In een tijdperk waarin algoritmes een steeds grotere rol spelen in ons dagelijks leven, is transparantie over hoe deze werken en welke impact ze hebben van belang. Zo gebruikt ook de overheid steeds meer algoritmes, bijvoorbeeld om burgers snel te kunnen helpen bij een aanvraag van een vergunning of een uitkering, of de inzet van scanauto’s om te controleren of er parkeergeld is betaald voor een auto. Het brengt verschillende voordelen met zich mee en scheelt ambtenaren veel werk. Maar er kleven ook risico’s aan de inzet van algoritmes, denk aan willekeur en discriminatie.
De nieuwe AI Act zal het gebruik van algoritmes sterker reguleren. Systemen met onacceptabele risico’s waarbij de rechten van burgers in gevaar worden gebracht, worden verboden. AI-systemen die een hoog risico vormen voor grondrechten, veiligheid, milieu en gezondheid zijn enkel toegestaan mits aan strenge voorwaarden wordt voldaan. Algoritmes die sollicitanten en medische hulpmiddelen beoordelen zijn voorbeelden van ‘hoog risico-AI’.
Van belang is dat de overheid algoritmes verantwoord gebruikt en dat grondrechten van burgers en publieke waarden hierbij centraal staan. Naast regulering door de AI Act kan dit worden bevorderd door meer openheid en transparantie te bieden over algoritmes die door overheidsorganisaties worden gebruikt.
Als eerste stap naar transparantie en verantwoording over de algoritmes die worden gebruikt door de overheidsorganisaties, heeft de Nederlandse overheid het Algoritmeregister opgezet. Laten we eens dieper ingaan op wat dit register inhoudt, wat het belang hiervan is en hoe het binnen de overheid moet worden toegepast.
Het Nederlandse Algoritmeregister is een database waarin de overheid gebruikte algoritmes publiceert. Het register is bedoeld om een beter begrip te bieden van hoe algoritmes worden ingezet en welke consequenties ze kunnen hebben voor burgers. Door deze informatie centraal beschikbaar te maken, kunnen burgers, toezichthouders, belangenbehartigers en de media de overheid volgen, bevragen en controleren. De publicatie van algoritmes levert een bijdrage aan het opbouwen van vertrouwen tussen de overheid en het publiek. Burgers hebben het recht om te weten hoe beslissingen die hen beïnvloeden, worden genomen.
De overheid wordt volop gestimuleerd om algoritmes te publiceren in het Algoritmeregister. In de praktijk leidt dit tot verschillende vragen. Moeten alle algoritmes worden gepubliceerd? En welke informatie moet er worden geregistreerd? Hoe zorgen gemeenten ervoor dat informatie begrijpelijk blijft voor inwoners? En hoe verhoudt het Nederlandse Algoritmeregister zich tot de verplichtingen die zijn opgenomen in de AI Act?
Belangrijk uitgangspunt is dat overheden zelf verantwoordelijk zijn voor het bieden van inzage in algoritmes en het beheer van hun algoritmes in het Algoritmeregister.
In het Algoritmeregister worden in ieder geval opgenomen:
Algoritmes die niet onder bovenstaande categorieën vallen, kunnen worden gepubliceerd op basis van een aantal andere overwegingen. Enkele voorbeelden hiervan zijn:
Er zijn enkele uitzonderingsgronden, waarop de overheid zich kan baseren om een algoritme niet of gedeeltelijk te publiceren, bijvoorbeeld wanneer een algoritme wordt gebruikt in het kader van opsporing, (rechts)handhaving, defensie of inlichtingenverzameling. De overheid moet kunnen motiveren waarom een algoritme onder een uitzonderingsgrond valt. Idealiter wordt er wel aangegeven dat er gebruik wordt gemaakt van een algoritme en op welke wijze deze kan worden gecontroleerd.
Het Algoritmeregister bevat verschillende informatievelden, zoals de naam en omschrijving van een algoritme, de wettelijke basis en of er een mensenrechtentoets (IAMA) is uitgevoerd. Het is wenselijk om toegankelijke taal te gebruiken, zodat het register begrijpelijk blijft, ook voor burgers.
Voor sommige organisaties, denk bijvoorbeeld aan gemeenten, kan het van toegevoegde waarde zijn om naast de registratie in het Nederlandse Algoritmeregister, de algoritmes ook op een eigen organisatiewebsite te publiceren. Hierbij kan worden gefocust op de specifieke doelgroep, waarbij ook meer ruimte is voor uitleg. Van belang is dat er te allen tijde wordt verwezen naar het nationale Algoritmeregister dat uiteindelijk dient als totaaloverzicht.
Een handig startpunt bij de publicatie van algoritmes is het verwerkingsregister. Hierin staan verwerkingen waarbij persoonsgegevens worden verwerkt, waarbij mogelijk impactvolle algoritmes worden toegepast. De Functionaris Gegevensbescherming (FG), de Chief Information Security Officer (CISO) en afdelingen als Informatievoorziening (IV), control en inkoop hebben veelal relevante documentatie beschikbaar over (impactvolle) algoritmes en kunnen mogelijk ondersteunen bij de inventarisatie hiervan. De input in het Algoritmeregister kan verder worden gebruikt als inspiratie, bijvoorbeeld in het geval een soortgelijk algoritme reeds is gepubliceerd.
De AI Act bevat een verplichting om ‘hoog-risico AI’ die beschikbaar is op de markt in de Europese Unie, te registreren in een EU-databank. Het is afwachten hoe deze EU-databank eruit gaat zien en is afhankelijk van de Europese Commissie. Het Nederlandse Algoritmeregister zal aansluiting zoeken met de AI Act, zodat het voor overheden die hun algoritmes hebben geregistreerd in het Nederlandse Algoritmeregister, makkelijker is om te voldoen aan de verplichtingen uit de AI Act. Het kabinet is voornemens om uiteindelijk ook het Nederlands Algoritmeregister verplicht te stellen. Tot die tijd worden overheidsorganisaties aangemoedigd om algoritmes uit eigen beweging te blijven publiceren.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.