houdt de mens toezicht op een hoger niveau, met een focus op strategische en ethische\ + \ keuzes, in plaats van dat de menselijke operator zich bezighoudt met directe operationele\ + \ beslissingen. Dit stelt de mens in staat in te grijpen wanneer kritieke morele,\ + \ juridische of sociale zorgen ontstaan om het model op de langere termijn bij te\ + \ sturen. De menselijke tussenkomst is gericht op het bepalen van beleid en de\ + \ richtlijnen voor algoritmes. Het gaat daarbij niet alleen over het definiëren\ + \ van operationele procedures maar ook het maken van bepaalde ethische overwegingen,\ + \ het zorgen voor naleving van regelgeving en het overwegen van de implicaties van\ + \ de inzet van algoritmes op de lange termijn. \n\n#### 4. Human before the loop\n\ + Hier maakt de mens vooraf ethische en morele afwegingen die in het algoritme zelf\ + \ worden ingebouwd. Hoewel het model in productie autonoom opereert, zal de menselijke\ + \ input gedurende de ontwikkeling ervoor zorgen dat het model ook in complexe situaties\ + \ volgens de juiste (ethische) afwegingen keuzes en acties onderneemt.\n\nDit model\ + \ is essentieel in situaties waar menselijk ingrijpen tijdens de uitvoering niet\ + \ mogelijk is (wanneer er bijvoorbeeld weinig of helemaal geen tijd is om als mens\ + \ te interveniëren), maar waar ethische keuzes cruciaal blijven. Denk aan bestrijding\ + \ van zeemijnen of situaties met zelfrijdende auto’s in onvoorspelbare verkeerssituaties\ + \ (bron: [TNO visiestuk 2022](https://publications.tno.nl/publication/34640024/a05DMs/TNO-2022-visiestuk.pdf)).\ + \ Deze variant kan ook worden ingezet voor situaties waarin wel nog menselijk ingrijpen\ + \ mogelijk is. \n\nHet niet inrichten van passende menselijke controle leidt tot\ + \ onverantwoorde inzet van algoritmen en het niet voldoen aan wettelijke vereisten.\ + \ \n" urn: urn:nl:ak:mtr:imp-03 language: nl owners: diff --git a/measures/6-imp-04-publiceren-algoritmeregister.yaml b/measures/6-imp-04-publiceren-algoritmeregister.yaml index 1857146..f5b8a01 100644 --- a/measures/6-imp-04-publiceren-algoritmeregister.yaml +++ b/measures/6-imp-04-publiceren-algoritmeregister.yaml @@ -1,8 +1,27 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Publiceer impactvolle algoritmes en hoog-risico-AI-systemen in het Algoritmeregister -description: 'Publiceer het algoritme in het [Nederlandse Algoritmeregister](../hulpmiddelen/algoritmeregister.md). ' -explanation: '' +description: "\nPubliceer het algoritme in het [Nederlandse Algoritmeregister](../hulpmiddelen/algoritmeregister.md).\ + \ \n" +explanation: "- De regering wil dat de overheid algoritmes verantwoord gebruikt. Mensen\ + \ moeten erop kunnen vertrouwen dat algoritmes voldoen aan de waarden en normen\ + \ van de samenleving.\n- Wanneer de overheid open is over algoritmes en hun toepassing,\ + \ kunnen burgers, organisaties en media haar kritisch volgen.\n- Impactvolle algoritmes\ + \ en hoog risico AI-systemen moeten daarom worden gepubliceerd in het Algoritmeregister.\n\ + - In het Algoritmeregister moet uitleg zijn over hoe algoritmes, of het proces wat\ + \ hiermee wordt ondersteund werkt.\n- Er is een [Handreiking Algoritmeregister](https://www.digitaleoverheid.nl/wp-content/uploads/sites/8/2023/12/Handreiking-Algoritmeregister-versie-1.0.pdf)\ + \ opgesteld met informatie over het publiceren van algoritmes in het Algoritmeregister.\n\ + - De [Algoritmeregister Publicatiestandaard](https://regels.overheid.nl/publicaties/algoritmeregister-publicatiestandaard#:~:text=De%20publicatiestandaard%20is%20gericht%20op,op%20andere%20manier%20te%20organiseren)\ + \ kan overheidsorganisaties ondersteunen bij het helpen invullen van het Algoritmeregister.\n\ + - Sommige overheidsorganisaties publiceren hun algoritmes ook in een eigen Algoritmeregister,\ + \ zodat burgers dit makkelijker kunnen vinden. Bijvoorbeeld het [Algoritmeregister\ + \ van de Gemeente Rotterdam](https://algoritmeregister.rotterdam.nl/p/Onzealgoritmes),\ + \ het [Algoritmeregister van de Gemeente Amsterdam](https://algoritmeregister.amsterdam.nl/)\ + \ of het [Algoritmeregister van het UWV](https://www.uwv.nl/nl/over-uwv/organisatie/algoritmeregister-uwv).\ + \ \n- Zorg na publicatie dat de informatie in het Algoritmeregister up-to-date blijft\ + \ en indien nodig regelmatig wordt aangepast. \n\nBetrokkenen zijn niet op de hoogte\ + \ dat hun persoonsgegevens worden verwerkt met een algoritme, waardoor zij hier\ + \ geen controle over hebben. \n" urn: urn:nl:ak:mtr:imp-04 language: nl owners: diff --git a/measures/6-imp-05-proces-privacyrechten.yaml b/measures/6-imp-05-proces-privacyrechten.yaml index b3a2092..198be63 100644 --- a/measures/6-imp-05-proces-privacyrechten.yaml +++ b/measures/6-imp-05-proces-privacyrechten.yaml @@ -1,8 +1,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Spreek af hoe de organisatie omgaat met privacy-verzoeken -description: Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen - als algoritmes worden ontwikkeld of gebruikt. +description: ' + + Richt een proces in waarmee betrokkenen hun privacyrechten kunnen inroepen als algoritmes + worden ontwikkeld of gebruikt. + + ' explanation: "- Betrokkenen moeten hun persoonsgegevens kunnen inzien, rectificeren,\ \ laten verwijderen of het gebruik ervan beperken bij het toepassen van algorimtes.\n\ - Betrokkenen moeten hun verzoek kunnen indienen bij de betreffende organisatie.\ @@ -11,9 +15,9 @@ explanation: "- Betrokkenen moeten hun persoonsgegevens kunnen inzien, rectifice \ kunnen worden behandeld door bijvoorbeeld door het ontwikkel- of beheerteam (aanbieder).\n\ - Bij het inrichten van servicemanagement moet zijn nagedacht over hoe een verzoek\ \ tot het inzien, rectificeren, verwijderen of beperken van de verwerking van persoonsgegevens\ - \ op een betekenisvolle manier kan of moet worden behandeld.\n \n## Bijbehorende\ - \ vereiste(n) { data-search-exclude }\n??? expander \"Bekijk alle vereisten\"\n\ - \ " + \ op een betekenisvolle manier kan of moet worden behandeld.\n \nBetrokkenen hebben\ + \ geen controle over hun persoonsgegevens doordat ze geen beroep kunnen doen op\ + \ hun privacyrechten. \n" urn: urn:nl:ak:mtr:imp-06 language: nl owners: diff --git a/measures/6-imp-05-werkinstructies-medewerkers.yaml b/measures/6-imp-05-werkinstructies-medewerkers.yaml index e8c129c..0aa1387 100644 --- a/measures/6-imp-05-werkinstructies-medewerkers.yaml +++ b/measures/6-imp-05-werkinstructies-medewerkers.yaml @@ -1,8 +1,24 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Spreek af hoe medewerkers omgaan met het algoritme. -description: '' -explanation: '' +description: "Stel duidelijke werkinstructies op voor de medewerkers die het algoritme\ + \ gaan gebruiken. \n" +explanation: "-\tMaak keuzes rondom de rol van het systeem in de werkwijze van medewerkers.\n\ + -\tGebruik duidelijke werkinstructies en protocollen om te voorkomen dat beslissingen,\ + \ gebaseerd op de output van het systeem, door (automation) bias worden beïnvloed.\n\ + -\tStel een structuur op voor het melden van mogelijke problemen die medewerkers\ + \ ervaren met het systeem.\n-\tOpleiding van medewerkers over:\n\n\t-\tAlgoritmes,\ + \ waaronder AI;\n\t-\thet systeem waarmee ze gaan werken;\n\t-\tde rol van het systeem\ + \ in hun werkwijze;\n\t-\tde risico's die aan het gebruik van een systeem verbonden\ + \ zijn (bijv. (automation) bias, false positives/negatives);\n\t-\tde maatregelen\ + \ die genomen zijn om deze risico’s te beperken (bijv. willekeurige of fictieve\ + \ casussen, transparantie over de output).\n\n-\tBespreek regelmatig de uitdagingen\ + \ die medewerkers ondervinden bij het werken met het systeem (bijv. tijdsdruk).\n\ + -\tDocumenteer alle keuzes en de onderliggende redenen/afwegingen rondom menselijke\ + \ tussenkomst en overzicht. Evalueer en pas gemaakte keuzes waar nodig aan.\n\n\ + - Goede samenwerking tussen medewerkers en systemen helpt bij het voorkomen van\ + \ (automation) bias en discriminatie, het signaleren van algoritmische problemen,\ + \ en het vermijden van de facto automatische besluitvorming.\n" urn: urn:nl:ak:mtr:imp-05 language: nl owners: diff --git a/measures/6-imp-06-vermelding-in-privacyverklaring.yaml b/measures/6-imp-06-vermelding-in-privacyverklaring.yaml index d4cfc30..7be59b2 100644 --- a/measures/6-imp-06-vermelding-in-privacyverklaring.yaml +++ b/measures/6-imp-06-vermelding-in-privacyverklaring.yaml @@ -1,8 +1,8 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Vermeld het gebruik van persoonsgegevens in een privacyverklaring -description: ' Neem het gebruik van een algoritme op in de privacyverklaring als hierbij - persoonsgegevens worden verwerkt. ' +description: "\n Neem het gebruik van een algoritme op in de privacyverklaring als\ + \ hierbij persoonsgegevens worden verwerkt. \n" explanation: "- Door in een privacyverklaring te vermelden welke persoonsgegevens\ \ worden verwerkt voor het gebruik van een algoritme, wordt een betrokkene geïnformeerd\ \ over de verwerking van diens persoonsgegevens.\n- Een privacyverklaring kan op\ @@ -29,9 +29,10 @@ explanation: "- Door in een privacyverklaring te vermelden welke persoonsgegeven \ het algoritme, alsmede het belang en de verwachte gevolgen van die verwerking\ \ voor de betrokkene. Het is ook denkbaar dat deze informatie in het algoritmeregister\ \ wordt opgenomen.\n- Als ervoor wordt gekozen om het algoritme uit te faseren,\ - \ dan moet informatie in het algoriteregister hierop worden aangepast. \n \n##\ - \ Bijbehorende vereiste(n) { data-search-exclude }\n??? expander \"Bekijk alle vereisten\"\ - \n \n" + \ dan moet informatie in het algoriteregister hierop worden aangepast. \n \nBetrokkenen\ + \ zijn niet op de hoogte dat hun persoonsgegevens worden verwerkt met een algoritme,\ + \ waardoor zij hier geen controle over hebben en zich niet kunnen beroepen op hun\ + \ privacyrechten.\n" urn: urn:nl:ak:mtr:imp-07 language: nl owners: diff --git a/measures/6-imp-07-klacht-bezwaar-beroep.yaml b/measures/6-imp-07-klacht-bezwaar-beroep.yaml index e7e62fc..fc701bb 100644 --- a/measures/6-imp-07-klacht-bezwaar-beroep.yaml +++ b/measures/6-imp-07-klacht-bezwaar-beroep.yaml @@ -2,16 +2,17 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Richt een proces in zodat burgers of andere belanghebbenden een klacht, bezwaar of beroep kunnen indienen over het gebruik van het algoritme en monitor dit proces. -description: '' -explanation: ' ## Bronnen - - - [Onderzoekskader Auditdienst Rijk, SV.17, PRI.9](https://www.rijksoverheid.nl/documenten/rapporten/2023/07/11/onderzoekskader-algoritmes-adr-2023) - - - [Toetsingskader Algoritmes Algemene Rekenkamer, 1.08](https://www.rekenkamer.nl/onderwerpen/algoritmes/documenten/publicaties/2024/05/15/het-toetsingskader-aan-de-slag) - - - [Onderzoek misbruik uitwonendenbeurs, PricewaterhouseCoopers](https://open.overheid.nl/documenten/dpc-97a155051e66b292ef3cc5799cb4aef61dcbf46b/pdf#page=48) - - - [Intern onderzoek controle uitwonendenbeurs, DUO](https://open.overheid.nl/documenten/dpc-486d1370ee92580b07ae27198a636c73fc28b87d/pdf)' +description: "Richt een proces in zodat burgers of andere belanghebbenden een klacht,\ + \ bezwaar of beroep kunnen indienen over het gebruik van het algoritme. Zorg voor\ + \ goede monitoring van dit proces zodat het projectteam op de hoogte is van klachten,\ + \ bezwaren en beroepen over het systeem. \n" +explanation: "- Een goede datahuishouding van de binnengekomen bezwaren, klachten\ + \ en beroepen is essentieel om de informatie rondom de klachten, bezwaren en beroepen\ + \ vanuit datagedreven perspectief te kunnen monitoren.\n- Goede monitoring kan ervoor\ + \ zorgen dat eventuele patronen in bezwaar, klacht en beroep snel gesignaleerd worden.\ + \ Eventuele patronen in klacht, bezwaar en beroep kunnen duiden op problemen in\ + \ het functioneren van het algoritme. Dit kan bijvoorbeeld duiden op discriminerende\ + \ effecten van het algoritme, waardoor nader onderzoek wenselijk is. \n\n" urn: urn:nl:ak:mtr:imp-09 language: nl owners: diff --git a/measures/6-imp-08-vermelding-in-verwerkingsregister.yaml b/measures/6-imp-08-vermelding-in-verwerkingsregister.yaml index 284f794..16ef99b 100644 --- a/measures/6-imp-08-vermelding-in-verwerkingsregister.yaml +++ b/measures/6-imp-08-vermelding-in-verwerkingsregister.yaml @@ -1,9 +1,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Vermeld het gebruik van persoonsgegevens in het verwerkingsregister -description: ' Neem de ontwikkeling en gebruik van een algoritme op in het verwerkingsregister - als persoonsgegevens worden verwerkt. ' -explanation: '' +description: "\n Neem de ontwikkeling en gebruik van een algoritme op in het verwerkingsregister\ + \ als persoonsgegevens worden verwerkt. \n" +explanation: "- Door in het verwerkingsregister te vermelden welke persoonsgegevens\ + \ worden verwerkt voor het gebruik van een algoritme, wordt een betrokkene geïnformeerd\ + \ over de verwerking van diens persoonsgegevens\n- Hiermee is ook voor de organisatie\ + \ intern inzichtelijk welke persoonsgegevens voor welke toepassingen worden verwerkt;\n\ + - Het is van belang dat vanaf het moment dat persoonsgegevens worden verwerkt, meteen\ + \ een vermelding hiervan wordt gemaakt in het verwerkingsregister;\n- Dat betekent\ + \ dat als persoonsgegevens worden verwerkt bij het ontwikkelen en trainen van het\ + \ algoritme, en deze nog niet in gebruik zijn genomen, al een vermelding moet worden\ + \ gedaan in het verwerkingsregister;\n- Bij beëindiging van het gebruik van het\ + \ algoritme, moet het verwerkingsregister worden aangepast. \n\n\nBetrokkenen en\ + \ de interne organisatie zijn niet op de hoogte welke persoonsgegevens worden verwerkt\ + \ met een algoritme, waardoor zij hier geen controle over hebben. \n" urn: urn:nl:ak:mtr:imp-08 language: nl owners: diff --git a/measures/6-imp-09-politiek-bestuurlijk-besluit.yaml b/measures/6-imp-09-politiek-bestuurlijk-besluit.yaml index 0588e9d..6bb19b7 100644 --- a/measures/6-imp-09-politiek-bestuurlijk-besluit.yaml +++ b/measures/6-imp-09-politiek-bestuurlijk-besluit.yaml @@ -1,8 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak een openbaar besluit over de inzet van het algoritme -description: '' -explanation: '' +description: "Een politieke-bestuurlijk besluit wordt genomen over de inzet van een\ + \ impactvol algoritme. \n" +explanation: "- Door een politiek-bestuurlijk besluit te nemen over de inzet of beëindiging\ + \ van een impactvol algoritme, wordt een afweging en keuze gemaakt over de wenselijkheid,\ + \ haalbaarheid, transparantie, invulling van menselijke controle en eventueel de\ + \ mate van onbewuste vooringenomenheid van het betreffende algoritme.\n- Impactvolle\ + \ algoritmes bevatten aspecten die vragen om politieke afwegingen, en niet enkel\ + \ door de ambtelijke organistie mogen worden beoordeeld.\n- Een voorbeeld van een\ + \ politiek afweging is wanneer er wel of geen sprake is van een gerechtvaardigd\ + \ onderscheid wat wordt gemaakt door een algoritme. \n- Het is van belang dat overheidsorganisaties\ + \ een politiek-bestuurlijk kader opstellen waarin wordt beschreven hoe wordt omgegaan\ + \ met dergelijke gevallen. \n- Een openbaar besluit draagt bij aan de legitimiteit\ + \ van de inzet van het algoritme en de controleerbaarheid van de overheidsorganisatie.\ + \ \n \nDe ambtelijke organisatie maakt politieke-bestuurlijke afwegingen en beslissingen\ + \ bij de inzet of beëindiging van het gebruik van impactvolle algoritmes, terwijl\ + \ deze daar niet toe bevoegd is.\n" urn: urn:nl:ak:mtr:imp-01 language: nl owners: diff --git a/measures/7-mon-01-backups-maken.yaml b/measures/7-mon-01-backups-maken.yaml index 2a5b9a8..7809d20 100644 --- a/measures/7-mon-01-backups-maken.yaml +++ b/measures/7-mon-01-backups-maken.yaml @@ -1,13 +1,27 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak back-ups van algoritmes -description: 'Back-up kopieën van informatie, software en systeemafbeeldingen dienen - regelmatig te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming - met een afgesproken back-up beleid. +description: ' + + Back-up kopieën van informatie, software en systeemafbeeldingen dienen regelmatig + te worden gemaakt en getest. Idealiter gebeurt dit in overeenstemming met een afgesproken + back-up beleid. Maak back-ups van de omgeving van het algoritme en zorg ervoor dat het algoritme - en de data hersteld kunnen worden.' -explanation: '' + en de data hersteld kunnen worden. + + ' +explanation: 'Er is een back-up beleid waarin de eisen voor het bewaren en beschermen + zijn gedefinieerd en vastgesteld. Dit beleid moet vervolgens worden vertaald naar + (technische) maatregelen om het kunnen maken van back-ups te realiseren. + + + Als er geen regelmatige back-ups worden gemaakt en de restore-procedure niet regelmatig + wordt getest, bestaat het risico dat er geen hersteloptie is en mogelijkheid van + gegevensverlies. + + + ' urn: urn:nl:ak:mtr:mon-01 language: nl owners: diff --git a/measures/7-mon-02-beveiliging-algoritme.yaml b/measures/7-mon-02-beveiliging-algoritme.yaml index dd61061..45f6c3d 100644 --- a/measures/7-mon-02-beveiliging-algoritme.yaml +++ b/measures/7-mon-02-beveiliging-algoritme.yaml @@ -1,7 +1,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beveilig de software -description: '' +description: 'Zorg voor een goede beveiliging van de verschillende softwarecomponenten + van een algoritme. + + Bepaal of de data voldoende is beveiligd en maak hierin onderscheid tussen de inputdata + en de outputdata. + + ' explanation: 'Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor een goede beveiliging van verschillende (software-)componenten van een algoritme. Hierbij kan worden gedacht aan: @@ -41,6 +47,10 @@ explanation: 'Er zijn beheersmaatregelen die kunnen helpen bij het zorgen voor e voldoende is beveiligd. Maak hierin onderscheid tussen de trainingsdata, inputdata en de outputdata. + + + Oneigenlijke toegang van buitenaf kan plaatsvinden via zwakheden in het systeem. + ' urn: urn:nl:ak:mtr:mon-02 language: nl diff --git a/measures/7-mon-03-informatiebeveiligingsincidenten.yaml b/measures/7-mon-03-informatiebeveiligingsincidenten.yaml index 3479cf7..ffe0766 100644 --- a/measures/7-mon-03-informatiebeveiligingsincidenten.yaml +++ b/measures/7-mon-03-informatiebeveiligingsincidenten.yaml @@ -1,8 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Maak een noodplan voor beveiligingsincidenten -description: '' -explanation: '' +description: 'Richt een proces in waarmee beveiligingsincidenten m.b.t. algoritmes + en data zo spoedig mogelijk worden opgelost. + + + ' +explanation: 'Er zijn procedures aanwezig die borgen dat beveiligingsincidenten m.b.t. + algoritmes en data zo spoedig mogelijk, afhankelijk van de kwalificatie van het + incident, worden opgepakt. + + + + Te late reactie op incidenten kan ervoor zorgen dat de BIV (beschikbaarheid, integriteit + en vertrouwelijkheid) van het algoritme of data kan worden aangetast. + + ' urn: urn:nl:ak:mtr:mon-03 language: nl owners: diff --git a/measures/7-mon-04-evalueer-bij-veranderingen-in-data.yaml b/measures/7-mon-04-evalueer-bij-veranderingen-in-data.yaml index ab54358..a45051d 100644 --- a/measures/7-mon-04-evalueer-bij-veranderingen-in-data.yaml +++ b/measures/7-mon-04-evalueer-bij-veranderingen-in-data.yaml @@ -2,8 +2,23 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Monitor regelmatig op veranderingen in de data. Bij veranderingen evalueer je de prestaties en output van het algoritme. -description: '' -explanation: '' +description: 'Monitor regelmatig op veranderingen in de inputdata. Bij geconstateerde + veranderingen evalueer je de prestaties en de output van het algoritme. + + ' +explanation: "De inputdata kan voortdurend veranderen. \nDat kan komen doordat de\ + \ context waarin het algoritme wordt gebruikt verandert, of door een technische\ + \ fout wanneer de data bijvoorbeeld niet goed is ingelezen of aangeleverd. \nHet\ + \ te laat opmerken van zo'n verandering kan grote gevolgen hebben. \nDaarom is het\ + \ belangrijk om regelmatig te controleren en evalueren of:\n\n- de data van [voldoende\ + \ kwaliteit is voor de beoogde toepassing](3-dat-01-datakwaliteit.md)\n- of het\ + \ algoritme nog [presteert in lijn met de vastgestelde doelen](5-ver-01-functioneren-in-lijn-met-doeleinden.md)\n\ + - de gegevens op de juiste en volledige manier worden verwerkt. \n\nZeker wanneer\ + \ er gebruikt wordt gemaakt van informatie van derden, is het belangrijk om regelmatig\ + \ te controleren of er veranderingen in de data zijn. Goede monitoring op datakwaliteit\ + \ zorgt ervoor dat je voldoende controle hebt over de kwaliteit van de data, zelfs\ + \ als je hiervoor afhankelijk bent van andere partijen. \n\nDoor veranderingen in\ + \ de data presteert het model niet meer zoals verwacht.\n" urn: urn:nl:ak:mtr:mon-04 language: nl owners: diff --git a/measures/7-mon-05-meten-milieu-impact.yaml b/measures/7-mon-05-meten-milieu-impact.yaml index 1fde23f..db62600 100644 --- a/measures/7-mon-05-meten-milieu-impact.yaml +++ b/measures/7-mon-05-meten-milieu-impact.yaml @@ -1,9 +1,36 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Meten, monitoren en rapporteren van milieu-impact van algoritmes -description: '' -explanation: 'Tref bijvoorbeeld de volgende maatregelen, wanneer je de milieu-impact - van algoritmes gaat inventariseren of monitoren:' +description: 'Inventariseer en monitor de milieu-impact van algoritmes (bijvoorbeeld + door het doen van een impact-assessment), zowel tijdens [ontwerp](../../levenscyclus/ontwerp.md) + als bij het gebruik, en rapporteer deze om duurzame keuzes mogelijk te maken. + + ' +explanation: "Tref bijvoorbeeld de volgende maatregelen, wanneer je de milieu-impact\ + \ van algoritmes gaat inventariseren of monitoren:\n\n### Digital Product Passports\n\ + De milieu-impact van algoritmes kan worden gemeten en geoptimaliseerd door een [Digital\ + \ Product Passport (DPP)](https://coalitieduurzamedigitalisering.nl/nieuws/digital-product-passport-samen-aan-de-slag/)\ + \ te overwegen.\nDPP's bieden een platform voor duurzame rapportage door middel\ + \ van real-time informatie over onder andere CO₂-uitstoot, herkomst en energiegebruik,\ + \ wat kan helpen om de ecologische voetafdruk van een algoritme transparant te maken.\n\ + Door deze gegevens structureel te verzamelen en te delen, kunnen gebruikers en bedrijven\ + \ inzicht krijgen in de duurzaamheidsprestaties.\nDe milieu-impact van verschillende\ + \ algoritmes/modellen kan een rol spelen bij het kiezen van een model in de ontwerpfase.\ + \ Ook kan het ervoor zorgen dat je later kiest om een ander model te gebruiken,\ + \ of het gebruik van een model of systeem zelfs te beëindigen.\n\n### Milieu-impact\ + \ assessments\nWanneer de milieu-impact (in bepaalde mate) inzichtelijk is, kan\ + \ er een milieu-impact assessment worden gedaan. Ga na of je organisatie die een\ + \ heeft of overweeg deze te ontwikkelen.\n\n### Periodieke monitoring\nProbeer ook\ + \ periodieke monitoringsrapporten op te stellen waarin de milieu-impact van algoritmes\ + \ wordt bijgehouden.\nHiermee vergroot je de duurzaamheid door [tijdig verbeteringen\ + \ te signaleren en door te voeren](../../levenscyclus/monitoring-en-beheer.md).\ + \ Hierbij kan ook een onderscheid worden gemaakt in de impact tijdens de trainingsfase\ + \ van het algoritme en de gebruiksfase. \n\nWanneer in de ontwerpfase niet wordt\ + \ nagedacht over milieu-impact kan onbewust voor een algoritme of model worden gekozen\ + \ dat meer energie verbruikt (en wellicht hogere kosten met zich mee brengt) dan\ + \ een model dat misschien even goed presteert voor het [gekozen doel](1-pba-02-formuleren-doelstelling.md).\n\ + Zonder structurele monitoring van de milieu-impact kan de organisatie onbewust bijdragen\ + \ aan een hoge CO₂-uitstoot en hoge energieverbruikskosten.\n" urn: urn:nl:ak:mtr:mon-05 language: nl owners: diff --git a/requirements/aia-01-ai-geletterdheid.yaml b/requirements/aia-01-ai-geletterdheid.yaml index 3f08d93..03a49e3 100644 --- a/requirements/aia-01-ai-geletterdheid.yaml +++ b/requirements/aia-01-ai-geletterdheid.yaml @@ -1,8 +1,26 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Personeel en gebruikers zijn voldoende AI-geletterd. -description: Personeel en gebruikers zijn voldoende AI-geletterd. -explanation: '' +description: ' + + Personeel en gebruikers zijn voldoende AI-geletterd. + + ' +explanation: "Aanbieders en gebruiksverantwoordelijken van AI-systemen nemen maatregelen\ + \ om, zoveel als mogelijk, te zorgen voor een toereikend niveau van AI-geletterdheid\ + \ bij hun personeel en andere personen die namens hen AI-systemen exploiteren en\ + \ gebruiken.\n\nZij houden daarbij rekening met hun technische kennis, ervaring,\ + \ onderwijs en opleiding en de context waarin de AI-systemen zullen worden gebruikt,\ + \ evenals met de personen of groepen personen ten aanzien van wie de AI-systemen\ + \ zullen worden gebruikt.\n\nDe AI-kennisplicht betekent bijvoorbeeld dat een HR-medewerker\ + \ moet begrijpen dat een AI-systeem vooroordelen kan bevatten of essenti\xEBle informatie\ + \ kan negeren, waardoor een sollicitant onterecht wel of juist niet wordt voorgedragen.\ + \ En een baliemedewerker bij een gemeente die een AI-systemen gebruikt om de burgers\ + \ te helpen, moet beseffen dat deze systemen vaak niet even goed werken voor iedereen.\ + \ En dat diegene de uitkomsten van dit soort AI-systemen niet blindelings kan volgen.\ + \ \n\nHet doel is om een adequaat niveau van begrip en vaardigheden te waarborgen,\ + \ wat bijdraagt aan een verantwoord gebruik van AI en het minimaliseren van risico's.\n\ + \nVanaf februari 2025 treedt deze vereiste in werking. \n" urn: urn:nl:ak:ver:aia-01 language: nl owners: diff --git a/requirements/aia-02-documentatie-beoordeling-niet-hoog-risico-ai.yaml b/requirements/aia-02-documentatie-beoordeling-niet-hoog-risico-ai.yaml index a1f487f..113593f 100644 --- a/requirements/aia-02-documentatie-beoordeling-niet-hoog-risico-ai.yaml +++ b/requirements/aia-02-documentatie-beoordeling-niet-hoog-risico-ai.yaml @@ -1,13 +1,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Beoordeling als niet 'hoog-risico-AI-systeem' is gedocumenteerd. -description: '' -explanation: ' - - Gebrek aan transparantie en verantwoording bij risicobeoordeling kan leiden tot - onrechtmatig in de markt brengen en onrechtmatig gebruik van (risicovolle) AI-systemen. +description: 'Beoordeling als niet ''hoog-risico-AI-systeem'' is gedocumenteerd. ' +explanation: "Een aanbieder die van mening is dat er geen sprake is van een in bijlage\ + \ III bedoeld AI-systeem, documenteert zijn beoordeling voordat dat systeem in de\ + \ handel wordt gebracht of in gebruik wordt gesteld. \n\nDie aanbieder is onderworpen\ + \ aan de registratieverplichting van artikel 49, lid 2 AI-verordening. Op verzoek\ + \ van de nationale bevoegde autoriteiten verstrekt de aanbieder de documentatie\ + \ van de beoordeling.\n\nDe aanbieder of in voorkomend geval de gemachtigd registreert\ + \ zichzelf en het betreffende AI-systeem in de EU-databank (artikel 71 AI-verordening).\n\ + \nAI-systemen met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke\ + \ infrastructuur) worden op nationaal niveau geregistreerd.\n\n\nGebrek aan transparantie\ + \ en verantwoording bij risicobeoordeling kan leiden tot onrechtmatig in de markt\ + \ brengen en onrechtmatig gebruik van (risicovolle) AI-systemen.\n\n" urn: urn:nl:ak:ver:aia-02 language: nl owners: diff --git a/requirements/aia-03-risicobeheersysteem.yaml b/requirements/aia-03-risicobeheersysteem.yaml index 77bcbb0..177751a 100644 --- a/requirements/aia-03-risicobeheersysteem.yaml +++ b/requirements/aia-03-risicobeheersysteem.yaml @@ -1,8 +1,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn voorzien van een risicobeheersysteem -description: Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer - vastgesteld, uitgevoerd, gedocumenteerd en in stand gehouden. +description: ' + + Voor AI-systemen met een hoog risico wordt een systeem voor risicobeheer vastgesteld, + uitgevoerd, gedocumenteerd en in stand gehouden. + + ' explanation: "Het systeem voor risicobeheer moet bestaan uit een gepland iteratief\ \ proces, dat tijdens de [gehele levensduur](levenscyclus/index.md) van een hoog-risico\ \ AI-systeem wordt doorlopen. Een organisatie moet ervoor zorgen dat een risicobeheersysteem\ @@ -24,7 +28,9 @@ explanation: "Het systeem voor risicobeheer moet bestaan uit een gepland iterati \ kunnen voortvloeien uit gemakkelijk voorspelbaar menselijk gedrag.\n\nBij het\ \ vaststellen van passende risicobeheersmaatregelen moet de aanbieder de gemaakte\ \ keuzes hebben gedocumenteerd en voorzien van een toelichting en, in voorkomend\ - \ geval, deskundigen en externe belanghebbenden hierbij betrekken." + \ geval, deskundigen en externe belanghebbenden hierbij betrekken.\n\n\nHet ontbreken\ + \ van risicobeheer kan leiden tot schade aan gebruikers of derden en wettelijke\ + \ aansprakelijkheid voor de aanbieder.\n\n" urn: urn:nl:ak:ver:aia-03 language: nl owners: diff --git a/requirements/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren.yaml b/requirements/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren.yaml index b1f5e0a..fb556dc 100644 --- a/requirements/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren.yaml +++ b/requirements/aia-04-risicobeoordeling-voor-jongeren-en-kwetsbaren.yaml @@ -1,10 +1,14 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen vormen geen risico voor kwetsbare groepen zoals kinderen. -description: Bij het doorlopen, het periodieke systematische toetsen en actualiseren - van het risicosysteem nemen aanbieders in overweging of het beoogde doel van het - AI-systeem negatieve effecten zal hebben op personen jonger dan 18 jaar of andere - kwetsbare groepen. +description: ' + + Bij het doorlopen, het periodieke systematische toetsen en actualiseren van het + risicosysteem nemen aanbieders in overweging of het beoogde doel van het AI-systeem + negatieve effecten zal hebben op personen jonger dan 18 jaar of andere kwetsbare + groepen. + + ' explanation: 'Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI-Verordening bedoelde systeem voor risicobeheer houden aanbieders rekening met de vraag of het beoogde doel van het AI-systeem met een hoog risico waarschijnlijk negatieve gevolgen @@ -13,7 +17,15 @@ explanation: 'Bij de uitvoering van het in de leden 1 tot en met 7 van art. 9 AI Er moet een grondige risicoanalyse plaatsvinden en worden vertaald naar mitigerende - maatregelen om het risico te elimineren of te mitigeren.' + maatregelen om het risico te elimineren of te mitigeren. + + + + Niet adequaat adresseren van risico''s voor jongeren en kwetsbare groepen kan leiden + tot ernstige ethische en maatschappelijke schade. + + + ' urn: urn:nl:ak:ver:aia-04 language: nl owners: diff --git a/requirements/aia-05-data-kwaliteitscriteria.yaml b/requirements/aia-05-data-kwaliteitscriteria.yaml index 2bd5a29..aab0a78 100644 --- a/requirements/aia-05-data-kwaliteitscriteria.yaml +++ b/requirements/aia-05-data-kwaliteitscriteria.yaml @@ -1,11 +1,35 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Datasets voor hoog-risico-AI-systemen voldoen aan kwaliteitscriteria -description: AI-systemen met een hoog risico die technieken gebruiken die het trainen - van AI-modellen met data omvatten, worden ontwikkeld op basis van datasets voor - training, validatie en tests die voldoen aan de kwaliteitscriteria telkens wanneer - dergelijke datasets worden gebruikt. -explanation: '' +description: ' + + AI-systemen met een hoog risico die technieken gebruiken die het trainen van AI-modellen + met data omvatten, worden ontwikkeld op basis van datasets voor training, validatie + en tests die voldoen aan de kwaliteitscriteria telkens wanneer dergelijke datasets + worden gebruikt. + + ' +explanation: "AI-systemen met een hoog risico die data gebruiken voor het trainen\ + \ van AI-modellen, moeten gebaseerd zijn op datasets die voldoen aan specifieke\ + \ [kwaliteitscriteria](3-dat-01-datakwaliteit.md). \n\nDeze criteria zorgen ervoor\ + \ dat de data geschikt zijn voor [training, validatie en tests](3-dat-07-training-validatie-en-testdata.md),\ + \ wat de betrouwbaarheid en nauwkeurigheid van het AI-systeem waarborgt. De kwaliteitscriteria\ + \ zijn te vinden in leden 2 t/m 5 van artikel 10 van de AI-verordening. Bijvoorbeeld\ + \ datasets moeten aan praktijken voor databeheer voldoen en moeten relevant, representatief,\ + \ accuraat en volledig zijn.\n\nDeze vereiste houdt in dat de gebruikte datasets\ + \ onder meer moeten voldoen aan:\n\n- datasets voor training, validatie en tests\ + \ worden onderworpen aan praktijken op het gebied van databeheer die stroken met\ + \ het beoogde doel van het AI-systeem met een hoog risico. Dit heeft in het bijzonder\ + \ betrekking op relevante ontwerpkeuzes, processen voor dataverzameling, verwerkingsactiviteiten\ + \ voor datavoorbereiding, het opstellen van aannames met name betrekking tot de\ + \ informatie die de data moeten meten en vertegenwoordigen, beschikbaarheid, kwantiteit\ + \ en geschiktheid van de datasets en een beoordeling op mogelijke vooringenomenheid\ + \ en passende maatregelen om deze vooringenomenheid op te sporen, te voorkomen en\ + \ te beperken. \n- datasets voor training, validatie en tests zijn relevant, voldoende\ + \ representatief en zoveel mogelijk foutenvrij en volledig met het oog op het beoogde\ + \ doel.\n- Er wordt rekening gehouden met de eigenschappen of elementen die specifiek\ + \ zijn voor een bepaalde geografische, contextuele, functionele of gedragsomgeving\ + \ waarin het AI-systeem wordt gebruikt.\n" urn: urn:nl:ak:ver:aia-05 language: nl owners: diff --git a/requirements/aia-06-technische-documentatie.yaml b/requirements/aia-06-technische-documentatie.yaml index 0ff650b..152fd01 100644 --- a/requirements/aia-06-technische-documentatie.yaml +++ b/requirements/aia-06-technische-documentatie.yaml @@ -1,8 +1,30 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie. -description: Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie. -explanation: '' +description: ' + + Hoog-risico-AI-systemen zijn voorzien van voldoende technische documentatie. + + ' +explanation: "De technische documentatie van een AI-systeem met een hoog risico wordt\ + \ voorafgaand aan het in de handel brengen of in gebruik nemen opgesteld en regelmatig\ + \ bijgewerkt.\n\nDeze documentatie moet duidelijk aantonen dat het systeem voldoet\ + \ aan de vereisten van AI-Verordening (afdeling 2), zodat nationale autoriteiten\ + \ en aangemelde instanties de naleving kunnen beoordelen. Daarvoor moet de informatie\ + \ op een heldere en begrijpelijke wijze zijn opgesteld. \n\nDe documentatie bevat\ + \ ten minste de elementen zoals uiteengezet in bijlage IV AI-Verordening:\n\n1.\ + \ Een algemene beschrijving van het AI-syseem.\n2. Een gedetailleerde beschrijving\ + \ van de elementen van het AI-systeem en het proces voor de ontwikkeling ervan.\n\ + 3. Gedetailleerde informatie over de monitoring, werking en controle van het AI-systeem.\n\ + 4. Een beschrijving van de geschiktheid van de prestatiestatistieken.\n5. Een gedetailleerde\ + \ beschrijving van het systeem voor risicobeheer overeenkomstig artikel 9 van de\ + \ AI verordening.\n6. Een beschrijving van de wijzigingen die tijdens de levensduur\ + \ worden aangebracht.\n7. Een lijst van normen die worden toegepast.\n8. Een exemplaar\ + \ van de EU-conformiteitsverklaring.\n9. Een gedetailleerde beschrijving voor evaluatie\ + \ van prestaties nadat het systeem in handel is gebracht, in overeenstemming met\ + \ artikel 72 van de AI-verordening.\n\nDe documentatie kan opgevraagd worden door\ + \ een bevoegde autoriteit met een met redenen omkleed verzoek, zoals toegelicht\ + \ in artikel 21 van de AI-verordening.\n" urn: urn:nl:ak:ver:aia-06 language: nl owners: diff --git a/requirements/aia-07-automatische-logregistratie.yaml b/requirements/aia-07-automatische-logregistratie.yaml index ac15e2e..f213541 100644 --- a/requirements/aia-07-automatische-logregistratie.yaml +++ b/requirements/aia-07-automatische-logregistratie.yaml @@ -1,7 +1,10 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens. -description: 'Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens. +description: ' + + Hoog-risico-AI-systemen loggen automatisch bepaalde gegevens. + ' explanation: "AI-systemen met een hoog risico zijn ontworpen met functionaliteiten\ @@ -21,7 +24,9 @@ explanation: "AI-systemen met een hoog risico zijn ontworpen met functionaliteit \ verwerken leveren de BIO en AVG vergelijkbare verplichingen op die ook van toepassing\ \ zijn op AI-systemen die niet gezien worden als een AI-systeem met hoog risico.\ \ Daarbij komen nog verplichtingen om de logs doorlopend of periodiek te monitoren\ - \ op incidenten." + \ op incidenten.\n\n\nOntbreken van automatische logregistratie kan leiden tot een\ + \ gebrek aan transparantie en traceerbaarheid van het AI-systeem, wat het vermogen\ + \ om verantwoordelijkheid te nemen en eventuele problemen aan te pakken belemmert.\n" urn: urn:nl:ak:ver:aia-07 language: nl owners: diff --git a/requirements/aia-08-transparantie-aan-gebruiksverantwoordelijken.yaml b/requirements/aia-08-transparantie-aan-gebruiksverantwoordelijken.yaml index d46ecfe..cf4e7e9 100644 --- a/requirements/aia-08-transparantie-aan-gebruiksverantwoordelijken.yaml +++ b/requirements/aia-08-transparantie-aan-gebruiksverantwoordelijken.yaml @@ -1,9 +1,18 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen. -description: Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en - ontworpen. -explanation: '' +description: ' + + Hoog-risico-AI-systemen zijn op een transparante manier ontwikkeld en ontworpen. + + ' +explanation: "AI-systemen met een hoog risico worden ontworpen en ontwikkeld met een\ + \ hoge mate van transparantie, zodat gebruikers de output van het systeem kunnen\ + \ begrijpen en correct kunnen gebruiken. \n\nDit zorgt ervoor dat de aanbieders\ + \ en gebruikers kunnen voldoen aan de verplichtingen zoals uiteengezet in de relevante\ + \ regelgeving, waardoor de betrouwbaarheid en verantwoordelijkheid van het gebruik\ + \ van deze systemen worden verzekerd. \n\nIn artikel 13 lid 3 is een overzicht gegeven\ + \ van de informatie die gebruikersinstructies tenminste moeten bevatten. \n" urn: urn:nl:ak:ver:aia-08 language: nl owners: diff --git a/requirements/aia-09-menselijk-toezicht.yaml b/requirements/aia-09-menselijk-toezicht.yaml index 3a60cc0..ba0ec6c 100644 --- a/requirements/aia-09-menselijk-toezicht.yaml +++ b/requirements/aia-09-menselijk-toezicht.yaml @@ -1,7 +1,7 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen staan onder menselijk toezicht. -description: 'Hoog-risico-AI-systemen staan onder menselijk toezicht. ' +description: "\nHoog-risico-AI-systemen staan onder menselijk toezicht. \n" explanation: "AI-systemen met een hoog risico worden zodanig ontworpen en ontwikkeld,\ \ met inbegrip van passende mens-machine-interface-hulpmiddelen, dat hierop tijdens\ \ de periode dat zij worden gebruikt, op doeltreffende wijze toezicht kan worden\ @@ -40,7 +40,10 @@ explanation: "AI-systemen met een hoog risico worden zodanig ontworpen en ontwik \ personen met de nodige bekwaamheid, opleiding en bevoegdheid apart de indentificatie\ \ van het systeem verifici\xEBren en bevestigen, tenzij het wordt gebruikt voor\ \ rechtshandhaving, migratie, grenstoezicht of asiel, in gevallen waarin het Unierecht\ - \ of het nationale recht de toepassing van dit vereiste onevenredig acht." + \ of het nationale recht de toepassing van dit vereiste onevenredig acht.\n\n\n\ + Ontbreken van betekenisvol menselijk toezicht kan leiden tot gebrek aan controle\ + \ en begrip over het functioneren van het AI-systeem, wat kan resulteren in ongewenste\ + \ of onvoorspelbare uitkomsten.\n\n" urn: urn:nl:ak:ver:aia-09 language: nl owners: diff --git a/requirements/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging.yaml b/requirements/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging.yaml index 1b54584..21f4494 100644 --- a/requirements/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging.yaml +++ b/requirements/aia-10-nauwkeurigheid-robuustheid-cyberbeveiliging.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig. -description: Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig. +description: ' + + Hoog-risico-AI-systemen zijn voldoende nauwkeurig, robuust en cyberveilig. + + ' explanation: "AI-systemen met een hoog risico worden zorgvuldig ontworpen en ontwikkeld\ \ om een hoog niveau van nauwkeurigheid, robuustheid en cyberbeveiliging te bieden.\n\ \nDit garandeert consistente prestaties gedurende hun levensduur en minimaliseert\ @@ -25,7 +29,10 @@ explanation: "AI-systemen met een hoog risico worden zorgvuldig ontworpen en ont \ het AI-systeem of de onderliggende ICT-infrastructuur worden benut.\n\nOm te zorgen\ \ voor een niveau van cyberbeveiliging dat aansluit op de risico\u2019s, moeten\ \ aanbieders van AI-systemen met een hoog risico passende maatregelen zoals veiligheidscontroles\ - \ nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur." + \ nemen, waarbij ook rekening wordt gehouden met de onderliggende ICT infrastructuur.\n\ + \n\nGebrek aan nauwkeurigheid, robuustheid of cyberbeveiliging kan leiden tot onbetrouwbare\ + \ prestaties, kwetsbaarheid voor storingen en blootstelling aan beveiligingsrisico's,\ + \ wat de effectiviteit en veiligheid van het AI-systeem in gevaar kan brengen.\n" urn: urn:nl:ak:ver:aia-10 language: nl owners: diff --git a/requirements/aia-11-systeem-voor-kwaliteitsbeheer.yaml b/requirements/aia-11-systeem-voor-kwaliteitsbeheer.yaml index 76fc128..21d4b3b 100644 --- a/requirements/aia-11-systeem-voor-kwaliteitsbeheer.yaml +++ b/requirements/aia-11-systeem-voor-kwaliteitsbeheer.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem. -description: Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem. +description: ' + + Hoog-risico-AI-systemen zijn voorzien van een kwaliteitsbeheersysteem. + + ' explanation: "Aanbieders van AI-systemen met een hoog risico voorzien in een systeem\ \ voor kwaliteitsbeheer dat de naleving van de AI-Verordening waarborgt.\n\nDit\ \ systeem omvat gedocumenteerde beleidslijnen, procedures en instructies, en omvat\ @@ -34,7 +38,10 @@ explanation: "Aanbieders van AI-systemen met een hoog risico voorzien in een sys \ de regels voor het systeem voor kwaliteitsbeheer goedkeuren en uitvoeren als onderdeel\ \ van het systeem voor kwaliteitsbeheer dat, naargelang het geval, op nationaal\ \ of regionaal niveau is goedgekeurd, rekening houdend met de specifieke kenmerken\ - \ van de sector en de competenties en organisatie van de overheidsinstantie in kwestie." + \ van de sector en de competenties en organisatie van de overheidsinstantie in kwestie.\n\ + \n\nZonder toepassing van een kwaliteitsbeheersysteem kunnen risico's ontstaan voor\ + \ de veiligheid, betrouwbaarheid en naleving van het AI-systeem en conformiteit\ + \ met wet- en regelgeving.\n" urn: urn:nl:ak:ver:aia-11 language: nl owners: diff --git a/requirements/aia-12-bewaartermijn-voor-documentatie.yaml b/requirements/aia-12-bewaartermijn-voor-documentatie.yaml index b6ab441..5822b90 100644 --- a/requirements/aia-12-bewaartermijn-voor-documentatie.yaml +++ b/requirements/aia-12-bewaartermijn-voor-documentatie.yaml @@ -1,7 +1,7 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Documentatie over hoog-risico-AI-systemen wordt 10 jaar bewaard door de aanbieder. -description: "De aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem\ +description: "\nDe aanbieder houdt gedurende een periode van tien jaar nadat het AI-systeem\ \ met een hoog risico in de handel is gebracht of in gebruik is gesteld de volgende\ \ elementen ter beschikking van de nationale bevoegde autoriteiten: \n\n1. de technische\ \ documentatie als bedoeld in artikel 11 van de AI-verordening; \n2. de documentatie\ @@ -9,8 +9,21 @@ description: "De aanbieder houdt gedurende een periode van tien jaar nadat het A \ voorkomend geval de documentatie betreffende de door aangemelde instanties goedgekeurde\ \ wijzigingen; \n4. in voorkomend geval de besluiten en andere documenten die door\ \ de aangemelde instanties zijn afgegeven; \n5. de EU-conformiteitsverklaring als\ - \ bedoeld in artikel 47. " -explanation: '' + \ bedoeld in artikel 47. \n" +explanation: 'De aanbieder moet gedurende tien jaar na het op de markt brengen of + in gebruik nemen van het AI-systeem met een hoog risico de vereiste documentatie + beschikbaar houden voor de nationale autoriteiten. + + + Dit houdt in dat technische documentatie, documentatie over het kwaliteitsbeheersysteem, + eventuele documentatie over besluiten en goedgekeurde wijzigingen door aangemelde + instanties en de EU-conformiteitsverklaring beschikbaar moet zijn. + + + Dit waarborgt dat de autoriteiten toegang hebben tot relevante informatie voor controle + en naleving van de voorschriften gedurende deze periode. + + ' urn: urn:nl:ak:ver:aia-12 language: nl owners: diff --git a/requirements/aia-13-bewaartermijn-voor-gegenereerde-logs.yaml b/requirements/aia-13-bewaartermijn-voor-gegenereerde-logs.yaml index 565f0b5..1d07a06 100644 --- a/requirements/aia-13-bewaartermijn-voor-gegenereerde-logs.yaml +++ b/requirements/aia-13-bewaartermijn-voor-gegenereerde-logs.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder. -description: Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder. +description: ' + + Logs van hoog-risico-AI-systemen worden zes maanden bewaard door de aanbieder. + + ' explanation: 'Aanbieders van AI-systemen met een hoog risico moeten de automatisch gegenereerde logs bewaren volgens de voorschriften van artikel 12, lid 1, zolang deze logs onder hun controle vallen. @@ -9,7 +13,15 @@ explanation: 'Aanbieders van AI-systemen met een hoog risico moeten de automatis Deze logs moeten ten minste zes maanden worden bewaard, tenzij anders bepaald door Unie- of nationale wetgeving met betrekking tot gegevensbescherming, om te voldoen - aan de relevante voorschriften en verantwoordingsplicht.' + aan de relevante voorschriften en verantwoordingsplicht. + + + + Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten + te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij + mogelijke problemen met het AI-systeem. + + ' urn: urn:nl:ak:ver:aia-13 language: nl owners: diff --git a/requirements/aia-14-conformiteitsbeoordeling.yaml b/requirements/aia-14-conformiteitsbeoordeling.yaml index 6055db4..1550977 100644 --- a/requirements/aia-14-conformiteitsbeoordeling.yaml +++ b/requirements/aia-14-conformiteitsbeoordeling.yaml @@ -1,9 +1,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen worden pas geleverd of gebruikt na een conformiteitsbeoordelingsprocedure. -description: Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor - het AI-systeem met een hoog risico een conformiteitsbeoordelingsprocedure wordt - uitgevoerd voordat dit systeem in de handel wordt gebracht of in gebruik wordt gesteld +description: ' + + Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat voor het AI-systeem + met een hoog risico een conformiteitsbeoordelingsprocedure wordt uitgevoerd voordat + dit systeem in de handel wordt gebracht of in gebruik wordt gesteld + + ' explanation: "Conformiteitsbeoordelingen dragen bij aan het kunnen vertrouwen op de\ \ kwaliteit van producten en diensten. Aanbieders van AI-systemen met een hoog risico\ \ moeten ervoor zorgen dat de conformiteitsbeoordelingsprocedure wordt uitgevoerd\ @@ -27,7 +31,10 @@ explanation: "Conformiteitsbeoordelingen dragen bij aan het kunnen vertrouwen op \ zijn onderworpen, ondergaan een nieuwe conformiteitsbeoordelingsprocedure telkens\ \ wanneer zij substantieel zijn gewijzigd, ongeacht of het gewijzigde systeem bedoeld\ \ is om verder te worden gedistribueerd of door de huidige gebruiksverantwoordelijke\ - \ gebruikt blijft worden.\n\n![ai_lifecycle_visual_7FC0D14E-A775-A92E-DE5A38FDB7C238EB_75759](https://github.com/user-attachments/assets/47996f0e-d769-4ac5-a504-db12da4d1e21)\n" + \ gebruikt blijft worden.\n\n![ai_lifecycle_visual_7FC0D14E-A775-A92E-DE5A38FDB7C238EB_75759](https://github.com/user-attachments/assets/47996f0e-d769-4ac5-a504-db12da4d1e21)\n\ + \n\n\nNiet naleven van deze verplichtingen kan leiden tot juridische en operationele\ + \ problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar\ + \ brengen.\n" urn: urn:nl:ak:ver:aia-14 language: nl owners: diff --git a/requirements/aia-15-eu-conformiteitsverklaring.yaml b/requirements/aia-15-eu-conformiteitsverklaring.yaml index 8b501ce..294199d 100644 --- a/requirements/aia-15-eu-conformiteitsverklaring.yaml +++ b/requirements/aia-15-eu-conformiteitsverklaring.yaml @@ -1,8 +1,12 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn voorzien van een EU-conformiteitsverklaring. -description: Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring +description: ' + + Aanbieders van AI-systemen met een hoog risico stellen een EU-conformiteitsverklaring op. + + ' explanation: 'Een EU-conformiteitsverklaring is een verplicht document dat een fabrikant of gemachtigde vertegenwoordiger moet ondertekenen, waarmee wordt verklaard dat het product aan de EU-eisen voldoet. @@ -21,7 +25,15 @@ explanation: 'Een EU-conformiteitsverklaring is een verplicht document dat een f aanbieder, dat de EU-conformiteitsverklaring wordt versterkt onder verantwoordelijkheid van de aanbieder en de vermelding van eventuele toegepaste [relevante geharmoniseerde normen](../hulpmiddelen/standaarden.md) of van andere gemeenschappelijke specificaties - waarop de conformiteitsverklaring betrekking heeft.' + waarop de conformiteitsverklaring betrekking heeft. + + + + Niet naleven van deze verplichtingen kan leiden tot juridische en operationele problemen, + en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar brengen. + + + ' urn: urn:nl:ak:ver:aia-15 language: nl owners: diff --git a/requirements/aia-16-ce-markering.yaml b/requirements/aia-16-ce-markering.yaml index 59a0779..cdc5085 100644 --- a/requirements/aia-16-ce-markering.yaml +++ b/requirements/aia-16-ce-markering.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn voorzien van een CE-markering. -description: Hoog-risico-AI-systemen zijn voorzien van een CE-markering. +description: ' + + Hoog-risico-AI-systemen zijn voorzien van een CE-markering. + + ' explanation: "Aanbieders van AI-systemen met een hoog risico moeten een CE-markering\ \ toevoegen aan het AI-systeem met een hoog risico of, wanneer dit niet mogelijk\ \ is, op de verpakking of in de bij het product gevoegde documentatie, om aan te\ @@ -12,7 +16,9 @@ explanation: "Aanbieders van AI-systemen met een hoog risico moeten een CE-marke \ worden gebruikt. \n\nDe lidstaten mogen het in de handel brengen en het in gebruik\ \ stellen van AI-systemen met een hoog risico die aan de in de AI-verordening vastgelegde\ \ eisen voldoen en waarop de CE-markering is aangebracht, niet op ongerechtvaardigde\ - \ wijze belemmeren." + \ wijze belemmeren.\n\nNiet naleven van deze verplichtingen kan leiden tot juridische\ + \ en operationele problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem\ + \ in gevaar brengen.\n" urn: urn:nl:ak:ver:aia-16 language: nl owners: diff --git a/requirements/aia-17-registratieverplichtingen.yaml b/requirements/aia-17-registratieverplichtingen.yaml index e49bd96..3caeda2 100644 --- a/requirements/aia-17-registratieverplichtingen.yaml +++ b/requirements/aia-17-registratieverplichtingen.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn geregistreerd in de EU-databank. -description: Hoog-risico-AI-systemen zijn geregistreerd in de EU-databank. +description: ' + + Hoog-risico-AI-systemen zijn geregistreerd in de EU-databank. + + ' explanation: "Aanbieders van AI-systemen met een hoog risico registeren het systeem\ \ in de EU-databank voorafgaand aan ingebruikname van het AI-systeem. \n\nV\xF3\xF3\ r de distributie of inbedrijfstelling van een AI-systeem met een hoog risico van\ @@ -12,7 +16,10 @@ explanation: "Aanbieders van AI-systemen met een hoog risico registeren het syst \ de EU-databank worden geregistreerd. \n\nAls een AI-systeem met een hoog risico\ \ wordt gebruikt zoals omschreven in bijlage III, moeten gebruiksverantwoordelijken\ \ die overheidsinstanties, -agentschappen of -organen zijn, zich bij een dergelijke\ - \ databank registreren en het systeem selecteren dat zij voornemens zijn te gebruiken. " + \ databank registreren en het systeem selecteren dat zij voornemens zijn te gebruiken.\ + \ \n\n\nNiet naleven van deze verplichtingen kan leiden tot juridische en operationele\ + \ problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar\ + \ brengen.\n\n" urn: urn:nl:ak:ver:aia-17 language: nl owners: diff --git a/requirements/aia-18-corrigerende-maatregelen-voor-non-conforme-ai.yaml b/requirements/aia-18-corrigerende-maatregelen-voor-non-conforme-ai.yaml index ba4848a..6966548 100644 --- a/requirements/aia-18-corrigerende-maatregelen-voor-non-conforme-ai.yaml +++ b/requirements/aia-18-corrigerende-maatregelen-voor-non-conforme-ai.yaml @@ -2,12 +2,16 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Als een hoog-risico-AI-systeem niet voldoet aan de AI-verordening, grijpt de aanbieder in. -description: Aanbieders van AI-systemen met een hoog risico die van mening zijn of - redenen hebben om aan te nemen dat een door hen in de handel gebracht of in gebruik - gesteld AI systeem met een hoog risico niet in overeenstemming is met de AI-verordening, - nemen onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang - het geval in overeenstemming te brengen, uit de handel te nemen, te deactiveren - of terug te roepen. +description: ' + + Aanbieders van AI-systemen met een hoog risico die van mening zijn of redenen hebben + om aan te nemen dat een door hen in de handel gebracht of in gebruik gesteld AI + systeem met een hoog risico niet in overeenstemming is met de AI-verordening, nemen + onmiddellijk de nodige corrigerende maatregelen om dat systeem naargelang het geval + in overeenstemming te brengen, uit de handel te nemen, te deactiveren of terug te + roepen. + + ' explanation: "Aanbieders van AI-systemen met een hoog risico die constateren dat hun\ \ systeem niet aan de verordening voldoet, moeten onmiddellijk corrigerende acties\ \ ondernemen, zoals het terugroepen of uit de handel nemen van het systeem.\n\n\ @@ -16,7 +20,9 @@ explanation: "Aanbieders van AI-systemen met een hoog risico die constateren dat \ voor algemene doeleinden met een systeemrisico wordt relevante informatie over\ \ ernstige incidenten en mogelijke corrigerende maatregelen bijgehouden, gedocumenteerd\ \ en onverwijld gerapporteerd aan het AI-bureau en, in voorkomende gevallen, aan\ - \ de nationale bevoegde autoriteiten. \n" + \ de nationale bevoegde autoriteiten. \n\n\n\nNiet reageren op non-conformiteit\ + \ kan leiden tot risico's voor gebruikers en derden.\nHet kan leiden tot juridische\ + \ procedures en reputatieschade voor organisaties.\n\n" urn: urn:nl:ak:ver:aia-18 language: nl owners: diff --git a/requirements/aia-19-toegankelijkheidseisen.yaml b/requirements/aia-19-toegankelijkheidseisen.yaml index 6a9fb07..a9e2ec5 100644 --- a/requirements/aia-19-toegankelijkheidseisen.yaml +++ b/requirements/aia-19-toegankelijkheidseisen.yaml @@ -1,9 +1,13 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen voldoen aan de toegankelijkheidseisen. -description: Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het - AI-systeem met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig - de Richtlijnen (EU) 2016/2102 en (EU) 2019/882. +description: ' + + Aanbieders van AI-systemen met een hoog risico zorgen ervoor dat het AI-systeem + met een hoog risico voldoet aan de toegankelijkheidseisen overeenkomstig de Richtlijnen + (EU) 2016/2102 en (EU) 2019/882. + + ' explanation: "Gezien het toenemende belang en gebruik van AI-systemen moet de toepassing\ \ van universele ontwerpbeginselen op alle nieuwe technologie\xEBn en diensten zorgen\ \ voor volledige en gelijke toegang voor iedereen die mogelijk gevolgen ondervindt\ @@ -24,7 +28,10 @@ explanation: "Gezien het toenemende belang en gebruik van AI-systemen moet de to \ bepalingen van de lidstaten inzake de toegankelijkheidsvoorschriften voor bepaalde\ \ producten en diensten, in het bijzonder door het wegwerken en voorkomen van belemmeringen\ \ voor het vrije verkeer van onder deze richtlijn vallende producten en diensten\ - \ ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten." + \ ten gevolge van uiteenlopende toegankelijkheidsvoorschriften in de lidstaten.\n\ + \n\nNiet naleven van deze verplichtingen kan leiden tot juridische en operationele\ + \ problemen, en kan de veiligheid en betrouwbaarheid van het AI-systeem in gevaar\ + \ brengen.\n" urn: urn:nl:ak:ver:aia-19 language: nl owners: diff --git a/requirements/aia-20-gebruiksverantwoordelijken-maatregelen.yaml b/requirements/aia-20-gebruiksverantwoordelijken-maatregelen.yaml index 2f3c117..3facd7a 100644 --- a/requirements/aia-20-gebruiksverantwoordelijken-maatregelen.yaml +++ b/requirements/aia-20-gebruiksverantwoordelijken-maatregelen.yaml @@ -1,18 +1,34 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing -description: Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen - passende technische en organisatorische maatregelen om te waarborgen dat zij dergelijke - systemen gebruiken in overeenstemming met de gebruiksaanwijzingen die bij de systemen - zijn gevoegd, in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening. -explanation: 'Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten - geschikte maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken - volgens de bijgevoegde instructies. +name: Hoog-risico-AI-systemen worden gebruikt volgens de gebruiksaanwijzing. +description: ' + + Gebruiksverantwoordelijken van AI-systemen met een hoog risico nemen passende technische + en organisatorische maatregelen om te waarborgen dat zij dergelijke systemen gebruiken + in overeenstemming met de gebruiksaanwijzingen die bij de systemen zijn gevoegd, + in overeenstemming met de leden 3 en 6 van artikel 26 van de AI-verordening. + + ' +explanation: 'AI-systemen met een hoog risico moeten vergezeld gaan van relevante + documentatie in de vorm van gebruiksaanwijzingen. + + + Gebruiksverantwoordelijken van AI-systemen met een hoog risico moeten geschikte + maatregelen nemen om ervoor te zorgen dat zij deze systemen gebruiken volgens de + bijgevoegde instructies. + De gebruiksverantwoordelijke zorgt ervoor dat de inputdata relevant en voldoende representatief zijn voor het beoogde doel van het AI-systeem met een hoog risico, voor zover hij daar controle over heeft. + + + Het niet naleven van deze maatregelen kan leiden tot onjuist gebruik van de AI-systemen, + wat de effectiviteit en veiligheid ervan kan verminderen, en kan resulteren in risico''s + voor gebruikers en derden. + + ' urn: urn:nl:ak:ver:aia-20 language: nl @@ -26,7 +42,6 @@ url: https://minbzk.github.io/Algoritmekader/voldoen-aan-wetten-en-regels/vereis subject: - governance lifecycle: -- organisatieverantwoordelijkheden - implementatie links: - urn:nl:ak:mtr:owp-12 diff --git a/requirements/aia-21-gebruiksverantwoordelijken-menselijk-toezicht.yaml b/requirements/aia-21-gebruiksverantwoordelijken-menselijk-toezicht.yaml index 074816f..d219d54 100644 --- a/requirements/aia-21-gebruiksverantwoordelijken-menselijk-toezicht.yaml +++ b/requirements/aia-21-gebruiksverantwoordelijken-menselijk-toezicht.yaml @@ -1,18 +1,32 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Menselijke controle van hoog-risico-AI-systemen wordt uitgevoerd door mensen - met voldoende kennis en mogelijkheden -description: Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog - risico AI-systeem op aan natuurlijke personen die over de nodige bekwaamheid, opleiding - en autoriteit beschikken en de nodige ondersteuning krijgen. -explanation: 'Het is van belang dat natuurlijke personen die het menselijk toezicht - moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige - bekwaamheid, opleiding en autoriteit beschikt. +name: Menselijk toezicht van hoog-risico-AI-systemen wordt uitgevoerd door mensen + met voldoende kennis en mogelijkheden. +description: ' - Daarbij kan het van belang zijn dat deze natuurlijke personen ondersteuning krijgen - bij het uitvoeren van deze taak. + Gebruiksverantwoordelijken dragen het menselijk toezicht over een hoog risico AI-systeem + op aan natuurlijke personen die over de nodige bekwaamheid, opleiding en autoriteit + beschikken en de nodige ondersteuning krijgen. ' +explanation: "Het is van belang dat natuurlijke personen die het menselijk toezicht\ + \ moeten uitvoeren over het AI-systeem met een hoog risico, daarvoor over de nodige\ + \ bekwaamheid, opleiding en autoriteit beschikt.\nDaarbij kan het van belang zijn\ + \ dat deze natuurlijke personen ondersteuning krijgen bij het uitvoeren van deze\ + \ taak.\n\nDe gebruiksaanwijzing bij een hoog risico AI-systeem hoort informatie\ + \ te bevatten over kenmerken, mogelijkheden en beperkingen van de prestaties van\ + \ het AI-systeem bevatten. Deze informatie is relevant om te bepalen welke taken\ + \ onder het bereik van menselijk toezicht kunnen worden gebracht. \n\nDeze informatie\ + \ bestaat onder andere uit een beschrijving:\n- welke handelingen van de gebruiksverantwoordelijke\ + \ van invloed kunnen zijn op het gedrag en de prestaties van het systeem,\n- op\ + \ grond waarvan het AI-systeem risico\u2019s kan veroorzaken voor de gezondheid\n\ + - veiligheid en grondrechten\n- over de wijzigingen die vooraf zijn bepaald en beoordeeld\ + \ met het oog op conformiteit door de aanbieder\n- en over de relevante maatregelen\ + \ voor menselijk toezicht, waaronder de maatregelen om de interpretatie van de output\ + \ van het AI-systeem door de gebruiksverantwoordelijken te vergemakkelijken.\n\n\ + \n\nAls de natuurlijke toezichthouder geen effectief toezicht kan houden op het\ + \ hoog risico AI-systeem, kunnen ongewenste, negatieve effecten onstaan voor betrokkenen\ + \ en de organisatie.\n \n" urn: urn:nl:ak:ver:aia-21 language: nl owners: diff --git a/requirements/aia-22-gebruiksverantwoordelijken-monitoren-werking.yaml b/requirements/aia-22-gebruiksverantwoordelijken-monitoren-werking.yaml index 79910bc..9a6e989 100644 --- a/requirements/aia-22-gebruiksverantwoordelijken-monitoren-werking.yaml +++ b/requirements/aia-22-gebruiksverantwoordelijken-monitoren-werking.yaml @@ -1,29 +1,36 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: De werking van hoog-risico-AI-systemen wordt gemonitord -description: Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met - een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend geval - de aanbieders in kennis overeenkomstig artikel 72 AI Verordening -explanation: "Gebruiksverantwoordelijken moeten de werking van hoog risico AI-systemen\ - \ monitoren.\nDit is van belang om passende maatregelen te kunnen treffen als het\ - \ systeem onbedoeld anders gaat functioneren.\n \nWanneer gebruiksverantwoordelijken\ - \ redenen hebben om aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen\ - \ ertoe kan leiden dat dat AI-systeem een risico vormt in de zin van artikel 79,\ - \ lid 1, stellen zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit\ - \ hiervan zonder onnodige vertraging in kennis en onderbreken zij het gebruik van\ - \ dat systeem.\nWanneer gebruiksverantwoordelijke een ernstig incident vaststellen,\ - \ stellen zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens\ - \ de importeur of distributeur en de betreffende markttoezichtautoriteiten van dat\ - \ incident.\nWanneer de gebruiksverantwoordelijke de aanbieder niet kan bereiken,\ - \ is artikel 73 mutatis mutandis van toepassing.\nDeze verplichting geldt niet voor\ - \ gevoelige operationele gegevens van gebruiksverantwoordelijke van AI-systemen\ - \ die de hoedanigheid van rechtshandhavingsinstanties hebben.\n\nVoor gebruiksverantwoordelijke\ - \ die in de hoedanigheid van financi\xEBle instellingen onderworpen zijn aan eisen\ - \ met betrekking tot hun interne governance, regelingen of processen uit hoofde\ - \ van het Unierecht inzake financi\xEBle diensten, wordt de monitoringsverplichting\ - \ overeenkomstig de eerste alinea geacht te zijn vervuld door te voldoen aan de\ - \ regels inzake interne governance, regelingen of processen en -mechanismen uit\ - \ hoofde van het desbetreffende recht inzake financi\xEBle diensten." +name: De werking van hoog-risico-AI-systemen wordt gemonitord. +description: ' + + De werking van hoog-risico-AI-systemen wordt gemonitord. + + ' +explanation: "Gebruiksverantwoordelijken monitoren de werking van het AI-systeem met\ + \ een hoog risico op basis van de gebruiksaanwijzingen en stellen in voorkomend\ + \ geval de aanbieders in kennis overeenkomstig artikel 72 AI Verordening.\n\nDit\ + \ is van belang om passende maatregelen te kunnen treffen als het systeem onbedoeld\ + \ anders gaat functioneren.\n \nAls gebruiksverantwoordelijken redenen hebben om\ + \ aan te nemen dat het gebruik overeenkomstig de gebruiksaanwijzingen ertoe kan\ + \ leiden dat dat AI-systeem een risico vormt in de zin van artikel 79, lid 1, stellen\ + \ zij de aanbieder of distributeur en de betreffende markttoezichtautoriteit hiervan\ + \ zonder onnodige vertraging in kennis en onderbreken zij het gebruik van dat systeem.\ + \ \n\nWanneer gebruiksverantwoordelijke een ernstig incident vaststellen, stellen\ + \ zij ook onmiddellijk eerst de aanbieder hiervan in kennis, en vervolgens de importeur\ + \ of distributeur en de betreffende markttoezichtautoriteiten van dat incident.\n\ + \nAls de gebruiksverantwoordelijke de aanbieder niet kan bereiken, is artikel 73\ + \ mutatis mutandis van toepassing. Deze verplichting geldt niet voor gevoelige operationele\ + \ gegevens van gebruiksverantwoordelijke van AI-systemen die de hoedanigheid van\ + \ rechtshandhavingsinstanties hebben.\n\nVoor gebruiksverantwoordelijke die in de\ + \ hoedanigheid van financi\xEBle instellingen onderworpen zijn aan eisen met betrekking\ + \ tot hun interne governance, regelingen of processen uit hoofde van het Unierecht\ + \ inzake financi\xEBle diensten, wordt de monitoringsverplichting overeenkomstig\ + \ de eerste alinea geacht te zijn vervuld door te voldoen aan de regels inzake interne\ + \ governance, regelingen of processen en -mechanismen uit hoofde van het desbetreffende\ + \ recht inzake financi\xEBle diensten.\n\n\nZonder monitoring door gebruiksverantwoordelijken\ + \ en (waar nodig) het informeren van aanbieder, distributeur of markttoezichtautoriteit,\ + \ kan de foutieve werking van een hoog risico AI-systeem niet worden gesignaleerd\ + \ en hersteld.\n\n" urn: urn:nl:ak:ver:aia-22 language: nl owners: diff --git a/requirements/aia-23-gebruiksverantwoordelijken-bewaren-logs.yaml b/requirements/aia-23-gebruiksverantwoordelijken-bewaren-logs.yaml index 372c965..d9d1764 100644 --- a/requirements/aia-23-gebruiksverantwoordelijken-bewaren-logs.yaml +++ b/requirements/aia-23-gebruiksverantwoordelijken-bewaren-logs.yaml @@ -1,24 +1,42 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke -description: Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren +name: Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke. +description: ' + + Logs voor hoog-risico-AI-systemen worden bewaard door de gebruiksverantwoordelijke. + + ' +explanation: 'Gebruiksverantwoordelijken van AI-systemen met een hoog risico bewaren de logs die automatisch worden gegenereerd door dat AI-systeem met een hoog risico voor zover dergelijke logs onder hun controle vallen gedurende een periode die passend is voor het beoogde doel van het AI-systeem met een hoog risico, of ten minste zes maanden, tenzij anders is bepaald in het toepasselijke Unie- of nationaal recht, meer in het bijzonder het Unierecht over de bescherming van persoonsgegevens -explanation: "Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste\ - \ geldt voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken.\n\ - Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling\ - \ maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van\ - \ de inzet van het AI-systeem.\nDaarbij is het van belang om te beoordelen in hoeverre\ - \ een gebruiksverantwoordelijke hier 'controle' over heeft.\nDe gebruiksverantwoordelijke\ - \ zal, al dan niet samen met de aanbieder, (technische) maatregelen moeten treffen\ - \ om dit te realiseren.\n\n\nGebruiksverantwoordelijken die in de hoedanigheid van\ - \ financi\xEBle instellingen onderworpen zijn aan eisen met betrekking tot hun interne\ - \ governance, regelingen of processen uit hoofde van het Unierecht inzake financi\xEB\ - le diensten bewaren de logs als onderdeel van de documentatie die bewaard wordt\ - \ krachtens het desbetreffende Unierecht inzake financi\xEBle diensten." + + + Anders dan in artikel 16(e) AI-verordening, waar een vergelijkbare vereiste geldt + voor aanbieders, gaat het hier om een vereiste specifiek voor de gebruiksverantwoordelijken. + + + Het is van belang dat de gebruiksverantwoordelijken een zelfstandige beoordeling + maakt wat moet worden gelogd en voor welke periode gezien de doelstelling van de + inzet van het AI-systeem. + + + Daarbij is het van belang om te beoordelen in hoeverre een gebruiksverantwoordelijke + hier ''controle'' over heeft. + + + De gebruiksverantwoordelijke zal, al dan niet samen met de aanbieder, (technische) + maatregelen moeten treffen om dit te realiseren. + + + + Het niet of onvoldoende bewaren van logs kan het vermogen belemmeren om incidenten + te analyseren, naleving te controleren en verantwoordelijkheid vast te stellen bij + mogelijke problemen met het AI-systeem. + + ' urn: urn:nl:ak:ver:aia-23 language: nl owners: diff --git a/requirements/aia-24-informeren-werknemers.yaml b/requirements/aia-24-informeren-werknemers.yaml index fa10be7..bd6fe97 100644 --- a/requirements/aia-24-informeren-werknemers.yaml +++ b/requirements/aia-24-informeren-werknemers.yaml @@ -1,20 +1,24 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Werknemers weten dat hun organisatie een hoog-risico AI-systeem gebruikt -description: 'Voordat een AI-systeem met een hoog risico op de werkplek in gebruik - wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever - zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen - worden onderworpen aan het gebruik van het AI-systeem met een hoog risico. +name: Werknemers weten dat hun organisatie een hoog-risico AI-systeem gebruikt. +description: ' - Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de - in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk - inzake informatie van werknemers en hun vertegenwoordigers.' -explanation: 'Dit vereiste benadrukt het belang van het informeren van werknemersvertegenwoordigers - en betrokken werknemers over de inzet van een hoog risico AI-systeem op de werkplaats. + Werknemers weten dat hun organisatie een hoog-risico AI-systeem gebruikt. - Dit dient voorafgaand aan de inzet van het systeem plaats te vinden. - - De gebruiksverantwoordelijke als werknemer dient hier zorg voor te dragen.' + ' +explanation: "Voordat een AI-systeem met een hoog risico op de werkplek in gebruik\ + \ wordt gesteld of wordt gebruikt, delen gebruiksverantwoordelijken die werkgever\ + \ zijn werknemersvertegenwoordigers en de betrokken werknemers mee dat zij zullen\ + \ worden onderworpen aan het gebruik van het AI-systeem met een hoog risico.\n\n\ + Deze informatie wordt, indien van toepassing, verstrekt in overeenstemming met de\ + \ in het Unie- en nationaal recht vastgelegde regels en procedures en de praktijk\ + \ inzake informatie van werknemers en hun vertegenwoordigers.\n\nDit vereiste benadrukt\ + \ het belang van het informeren van werknemersvertegenwoordigers en betrokken werknemers\ + \ over de inzet van een hoog risico AI-systeem op de werkplaats.\n\nDe gebruiksverantwoordelijke\ + \ als werknemer dient hier zorg voor te dragen.\n\n\nAls werknemersvertegenwoordigers\ + \ en werknemers niet worden ge\xEFnformeerd over de inzet van een hoog risico AI-systeem,\ + \ kunnen zij zich niet weren tegen mogelijk ongewenste en negatieve effecten van\ + \ de inzet van het hoog risico AI-systeem.\n\n" urn: urn:nl:ak:ver:aia-24 language: nl owners: diff --git a/requirements/aia-25-gebruiksverantwoordelijken-registratieverplichtingen.yaml b/requirements/aia-25-gebruiksverantwoordelijken-registratieverplichtingen.yaml index e76b105..495d0fc 100644 --- a/requirements/aia-25-gebruiksverantwoordelijken-registratieverplichtingen.yaml +++ b/requirements/aia-25-gebruiksverantwoordelijken-registratieverplichtingen.yaml @@ -1,20 +1,16 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem - in de EU-databank -description: 'Gebruiksverantwoordelijken van AI-systemen met een hoog risico die de - hoedanigheid van overheidsinstanties of instellingen, organen of instanties van - de Unie hebben, leven de in artikel 49 bedoelde registratieverplichtingen na. + in de EU-databank. +description: ' - Wanneer deze gebruiksverantwoordelijke vaststellen dat het AI-systeem met een hoog - risico dat zij voornemens zijn te gebruiken niet in de in artikel 71 bedoelde EU-databank - is + Gebruiksverantwoordelijken controleren de registratie van het hoog-risico AI-systeem + in de EU-databank. - geregistreerd, gebruiken zij dat systeem niet en stellen zij de aanbieder of de - distributeur daarvan in kennis.' + ' explanation: "Het is van belang dat gebruiksverantwoordelijken nagaan of het betreffende\ \ hoog risico AI-systeem door aanbieder is geregistreerd in de EU-databank (zoals\ - \ omschreven in artikel 71 AI-verordening).\nVoordat het betreffende AI-systeem\ + \ omschreven in artikel 71 AI-verordening).\n\nVoordat het betreffende AI-systeem\ \ (bijlage III vermeld AI-systeem met een hoog risico) in gebruik te stellen of\ \ te gebruiken (met uitzondering van de in punt 2 van bijlage III vermelde AI-systemen\ \ met een hoog risico) registreren gebruiksverantwoordelijken die overheidsinstanties,\ @@ -26,7 +22,11 @@ explanation: "Het is van belang dat gebruiksverantwoordelijken nagaan of het bet \ worden gebruikt.\nDe aanbieder of distributeur wordt door de gebruiksverantwoordelijke\ \ ge\xEFnformeerd dat het systeem niet is geregistreerd in de EU-databank.\n\nAI-systemen\ \ met een hoog risico als bedoeld in punt 2 van bijlage III (kritieke infrastructuur)\ - \ worden op nationaal niveau geregistreerd." + \ worden op nationaal niveau geregistreerd.\n\n\nZonder registratie van het hoog\ + \ risico AI-systeem en het registreren welke organisaties of personen hier gebruik\ + \ van maken, is het negatieve negatieve van het mogelijk onjuist of ongewenst functioneren\ + \ van het AI-systeem niet te overzien en onduidelijk welke betrokken dit raakt.\n\ + \ " urn: urn:nl:ak:ver:aia-25 language: nl owners: diff --git a/requirements/aia-26-recht-op-uitleg-ai-besluiten.yaml b/requirements/aia-26-recht-op-uitleg-ai-besluiten.yaml index 3606c3e..f2ce001 100644 --- a/requirements/aia-26-recht-op-uitleg-ai-besluiten.yaml +++ b/requirements/aia-26-recht-op-uitleg-ai-besluiten.yaml @@ -2,7 +2,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, krijgen op verzoek informatie over deze besluiten -description: Elke getroffen persoon op wie een besluit van toepassing is dat door +description: 'Mensen over wie besluiten worden genomen door een hoog-risico-AI-systemen, + krijgen op verzoek informatie over deze besluiten. + + ' +explanation: 'Elke getroffen persoon op wie een besluit van toepassing is dat door de gebruiksverantwoordelijke wordt genomen op basis van de output van een in bijlage III vermeld AI-systeem met een hoog risico, met uitzondering van systemen die in punt 2 van die bijlage zijn vermeld, en dat rechtsgevolgen heeft voor die persoon, @@ -11,25 +15,32 @@ description: Elke getroffen persoon op wie een besluit van toepassing is dat doo heeft het recht om van de gebruiksverantwoordelijke duidelijke, inhoudelijke toelichting te verkrijgen bij de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen van het genomen besluit. -explanation: 'Getroffen personen moeten het recht hebben om uitleg te krijgen indien - het besluit van een gebruiksverantwoordelijke voornamelijk is gebaseerd op de output - van bepaalde AI-systemen met een hoog risico die binnen het toepassingsgebied van - de AI-verordening vallen en indien dat besluit rechtsgevolgen of gelijkaardige aanzienlijke - gevolgen heeft voor de gezondheid, veiligheid of grondrechten van die personen. + Die uitleg moet duidelijk en zinvol zijn en moet de grondslag zijn waarop de getroffen personen zich kunnen baseren om hun rechten uit te oefenen. + Het recht om uitleg te krijgen mag niet van toepassing zijn op het gebruik van AI-systemen waarvoor uitzonderingen of beperkingen voortvloeien uit het Unierecht of het nationale recht en moet alleen van toepassing zijn voor zover het Unierecht niet reeds in dit recht voorziet. + Dit vereiste geldt bijvoorbeeld niet als het gaat om AI-systemen die bedoeld zijn om te worden gebruikt als veiligheidscomponent bij het beheer of de exploitatie van kritieke digitale infrastructuur, wegverkeer of bij de levering van water, gas, verwerking en electriciteit (punt 2 bij Bijlage III van AI-verordening). + + + Als gebruiksverantwoordelijke geen duidelijke, inhoudelijke toelichting geeft over + de rol van het AI-systeem in de besluitvormingsprocedure en de voornaamste elementen + bij het genomen besluit, is het voor getroffen personen niet mogelijk zich te verdedigen + tegen de rechtsgevolgen die hieruit voortkomen of de nadelige gevolgen voor gezondheid, + veiligheid of diens grondrechten. + + ' urn: urn:nl:ak:ver:aia-26 language: nl diff --git a/requirements/aia-27-beoordelen-gevolgen-grondrechten.yaml b/requirements/aia-27-beoordelen-gevolgen-grondrechten.yaml index b5883c1..a88e59d 100644 --- a/requirements/aia-27-beoordelen-gevolgen-grondrechten.yaml +++ b/requirements/aia-27-beoordelen-gevolgen-grondrechten.yaml @@ -2,23 +2,30 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen voor publieke taken worden beoordeeld op gevolgen voor grondrechten -description: Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6, - lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen - met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van - bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen - zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren - van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder b) - en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik - van een dergelijk systeem kan opleveren. -explanation: "Voordat een AI-systeem met een hoog risico in gebruik wordt genomen,\ - \ moeten publieke instellingen of particuliere entiteiten die openbare diensten\ - \ leveren, en operators van bepaalde AI-systemen, een beoordeling uitvoeren van\ - \ de impact op de grondrechten die het gebruik ervan kan hebben.\nDeze evaluatie\ - \ is bedoeld om potenti\xEBle risico's te identificeren die kunnen voortvloeien\ - \ uit het gebruik van dergelijke systemen en om passende maatregelen te nemen om\ - \ deze risico's te beheersen.\nHet doel is om de bescherming van grondrechten te\ - \ waarborgen bij het gebruik van AI-systemen met een hoog risico, met name in sectoren\ - \ waar deze systemen cruciale diensten leveren aan het publiek." +description: ' + + Hoog-risico-AI-systemen voor publieke taken worden beoordeeld op gevolgen voor grondrechten. + + ' +explanation: "Voordat een AI-systeem met een hoog risico als bedoeld in artikel 6,\ + \ lid 2 AI-verordening, in gebruik wordt genomen, met uitzondering van AI-systemen\ + \ met een hoog risico die bedoeld zijn om te worden gebruikt op het in punt 2 van\ + \ bijlage III vermelde gebied, voeren operatoren die publiekrechtelijke instellingen\ + \ zijn of particuliere entiteiten zijn die openbare diensten verlenen, en operatoren\ + \ van AI-systemen met een hoog risico als bedoeld in bijlage III, punt 5, onder\ + \ b) en c), een beoordeling uit van de gevolgen voor de grondrechten die het gebruik\ + \ van een dergelijk systeem kan opleveren.\n\nPublieke instellingen of particuliere\ + \ entiteiten die openbare diensten leveren, en operators van bepaalde AI-systemen,\ + \ moeten dus een beoordeling uitvoeren van de impact op de grondrechten die het\ + \ gebruik ervan kan hebben.\n\nDeze evaluatie is bedoeld om potenti\xEBle risico's\ + \ te identificeren die kunnen voortvloeien uit het gebruik van dergelijke systemen\ + \ en om passende maatregelen te nemen om deze risico's te beheersen.\n\nHet doel\ + \ is om de bescherming van grondrechten te waarborgen bij het gebruik van AI-systemen\ + \ met een hoog risico, met name in sectoren waar deze systemen cruciale diensten\ + \ leveren aan het publiek.\n\n\nHet niet uitvoeren van deze beoordeling kan leiden\ + \ tot schendingen van de grondrechten, juridische complicaties en verlies van vertrouwen\ + \ van het publiek in het gebruik van AI-systemen door overheids- en openbare dienstverlenende\ + \ entiteiten.\n\n" urn: urn:nl:ak:ver:aia-27 language: nl owners: diff --git a/requirements/aia-28-transparantieverplichtingen.yaml b/requirements/aia-28-transparantieverplichtingen.yaml index 786ec32..2f43ceb 100644 --- a/requirements/aia-28-transparantieverplichtingen.yaml +++ b/requirements/aia-28-transparantieverplichtingen.yaml @@ -1,9 +1,23 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: AI-systemen worden zo ontworpen en gebruikt, dat mensen begrijpen wanneer zij - met een AI-systeem communiceren en welke content gemaakt is door een AI-systeem -description: '' -explanation: '' + met een AI-systeem communiceren en welke content gemaakt is door een AI-systeem. +description: 'AI-systemen worden zo ontworpen en gebruikt, dat mensen begrijpen wanneer + zij met een AI-systeem communiceren en welke content gemaakt is door een AI-systeem. + + ' +explanation: "Aanbieders van AI-systemen zorgen dat AI-sytemen zodanig worden ontworpen\ + \ en ontwikkeld dat de betrokken natuurlijke personen worden ge\xEFnformeerd dat\ + \ zij interacteren met een AI-systeem. \n\nGebruiksverantwoordelijken moeten betrokkenen\ + \ informeren over de werking van het systeem en in het geval van een AI-systeem\ + \ dat content gegenereert duidelijk kenbaar maken dat de content kunstmatig is gegenereerd\ + \ of gemanipuleerd.\n\nDit geldt voor AI-systemen die:\n\n- gebruikt worden voor\ + \ directe interactie met natuurlijke personen (zoals chatbots). \n- synthetische\ + \ afbeeldingen, audio, video of tekst genereert en/of manipuleert (bijvoorbeeld\ + \ deepfake).\n- doen aan emotieherkenning of biometrische categorisatie.\n\nBepaalde\ + \ AI-systemen die bedoeld zijn om met natuurlijke personen te interageren of om\ + \ content te genereren, kunnen specifieke risico\u2019s op imitatie of misleiding\ + \ met zich meebrengen, ongeacht of zij als systeem met een hoog risico gelden. \n" urn: urn:nl:ak:ver:aia-28 language: nl owners: diff --git a/requirements/aia-29-ai-modellen-algemene-doeleinden.yaml b/requirements/aia-29-ai-modellen-algemene-doeleinden.yaml index b0530c0..78c8d42 100644 --- a/requirements/aia-29-ai-modellen-algemene-doeleinden.yaml +++ b/requirements/aia-29-ai-modellen-algemene-doeleinden.yaml @@ -1,43 +1,46 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische - documentatie en informatie -description: 'Aanbieders van AI-modellen voor algemene doeleinden moeten (technische) - informatie en documentatie opstellen, up-to-date houden en beschikbaar stellen voor - aanbieders van AI-systemen die het AI-model voor algemene doeleinden in hun AI-systemen - willen integreren. + documentatie en informatie. +description: 'AI-modellen voor algemene doeleinden zijn voorzien van voldoende technische + documentatie en informatie. ' explanation: 'Aanbieders van AI-modellen voor algemene doeleinden hebben een bijzondere rol en verantwoordelijkheid. + Zij leveren modellen die de basis kunnen vormen voor weer andere systemen en algoritmen, die vaak weer door andere partijen worden aangeboden dan de ontwikkelaar van het - algemene systeem. - - Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, zowel qua integratie - van de modellen in producten als qua naleving van verplichtingen. - + algemene systeem. Dit vraagt om een goed inzicht in de modellen en hun capaciteiten, + zowel qua integratie van de modellen in producten als qua naleving van verplichtingen. Er zijn daarom evenredige transparantiemaatregelen nodig, zoals het opstellen en bijwerken van documentatie en verstrekken van informatie over het AI-model voor algemeen gebruik door de aanbieders van systemen die de algemene modellen gebruiken - in hun product. + in hun product. De minimaal in de documentatie op te nemen elementen moeten worden + vastgelegd volgens bijlage XII van de AI-Verordening. + De aanbieder van het AI-model voor algemene doeleinden dient technische documentatie op te stellen en bij te werken om deze op verzoek te kunnen overleggen aan het AI-bureau en de nationale bevoegde autoriteiten. - De minimaal in de documentatie op te nemen elementen moeten worden vastgelegd volgens - bijlage XII van de AI-Verordening. Hierbij is het ook van belang dat de aanbieder van AI-modellen voor algemene doelstelling beleid opstellen voor naleving van auteursrechten en naburige rechten (artikel 4, lid 3 Richtlijn (EU) 2019/790). - In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten.' + In art. 53 lid 2 wordt een uitzondering gemaakt op deze vereisten. + + + Het niet voldoen aan deze verplichtingen kan leiden tot juridische en ethische complicaties, + inclusief schendingen van auteursrechten en gebrek aan transparantie in het gebruik + van AI-modellen. + + ' urn: urn:nl:ak:ver:aia-29 language: nl owners: diff --git a/requirements/aia-30-ai-modellen-algemene-doeleinden-systeemrisico.yaml b/requirements/aia-30-ai-modellen-algemene-doeleinden-systeemrisico.yaml index 087a9a0..41e2cf0 100644 --- a/requirements/aia-30-ai-modellen-algemene-doeleinden-systeemrisico.yaml +++ b/requirements/aia-30-ai-modellen-algemene-doeleinden-systeemrisico.yaml @@ -1,36 +1,40 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen - extra maatregelen -description: "Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico\ - \ moeten modelevaluatie uitvoeren overeenkomstig gestandaardiseerde protocollen\ - \ en instrumenten die de stand van de techniek weerspiegelen, met inbegrip van het\ - \ uitvoeren en documenteren van tests gericht op het ontdekken van kwetsbaarheden\ - \ van het model om systeemrisico\u2019s in kaart te brengen en te beperken." + extra maatregelen. +description: ' + + Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico treffen + extra maatregelen. + + ' explanation: "De aanbieders van AI-modellen voor algemene doeleinden die systeemrisico\u2019\ s inhouden, moeten, naast de verplichtingen voor aanbieders van AI-modellen voor\ \ algemene doeleinden, onderworpen worden aan verplichtingen die gericht zijn op\ - \ het identificeren en beperken van die risico\u2019s en op waarborging van een\ - \ passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf staand\ - \ model is of ingebed in een AI-systeem of in een product.\nAanbieders van AI-modellen\ - \ voor algemene doeleinden met een potentieel systeemrisico moeten modelevaluaties\ - \ uitvoeren. Dit omvat het testen en documenteren van het model volgens de stand\ - \ van de techniek, met specifieke aandacht voor het identificeren en beperken van\ - \ kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische risico's te adresseren\ - \ en te verminderen. Deze vereiste is een aanvulling op de genoemde verplichtingen\ - \ in artikel 53 van de AI-verordening.\n\nSysteemrisico betekent: een risico dat\ - \ specifiek is voor de capaciteiten met een grote impact van AI-modellen voor algemene\ - \ doeleienden, die aanzienlijke gevolgen hebben voor de markt van de Uniek vanwege\ - \ hun bereik, of vanwege feitelijke of redelijkerwijs te voorziene negatieve gevolgen\ - \ voor de gezondheid, de veiligheid, de openbare veiligheid, de grondrechten of\ - \ de samenleving als geheel, en dat op grote schaal in de hele waardeketen kan worden\ - \ verspreid.\n\nSysteemrisico\u2019s nemen logischerwijs toe naargelang de capaciteiten\ - \ en het bereik van een model groter zijn, kunnen zich voordoen gedurende de gehele\ - \ levenscyclus van het model en worden be\xEFnvloed door elementen als misbruik\ - \ van het model, de betrouwbaarheid, billijkheid, beveiliging en mate van autonomie\ - \ ervan. Ook worden ze be\xEFnvloed door de toegang van het model tot instrumenten,\ - \ nieuwe of gecombineerde modaliteiten, introductie- en distributiestrategie\xEB\ - n, en door het potentieel om waarborgen te omzeilen en andere factoren." + \ het identificeren en beperken van die systeemrisico\u2019s en op waarborging van\ + \ een passend niveau van cyberbeveiliging, ongeacht of het model een op zichzelf\ + \ staand model is of ingebed in een AI-systeem of in een product.\n\nAanbieders\ + \ van AI-modellen voor algemene doeleinden met een potentieel systeemrisico moeten\ + \ modelevaluaties uitvoeren. Dit omvat het testen en documenteren van het model\ + \ volgens de stand van de techniek, met specifieke aandacht voor het identificeren\ + \ en beperken van kwetsbaarheden. Deze maatregelen zijn bedoeld om systematische\ + \ risico's te adresseren en te verminderen. Deze vereiste is een aanvulling op de\ + \ genoemde verplichtingen in artikel 53 van de AI-verordening.\n\nSysteemrisico\ + \ betekent: een risico dat specifiek is voor de capaciteiten met een grote impact\ + \ van AI-modellen voor algemene doeleienden, die aanzienlijke gevolgen hebben voor\ + \ de markt van de Uniek vanwege hun bereik, of vanwege feitelijke of redelijkerwijs\ + \ te voorziene negatieve gevolgen voor de gezondheid, de veiligheid, de openbare\ + \ veiligheid, de grondrechten of de samenleving als geheel, en dat op grote schaal\ + \ in de hele waardeketen kan worden verspreid.\n\nSysteemrisico\u2019s nemen logischerwijs\ + \ toe naargelang de capaciteiten en het bereik van een model groter zijn, kunnen\ + \ zich voordoen gedurende de gehele levenscyclus van het model en worden be\xEF\ + nvloed door elementen als misbruik van het model, de betrouwbaarheid, billijkheid,\ + \ beveiliging en mate van autonomie ervan. Ook worden ze be\xEFnvloed door de toegang\ + \ van het model tot instrumenten, nieuwe of gecombineerde modaliteiten, introductie-\ + \ en distributiestrategie\xEBn, en door het potentieel om waarborgen te omzeilen\ + \ en andere factoren.\n\n\nNiet voldoen aan deze verplichtingen kan leiden tot negatieve\ + \ gevolgen voor de gezondheid, veiligheid, de openbare veiligheid, de grondrechten\ + \ of de samenleving als geheel.\n" urn: urn:nl:ak:ver:aia-30 language: nl owners: @@ -41,9 +45,9 @@ owners: date: '' url: https://minbzk.github.io/Algoritmekader/voldoen-aan-wetten-en-regels/vereisten/aia-30-ai-modellen-algemene-doeleinden-systeemrisico/index.html subject: -- transparantie +- technische-robuustheid-en-veiligheid lifecycle: -- ontwikkelen +- ontwerp - verificatie-en-validatie - monitoring-en-beheer links: diff --git a/requirements/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten.yaml b/requirements/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten.yaml index 466946f..23969a6 100644 --- a/requirements/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten.yaml +++ b/requirements/aia-31-ai-modellen-algemene-doeleinden-systeemrisico-ernstige-incidenten.yaml @@ -1,22 +1,25 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: "Als AI-modellen voor algemene doeleinden met systeemrisico\u2019s ernstige\ - \ incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd" -description: Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico - moeten relevante informatie over ernstige incidenten en mogelijke corrigerende maatregelen - bijhouden, documenteren en onverwijld rapporteren aan het AI bureau en, in voorkomend - geval, aan de nationale bevoegde autoriteiten. + \ incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd." +description: "\nAls AI-modellen voor algemene doeleinden met systeemrisico\u2019s\ + \ ernstige incidenten veroorzaken, wordt dit gedocumenteerd en gerapporteerd.\n" explanation: 'Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico moeten ernstige incidenten documenteren en rapporteren. Deze informatie moet onmiddellijk worden gemeld aan het AI-bureau en eventueel aan nationale autoriteiten. + Dit proces is cruciaal voor het waarborgen van de veiligheid en het nemen van passende corrigerende maatregelen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen. + + Niet voldoen aan deze verplichtingen kan leiden tot risico''s op veiligheidsincidenten, + datalekken en schade aan de betrokken partijen en het publiek. + ' urn: urn:nl:ak:ver:aia-31 language: nl diff --git a/requirements/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging.yaml b/requirements/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging.yaml index 266af3d..77ed0a9 100644 --- a/requirements/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging.yaml +++ b/requirements/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging.yaml @@ -1,16 +1,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: "AI-modellen voor algemene doeleinden met systeemrisico\u2019s zijn voldoende\ - \ beveiligd tegen cyberaanvallen" -description: Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico - zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model - voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van - het model. -explanation: "Aanbieders van AI-modellen met systeemrisico moeten zorgen voor passende\ - \ cyberbeveiligingsmaatregelen.\nDit omvat het beschermen van zowel het AI-model\ - \ als de fysieke infrastructuur tegen potenti\xEBle cyberdreigingen.\nHet doel is\ - \ om de integriteit en veiligheid van het model en de infrastructuur te waarborgen.\n\ - Dit vereiste is een aanvulling op de in artikel 53 AI-verordening genoemde verplichtingen.\n" + \ beveiligd tegen cyberaanvallen." +description: "AI-modellen voor algemene doeleinden met systeemrisico\u2019s zijn voldoende\ + \ beveiligd tegen cyberaanvallen.\n" +explanation: "Aanbieders van AI-modellen voor algemene doeleinden met een systeemrisico\ + \ zorgen voor een passend niveau van cyberbeveiligingsbescherming voor het AI-model\ + \ voor algemene doeleinden met een systeemrisico en de fysieke infrastructuur van\ + \ het model.\n\nAanbieders van AI-modellen met systeemrisico moeten zorgen voor\ + \ passende cyberbeveiligingsmaatregelen. Dit omvat het beschermen van zowel het\ + \ AI-model als de fysieke infrastructuur tegen potenti\xEBle cyberdreigingen.\n\n\ + Het doel is om de integriteit en veiligheid van het model en de infrastructuur te\ + \ waarborgen. Dit vereiste is een aanvulling op de in artikel 53 AI-verordening\ + \ genoemde verplichtingen.\n\n\nNiet voldoen aan deze verplichtingen kan leiden\ + \ tot risico's op veiligheidsincidenten, datalekken en schade aan de betrokken partijen\ + \ en het publiek.\n" urn: urn:nl:ak:ver:aia-32 language: nl owners: @@ -21,7 +25,6 @@ owners: date: '' url: https://minbzk.github.io/Algoritmekader/voldoen-aan-wetten-en-regels/vereisten/aia-32-ai-modellen-algemene-doeleinden-systeemrisico-cyberbeveiliging/index.html subject: -- governance - technische-robuustheid-en-veiligheid lifecycle: - ontwikkelen diff --git a/requirements/aia-33-verwerking-in-testomgeving.yaml b/requirements/aia-33-verwerking-in-testomgeving.yaml index 407f4a5..89270b7 100644 --- a/requirements/aia-33-verwerking-in-testomgeving.yaml +++ b/requirements/aia-33-verwerking-in-testomgeving.yaml @@ -1,22 +1,25 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden -description: Rechtmatig voor andere doeleinden verzamelde persoonsgegevens mogen uitsluitend - in de AI-testomgeving voor regelgeving worden verwerkt ten behoeve van het ontwikkelen, - trainen en testen van bepaalde AI-systemen en indien aan alle voorwaarden van art. - 57 is voldaan. -explanation: 'De verwerking van persoonsgegevens voor AI-testdoeleinden is mogelijk - maar het moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening. +name: AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden. +description: ' - Hierbij kan worden gedacht aan voorwaarden als het beschermen van persoonsgevens - met passende technische en organisatorische maatregelen, persoonsgegevens die in - de testomgeving worden aangemaakt mogen niet buiten de testomgeving worden gedeeld - en logbestanden worden bijgehouden voor de duur van de deelname aan de testomgeving. + AI-testomgevingen die persoonsgegevens verwerken, voldoen aan strenge voorwaarden. - Voor toepassingen voor het verder verwerken van gegevens kan worden gedacht aan - het ontwikkelen van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke - of rechtspersoon een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op - het gebied van kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.' + ' +explanation: "De rechtmatige verwerking van persoonsgegevens voor andere doeleinden\ + \ voor het ontwikkelen, trainen en testen van AI-modellen is mogelijk, maar het\ + \ moet voldoen aan strikte voorwaarden die zijn opgenomen in artikel 57 AI-Verordening.\ + \ Hiervoor is een AI-testomgeving noodzakelijk, waarin maatregelen of kunnen worden\ + \ getroffen om de data veilig te verwerken. \n\nPersoonsgegevens die in de testomgeving\ + \ worden aangemaakt mogen niet buiten de testomgeving worden gedeeld en logbestanden\ + \ worden bijgehouden voor de duur van de deelname aan de testomgeving.\n\nVoor toepassingen\ + \ voor het verder verwerken van gegevens kan worden gedacht aan het ontwikkelen\ + \ van een AI-systeem zodat een overheidsinstantie of een andere natuurlijke of rechtspersoon\ + \ een aanzienlijk openbaar belang kan waarborgen, bijvoorbeeld op het gebied van\ + \ kwaliteit van milieu, duurzaamheid, openbare veiligheid en gezondheid.\n\nVerdere\ + \ verwerking van persoonsgegevens buiten een AI-testomgeving vergroot de kans op\ + \ bijvoorbeeld het lekken van de persoonsgegevens, wat kan leiden tot een inbreuk\ + \ op de privacyrechten van betrokken.\n" urn: urn:nl:ak:ver:aia-33 language: nl owners: diff --git a/requirements/aia-34-monitoring-na-het-in-de-handel-brengen.yaml b/requirements/aia-34-monitoring-na-het-in-de-handel-brengen.yaml index 0e05838..b315701 100644 --- a/requirements/aia-34-monitoring-na-het-in-de-handel-brengen.yaml +++ b/requirements/aia-34-monitoring-na-het-in-de-handel-brengen.yaml @@ -1,26 +1,31 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem -description: "Aanbieders moeten een systeem voor monitoring na het in de handel brengen\ - \ vaststellen en documenteren op een manier die evenredig is aan de aard van de\ - \ AI-technologie\xEBn en de risico\u2019s van het AI-systeem met een hoog risico.\n" +name: Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem. +description: ' + + Hoog-risico-AI-systemen zijn voorzien van een monitoringsysteem. + + ' explanation: "Aanbieders moeten een monitoringssysteem opzetten voor het monitoren\ - \ na het in de handel brengen.\nDit systeem moet documenteren op een wijze die passend\ - \ is bij de aard van de AI-technologie\xEBn en de risico's van het betreffende AI-systeem\ - \ met een hoog risico.\nDit monitoringssysteem moet proportioneel zijn aan de complexiteit\ - \ en potenti\xEBle impact van het AI-systeem.\n\nHet systeem voor monitoring na\ - \ het in de handel brengen verzamelt, documenteert en analyseert actief en systematisch\ - \ relevante data die door gebruiksverantwoordelijken kunnen zijn verstrekt of via\ - \ andere bronnen kunnen zijn verzameld, over de prestaties van AI-systemen met een\ - \ hoog risico gedurende hun hele levensduur.\nDit stelt de aanbieder in staat na\ - \ te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk III, afdeling 2, van\ - \ de AI-verordening vermelde voorschriften.\nIn voorkomend geval omvat de monitoring\ - \ na het in de handel brengen een analyse van de interactie met andere AI-systemen.\n\ - Deze verplichting geldt niet voor gevoelige operationele gegevens van gebruiksverantwoordelijken\ - \ die rechtshandhavingsinstanties zijn.\n\nHet systeem voor monitoring na het in\ - \ de handel brengen is gebaseerd op een plan voor monitoring na het in de handel\ - \ brengen.\nHet plan voor monitoring na het in de handel brengen maakt deel uit\ - \ van de in bijlage IV bedoelde technische documentatie." + \ na het in de handel brengen van het AI-systeem.\n\nDit systeem moet documenteren\ + \ op een wijze die passend is bij de aard van de AI-technologie\xEBn en de risico's\ + \ van het betreffende AI-systeem met een hoog risico.\nDit monitoringssysteem moet\ + \ proportioneel zijn aan de complexiteit en potenti\xEBle impact van het AI-systeem.\n\ + \nHet systeem voor monitoring na het in de handel brengen verzamelt, documenteert\ + \ en analyseert actief en systematisch relevante data die door gebruiksverantwoordelijken\ + \ kunnen zijn verstrekt of via andere bronnen kunnen zijn verzameld, over de prestaties\ + \ van AI-systemen met een hoog risico gedurende hun hele levensduur.\n\nDit stelt\ + \ de aanbieder in staat na te gaan of AI-systemen blijvend voldoen aan de in hoofdstuk\ + \ III, afdeling 2, van de AI-verordening vermelde voorschriften.\nIn voorkomend\ + \ geval omvat de monitoring na het in de handel brengen een analyse van de interactie\ + \ met andere AI-systemen.\nDeze verplichting geldt niet voor gevoelige operationele\ + \ gegevens van gebruiksverantwoordelijken die rechtshandhavingsinstanties zijn.\n\ + \nHet systeem voor monitoring na het in de handel brengen is gebaseerd op een plan\ + \ voor monitoring na het in de handel brengen.\nHet plan voor monitoring na het\ + \ in de handel brengen maakt deel uit van de in bijlage IV bedoelde technische documentatie.\n\ + \n\nZonder monitoringssysteem voor na het in handel brengen is er een risico dat\ + \ verminderde pestaties van een AI-systeem met hoog risico ongedeteceerd blijven.\n\ + Een aanbieder kan niet nagaan of een AI-systeem blijvend voldoet aan voorschriften.\n" urn: urn:nl:ak:ver:aia-34 language: nl owners: diff --git a/requirements/aia-35-melding-ernstige-incidenten.yaml b/requirements/aia-35-melding-ernstige-incidenten.yaml index f72ac3e..8629d83 100644 --- a/requirements/aia-35-melding-ernstige-incidenten.yaml +++ b/requirements/aia-35-melding-ernstige-incidenten.yaml @@ -1,23 +1,27 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder -description: Aanbieders van in de Europese Unie in de handel gebrachte AI-systemen - met een hoog risico melden ernstige incidenten bij de markttoezichtautoriteiten - van de lidstaten waarin dat incident heeft plaatsgevonden. +name: Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder. +description: ' + + Ernstige incidenten door hoog-risico-AI-systemen worden gemeld aan de toezichthouder. + + ' explanation: "Aanbieders van AI-systemen met een hoog risico die binnen de EU worden\ \ verhandeld, moeten ernstige incidenten melden bij de markttoezichtautoriteiten\ - \ van de lidstaten waar het incident heeft plaatsgevonden.\nEen 'ernstig incident'\ - \ wordt in artikel 3 van de AI-verordening gedefinieerd als: een incident of gebrekkig\ - \ functioneren van een AI-systeem dat direct of indirect leidt tot: \n\n1. het overlijden\ - \ van een persoon of ernstige schade voor de gezondheid van een persoon;\n2. een\ - \ ernstige en onomkeerbare verstoring van het beheer of de exploitatie van kritieke\ - \ infrastructuur;\n3. een schending van de uit het recht van de Unie voortvloeiende\ - \ verplichtingen ter bescherming van de grondrechten;\n4. ernstige schade aan eigendommen\ - \ of het milieu.\n\nDit meldingsproces is bedoeld om snel en adequaat te reageren\ + \ van de lidstaten waar het incident heeft plaatsgevonden. Het doel is om de veiligheid\ + \ en betrouwbaarheid van AI-systemen te waarborgen en mogelijke risico's voor gebruikers\ + \ te minimaliseren.\n\nDit meldingsproces is bedoeld om snel en adequaat te reageren\ \ op ernstige incidenten die zich voordoen bij het gebruik van deze AI-systemen,\ \ en om passende maatregelen te nemen ter bescherming van de consumenten en het\ - \ publiek.\nHet doel is om de veiligheid en betrouwbaarheid van AI-systemen te waarborgen\ - \ en mogelijke risico's voor gebruikers te minimaliseren." + \ publiek. Een 'ernstig incident' wordt in artikel 3 van de AI-verordening gedefinieerd\ + \ als: een incident of gebrekkig functioneren van een AI-systeem dat direct of indirect\ + \ leidt tot: \n\n1. het overlijden van een persoon of ernstige schade voor de gezondheid\ + \ van een persoon;\n2. een ernstige en onomkeerbare verstoring van het beheer of\ + \ de exploitatie van kritieke infrastructuur;\n3. een schending van de uit het recht\ + \ van de Unie voortvloeiende verplichtingen ter bescherming van de grondrechten;\n\ + 4. ernstige schade aan eigendommen of het milieu.\n\nHet niet melden van ernstige\ + \ incidenten kan leiden tot vertraagde reactie op potenti\xEBle gevaren voor gebruikers\ + \ en kan het vertrouwen in AI-systemen ondermijnen.\n" urn: urn:nl:ak:ver:aia-35 language: nl owners: diff --git a/requirements/aia-36-melding-inbreuk-op-ai-verordening.yaml b/requirements/aia-36-melding-inbreuk-op-ai-verordening.yaml index 58932ee..cc5a084 100644 --- a/requirements/aia-36-melding-inbreuk-op-ai-verordening.yaml +++ b/requirements/aia-36-melding-inbreuk-op-ai-verordening.yaml @@ -1,22 +1,33 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt aan - de AI-verordening -description: Inbreuken op de AI verordening moeten gemeld kunnen worden en melders + de AI-verordening. +description: 'Klokkenluiders kunnen veilig melden dat een organisatie zich niet houdt + aan de AI-verordening. + + ' +explanation: 'Inbreuken op de AI-Verordening moeten gemeld kunnen worden en melders moeten dit op een veilige en vertrouwelijke manier kunnen doen, zoals beschreven in Richtlijn (EU) 2019/1937. -explanation: 'Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, - moeten worden beschermd uit hoofde van het Unierecht. - Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) + + Personen die optreden als klokkenluiders bij inbreuken op de AI-verordening, moeten + worden beschermd uit hoofde van het Unierecht. Richtlijn (EU) 2019/1937 (https://eur-lex.europa.eu/legal-content/NL/LSU/?uri=CELEX:32019L1937) van het Europees Parlement en de Raad moet daarom van toepassing zijn. + De richtlijn biedt een kader voor het veilig en vertrouwelijk melden van schendingen van de verordening, terwijl het de melders ("klokkenluiders") beschermt tegen represailles - of vervolging. + of vervolging. Deze richtlijn bevordert transparantie en verantwoording binnen organisaties + en draagt bij aan een cultuur van naleving en integriteit. + + + + Gebrek aan een veilige omgeving kan ertoe leiden dat klokkenluiders geen melding + maken van inbreuk op de AI-verordening. Dit schaadt het rapportagesysteem en heeft + negatief effect op het maatschappelijk welzijn. - Deze richtlijn bevordert transparantie en verantwoording binnen organisaties en - draagt bij aan een cultuur van naleving en integriteit.' + ' urn: urn:nl:ak:ver:aia-36 language: nl owners: diff --git a/requirements/aia-37-recht-klacht-indienen-bij-ai-bureau.yaml b/requirements/aia-37-recht-klacht-indienen-bij-ai-bureau.yaml index feb9430..cb79fcd 100644 --- a/requirements/aia-37-recht-klacht-indienen-bij-ai-bureau.yaml +++ b/requirements/aia-37-recht-klacht-indienen-bij-ai-bureau.yaml @@ -1,15 +1,20 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Klachtrecht aanbieders verder in AI-waardeketen -description: Aanbieders verder in de AI-waardeketen hebben het recht een klacht in - te dienen wegens inbreuk op de AI verordening bij het AI-bureau. +name: Klachtrecht voor aanbieders verder in AI-waardeketen. +description: ' + + Aanbieders verder in de AI-waardeketen hebben het recht een klacht in te dienen + wegens inbreuk op de AI verordening bij het AI-bureau. + + ' explanation: "Aanbieders verder in de AI-waardeketen hebben het recht om een klacht\ \ in te dienen bij het AI-bureau in het geval van een inbreuk op de AI-verordening.\n\ - Dit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels\ + \nDit biedt hen een mechanisme om actie te ondernemen bij schendingen van de regels\ \ met betrekking tot AI-modellen voor algemene doeleinden die zij ge\xEFntrigeerd\ - \ hebben in AI-systemen.\nHet AI-bureau kan dan passende maatregelen nemen om de\ - \ naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders\ - \ op te lossen." + \ hebben in AI-systemen.\n\nHet AI-bureau kan dan passende maatregelen nemen om\ + \ de naleving van de verordening te handhaven en eventuele geschillen tussen aanbieders\ + \ op te lossen.\n\n\nGebrek aan klachtrecht verhindert het AI-bureau om tijdig en\ + \ zorgvuldig te kunnen ingrijpen bij overtreding van de AI-verordening.\n" urn: urn:nl:ak:ver:aia-37 language: nl owners: diff --git a/requirements/aia-39-testen.yaml b/requirements/aia-39-testen.yaml index 37efd0c..81bda24 100644 --- a/requirements/aia-39-testen.yaml +++ b/requirements/aia-39-testen.yaml @@ -1,8 +1,96 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Hoog-risico-AI-systemen zijn getest. -description: Hoog-risico-AI-systemen zijn getest. -explanation: '' +description: ' + + Hoog-risico-AI-systemen zijn getest. + + ' +explanation: "AI-systemen met een hoog risico worden getest met het oog op het vaststellen\ + \ van passende en gerichte risicobeheersmaatregelen.\nDe tests zorgen ervoor dat\ + \ AI-systemen met een hoog risico consistent presteren ten aanzien van het doel\ + \ ervan en in overeenstemming zijn met de geldende eisen.\n\nHet testen van AI-systemen\ + \ met een hoog risico vindt, zoals passend, in de loop van het ontwikkelproces plaats\ + \ en in ieder geval voordat het systeem in de handel wordt gebracht of in gebruik\ + \ is gesteld. \n\nEr wordt getest aan de hand van vooraf vastgestelde beoordelingsmaatstaven\ + \ en probabilistische drempels die passend zijn voor het beoogde doel van het AI-systeem\ + \ met een hoog risico. De procedures voor testen zijn onderdeel van het [kwaliteitsbeheer](aia-11-systeem-voor-kwaliteitsbeheer.md).\ + \ \n\nBij het verwerken van persoonsgegevens voor het ontwikkelen, trainen en testen\ + \ van een AI-systeem in een AI-testomgeving, wordt een volledige en gedetailleerde\ + \ beschrijving van het testproces en de testresultaten onderdeel van de technische\ + \ documentatie.\n\n### Testen van AI-systemen met een hoog risico onder re\xEBle\ + \ omstandigheden buiten AI-testomgevingen\nAI-systemen met een hoog risico kunnen\ + \ onder re\xEBle omstandigheden buiten AI-testomgevingen voor regelgeving worden\ + \ getest door aanbieders of potenti\xEBle aanbieders van in bijlage III vermelde\ + \ AI-systemen met een hoog risico in overeenstemming met dit artikel en het in dit\ + \ artikel bedoelde plan voor tests onder re\xEBle omstandigheden, onverminderd de\ + \ verbodsbepalingen krachtens artikel 5 AI-Verordening.\n\nAanbieders of potenti\xEB\ + le aanbieders kunnen zelf of in samenwerking met een of meer gebruiksverantwoordelijken\ + \ of potenti\xEBle gebruiksverantwoordelijken onder re\xEBle omstandigheden tests\ + \ uitvoeren op in bijlage III bedoelde AI-systemen met een hoog risico op elk moment\ + \ v\xF3\xF3r het in de handel brengen of in gebruik nemen van het AI-systeem.\n\n\ + Aanbieders of potenti\xEBle aanbieders mogen alleen testen onder re\xEBle omstandigheden\ + \ als is voldaan aan alle volgende voorwaarden:\n\na) de aanbieder of potenti\xEB\ + le aanbieder heeft een plan voor tests onder re\xEBle omstandigheden opgesteld en\ + \ ingediend bij de markttoezichtautoriteit in de lidstaat waar onder re\xEBle omstandigheden\ + \ moet worden getest;\n\nb) de markttoezichtautoriteit in de lidstaat waar onder\ + \ re\xEBle omstandigheden moet worden getest, heeft het testen onder re\xEBle omstandigheden\ + \ en het plan voor tests onder re\xEBle omstandigheden goedgekeurd; indien de markttoezichtautoriteit\ + \ binnen dertig dagen geen antwoord heeft gegeven, worden het testen onder re\xEB\ + le omstandigheden en het plan voor tests onder re\xEBle omstandigheden geacht te\ + \ zijn goedgekeurd; indien het nationale recht niet voorziet in een stilzwijgende\ + \ goedkeuring, blijft het testen onder re\xEBle omstandigheden onderworpen aan een\ + \ toestemming;\n\nc) de aanbieder of potenti\xEBle aanbieder, met uitzondering van\ + \ aanbieders of potenti\xEBle aanbieders van in de punten 1, 6 en 7 van bijlage\ + \ III bedoelde AI-systemen met een hoog risico op de gebieden rechtshandhaving,\ + \ migratie, asiel en grenstoezichtsbeheer en AI-systemen met een hoog risico als\ + \ bedoeld in punt 2 van bijlage III, heeft het testen onder re\xEBle omstandigheden\ + \ geregistreerd overeenkomstig artikel 71, lid 4, met een Uniebreed uniek identificatienummer\ + \ en de in bijlage IX gespecificeerde informatie; de aanbieder of potenti\xEBle\ + \ aanbieder van in de punten 1, 6 en 7 van bijlage III bedoelde AI-systemen met\ + \ een hoog risico op de gebieden van rechtshandhaving, migratie, asiel en grenstoezichtsbeheer,\ + \ heeft het testen onder re\xEBle omstandigheden geregistreerd in het beveiligde\ + \ niet-openbare gedeelte van de EU-databank overeenkomstig artikel 49, lid 4, punt\ + \ d), met een Uniebreed uniek identificatienummer en de daarin gespecificeerde informatie;\ + \ de aanbieder of potenti\xEBle aanbieder van in punt 2 van bijlage III bedoelde\ + \ AI-systemen met een hoog risico heeft het testen onder re\xEBle omstandigheden\ + \ geregistreerd overeenkomstig artikel 49, lid 5;\n\nd) de aanbieder of potenti\xEB\ + le aanbieder die onder re\xEBle omstandigheden test, is in de Unie gevestigd of\ + \ heeft een in de Unie gevestigde wettelijke vertegenwoordiger aangewezen;\n\ne)\ + \ gegevens die zijn verzameld en verwerkt met het oog op het testen onder re\xEB\ + le omstandigheden mogen alleen aan derde landen worden doorgegeven mits er passende\ + \ en toepasselijke waarborgen uit hoofde van het Unierecht worden toegepast;\n\n\ + f) het testen onder re\xEBle omstandigheden duurt niet langer dan nodig is om de\ + \ doelstellingen ervan te verwezenlijken en in geen geval langer dan zes maanden,\ + \ met een mogelijke verlenging van nog eens zes maanden indien de aanbieder of potenti\xEB\ + le aanbieder de markttoezichtautoriteit daar vooraf van in kennis stelt, met een\ + \ uitleg waarom een dergelijke verlenging noodzakelijk is;\n\ng) proefpersonen die\ + \ onder re\xEBle omstandigheden worden getest en die tot kwetsbare groepen behoren\ + \ vanwege hun leeftijd of handicap, worden naar behoren beschermd;\n\nh) indien\ + \ een aanbieder of potenti\xEBle aanbieder het testen onder re\xEBle omstandigheden\ + \ organiseert in samenwerking met een of meer gebruiksverantwoordelijken of potenti\xEB\ + le gebruiksverantwoordelijken, worden zij ge\xEFnformeerd over alle aspecten van\ + \ het testen die relevant zijn voor hun beslissing om deel te nemen, en krijgen\ + \ zij de relevante gebruiksinstructies van het AI-systeem als bedoeld in artikel\ + \ 13; de aanbieder of potenti\xEBle aanbieder en de gebruiksverantwoordelijke of\ + \ potenti\xEBle gebruiksverantwoordelijke sluiten een overeenkomst waarin hun taken\ + \ en verantwoordelijkheden worden gespecificeerd teneinde te waarborgen dat de bepalingen\ + \ voor het testen onder re\xEBle omstandigheden uit hoofde van deze verordening\ + \ en ander toepasselijk Unie- en nationaal recht worden nageleefd;\n\ni) de proefpersonen\ + \ die onder re\xEBle omstandigheden worden getest, hebben ge\xEFnformeerde toestemming\ + \ gegeven overeenkomstig artikel 61, of, in het geval van rechtshandhaving, indien\ + \ het vragen om ge\xEFnformeerde toestemming het testen van het AI-systeem onder\ + \ re\xEBle omstandigheden onmogelijk zou maken, de test zelf en het resultaat van\ + \ de test onder re\xEBle omstandigheden hebben geen negatieve gevolgen voor de proefpersonen\ + \ en hun persoonsgegevens worden na de uitvoering van test gewist;\n\nj) op het\ + \ testen onder re\xEBle omstandigheden wordt daadwerkelijk toezicht gehouden door\ + \ de aanbieder of potenti\xEBle aanbieder, alsook door gebruiksverantwoordelijken\ + \ of potenti\xEBle gebruiksverantwoordelijken via personen die voldoende zijn gekwalificeerd\ + \ op het relevante gebied en beschikken over de nodige capaciteiten, opleiding en\ + \ bevoegdheden om hun taken uit te voeren;\n\nk) de voorspellingen, aanbevelingen\ + \ of beslissingen van het AI-systeem kunnen daadwerkelijk worden teruggedraaid en\ + \ genegeerd.\n\nZonder het testen van een AI-systeem, ontstaat het risico dat het\ + \ AI-systeem inconsistent gaat presteren ten aanzien van het doel. \n" urn: urn:nl:ak:ver:aia-39 language: nl owners: diff --git a/requirements/arc-01-archiefwet.yaml b/requirements/arc-01-archiefwet.yaml index 9a70b83..5d41d90 100644 --- a/requirements/arc-01-archiefwet.yaml +++ b/requirements/arc-01-archiefwet.yaml @@ -1,10 +1,15 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Informatie over algoritmes wordt gedocumenteerd volgens de Archiefwet -description: Overheidsorganen zijn verplicht de onder hen berustende archiefbescheiden - in goede, geordende en toegankelijke staat te brengen en te bewaren, alsmede zorg - te dragen voor de vernietiging van de daarvoor in aanmerking komende archiefbescheiden. -explanation: '' +name: Informatie over algoritmes wordt in goede, geordende en toegankelijke staat + gebracht, bewaard en vernietigd wanneer nodig. +description: "\nInformatie over algoritmes wordt in goede, geordende en toegankelijke\ + \ staat gebracht, bewaard en vernietigd wanneer nodig. \n" +explanation: "Overheden moeten informatie over algoritmes in goede, geordende en toegankelijke\ + \ staat brengen en bewaren. Ook moeten ze zorgen voor de vernietiging van archiefbescheiden\ + \ die daarvoor in aanmerking komen. \n\nOp basis van deze informatie moet bijvoorbeeld\ + \ gereconstrueerd kunnen worden hoe besluiten, ook in de context van algoritmes,\ + \ tot stand zijn gekomen. Informatie over algoritmes moet daarom op basis van de\ + \ selectielijst bewaard en vernietigd worden.\n" urn: urn:nl:ak:ver:arc-01 language: nl owners: diff --git a/requirements/aut-01-auteursrechten.yaml b/requirements/aut-01-auteursrechten.yaml index da8c5c9..707fbe6 100644 --- a/requirements/aut-01-auteursrechten.yaml +++ b/requirements/aut-01-auteursrechten.yaml @@ -1,9 +1,23 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Auteursrechten zijn beschermd -description: Auteursrechten mogen niet geschonden worden bij het ontwikkelen en gebruiken - van algoritmes. -explanation: '' +name: Auteursrechten zijn beschermd. +description: ' + + Auteursrechten en naburige rechten mogen niet geschonden worden bij het ontwikkelen, + testen en gebruiken van algoritmes. + + ' +explanation: 'Bepaalde type algoritmes worden ontwikkeld op basis van grote hoeveelheden + data. + + Deze data wordt gebruikt voor het trainen en testen van algoritmes. + + Het gebruiken van deze data mag geen inbreuk maken op auteursrechten van diegene + die deze rechten heeft. + + Ook de gegenereerde output van algoritmes mag geen inbreuk maken op deze rechten. + + ' urn: urn:nl:ak:ver:aut-01 language: nl owners: @@ -15,10 +29,9 @@ date: '' url: https://minbzk.github.io/Algoritmekader/voldoen-aan-wetten-en-regels/vereisten/aut-01-auteursrechten/index.html subject: - data -- governance lifecycle: -- dataverkenning-en-datapreparatie - ontwerp +- dataverkenning-en-datapreparatie links: - urn:nl:ak:mtr:owp-12 - urn:nl:ak:mtr:owp-13 diff --git a/requirements/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.yaml b/requirements/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.yaml index c5d1d6a..9a591a2 100644 --- a/requirements/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.yaml +++ b/requirements/avg-01-persoonsgegevens-worden-rechtmatig-verwerkt.yaml @@ -1,20 +1,28 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Persoonsgegevens worden op een rechtmatige manier verwerkt -description: De verwerking van persoonsgegevens moet rechtmatig plaatsvinden. +name: Persoonsgegevens worden op een rechtmatige manier verwerkt. +description: ' + + Persoonsgegevens worden op een rechtmatige manier verwerkt. + + ' explanation: "De verwerking van persoonsgegevens moet rechtmatig plaatsvinden, wat\ \ betekent dat de verwerking gebaseerd moet zijn op \xE9\xE9n van de wettelijke\ \ grondslagen die zijn geformuleerd in artikel 6 Algemene Verordening Gegevensbescherming.\n\ - Persoonsgegevens mogen alleen worden verzameld voor specifieke, duidelijk omschreven\ - \ en gerechtvaardigde doeleinden.\nHet is niet toegestaan om deze gegevens verder\ - \ te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke doeleinden.\n\ - \nBij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling en gebruik\ - \ van algoritmes moet worden onderzocht of dit kan worden gebaseerd op \xE9\xE9\ - n van de verwerkingsgrondslagen.\nHet is van belang dat wordt uitgewerkt welke persoonsgegevens\ - \ waarvoor worden verwerkt en op basis van welke grondslag.\nHierbij kan worden\ - \ gedacht aan persoonsgegevens ten behoeve van trainingsdata, voor het genereren\ - \ van output of, indien (juridisch) mogelijk, voor het uitvoeren van een onderzoek\ - \ naar onbewuste vooringenomenheid." + \nPersoonsgegevens mogen alleen worden verzameld en verwerkt voor specifieke, duidelijk\ + \ omschreven en gerechtvaardigde doeleinden.\nHet is niet toegestaan om deze gegevens\ + \ verder te verwerken op een manier die niet verenigbaar is met deze oorspronkelijke\ + \ doeleinden.\n\nBij het verwerken van persoonsgegevens ten behoeve van de ontwikkeling\ + \ en gebruik van algoritmes moet worden onderzocht of dit kan worden gebaseerd op\ + \ \xE9\xE9n van de verwerkingsgrondslagen. Het is van belang dat wordt uitgewerkt\ + \ welke persoonsgegevens waarvoor worden verwerkt en op basis van welke grondslag.\n\ + \nHierbij kan worden gedacht aan persoonsgegevens ten behoeve van trainingsdata,\ + \ voor het genereren van output of, indien (juridisch) mogelijk, voor het uitvoeren\ + \ van een onderzoek naar onbewuste vooringenomenheid.\n\n\nHet risico wanneer persoonsgegevens\ + \ niet op een rechtmatige manier worden verwerkt (verzamelen van gegevens valt hier\ + \ ook onder), is dat er niet aan de AVG wordt voldaan. Er worden dan onrechtmatig\ + \ persoonsgegevens verwerkt, waarmee privacy van personen in het geding komt. Ook\ + \ kan het leiden tot hoge boetes voor organisaties, en kan een datalek plaatsvinden.\n" urn: urn:nl:ak:ver:avg-01 language: nl owners: @@ -27,7 +35,6 @@ url: https://minbzk.github.io/Algoritmekader/voldoen-aan-wetten-en-regels/vereis subject: - privacy-en-gegevensbescherming lifecycle: -- probleemanalyse - ontwerp - dataverkenning-en-datapreparatie links: diff --git a/requirements/avg-02-beperkte-bewaartermijn-van-persoonsgegevens.yaml b/requirements/avg-02-beperkte-bewaartermijn-van-persoonsgegevens.yaml index 4ff76bf..9640b0f 100644 --- a/requirements/avg-02-beperkte-bewaartermijn-van-persoonsgegevens.yaml +++ b/requirements/avg-02-beperkte-bewaartermijn-van-persoonsgegevens.yaml @@ -1,27 +1,26 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Persoonsgegevens worden zo kort mogelijk bewaard -description: Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt - om de betrokkenen niet langer te identificeren dan nodig is voor de realisering - van de doeleinden waarvoor de persoonsgegevens initieel worden verwerkt. -explanation: 'Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt - te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. +name: Persoonsgegevens worden zo kort mogelijk bewaard. +description: ' - Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens - tot een strikt minimum wordt beperkt. - - Het beginsel van opslagbeperking betekent dat persoonsgegevens moeten worden bewaard - in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren - dan voor de realisering van de doeleinden waarvoor de persoonsgegevens worden verwerkt. - - - In de context van algoritmes is het belangrijk dat, wanneer persoonsgegevens worden - verwerkt, er onderzocht wordt op welke manieren identificatie van betrokkenen tegen - kan worden gegaan. - - Hierbij kan worden gedacht aan maatregelen als pseudonomisering en anonimisering. + Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de + betrokkenen niet langer te identificeren dan nodig is voor de realisering van de + doeleinden waarvoor de persoonsgegevens initieel worden verwerkt. ' +explanation: "Persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt\ + \ te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.\n\ + Dit vereist dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens\ + \ tot een strikt minimum wordt beperkt.\n\nHet beginsel van opslagbeperking betekent\ + \ dat persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt\ + \ om de betrokkenen niet langer te identificeren dan voor de realisering van de\ + \ doeleinden waarvoor de persoonsgegevens worden verwerkt.\n\nIn de context van\ + \ algoritmes is het belangrijk dat, wanneer persoonsgegevens worden verwerkt, er\ + \ onderzocht wordt op welke manieren identificatie van betrokkenen tegen kan worden\ + \ gegaan.\nHierbij kan worden gedacht aan maatregelen als het pseudonomiseren, anonimiseren\ + \ en aggregeren van de persoonsgegevens. \n\n\nHet onnodig lang bewaren van persoonsgegevens\ + \ levert een onrechtmatige situatie op. De privacyrechten van betrokken worden hierdoor\ + \ aangetast. Er ontstaan aanvullende risico's bij bijvoorbeeld een datalek.\n\n" urn: urn:nl:ak:ver:avg-02 language: nl owners: @@ -36,7 +35,6 @@ subject: lifecycle: - ontwerp - dataverkenning-en-datapreparatie -- ontwikkelen - uitfaseren links: - urn:nl:ak:mtr:owp-12 diff --git a/requirements/avg-03-minimale-verwerking-van-persoonsgegevens.yaml b/requirements/avg-03-minimale-verwerking-van-persoonsgegevens.yaml index 302d054..69bd9a8 100644 --- a/requirements/avg-03-minimale-verwerking-van-persoonsgegevens.yaml +++ b/requirements/avg-03-minimale-verwerking-van-persoonsgegevens.yaml @@ -1,19 +1,23 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Persoonsgegevens worden zo min mogelijk verwerkt -description: 'De verwerking van persoonsgegevens moet minimaal worden gehouden, dat - wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt - tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. +name: Persoonsgegevens worden zo min mogelijk verwerkt. +description: ' + + Persoonsgegevens worden zo min mogelijk verwerkt. ' -explanation: "Het is van belang dat \xE9nkel persoonsgegevens worden verwerkt die\ - \ noodzakelijk zijn gezien de doeleinden van die vewerking.\nEr moet een beoordeling\ - \ worden gemaakt welke persoonsgegevens dit wel en eventueel niet zijn.\nVoor het\ - \ ontwikkelen en gebruiken van algoritmes is het van belang om te beoordelen welke\ - \ persoonsgegevens noodzakelijk zijn om het beoogde doel te bereiken. Afhankelijk\ - \ van de toepassing vraagt dit om een intensieve toets. Er moet voor worden gezorgd\ - \ dat persoonsgegevens die niet als noodzakelijk worden beschouwd, buiten de verwerking\ - \ blijven. " +explanation: "De verwerking van persoonsgegevens moet minimaal worden gehouden, dat\ + \ wil zeggen dat die verwerking toereikend moet zijn, ter zake dienend en beperkt\ + \ tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.\n\nHet\ + \ is van belang dat \xE9nkel persoonsgegevens worden verwerkt die noodzakelijk zijn\ + \ gezien de doeleinden van die vewerking.\n\nEr moet een beoordeling worden gemaakt\ + \ welke persoonsgegevens dit wel en eventueel niet zijn.\n\nVoor het ontwikkelen\ + \ en gebruiken van algoritmes is het van belang om te beoordelen welke persoonsgegevens\ + \ noodzakelijk zijn om het beoogde doel te bereiken. \n\nAfhankelijk van de toepassing\ + \ vraagt dit om een intensieve toets. Er moet voor worden gezorgd dat persoonsgegevens\ + \ die niet als noodzakelijk worden beschouwd, buiten de verwerking blijven. \n\n\ + \nHet onnodig verwerken van persoonsgegevens kan een inbreuk maken op rechten van\ + \ betrokkenen, en zou kunnen leiden tot een datalek.\n" urn: urn:nl:ak:ver:avg-03 language: nl owners: diff --git a/requirements/avg-04-proportionaliteit-en-subsidiariteit.yaml b/requirements/avg-04-proportionaliteit-en-subsidiariteit.yaml index 7798d89..207fcdf 100644 --- a/requirements/avg-04-proportionaliteit-en-subsidiariteit.yaml +++ b/requirements/avg-04-proportionaliteit-en-subsidiariteit.yaml @@ -1,11 +1,24 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair -description: 'Gegevensverwerking moet in verhouding staan tot het beoogde doel en - persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier - is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens - moet dit vereiste aantoonbaar zijn. ' -explanation: '' +name: Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair. +description: 'Persoonsgegevens en andere data verwerken gebeurt proportioneel en subsidiair. + + + + ' +explanation: "Gegevensverwerking moet in verhouding staan tot het beoogde doel en\ + \ persoonsgegevens mogen alleen verwerkt worden als er geen minder ingrijpende manier\ + \ is om het doel te bereiken. Voor zover het gaat om de verwerking van persoonsgegevens\ + \ moet dit vereiste aantoonbaar zijn. \n\nProportionaliteit vereist dat de impact\ + \ van gegevensverwerking op de persoonlijke levenssfeer voor de toepassing van een\ + \ algoritme en voor het genereren van de benodigde output in balans is met het beoogde\ + \ doel.\n\nSubsidiariteit vereist dat persoonsgegevens alleen moeten worden verwerkt\ + \ als dit de minst inbreukmakende manier is om het doel te bereiken.\n\nDeze principes\ + \ waarborgen dat de privacy van individuen wordt gerespecteerd en dat gegevensverwerking\ + \ niet verder gaat dan noodzakelijk is voor legitieme doeleinden.\n\nHet is van\ + \ belang om deze principes te hanteren om te bepalen of en in [welke vorm een algoritmes](../maatregelen/1-pba-03-onderbouwen-gebruik-algoritme)\ + \ moet worden toegepast en om tot een passende mate van gegevensverwerking te komen\ + \ om het [doel](../maatregelen/1-pba-02-formuleren-doelstelling.md) te bereiken.\n" urn: urn:nl:ak:ver:avg-04 language: nl owners: diff --git a/requirements/avg-05-juistheid-en-actualiteit-van-persoonsgegevens.yaml b/requirements/avg-05-juistheid-en-actualiteit-van-persoonsgegevens.yaml index c45db9c..07a9b5a 100644 --- a/requirements/avg-05-juistheid-en-actualiteit-van-persoonsgegevens.yaml +++ b/requirements/avg-05-juistheid-en-actualiteit-van-persoonsgegevens.yaml @@ -1,18 +1,30 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Persoonsgegevens zijn juist en actueel -description: De te verwerken persoonsgegevens zijn juist, nauwkeurig en worden zo - nodig geactualiseerd of gewist. +name: Persoonsgegevens zijn juist en actueel. +description: ' + + Persoonsgegevens zijn juist en actueel. + + ' explanation: 'De te verwerken persoonsgegevens moeten nauwkeurig, juist en zo nodig actueel zijn. Dit betekent dat alle maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. - Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. + Dat kan betekenen dat persoonsgegevens moeten worden geactualiseerd of verbeterd. In de context van algoritmes is het van belang dat ook daar wordt onderzocht welke - maatregelen nodig zijn om die juistheid toe te passen.' + maatregelen nodig zijn om die [juistheid](../maatregelen/2-owp-11-gebruikte-data.md) + toe te passen. + + + + Als er geen rekening wordt gehouden met de juistheid, nauwkeurigheid en volledigheid + van persoonsgegevens, kunnen kwaliteit en integriteit van data niet voldoende worden + gewaarborgd. + + ' urn: urn:nl:ak:ver:avg-05 language: nl owners: diff --git a/requirements/avg-06-verantwoordingsplicht-rechtmatigheid.yaml b/requirements/avg-06-verantwoordingsplicht-rechtmatigheid.yaml index 19f4658..f9b3fcb 100644 --- a/requirements/avg-06-verantwoordingsplicht-rechtmatigheid.yaml +++ b/requirements/avg-06-verantwoordingsplicht-rechtmatigheid.yaml @@ -1,7 +1,11 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken -description: "De verantwoordelijken moeten bij de verwerking van persoonsgegevens\ +name: Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier verwerken. +description: 'Organisaties kunnen bewijzen dat zij persoonsgegevens op de juiste manier + verwerken. + + ' +explanation: "De verantwoordelijken moeten bij de verwerking van persoonsgegevens\ \ door algoritmes kunnen aantonen dat de verwerkingen rechtmatig plaatsvinden.\n\ Dit betekent concreet dat de volgende punten aangetoond kunnen worden:\n\n - Rechtmatigheid,\ \ behoorlijkheid en transparantie\n - Doelbinding\n - Minimale gegevensverwerking\n\ @@ -9,8 +13,10 @@ description: "De verantwoordelijken moeten bij de verwerking van persoonsgegeven \ daarbij is dat de rechtmatigheid van de verwerking ten opzichte van andere gerelateerde\ \ wetgeving zoals de AI Act en de Algemene wet gelijke behandeling ook moeten kunnen\ \ worden aangetoond voor zover de rechtmatigheid van de verwerking onder de AVG\ - \ daarvan afhankelijk is." -explanation: '' + \ daarvan afhankelijk is.\n\nBij het verwerken van persoonsgegevens voor algoritmes\ + \ moeten de verantwoordelijkheden duidelijk beschreven en toegewezen zijn.\n\nDe\ + \ verwerkingsverantwoordelijke is degene die ervoor zorgt dat deze verantwoordelijkheden\ + \ worden nageleefd en kan dit aantonen, wat bekend staat als de verantwoordingsplicht.\n" urn: urn:nl:ak:ver:avg-06 language: nl owners: diff --git a/requirements/avg-07-transparantie-bij-verwerken-persoonsgegevens.yaml b/requirements/avg-07-transparantie-bij-verwerken-persoonsgegevens.yaml index 082a963..59fbad8 100644 --- a/requirements/avg-07-transparantie-bij-verwerken-persoonsgegevens.yaml +++ b/requirements/avg-07-transparantie-bij-verwerken-persoonsgegevens.yaml @@ -1,19 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Organisaties zijn transparant over het verwerken van persoonsgegevens -description: De verwerking van persoonsgegevens moet transparant zijn. -explanation: 'Een betrokkene moet op de hoogte worden gesteld van het feit dat er - verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan (zoals - ook is verwoord in het beginsel van transparante verwerking, artikel 5 AVG). +description: ' - Hierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens - worden verwerkt, worden meegenomen. + De verwerking van persoonsgegevens moet transparant zijn. - In artikel 13 en 14 AVG wordt toegelicht welke informatie in welke gevallen moet - worden verstrekt door de verwerkersverantwoordelijke. - - Als persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken - van algoritmes, zal deze informatie moeten worden verstrekt.' + ' +explanation: "Een betrokkene moet op de hoogte worden gesteld van het feit dat er\ + \ verwerking plaatsvindt van diens persoonsgegevens en van de doeleinden daarvan\ + \ (zoals ook is verwoord in het beginsel van transparante verwerking, artikel 5\ + \ AVG).\n\nHierbij moeten de specifieke omstandigheden en de context waarin de persoonsgegevens\ + \ worden verwerkt, worden meegenomen.\nIn artikel 13 en 14 AVG wordt toegelicht\ + \ welke informatie in welke gevallen moet worden verstrekt door de verwerkersverantwoordelijke.\n\ + \nAls persoonsgegevens worden verwerkt ten behoeve van het ontwikkelen of gebruiken\ + \ van algoritmes, zal deze informatie moeten worden verstrekt.\n\n\nRechten van\ + \ betrokken worden geschonden als er geen sprake is van transparantie over de verwerkingen\ + \ van de persoonsgegevens.\n " urn: urn:nl:ak:ver:avg-07 language: nl owners: diff --git a/requirements/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.yaml b/requirements/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.yaml index eeb4803..97294ab 100644 --- a/requirements/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.yaml +++ b/requirements/avg-08-wettelijke-verwerking-van-gevoelige-gegevens.yaml @@ -1,20 +1,24 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Gevoelige persoonsgegevens worden alleen gebruikt als hiervoor een wettelijke - uitzondering geldt -description: "Bijzondere categorie\xEBn van persoonsgegevens mogen alleen worden verwerkt\ - \ op basis van een wettelijke uitzondering." + uitzondering geldt. +description: "\nBijzondere categorie\xEBn van persoonsgegevens mogen alleen worden\ + \ verwerkt op basis van een wettelijke uitzondering.\n" explanation: "Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft\ \ de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming.\n\ - Dit komt doordat de context van de verwerking ervan significante risico's kan meebrengen\ - \ voor de grondrechten en de fundamentele vrijheden.\nDenk hierbij aan persoonsgegevens\ - \ als ras, ethnische afkomst, politieke opvattingen of religieuze of levenschouwelijke\ - \ overtuigingen.\n\n\nBijzondere categorie\xEBn persoonsgegevens mogen alleen worden\ - \ verwerkt als er hier een wettelijke uitzondering voor is ([artikel\n9 AVG](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e2043-1-1)\ + \nDit komt doordat de context van de verwerking ervan significante risico's kan\ + \ meebrengen voor de grondrechten en de fundamentele vrijheden.\n\nDenk hierbij\ + \ aan persoonsgegevens als ras, ethnische afkomst, politieke opvattingen of religieuze\ + \ of levenschouwelijke overtuigingen.\n\nBijzondere categorie\xEBn persoonsgegevens\ + \ mogen alleen worden verwerkt als er hier een wettelijke uitzondering voor is ([artikel\n\ + 9 AVG](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679#d1e2043-1-1)\ \ en [artikel 30 UAVG](https://wetten.overheid.nl/jci1.3:c:BWBR0040940&hoofdstuk=3¶graaf=3.1&artikel=30&z=2021-07-01&g=2021-07-01)).\n\ - Deze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes\ + \nDeze vereiste is ook van toepassing bij het ontwikkelen en gebruiken van algoritmes\ \ en stelt daarmee beperkingen aan het mogen verwerken van deze categorie\xEBn persoonsgegevens,\ - \ bv. ten behoeve van trainingsdata of het genereren van de beoogde output." + \ bv. ten behoeve van trainingsdata of het genereren van de beoogde output.\n\n\n\ + Het (onrechtmatige) verwerken van bijzondere categorie\xEBn persoonsgegevens brengt\ + \ risico's met zich mee op het gebied van respecteren van de persoonlijke levenssfeer\ + \ en discriminatie.\n\n" urn: urn:nl:ak:ver:avg-08 language: nl owners: diff --git a/requirements/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.yaml b/requirements/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.yaml index 387fe7d..0d596f4 100644 --- a/requirements/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.yaml +++ b/requirements/avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens.yaml @@ -1,11 +1,16 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Betrokkenen kunnen een beroep doen op hun privacyrechten -description: Betrokkenen kunnen een beroep doen op hun privacyrechten. +name: Betrokkenen kunnen een beroep doen op hun privacyrechten. +description: ' + + Betrokkenen kunnen een beroep doen op hun privacyrechten. + + ' explanation: 'Mensen hebben het recht om hun privacyrechten uit te oefenen door een beroep te doen op verschillende wettelijke bepalingen, zoals het recht op inzage, correctie, verwijdering en bezwaar tegen de verwerking van hun persoonsgegevens. + Dit betekent dat individuen controle hebben over hoe hun gegevens worden gebruikt en kunnen verzoeken om toegang te krijgen tot hun gegevens of om wijzigingen aan te brengen indien nodig. @@ -15,8 +20,16 @@ explanation: 'Mensen hebben het recht om hun privacyrechten uit te oefenen door privacy van individuen, het waarborgen van transparantie en controle uitvoeren over persoonsgegevens. + Als persoonsgegevens worden verwerkt voor het ontwikkelen en gebruiken van algoritmes, - is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen.' + is het van belang dat maatregelen worden getroffen om deze rechten te eerbiedigen. + + + + Betrokkenen hebben geen controle over hun persoonsgegevens wanneer ze geen beroep + kunnen doen op hun privacyrechten. + + ' urn: urn:nl:ak:ver:avg-09 language: nl owners: diff --git a/requirements/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.yaml b/requirements/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.yaml index 73eabb9..2511875 100644 --- a/requirements/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.yaml +++ b/requirements/avg-10-recht-op-niet-geautomatiseerde-besluitvorming.yaml @@ -1,25 +1,29 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: "Besluiten die levens kunnen be\xEFnvloeden, zijn niet volledig geautomatiseerd" -description: Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel - op geautomatiseerde verwerking, waaronder proflering, gebaseerd besluit, wanneer - dit rechtsgevolgen heeft voor hen of het hen anderszins in aanzienlijke mate treft. - Dit verbod geldt niet indien de geautomatiseerde individuele besluitvorming, anders - dan op basis van profilering, noodzakelijk is om te voldoen aan een wettelijke verplichting - die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling - van een taak van algemeen belang. +name: "Besluiten die levens kunnen be\xEFnvloeden, zijn niet volledig geautomatiseerd." +description: ' + + Betrokkenen hebben het recht om niet onderworpen te worden aan een enkel op geautomatiseerde + verwerking, waaronder proflering, gebaseerd besluit, wanneer dit rechtsgevolgen + heeft voor hen of het hen anderszins in aanzienlijke mate treft. Dit verbod geldt + niet indien de geautomatiseerde individuele besluitvorming, anders dan op basis + van profilering, noodzakelijk is om te voldoen aan een wettelijke verplichting die + op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van + een taak van algemeen belang. + + ' explanation: "Overheidsorganisaties zijn vaak belast met de uitvoering van wettelijke\ \ taken waarbij zij 'besluiten' moeten nemen, bijvoorbeeld als een burger vraagt\ - \ om een uitkering, toeslag of een subsidie.\nHiervoor moeten gegevens worden verwerkt\ - \ om te kunnen bepalen of een burger hier ook recht op heeft. Om deze gegevens snel\ - \ en accuraat te verwerken, zetten overheidsorganisaties vaak algoritmes in. Deze\ - \ gegevens worden dan vaak 'geautomatiseerd' door deze algoritmes verwerkt, zonder\ - \ dat een ambtenaar dit werk controleert.\nSoms wordt het proces voor het nemen\ - \ van een **besluit** volledig geautomatiseerd ingericht. Denk hierbij aan het opleggen\ - \ van een boete voor een snelheidsovertreding. Hierdoor kan in korte tijd en op\ - \ een effici\xEBnte wijze, een grote hoeveelheid besluiten worden genomen. \n\n\ - Het geautomatiseerd verwerken van gegevens voor de totstandkoming van een besluit\ - \ brengt risico's met zich mee. Zeker als hierbij persoonsgegevens van individuen\ + \ om een uitkering, toeslag of een subsidie.\n\nHiervoor moeten gegevens worden\ + \ verwerkt om te kunnen bepalen of een burger hier ook recht op heeft. Om deze gegevens\ + \ snel en accuraat te verwerken, zetten overheidsorganisaties vaak algoritmes in.\ + \ Deze gegevens worden dan vaak 'geautomatiseerd' door deze algoritmes verwerkt,\ + \ zonder dat een ambtenaar dit werk controleert.\n\nSoms wordt het proces voor het\ + \ nemen van een **besluit** volledig geautomatiseerd ingericht. Denk hierbij aan\ + \ het opleggen van een boete voor een snelheidsovertreding. Hierdoor kan in korte\ + \ tijd en op een effici\xEBnte wijze, een grote hoeveelheid besluiten worden genomen.\ + \ \n\nHet geautomatiseerd verwerken van gegevens voor de totstandkoming van een\ + \ besluit brengt risico's met zich mee. Zeker als hierbij persoonsgegevens van individuen\ \ worden verwerkt en er sprake is van profilering. Hierdoor ontstaat bijvoorbeeld\ \ het risico op discriminatie. Daarom is in art. 22 AVG het recht voor betrokkenen\ \ gecre\xEBerd om niet te worden onderworpen aan een uitsluitend op geautomatiseerde\ @@ -33,7 +37,74 @@ explanation: "Overheidsorganisaties zijn vaak belast met de uitvoering van wette \ voldaan aan de voorwaarden uit wetgeving, waaronder in het bijzonder de Algemene\ \ Verordening Gegevensbescherming (AVG) en de Algemene wet bestuursrecht(Awb). Bestuursorganen\ \ dienen dan ook te handelen conform de algemene beginselen van behoorlijk bestuur.\ - \ Dit samenstel van regels moet de rechten van betrokkenen borgen. " + \ Dit samenstel van regels moet de rechten van betrokkenen borgen. \n\n### Algemene\ + \ eisen aan geautomatiseerde besluitvorming door overheden\n\nDe Nederlandse wetgever\ + \ heeft in artikel 40 lid 1 UAVG gebruik gemaakt van de mogelijkheid een uitzondering\ + \ te maken op het verbod van art. 22 lid 1 AVG. In Nederland is geautomatiseerde\ + \ besluitvorming toegestaan, als het gaat om besluitvorming waarbij menselijke tussenkomst\ + \ geen toegevoegde waarde heeft.\n\nDit is het geval als er sprake is van een gebonden\ + \ karakter waarbij weinig of geen beoordelingsruimte is waarin tot een andere conclusie\ + \ kan worden gekomen. Hierbij kan worden gedacht aan het toekennen van kinderbijslag\ + \ of de hoogte van het recht op studiefinanciering. Deze uitzondering geldt niet\ + \ voor 'profilering', tenzij er specifieke (sectorale) wetgeving het verbod opheft.\n\ + \nOm deze uitzondering toe te kunnen passen, moet er op grond van artikel 22 AVG\ + \ een 'passende maatregel' in de vorm van wetgeving zijn die personen voldoende\ + \ bescherming biedt. In Nederland moet de Algemene wet bestuursrecht deze bescherming\ + \ aan burgers bieden als bestuursorganen besluiten nemen. De Awb bevat vereisten\ + \ en algemene beginselen waaraan besluitvorming moet voldoen. \n\nBij het toepassen\ + \ van geautomatiseerde besluitvorming, moet aan de hand van een DPIA wordt vastgesteld\ + \ of er bij toepassing van de Awb daadwerkelijk voldoende bescherming wordt geboden.\ + \ Een verwerkersverantwoordelijke zal dus, naast het toepassen van vereisten uit\ + \ de AVG en specifieke (sectorale) wetgeving, beginselen uit de Awb moeten vertalen\ + \ naar concrete maatregelen om geautomatiseerde besluitvorming op een rechtmatige\ + \ wijze toe te passen. Hierbij kan worden gedacht aan het toepassen van [motiveringsbeginsel](awb-02-motiveringsbeginsel.md)\ + \ of het [zorgvuldigheidsbeginsel](awb-01-zorgvuldigheidsbeginsel.md).\n\n### Begrippen\n\ + \n#### Profilering\n\nProfilering is bijzonder gevoelig. Bij profilering gaat het\ + \ om elke vorm van een geautomatiseerde verwerking van persoonsgegevens, waarbij\ + \ aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke\ + \ persoon worden ge\xEBvalueerd. Daarbij gaat het voornamelijk om het analyseren\ + \ of verspellen van zaken als beroepsprestaties, economische situatie, gezondheid,\ + \ persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of een verplaatsingen.\ + \ \n\nVolgens deze definitie gaat het om een verwerking door een computersysteem\ + \ waarbij het systeem algemene aanname(s) toegepast in een concreet geval. Dit doet\ + \ het door een individu, met gebruikmaking van diens persoonsgegevens, in te delen\ + \ in een categorie(profiel). Een dergelijk categorie(profiel) wordt vaak in verband\ + \ gebracht met bepaalde risico's, bijvoorbeeld het risico op het misbruiken van\ + \ bepaalde publieke voorzieningen. \n\nDe gevoeligheid is dat nog niet is vastgesteld\ + \ dat, in dit voorbeeld, de betreffende natuurlijke persoon ook daadwerkelijk misbruik\ + \ heeft gemaakt van bepaalde voorzieningen. Als daar wel automatisch gevolgen aan\ + \ worden verbonden, ontstaat het risico op een onrechtmatige behandeling van een\ + \ natuurlijk persoon. \n\n#### Besluit\n\nIn deze context moet het begrip 'besluit'\ + \ worden gehanteerd zoals dit is bedoeld in artikel 22 AVG. Het begrip 'besluit'\ + \ krijgt in de AVG een ruimere betekenis dan het geval is in artikel 1:3 Algemene\ + \ wet bestuursrecht (Awb). In de Algemene wet bestuursrecht moet er sprake zijn\ + \ van een 'rechtsgevolg', maar onder het besluitbegrip van de AVG kunnen ook situaties\ + \ vallen waarin een individu \u2018slechts\u2019 feitelijke gevolgen ervaart als\ + \ een besluit wordt genomen. Daarmee biedt de AVG dus bescherming voor meerdere\ + \ situaties. \n\n#### Rechtsgevolgen\n\nHet begrip 'rechtsgevolg' duidt op wijziging\ + \ in de rechtspositie van betrokkene. Het betekent, juridisch uitgedrukt, een verandering\ + \ in het geheel van de rechten, aanspraken, bevoegdheden en verplichtingen van \xE9\ + \xE9n of meer natuurlijke personen of rechtspersonen. In deze context wijzigt de\ + \ rechtspositie van een individu door een keuze van het systeem, bijvoorbeeld doordat\ + \ deze een boete ontvangt. Rechtsgevolgen kwalificeren altijd als relevant. \n\n\ + #### Aanmerkelijke mate treffen\n\nDe Europese wetgever heeft weinig richting gegeven\ + \ aan hoe dit begrip moet worden ge\xEFnterpreteerd. Er zijn wel aanknopingspunten\ + \ om te duiden wanneer hier sprake van is. De EDPB spreekt van ernstige, aanzienlijke\ + \ effecten, groot of belangrijk genoeg zijn om aandacht te verdienen. Dat is in\ + \ ieder geval zo als het besluit het potentieel heeft om de omstandigheden, het\ + \ gedrag of de keuze van de betrokken personen in aanmerkelijke mate te treffen;\ + \ een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste\ + \ geval, tot uitsluiting of discriminatie te leiden. \n\nDit vraagt per geval om\ + \ een analyse welke 'keuzes' van het systeem welke gevolgen hebben voor een individu\ + \ en of die gevolgen rechtsgevolgen zijn of alleen een feitelijk gevolg. Zie voor\ + \ een nadere toelichting hiervoor het advies van de Autoriteit Persoonsgegevens\ + \ inzake geautomatiseerde selectietechnieken.\n\n#### Toepassing\n\nVolledig geautomatiseerde\ + \ vaststelling van een publiekrechtelijk besluit zoals een aanslag, een boete of\ + \ een vergunning heeft rechtsgevolgen. Een beslissing dat een bepaalde aanvraag\ + \ in aanmerking komt voor handmatige controle heeft op zichzelf geen rechtsgevolg\ + \ - de rechtspositie van de betrokkene wijzigt (nog) niet. Wel moet beoordeeld worden\ + \ of de betrokkene door dat besluit anderszins (dus feitelijk) in aanmerkelijke\ + \ mate wordt getroffen. \n" urn: urn:nl:ak:ver:avg-10 language: nl owners: diff --git a/requirements/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.yaml b/requirements/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.yaml index c5e0e7f..c7b4bb6 100644 --- a/requirements/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.yaml +++ b/requirements/avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens.yaml @@ -1,18 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Ontwerp en standaardinstellingen (defaults) zijn zo gunstig mogelijk voor de - privacy van betrokkenen -description: Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen + privacy van betrokkenen. +description: 'Privacy en gegevensbescherming door goed ontwerp en door standaardinstellingen. + + ' explanation: "Gegevensbescherming door ontwerp en standaardinstellingen houdt in dat\ \ privacy- en gegevensbescherming vanaf het begin worden ge\xEFntegreerd in de ontwikkeling\ - \ van systemen en processen (ook wel privacy-by-design genoemd).