Bij overheden en uitvoeringsorganisaties is AI-compliance niet optioneel. De AI Act stelt voor de publieke sector zwaardere eisen dan voor private partijen. De herinnering aan SyRI en de kinderopvangtoeslagaffaire leeft nog. Burgers, politici en toezichthouders kijken kritisch mee. Voor beleidsmakers, CIO's en algoritme-eigenaren bij de overheid is het cruciaal te begrijpen wat de wet precies vraagt.
De boodschap is niet ingewikkeld, maar wel omvangrijk. Publieke AI heeft impact op burgers, dus er gelden strengere normen. En Nederland loopt bovendien voor op Europa met een eigen Algoritmeregister en specifieke nationale richtlijnen.
Waarom publieke AI extra weegt
Bijlage III van de AI Act wijst meerdere publieke toepassingen aan als hoog-risico.
AI voor toegang tot en beschikbaarheid van essentiele publieke diensten en uitkeringen. Uitkeringsbeoordeling, bijstandsbeslissingen, zorgtoewijzingen. Elk algoritme dat meebeslist of een burger toegang krijgt tot voorzieningen valt hieronder.
AI in rechtshandhaving. Risicoprofilering door politie, voorspellingsmodellen voor criminaliteit, algoritmes voor opsporing. Dit is hoog-risico en raakt fundamentele rechten direct.
AI voor migratie en grenscontrole. Visumbeoordeling, asielbeslissingen, automatische triage in immigratieprocessen.
AI voor de rechtsgang en democratische processen. Algoritmes die rechters ondersteunen, systemen voor stemcampagnes, detectie van misinformatie.
Daarnaast valt AI voor biometrie en emotieherkenning in publieke ruimtes onder zeer strenge beperkingen, met deels volledig verbod.
Het SyRI-dilemma en de lessen die we leerden
SyRI (Systeem Risico Indicatie) werd in 2020 door de rechtbank verboden wegens onvoldoende waarborgen voor fundamentele rechten. Dit was een keerpunt in het Nederlandse denken over publieke AI. De belangrijkste lessen werken door in de AI Act-implementatie:
Gebrek aan transparantie werkt niet. Als burgers niet weten welke algoritmes op hen worden toegepast, kunnen ze zich niet verweren. De AI Act eist expliciet openbaarheid.
Risicoprofilering zonder waarborgen is onacceptabel. Wie gefocust wordt in een algoritme kan onterecht gestigmatiseerd raken. Bias-testen en periodieke evaluatie zijn geen luxe maar verplichting.
Geen buitensluiting van journalistieke en juridische controle. Overheids-AI moet onderzoekbaar zijn.
Het Algoritmeregister: Nederland loopt voor
Nederland heeft als een van de eerste landen in Europa een Algoritmeregister opgezet. Alle algoritmes die door de overheid worden gebruikt bij besluitvorming met impact op burgers moeten worden gepubliceerd op algoritmeregister.overheid.nl. Gemeenten, ministeries en uitvoeringsorganisaties publiceren daar welke algoritmes ze gebruiken, waarvoor, hoe ze werken en welke risico's zij zien.
De registratieplicht is geformaliseerd in de Wet open overheid (Woo) en wordt verder aangescherpt in het wetsvoorstel Wet aanpak discriminatoire algoritmes. Het register loopt vooruit op de AI Act maar sluit er inhoudelijk op aan.
Praktisch: registratie in het Algoritmeregister gaat verder dan de EU-databank die de AI Act eist. Het is een uitgebreidere beschrijving voor burgers. Als u al in het register staat, heeft u een groot deel van uw documentatie al op orde.
De FRIA: Fundamental Rights Impact Assessment
Artikel 27 van de AI Act verplicht overheden en aanbieders van bepaalde publieke diensten tot een FRIA. Dit is een impact-assessment specifiek gericht op fundamentele rechten.
Wat moet een FRIA bevatten?
Beschrijving van het AI-systeem en het beoogde gebruik.
Categorieen van personen die door het systeem worden geraakt. Dit is breed: niet alleen directe gebruikers, maar ook mensen over wie besluiten worden genomen en derden die indirect impact ervaren.
Analyse van mogelijke schade aan fundamentele rechten: gelijke behandeling, privacy, persoonlijke autonomie, vrijheid van meningsuiting, procesrechten.
Bestaande en geplande maatregelen om risico's te beperken: menselijk toezicht, beroepsmogelijkheden, rechten van betrokkenen.
De FRIA is geen eenmalige exercitie. Hij moet worden bijgewerkt wanneer het systeem materieel verandert. En het moet traceerbaar zijn: wie heeft welke beslissingen genomen over risico's en mitigerende maatregelen.
IAMA: de Nederlandse aanvulling
Nederland kent al het IAMA (Impact Assessment Mensenrechten en Algoritmes), een instrument ontwikkeld door de Universiteit Utrecht in opdracht van BZK. Het IAMA is uitgebreider dan de FRIA en behandelt ook governance-aspecten.
