De Autoriteit Persoonsgegevens (AP) roept het kabinet deze week op om snel knopen door te hakken over kunstmatige intelligentie. De privacytoezichthouder wil duidelijke taken, voldoende geld en één aanspreekpunt voor toezicht. Dat is nodig om burgers te beschermen en de Europese AI-verordening (AI Act) op tijd uit te voeren. De oproep richt zich op gebruik van algoritmen in zowel de overheid als het bedrijfsleven.
AP wil versnelling kabinet
De AP vraagt het kabinet om snel te bepalen wie in Nederland het toezicht op AI krijgt en hoe dat wordt georganiseerd. Een toezichthouder is de instantie die controleert of regels worden nageleefd en kan ingrijpen bij overtredingen. Zonder duidelijke taakverdeling ontstaat versnippering en onzekerheid bij organisaties die AI inzetten. Dat vergroot de risico’s voor privacy en gelijke behandeling.
De toezichthouder wijst op de groei van algoritmen in publieke diensten en bedrijven. Denk aan systemen voor fraudeopsporing, werving en selectie of kredietbeoordeling. Deze toepassingen raken direct aan fundamentele rechten, zoals gelijke kansen en bescherming van persoonsgegevens. De AP benadrukt dat er voldoende capaciteit nodig is om klachten te behandelen en audits uit te voeren.
Ook pleit de AP voor één loket waar burgers en organisaties terechtkunnen met vragen of meldingen over AI-systemen. Nu zijn taken verdeeld over verschillende autoriteiten, zoals de AP, de Autoriteit Consument & Markt en sectorinspecties. Een centraal aanspreekpunt moet overlap voorkomen en snellere handhaving mogelijk maken. Zo wordt duidelijk wie waarvoor verantwoordelijk is.
“Liever gisteren dan vandaag,” aldus de privacytoezichthouder over de noodzaak om AI-toezicht en uitvoering snel te regelen.
AI‑verordening vraagt uitvoering
De Europese AI-verordening is op het moment van schrijven in werking en kent gefaseerde verplichtingen. Verboden AI-praktijken gelden al na enkele maanden, zoals uiteenlopende vormen van ongerichte gezichtsherkenning in de openbare ruimte. Voor generatieve AI en algemene AI-systemen (GPAI) volgen specifieke transparantie- en documentatieplichten. Hoog-risico systemen krijgen later uitgebreide eisen voor kwaliteit, data, toezicht en logging.
Lidstaten moeten een nationale bevoegde autoriteit aanwijzen en markttoezicht organiseren. Ook zijn conformiteitsbeoordelaars nodig die producten toetsen voordat ze de markt op gaan. Zonder deze nationale keuzes lopen bedrijven vast bij certificering en melden van incidenten. Nederland moet dit tijdig regelen om innovatie rechtmatig en veilig mogelijk te maken.
Voor organisaties betekent dit dat zij nu al hun AI-systemen moeten indelen naar risicoklasse. Hoog-risico toepassingen zijn onder meer systemen voor toegang tot onderwijs, zorg, werk en publieke diensten. Zij vallen onder strenge eisen voor datakwaliteit, uitlegbaarheid en menselijk toezicht. Voor beperkte risico’s volstaan lichtere verplichtingen, zoals heldere gebruikersinformatie.
Overheid gebruikt risicosystemen
In de publieke sector worden algoritmen ingezet voor controles, toekenning van rechten en handhaving. Dat raakt direct aan de rechtspositie van burgers. Na eerdere schandalen is extra zorgvuldigheid nodig bij datagebruik, profilering en automatische beslissingen. De AP benadrukt dat fouten hier grote persoonlijke gevolgen kunnen hebben.
De Algemene verordening gegevensbescherming (AVG) verplicht tot dataminimalisatie en doelbinding. Een gegevensbeschermingseffectbeoordeling (DPIA) is nodig bij hoog risico, bijvoorbeeld bij profilering. Ook moet duidelijk zijn wanneer een mens ingrijpt en hoe beslissingen worden uitgelegd. Deze waarborgen sluiten aan op de eisen uit de AI‑verordening.
Steeds meer overheden publiceren een algoritmeregister met informatie over gebruikte systemen. Dat vergroot transparantie richting burgers en politiek. De AP ziet zulke registers als nuttig, maar wijst erop dat ze handhaving niet vervangen. Zonder toetsing en sancties blijft het risico op discriminatie en onterechte uitsluiting bestaan.
Generatieve AI vraagt waarborgen
Generatieve AI maakt nieuwe tekst, beeld en audio op basis van grote hoeveelheden voorbeelddata. Dat roept vragen op over herkomst van data, privacy en foutgevoelige uitkomsten. Transparantie over trainingsdata en beperkingen van het model is daarom nodig. Ook moeten organisaties voorkomen dat gevoelige persoonsgegevens onnodig worden verwerkt.
De AI‑verordening introduceert plichten voor aanbieders van algemene AI-modellen, zoals documentatie en risicobeperking. Gebruikers moeten duidelijk maken wanneer content door AI is gegenereerd, zeker bij publieke communicatie. Herkomstlabels en watermerken kunnen misleiding verminderen, maar zijn geen garantie. Interne controles en heldere procedures blijven nodig.
Voor de overheid en publieke omroepen is betrouwbare informatievoorziening cruciaal. Tijdens verkiezingen en crises kan gemanipuleerde content extra schade veroorzaken. De AP dringt daarom aan op heldere richtlijnen, snelle meldpunten en goede samenwerking tussen toezichthouders. Zo kan onrechtmatig gebruik sneller worden gestopt.
Bedrijven moeten nu handelen
Organisaties doen er goed aan om hun AI‑gebruik in kaart te brengen en verantwoordelijkheden vast te leggen. Begin met een inventarisatie: welke systemen draaien, met welk doel en op welke data. Bepaal per systeem de risicoklasse en de benodigde maatregelen. Leg alles vast in beleid, processen en contracten met leveranciers.
Voor hoog-risico systemen zijn datakwaliteit, bias-tests en uitlegbaarheid essentieel. Zorg voor menselijk toezicht en een duidelijke bezwaarprocedure voor gebruikers. Voer DPIA’s uit en beperk het gebruik van persoonsgegevens tot wat nodig is. Versleuteling en toegangscontrole verkleinen de kans op datalekken.
Leveranciers van AI moeten documentatie en technische dossiers aanleveren, passend bij de AI‑verordening. Afnemers horen te eisen dat deze stukken beschikbaar zijn en actueel blijven. Incidenten en ernstige storingen moeten snel worden gemeld bij het juiste loket. Wie nu voorbereidt, voorkomt later stilstand en sancties.