\nDoor al bij het\ - \ ontwerp rekening te houden met privacyaspecten en door standaardinstellingen die\ - \ privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt.\nHierbij\ + \ van systemen en processen (ook wel privacy-by-design genoemd).\n\nDoor al bij\ + \ het ontwerp rekening te houden met privacyaspecten en door standaardinstellingen\ + \ die privacy bevorderen, wordt de bescherming van persoonsgegevens versterkt. Hierbij\ \ kan worden gedacht een het pseudonimiseren van persoonsgegevens of dataminimalisatie.\n\ \nDeze aanpak zorgt ervoor dat privacy-overwegingen een integraal onderdeel zijn\ \ van alle aspecten van gegevensverwerking en draagt bij aan het vertrouwen van\ \ individuen in de veilige omgang met hun gegevens.\nDit is eveneens van toepassing\ - \ als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes.\n" + \ als persoonsgegevens worden verwerkt bij het ontwikkelen en gebruiken van algoritmes.\n\ + \nDoor privacy en gegevensbescherming door ontwerp en standaardinstellingen niet\ + \ toe te passen, kan een inbreuk op rechten van betrokkenen ontstaan.\n" urn: urn:nl:ak:ver:avg-11 language: nl owners: diff --git a/requirements/avg-12-beveiliging-van-verwerking.yaml b/requirements/avg-12-beveiliging-van-verwerking.yaml index 80ada0d..5d293d3 100644 --- a/requirements/avg-12-beveiliging-van-verwerking.yaml +++ b/requirements/avg-12-beveiliging-van-verwerking.yaml @@ -1,6 +1,6 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen +name: Data zoals persoonsgegevens zijn voldoende beveiligd tegen ongelukken en cyberaanvallen. description: 'Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico''s voor de rechten en vrijheden @@ -9,7 +9,19 @@ description: 'Rekening houdend met de stand van de techniek, de uitvoeringskoste te waarborgen. ' -explanation: '' +explanation: 'Voor de ontwikkeling en gebruik van algoritmes is data nodig. + + Deze data kan persoonsgegevens bevatten die moeten worden beschermd. + + De organisatie zal technische en organisatorische maatregelen moeten treffen om + de data en het algoritme voldoende te beschermen. + + Hierbij kan worden gedacht aan dataminimalisatie, het pseudonimiseren of aggregeren + van persoonsgegevens. + + Per toepassing moet worden onderzocht welke maatregelen hiervoor geschikt zijn. + + ' urn: urn:nl:ak:ver:avg-12 language: nl owners: diff --git a/requirements/avg-13-dpia-verplicht.yaml b/requirements/avg-13-dpia-verplicht.yaml index 4d33090..f877a9d 100644 --- a/requirements/avg-13-dpia-verplicht.yaml +++ b/requirements/avg-13-dpia-verplicht.yaml @@ -1,12 +1,38 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Een Data Protection Impact Assessment (DPIA) wordt uitgevoerd wanneer de verwerking - van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten - en vrijheden van natuurlijke personen -description: Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien - een verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor - de rechten en vrijheden van natuurlijke personen. -explanation: '' +name: Een gegevensbeschermingseffectbeoordeling (DPIA) is verplicht, indien een verwerking + van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden + van natuurlijke personen. +description: 'Een [gegevensbeschermingseffectbeoordeling (DPIA)](../hulpmiddelen/DPIA.md) + is verplicht, indien een verwerking van persoonsgegevens waarschijnlijk een hoog + risico inhoudt voor de rechten en vrijheden van natuurlijke personen. + + ' +explanation: "Een Gegevensbeschermingseffectbeoordeling (GEB) of [Data Protection\ + \ Impact Assessment (DPIA)](../hulpmiddelen/DPIA.md) is verplicht wanneer de verwerking\ + \ van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de\ + \ rechten en vrijheden van natuurlijke personen. \n\nDeze beoordeling identificeert\ + \ en beperkt potenti\xEBle risico's en zorgt ervoor dat passende maatregelen worden\ + \ genomen om de privacy van individuen te beschermen. \n\nDeze verplichting draagt\ + \ bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in algoritmes,\ + \ waardoor de privacy van individuen wordt gewaarborgd.\n\nLet op: de DPIA verplichting\ + \ is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens [Besluit lijst\ + \ verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling\ + \ (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://wetten.overheid.nl/BWBR0042812/2019-11-27)\ + \ moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog\ + \ risico als er sprake is van \xE9\xE9n van de volgende voorwaarden:\n\n 1. Evaluatie\ + \ of scoretoekenning\n 2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar\ + \ wezenlijk gevolg\n 3. Stelselmatige monitoring\n 4. Gevoelige gegevens of gegevens\ + \ van zeer persoonlijke aard\n 5. Op grote schaal verwerkte gegevens\n 6. Matching\ + \ of samenvoeging van datasets\n 7. Gegevens met betrekking tot kwetsbare betrokkenen\n\ + \ 8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische\ + \ oplossingen\n 9. de situatie waarin als gevolg van de verwerking zelf \"betrokkenen\ + \ [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst\ + \ of een overeenkomst\";\n\nHet is mogelijk dat algoritmes die niet aan \xE9\xE9\ + n of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen.\ + \ \n\nGebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die\ + \ informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen\ + \ om een gegevensbeschermingseffectbeoordeling uit te voeren. \n" urn: urn:nl:ak:ver:avg-13 language: nl owners: diff --git a/requirements/awb-01-zorgvuldigheidsbeginsel.yaml b/requirements/awb-01-zorgvuldigheidsbeginsel.yaml index b52d03d..2829caf 100644 --- a/requirements/awb-01-zorgvuldigheidsbeginsel.yaml +++ b/requirements/awb-01-zorgvuldigheidsbeginsel.yaml @@ -1,9 +1,22 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. -description: Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten +description: 'Organisaties die algoritmes gebruiken voor publieke taken nemen besluiten zorgvuldig. -explanation: '' + + ' +explanation: "Het zorgvuldigheidsvereiste eist dat een besluit met de nodige zorgvuldigheid\ + \ wordt voorbereid en juist wordt genomen.\nDit vraagt onder meer om een zorgvuldig\ + \ onderzoek naar informatie, feiten, een zorgvuldige beslissingsprocedure en een\ + \ deugdelijke besluitvorming. \n\nDit betekent dat bij de ontwikkeling en gebruik\ + \ van algoritmes informatie moet worden vastgelegd over het algoritme. Hierbij\ + \ kan worden gedacht aan:\n- Dat het [doel en eventuele subdoelen](1-pba-01-formuleren-probleemdefinitie.md)\ + \ van het algoritme of AI-systeem helder zijn gedefinieerd, ook in relatie tot het\ + \ maatschappelijke resultaat (outcome).\n- Een bewuste afweging afmaken en vaststellen\ + \ of het algoritme het [juiste middel is om het probleem](1-pba-01-formuleren-probleemdefinitie)\ + \ op doelmatige en doeltreffende wijze op te lossen.\n- Dat de werking van het algoritme\ + \ is onderzocht en is vastgesteld dat dit [passend is](5-ver-03-functioneren-in-lijn-met-doeleinden.md)\ + \ om te gebruiken in een besluitvormingsproces.\n" urn: urn:nl:ak:ver:awb-01 language: nl owners: diff --git a/requirements/awb-02-motiveringsbeginsel.yaml b/requirements/awb-02-motiveringsbeginsel.yaml index bad649e..8d53237 100644 --- a/requirements/awb-02-motiveringsbeginsel.yaml +++ b/requirements/awb-02-motiveringsbeginsel.yaml @@ -23,7 +23,8 @@ explanation: "De Awb eist dat een besluit een deugdelijke en kenbare motivering \ zijn gekomen en hoe deze regels worden gevalideerd.\n \nEen besluit moet informatie\ \ hierover bevatten om als om als voldoende draagkrachtig gemotiveerd te gelden.\n\ Het motiveringsbeginsel op grond van de Awb is beperkt tot besluiten in de zin van\ - \ de Awb. " + \ de Awb. \n\nHet is onduidelijk op wat voor manier het algoritmes heeft bijgedragen\ + \ aan de totstandkoming van een besluit. \n" urn: urn:nl:ak:ver:awb-02 language: nl owners: diff --git a/requirements/bio-01-beveiliging-informatie-en-informatiesystemen.yaml b/requirements/bio-01-beveiliging-informatie-en-informatiesystemen.yaml index 1dbb9d0..5689840 100644 --- a/requirements/bio-01-beveiliging-informatie-en-informatiesystemen.yaml +++ b/requirements/bio-01-beveiliging-informatie-en-informatiesystemen.yaml @@ -1,8 +1,29 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Computersystemen zijn voldoende beveiligd tegen ongelukken en cyberaanvallen -description: Informatie en informatiesystemen moeten op de juiste manier worden beveiligd. -explanation: '' +description: 'Informatie en informatiesystemen moeten op de juiste manier worden beveiligd. + + ' +explanation: 'Informatiebeveiliging is het proces van vaststellen van de vereiste + beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid + en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend + pakket van bijbehorende maatregelen. + + + In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging + Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. + + De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en + bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen + vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, + passend beveiligd zijn. + + + Algoritmes en hun output kunnen onderdeel worden van de informatie en informatiesystemen + waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen + en AI-systemen op de juiste manier te beveiligen. + + ' urn: urn:nl:ak:ver:bio-01 language: nl owners: diff --git a/requirements/bzk-01-algoritmeregister.yaml b/requirements/bzk-01-algoritmeregister.yaml index f93517d..33596bf 100644 --- a/requirements/bzk-01-algoritmeregister.yaml +++ b/requirements/bzk-01-algoritmeregister.yaml @@ -1,9 +1,21 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Impactvolle algoritmes en hoog-risico-AI-systemen staan in het Nederlandse Algoritmeregister -description: Bestuursorganen publiceren algoritmes met impact en hoog-risico-AI-systemen +description: 'Bestuursorganen publiceren algoritmes met impact en hoog-risico-AI-systemen in het [Nederlandse Algoritmeregister](../hulpmiddelen/algoritmeregister.md). -explanation: '' + + ' +explanation: 'Het publiceren van algoritmes draagt bij aan transparantie voor belanghebbenden + en derden over welke algoritmes worden gebruikt door de overheid. + + Het is vastgesteld beleid dat overheidsinstellingen, tenzij er uitsluitingsgronden + zijn, de door hen gebruikte impactvolle algoritmes en hoogrisico AI-systemen publiceren + in het algoritmeregister. + + + Er wordt gewerkt aan wetgeving om dit bij wet verplicht te stellen. + + ' urn: urn:nl:ak:ver:bzk-01 language: nl owners: diff --git a/requirements/dat-01-databankenwet.yaml b/requirements/dat-01-databankenwet.yaml index 456eae8..ad95a3b 100644 --- a/requirements/dat-01-databankenwet.yaml +++ b/requirements/dat-01-databankenwet.yaml @@ -1,18 +1,26 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Databanken worden alleen gebruikt met toestemming van de databank-producent -description: Het is verboden om zonder goedkeuring van de producent een databank op - te vragen en/of te hergebruiken. +name: Databanken worden alleen gebruikt met toestemming van de databank-producent. +description: 'Het is verboden om zonder goedkeuring van de producent een databank + op te vragen en/of te hergebruiken. + + ' explanation: "De Databankrichtlijn en Databankenwet beschermt de producten/fabrikanten\ \ van databanken tegen onrechtmatige toe-eigening van een databank.\nDegene die\ \ een substanti\xEBle financi\xEBle en professionele investering heeft verricht\ \ om de inhoud van de databank te verkijgen en te verzamelen, krijgt een verbodsrecht\ - \ en kan zo anderen verbieden de databank te gebruiken.\nBij verkrijgen gaat het\ + \ en kan zo anderen verbieden de databank te gebruiken.\n\nBij verkrijgen gaat het\ \ om \"het verzamelen van de werken, gegevens of andere zelfstandige elementen die\ \ tezamen de inhoud van de databank vormen\".\nDit recht bestaat naast het recht\ \ op bescherming van de originele keuze of rangschikking van de inhoud van databanken\ - \ (auteurswet).\n \n\nVoor het ontwikkelen van algoritme is data nodig.\nDe data\ - \ die hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.\n" + \ (auteurswet).\n \nVoor het ontwikkelen van algoritme is data nodig. De data die\ + \ hiervoor wordt gebruikt mag niet ongeoorloofd zijn verkregen uit een databank.\n\ + \nAls een ontwikkelaar onbevoegd gebruik heeft gemaakt van data uit een databank\ + \ bij de ontwikkeling van algoritmes, wordt het databankenrecht geschonden van de\ + \ eigenaar.\nDe eigenaar van de databank kan bijvoorbeeld ontrekking van de data\ + \ uit het handelsverkeer, vernietiging en onbruikbaarmaking eisen, wat vergaande\ + \ gevolgen kan hebben voor het gebruik kunnen maken van de algoritmische toepassing\ + \ of AI-systeem.\n " urn: urn:nl:ak:ver:dat-01 language: nl owners: diff --git a/requirements/grw-01-fundamentele-rechten.yaml b/requirements/grw-01-fundamentele-rechten.yaml index ca89ee1..201f4e2 100644 --- a/requirements/grw-01-fundamentele-rechten.yaml +++ b/requirements/grw-01-fundamentele-rechten.yaml @@ -1,20 +1,24 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Algoritmes schenden geen grondrechten of mensenrechten -description: Fundamentele vrijheden, mensenrechten en grondrechten worden beschermd +name: Algoritmes schenden geen grondrechten of mensenrechten. +description: 'Fundamentele vrijheden, mensenrechten en grondrechten worden beschermd bij de inzet van algoritmes. -explanation: "Mensenrechten gelden voor alle mensen op de wereld.\nDe mensenrechten\ - \ in Nederland zijn beschermd door nationale wetten en internationale verdragen.\n\ - In Nederland staan veel mensenrechten in hoofdstuk 1 van de Grondwet.\nDeze rechten\ - \ heten ook wel \u2019grondrechten\u2019.\nEen bekend voorbeeld is artikel 1 van\ - \ de Grondwet.\nOm mensenrechten te beschermen zijn ze op Europees en internationaal\ - \ niveau in verschillende verklaringen en verdragen vastgelegd.\n\n\nMensenrechten\ - \ kunnen soms onder druk komen te staan.\nDe inzet van algoritmes kan bijvoorbeeld\ - \ een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke\ - \ behandeling en voor het recht op behoorlijk bestuur.\nHet is daarom belangrijk\ - \ om tijdig te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk\ - \ op fundamentele rechten en vrijheden van burgers. Het is van belang dat maatregelen\ - \ worden getroffen om een eventuele inbreuk te voorkomen." + + ' +explanation: "De mensenrechten in Nederland zijn beschermd door nationale wetten en\ + \ internationale verdragen.\nIn Nederland staan veel mensenrechten in hoofdstuk\ + \ 1 van de Grondwet.\nDeze rechten worden ook wel \u2019grondrechten\u2019 genoemd.\n\ + Een bekend voorbeeld is artikel 1 van de Grondwet.\nOm mensenrechten te beschermen\ + \ zijn ze op Europees en internationaal niveau in verschillende verklaringen en\ + \ verdragen vastgelegd.\n\nMensenrechten kunnen bij overheidshandelen en de inzet\ + \ van algoritmes soms onder druk komen te staan.\nDe inzet van algoritmes kan bijvoorbeeld\ + \ een bedreiging vormen voor de privacy van burgers, voor het recht op gelijke behandeling\ + \ en voor het recht op behoorlijk bestuur.\nHet is daarom belangrijk om [tijdig\ + \ te onderzoeken of er sprake is of kan zijn van een eventuele inbreuk op fundamentele\ + \ rechten](../hulpmiddelen/IAMA.md) en vrijheden van burgers. Het is van belang\ + \ dat maatregelen worden getroffen om een eventuele inbreuk te voorkomen.\n\nGrondrechten\ + \ kunnen worden geraakt door de inzet van algoritmes met eventuele schadelijke gevolgen\ + \ voor betrokkenen. \n" urn: urn:nl:ak:ver:grw-01 language: nl owners: diff --git a/requirements/grw-02-non-discriminatie.yaml b/requirements/grw-02-non-discriminatie.yaml index aff8109..095a2e8 100644 --- a/requirements/grw-02-non-discriminatie.yaml +++ b/requirements/grw-02-non-discriminatie.yaml @@ -1,13 +1,30 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 -name: Algoritmes discrimineren niet +name: Algoritmes discrimineren niet. description: 'Allen die zich in Nederland bevinden, worden in gelijke gevallen gelijk behandeld. Directe en indirecte discriminatie wegens godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, handicap, seksuele gerichtheid of op welke grond dan - ook, is niet toegestaan.' -explanation: '' + ook, is niet toegestaan. + + ' +explanation: 'Overheidsinstanties moeten zich bij het uitvoeren van hun taken onthouden + van discriminatie, ook wanneer er gebruik wordt gemaakt van algoritmes. + + Wanneer er algoritmes worden gebruikt om selecties te maken van burgers, dienen + we te streven naar een gelijke behandeling van personen of groepen ten opzichte + van andere personen in een vergelijkbare situatie. + + + Hierbij is het belangrijk te beseffen dat discriminatie ook op indirecte wijze kan + ontstaan. + + Hiervan is sprake wanneer een ogenschijnlijk neutrale bepaling, maatstaf of handelwijze + personen met een beschermd persoonskenmerk in vergelijking met andere personen in + het bijzonder benadeelt, tenzij hiervoor een objectieve rechtvaardiging bestaat. + + ' urn: urn:nl:ak:ver:grw-02 language: nl owners: @@ -20,7 +37,8 @@ url: https://minbzk.github.io/Algoritmekader/voldoen-aan-wetten-en-regels/vereis subject: - bias-en-non-discriminatie lifecycle: -- dataverkenning-en-datapreparatie +- ontwerp +- ontwikkelen - verificatie-en-validatie - monitoring-en-beheer links: diff --git a/requirements/woo-01-recht-op-toegang-tot-publieke-informatie.yaml b/requirements/woo-01-recht-op-toegang-tot-publieke-informatie.yaml index 7424a2d..b01bfe5 100644 --- a/requirements/woo-01-recht-op-toegang-tot-publieke-informatie.yaml +++ b/requirements/woo-01-recht-op-toegang-tot-publieke-informatie.yaml @@ -1,12 +1,16 @@ systemcard_path: .systemcard.requirements[] schema_version: 1.1.0 name: Iedereen kan openbare informatie over algoritmes vinden of aanvragen -description: 'Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, - vervaardigt of anderszins onder zich heeft, zich in goede, geordende en toegankelijke - staat bevinden. +description: ' + + Een bestuursorgaan draagt er zorg voor dat de documenten die het ontvangt, vervaardigt + of anderszins onder zich heeft, zich in goede, geordende en toegankelijke staat + bevinden. Een bestuursorgaan draagt er zoveel mogelijk zorg voor dat de informatie die het - overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is.' + overeenkomstig deze wet verstrekt, actueel, nauwkeurig en vergelijkbaar is. + + ' explanation: 'Bij het ontwikkelen en gebruiken van algoritmes kunnen documenten en publieke informatie ontstaan die (op verzoek) in aanmerking komen voor openbaarmaking. @@ -33,7 +37,15 @@ explanation: 'Bij het ontwikkelen en gebruiken van algoritmes kunnen documenten Dit moet worden bekeken in het licht van wat ''actief'' moet worden geopenbaard, dus proactief vanuit overheidsinstanties zelf, of wat op ''verzoek'' van iemand - moet worden geopenbaard.' + moet worden geopenbaard. + + + + Zonder het openbaren van overheidsinformatie kan de overheid niet effectief worden + gecontroleerd bij het uitvoeren van wettelijke taken. + + + ' urn: urn:nl:ak:ver:woo-01 language: nl owners: diff --git a/script/conversion/convert_mkdocs_to_yaml_measure b/script/conversion/convert_mkdocs_to_yaml_measure index df2b506..81a4a28 100755 --- a/script/conversion/convert_mkdocs_to_yaml_measure +++ b/script/conversion/convert_mkdocs_to_yaml_measure @@ -12,6 +12,9 @@ def parse_markdown_to_yaml(input_file: str, destination: Path) -> None: with open(input_file, encoding="utf-8") as file: content = file.read() + # Remove comments enclosed in + content = re.sub(r"", "", content, flags=re.DOTALL) + # Extract front-matter (YAML-like header) front_matter = re.search(r"---\n(.*?)\n---", content, re.DOTALL) @@ -19,19 +22,21 @@ def parse_markdown_to_yaml(input_file: str, destination: Path) -> None: # Extract sections from Markdown content sections = { - "Maatregel": re.search(r"## Maatregel\n\n(.*?)\n\n##", content, re.DOTALL), - "Toelichting": re.search(r"## Toelichting\n\n(.*?)\n\n##", content, re.DOTALL), - "Bronnen": re.search(r"## Bronnen\n\n(.*?)\n\n##", content, re.DOTALL), - "Risico": re.search(r"## Risico\n\n(.*?)\n\n##", content, re.DOTALL), - "Maatregelen": re.search(r"## Maatregelen\n\n(.*?)\n\n", content, re.DOTALL), + "Maatregel": re.search(r"## Maatregel\n(.*?)(?=\n## |\n + content = re.sub(r"", "", content, flags=re.DOTALL) + # Extract front-matter (YAML-like header) front_matter = re.search(r"---\n(.*?)\n---", content, re.DOTALL) front_matter_data: dict[Any, Any] = yaml.safe_load(front_matter.group(1)) if front_matter else {} @@ -28,19 +31,20 @@ def parse_markdown_to_yaml(input_file: str, destination: Path) -> None: # Extract sections from Markdown content sections = { - "Vereiste": re.search(r"## Vereiste\n\n(.*?)\n\n##", content, re.DOTALL), - "Toelichting": re.search(r"## Toelichting\n\n(.*?)\n\n##", content, re.DOTALL), - "Bronnen": re.search(r"## Bronnen\n\n(.*?)\n\n##", content, re.DOTALL), - "Risico": re.search(r"## Risico\n\n(.*?)\n\n##", content, re.DOTALL), - "Maatregelen": re.search(r"## Maatregelen\n\n(.*?)\n\n", content, re.DOTALL), + "Vereiste": re.search(r"## Vereiste\n(.*?)(?=\n## |\n