Als u al een IAMA heeft uitgevoerd, ligt 80 procent van uw FRIA-werk er al. Overheden kunnen het IAMA als basis gebruiken en aanvullen met de AI Act-specifieke elementen. Andersom geldt ook: wie de FRIA doet, heeft een goede aanzet voor een IAMA.
Het verbod op sociale scoring en biometrie
Artikel 5 van de AI Act verbiedt sociale scoring door publieke autoriteiten. Een overheid mag geen algoritme inzetten dat burgers scoort op basis van gedrag, persoonlijke kenmerken of sociaal gedrag, met negatieve gevolgen op onverwante gebieden.
Praktisch raakt dit:
Algemene risicoprofielen die gebruikt worden in meerdere domeinen zonder duidelijke rechtvaardiging.
Systemen die burgers rangschikken op sociale gedragsindicatoren voor toegang tot voorzieningen.
Combinatiesystemen waar data uit meerdere bronnen wordt samengebracht tot een algemene score.
Het verbod op live biometrische identificatie in openbare ruimtes door politie en andere autoriteiten is vergaand. Er zijn uitzonderingen (zoeken naar slachtoffers van ernstige misdrijven, voorkomen van terreur), maar die vereisen voorafgaande rechterlijke toetsing.
Toezicht en handhaving in Nederland
De Autoriteit Persoonsgegevens (AP) heeft een belangrijke rol. De Algemene Rekenkamer kijkt naar doelmatigheid. De Nationale ombudsman behandelt klachten van burgers. De Rijksinspectie Digitale Infrastructuur houdt toezicht op algoritmische besluitvorming door de overheid.
Bijzonder is de rol van gemeenteraden en waterschappen. Zij zijn verantwoordelijk voor toezicht op het eigen AI-gebruik. Dat vraagt een nieuw soort bestuurlijke kennis. De VNG werkt aan handvatten, maar het is aan individuele besturen om te begrijpen wat hun AI doet.
Wat overheidsorganisaties nu moeten doen
Inventariseer al uw AI-systemen. Dit is breder dan u denkt. Niet alleen de dedicated algoritmes, maar ook AI ingebouwd in standaardsoftware (Microsoft Copilot in documentbeheer, Outlook's slimme suggesties, kaartsystemen met voorspelling).
Check uw Algoritmeregister-registraties. Zijn alle burger-impacterende AI-systemen geregistreerd? Zijn de beschrijvingen up to date?
Voer FRIA/IAMA uit voor elk hoog-risico systeem. Betrek juristen, privacy officers en domeinexperts. Laat geraakte burgergroepen meekijken waar mogelijk (participatie versterkt legitimiteit en kwaliteit).
Richt menselijk toezicht structureel in. Geen automatische beslissingen met impact op burgers zonder dat een mens kan ingrijpen. Dit is ook AVG-compliant (Art. 22).
Maak een publieks-uitleg per AI-systeem. In begrijpelijk Nederlands, toegankelijk via uw website, met contactmogelijkheid voor vragen.
Borg de governance op bestuurlijk niveau. Algoritmes raken politieke keuzes. Een ambtelijke afdeling kan de uitvoering doen, maar het bestuur moet politiek verantwoording afleggen.
De bijzondere positie van uitvoeringsorganisaties
UWV, Belastingdienst, Duo, IND, SVB. Grote uitvoeringsorganisaties hebben AI-systemen met enorme impact op burgers. De kinderopvangtoeslagaffaire liet zien hoe verwoestend het effect kan zijn als AI-gedreven risicoselectie misgaat.
De AI Act gaat hier zwaarder wegen dan bij andere publieke organisaties. Maatregelen zoals onafhankelijke audits, uitgebreide monitoring en periodieke externe evaluatie worden waarschijnlijk de norm.
Gemeenten en provincies staan voor soortgelijke uitdagingen op kleinere schaal. Algoritmes voor handhaving, sociale dienst, WOZ-taxaties: allemaal raken ze burgers. De professionaliseringsslag is voor middelgrote gemeenten een forse opgave.
Wat u vandaag kunt doen
Begin met een inventarisatie die breder is dan alleen de 'hoofd-algoritmes'. AI zit ook in ondersteunende software. De gratis AI Risicoscanner van AIComplianceHub helpt u in vijf minuten een eerste beeld te krijgen.
In het platform bouwt u uw AI-register op, dat direct bruikbaar is voor zowel de EU-databank als het Nederlandse Algoritmeregister. Documentgeneratie dekt zowel FRIA-elementen als IAMA-elementen. AI-geletterdheidstraining voor ambtenaren en beleidsmakers is opgenomen.
Publieke AI vraagt meer dan privaat AI. Meer transparantie, meer toezicht, meer verantwoording. De AI Act codificeert wat in Nederland al als norm geldt. Wie het goed aanpakt, bouwt niet alleen compliance maar ook publiek vertrouwen. Dat laatste is op lange termijn belangrijker dan de eerste.