Algoritmes? Transparantie!

Het register van Nederlandse overheidsorganisaties

Het is van belang dat er openheid bestaat over de digitale systemen die door de overheid worden gebruikt. Algoritmen vallen hier ook onder. In dat kader is sinds december 2022 een online Algoritmeregister beschikbaar. In het register publiceren overheidsorganen informatie over de algoritmen die zij gebruiken. Zo wordt informatie verstrekt over het doel en de impact van het algoritme, over een eventueel uitgevoerde Data Protection Impact Assessment (‘DPIA’) of een Impact Assessment Mensenrechten en Algoritmen (‘IAMA’) en de databronnen die worden gebruikt.

Het invullen van het Algoritmeregister is momenteel slechts vrijwillig en lijkt daardoor nog niet echt te leven bij de doelgroep. Zo volgt uit een onderzoek van Tweakers dat in zes maanden tijd slechts acht nieuwe algoritmes zijn toegevoegd aan het register. Uit de Werkagenda Waardengedreven Digitaliseren volgt echter dat vanaf 2025 alle voor burgers relevante algoritmen moeten worden opgenomen in het Algoritmeregister. Van deze verplichting kan slechts worden afgeweken wanneer dit expliciet volgt uit een wet of uit gerechtvaardigde afwegingen.

In principe zullen overheidsorganisaties zelf verantwoordelijk zijn voor het inzage geven in algoritmes en daarmee het opstellen en het beheer van een algoritmeregister. De Autoriteit Persoonsgegevens (AP) houdt, als algoritmetoezichthouder, in algemene zin toezicht op het gebruik van algoritmen. Dit laatste geldt overigens niet alleen voor overheidsorganen, maar (uiteraard) ook voor bedrijven en andere organisaties.

Deze factoren leiden hopelijk tot een meer proactieve houding bij overheidsorganen.

Hoog risico-systemen

Algoritmen met een “hoog risico” moeten in de toekomst, zo volgt uit de Werkagenda Waardengedreven Digitaliseren, een CE-markering hebben en in elk geval worden opgenomen in het Algoritmeregister. Er wordt niet uitgesloten dat ook andere soorten algoritmen ook onder de Nederlandse register-plicht gaan vallen.

Voornoemde ‘actie’ – een concrete handeling op grond van de doelen zoals opgenomen in de Werkagenda – sluit aan bij de systematiek van de Artificial Intelligence Act (AI Act). De AI Act bevat immers een risicomethodologie, op grond waarvan op basis van het relevante risiconiveau specifieke verplichtingen gelden voor het gebruik van een algoritme. Die verplichtingen betreffen onder meer transparantie-eisen aan hoog risico AI-systemen en hun aanbieders, maar ook de verplichting voor gebruikers om hun AI-systeem te registreren in een EU-databank.

De registratieplicht voor Nederlandse overheden, kan afhankelijk van de uiteindelijke inkleding, mogelijk als aanvullende waarborg ten opzichte van de AI Act worden gezien. Daar waar de AI Act in beginsel weinig ruimte laat voor regels ten aanzien van aanbieders van AI-systemen, is het (op basis van de huidige tekst) wel mogelijk om extra regels op te leggen aan gebruikers. Zoals in dit geval overheidsorganen. Hoe de Nederlandse register-plicht uiteindelijk zal worden geformuleerd, is mede afhankelijk van de definitieve tekst van de AI Act. Die volgt naar verwachting eind 2023. Begin 2024 worden de (aanvullende) Nederlandse regels ten aanzien van het Algoritmeregister verwacht.

Overigens wordt aangenomen dat waar in de Werkagenda Waardengedreven Digitaliseren wordt gesproken over “hoog risico”, aansluiting wordt gezocht bij de definitie die de AI Act – althans de huidige versie – aan dat begrip toekent.

Implementatiekader 'Verantwoorde inzet van algoritmen’

Nu de inwerkingtreding van de AI Act nog enige tijd op zich zal laten wachten en overheidsorganen ondertussen wel in toenemende mate gebruik maken van systemen die onder de reikwijdte van de AI Act zullen vallen, is reeds een Implementatiekader 'Verantwoorde inzet van algoritmen’ (‘IKA’) ontwikkeld (1).

Het IKA biedt een overzicht van de belangrijkste normen en maatregelen waaraan voldaan moet worden, en normen en maatregelen die niet verplicht zijn maar als handreiking dienen voor het waarborgen van zogenoemde publieke waarden. Op basis van het overzicht zoals opgenomen in het IKA, kan worden getoetst in hoeverre een algoritme voldoet aan de standaarden, en of de ingebruikname niet leidt tot (grote) risico’s. Het IKA kan, in afwachting van EU wetgeving, dus reeds gebruikt worden om risico’s voor de burger te inventariseren en zo veel mogelijk te beperken.

Anders dan de AI Act is het IKA een ‘dynamisch document’, wat inhoudt dat eventuele eisen op basis van relevante ontwikkelingen naar gelang kunnen worden toegevoegd.

Hoe nu verder?

Zowel het Algoritmeregister als het IKA zijn al online beschikbaar. Op dit moment gelden er echter nog geen concrete Nederlandse verplichtingen ten aanzien van voornoemde middelen. Dit omdat wordt gewacht op de finale tekst van de AI Act. Momenteel wordt door het Europees Parlement (2) onderhandeld met de Raad en de Commissie over de definitieve vorm van de AI Act.

Dit neemt echter niet weg dat overheidsorganen niet nu al stappen kunnen (en wellicht moeten) nemen ten aanzien van transparantie en risicobeperking bij het gebruik van algoritmen. Het Algoritmeregister kan reeds worden gebruikt en het IKA kan al worden gevolgd. Ook kan al worden gestart met het opstellen van kaders en procedures omtrent het gebruik van algoritmen, en bijvoorbeeld met het bekend maken van de interne organisatie met potentiële risico’s van het gebruik van algoritmen en AI, en met de AI Act in algemene zin.

Kortom, een oproep aan alle actieve algoritme-gebruikers binnen de overheid: ga aan de slag!

1. https://open.overheid.nl/documenten/9b7b55fd-1762-499b-b089-2b7132c12402/file

2. https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai