De Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) gaan het toezicht op algoritmen en AI-systemen in Nederland coördineren. De stap moet dubbel toezicht voorkomen en duidelijkheid geven aan organisaties. Het gaat om bedrijven én overheden die kunstmatige intelligentie inzetten. De samenwerking sluit aan op de invoering van de Europese AI-verordening (AI Act), op het moment van schrijven gefaseerd in 2025 en 2026.
AP en RDI verdelen taken
De AP richt zich op grondrechten, zoals privacy, discriminatie en transparantie. De RDI pakt het technische en producttoezicht op, zoals veiligheid, conformiteit en markttoezicht. Samen moeten zij voorkomen dat organisaties verschillende eisen krijgen voor hetzelfde systeem.
De toezichthouders stemmen signalen en onderzoeken beter op elkaar af. Dossiers gaan naar de instantie die er het best bij past. Bij complexe zaken trekken ze gezamenlijk op, zodat normen gelijk worden uitgelegd.
Voor organisaties betekent dit één heldere route bij vragen of meldingen. Zij hoeven minder vaak dezelfde informatie te leveren. Dat verlaagt de regeldruk en versnelt de afhandeling.
Voorbereiding op Europese AI-verordening
De AI-verordening deelt AI-toepassingen in per risico. Bepaalde praktijken worden verboden, zoals manipulatieve systemen die mensen schaden. Hoge-risico systemen krijgen strenge eisen, met toezicht door nationale autoriteiten.
De AP blijft de AVG handhaven, bijvoorbeeld bij onrechtmatige gegevensverwerking. De RDI wordt een belangrijke markttoezichthouder voor technische eisen onder de AI-wet. In Brussel coördineert het AI Office de Europese aanpak en uitwisseling tussen landen.
De invoering verloopt in stappen, op het moment van schrijven gespreid over 2025 en 2026. Lidstaten wijzen toezichthouders aan en vullen werkafspraken in. De Nederlandse taakverdeling tussen AP en RDI past in dat Europese kader.
De AI-verordening kent vier risiconiveaus: verboden, hoog, beperkt en minimaal. Hoe hoger het risico, hoe strenger de regels en het toezicht.
Wat organisaties straks moeten doen
Bedrijven en overheden moeten hun algoritmen inventariseren en classificeren. Voor hoge-risico systemen horen daar een risicoanalyse, menselijk toezicht en goede datakwaliteit bij. Ook zijn logging, duidelijke documentatie en robuuste beveiliging nodig.
Leveranciers van zulke systemen moeten een conformiteitsbeoordeling doen en een technische map bijhouden. Gebruikers in de EU moeten de handleiding volgen en incidenten melden. Transparantie naar eindgebruikers is verplicht, bijvoorbeeld wanneer iemand met een AI-systeem te maken krijgt.
Wie persoonsgegevens verwerkt, blijft aan de AVG gebonden. Denk aan dataminimalisatie, versleuteling en een data protection impact assessment (DPIA). Overheden kunnen daarnaast het Nederlandse Impact Assessment Mensenrechten en Algoritmes (IAMA) toepassen.
Gevolgen voor overheid en burgers
Publieke diensten die AI inzetten voor bijvoorbeeld uitkeringen, handhaving of toelating vallen vaak in de hoge-risicogroep. Zij moeten extra zorgvuldig zijn met trainingdata en uitlegbaarheid. De samenwerking tussen AP en RDI moet hier consistente normen brengen.
Burgers krijgen meer rechten op informatie en bezwaar bij geautomatiseerde besluiten. Organisaties moeten begrijpelijk uitleggen hoe een model werkt en welke gegevens worden gebruikt. Een duidelijk klachtenproces hoort daarbij, met een snelle route naar de juiste toezichthouder.
Niet-naleving kan tot hoge boetes leiden onder de AI-wet, naast sancties onder de AVG. Dat zet druk op besturen en directies om nu te investeren in governance. Meer transparantie kan het vertrouwen in digitale publieke diensten versterken.
Samenwerking met sectorale toezichthouders
Naast AP en RDI blijven sectorspecifieke autoriteiten belangrijk. Denk aan de Autoriteit Consument & Markt (ACM) voor consumentenbescherming. In de financiële sector spelen DNB en AFM een rol bij algoritmen voor krediet en handel.
De werkafspraken moeten duidelijk maken wie het aanspreekpunt is per risico en sector. Zo wordt voorkomen dat bedrijven of gemeenten tussen loketten belanden. Incidentmeldingen en audits worden dan beter gecoördineerd.
Voor organisaties loont het om nu al één compliance-keten in te richten. Koppel AVG, AI-wet en sectorspecifieke regels aan elkaar. Dat maakt audits sneller en verlaagt risico’s bij inspecties.