Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 mei 2023

Via deze brief ga ik, mede namens de Minister van Economische Zaken en Klimaat en de Minister voor Rechtsbescherming, in op verschillende vragen en toezeggingen die in het eerste deel van 2023 zijn gedaan in het kader van toezicht in het digitale domein, in het bijzonder op Artificiële Intelligentie (AI) en algoritmes.

Allereerst ga ik nader in op de uitkomsten van het gesprek dat ik op 27 maart jl. voerde met zeven toezichthouders die actief zijn op het digitale domein, waaronder alle leden van het Samenwerkingsplatform Digitale Toezichthouders (SDT) en met het Ministerie van Economische Zaken en Klimaat (EZK). Vervolgens besteed ik aandacht aan de vraag of er een bepaalde doorzettingsmacht is bij de Autoriteit Persoonsgegevens (AP) als het gaat om algoritmes en in brede zin op het gebied van digitalisering. Deze toezegging heb ik tijdens het Commissiedebat «Inzet algoritmes en data-ethiek binnen de rijksoverheid» van 15 februari jl. (Kamerstuk 26 643, nr. 982) aan uw Kamer gedaan. Tot slot beantwoord ik de vragen die op 28 maart jl. in het tweeminutendebat over de «Inzet algoritmes en data-ethiek binnen de rijksoverheid» (Handelingen II 2022/23, nr. 66, item 30) mondeling zijn gesteld door het lid Rahimi (VVD) over toezicht op onder meer algoritmes.

1. Uitkomsten gesprek toezichthouders binnen het digitale domein

Op 27 maart jl. voerde ik een gesprek met vertegenwoordigers (directeuren en/of bestuursvoorzitters) van zeven toezichthouders die actief zijn binnen het digitale domein en EZK. Aanwezig waren de vier leden van het SDT: de Autoriteit Consument en Markt (ACM), de Autoriteit Financiële Markten (AFM), de AP en het Commissariaat voor de Media (CvdM). Daarnaast waren het College voor de Rechten van de Mens (CRM), De Nederlandsche Bank (DNB) en de Rijksinspectie Digitale Infrastructuur (RDI) aanwezig. Deze toezichthouders krijgen in hun werk regelmatig te maken met toezicht op algoritmes en complexere algoritmische systemen die ook wel als AI bekendstaan. De belangrijkste uitkomsten van het gesprek zijn als volgt:

• • De noodzaak tot afstemmen en coördinatie op digitale onderwerpen, en dan voornamelijk AI en algoritmes, wordt breed gedeeld. Er is behoefte aan een structuur die geen gaten in het toezicht laat vallen, waarbij (overheids)organisaties en bedrijven zoveel mogelijk vooraf weten op welke wijze zij compliant kunnen zijn en waarbij de toezichthouders zich niet in het vaarwater van elkaars bevoegdheden bevinden.

• • Daarbij wijzen de toezichthouders ook op het belang van samenwerking op alle aspecten van digitalisering, en AI in het bijzonder, en op afstemming over normuitleg. Dit laatste betreft de wijze waarop (geldende) regels en normen worden uitgelegd aan ondertoezichtgestelden. Het uniform uitleggen van normen is van groot belang om burgers, bedrijven en overheden zekerheid te bieden over waar zij aan dienen te voldoen, bijvoorbeeld in het geval van (effectieve) transparantie. Dit naast de andere aspecten, zoals hoe AI op de markt komt vanuit de Europese productregelgeving, hoe veilig geëxperimenteerd kan worden om ruimte te geven aan innovatie en hoe de sectorale risico’s van AI te duiden zijn.

• • Samenwerkingsverbanden tussen toezichthouders, zoals het SDT en de Inspectieraad, zijn van belang om de wetgever en beleidsmakers te voorzien van input en te anticiperen op (aankomende) toezichtsvraagstukken en voor de coördinatie van de normuitleg.

• • Het SDT maakte in maart 2023 bekend dat het twee zogeheten Kamers zal oprichten waarin afstemming zal plaatsvinden over het toezicht op online platforms en de normuitleg van algoritmes en AI. Bij deze Kamers zullen ook niet-SDT-leden worden betrokken.

• • Het SDT ziet het als zijn verantwoordelijkheid om – ter voorkoming van extra overleggremia – een goede afstemming te bevorderen tussen deze ambtelijke samenwerkingsverbanden en het bestuurlijke overleg in het SDT.

• • Naast het SDT bestaan er nog verschillende andere samenwerkingsverbanden tussen toezichthouders. Bijvoorbeeld de «Werkgroep AI» onder de vlag van de Inspectieraad waarin meer dan twintig rijksinspecties, colleges en markttoezichthouders zitting hebben.

• • Enkele toezichthouders wijzen op de risico’s van te veel verschillende overleggremia voor toezichthouders.

• • De toezichthouders die actief zijn binnen de financiële sector (met name de AFM en DNB) en digitale infrastructuur (de RDI) wijzen erop dat zij al veel ervaring hebben met toezicht op AI en algoritmes.

• • De AP wijst erop dat het belangrijk is dat alle toezichthouders zich binnen hun mandaat in toenemende mate richten op algoritmes. De recent opgerichte Directie Coördinatie Algoritmes bij de AP neemt daarbij geen bevoegdheden over, maar richt zich op het versterken van de samenwerkingen met colleges, markttoezichthouders en rijksinspecties, het signaleren en analyseren van overkoepelende risico’s, het komen tot gezamenlijke normuitleg en bekijkt waar zich gaten bevinden in het toezicht op algoritmes.

• • Met het oog op het brede scala aan Europese (digitale) wetgeving dat in de maak is benoemen enkele toezichthouders het risico dat bedrijven zich elders vestigen wanneer Europese wetgeving in Nederland zou worden voorzien van aanvullende nationale regels. Hiermee zouden bedrijven vanuit andere EU-lidstaten Nederlandse consumenten bedienen, met als gevolg dat de consument minder goed beschermd wordt. Tevens kunnen nationale regels de integrale Europese benadering doorkruisen.

• • De rechtstreekse toepasselijkheid van Europese regelgeving op het digitale toezichtdomein in Nederland (zoals de AI-verordening, de Data-verordening, de Digital Markets Act en de Digital Services Act) vraagt om een samenspel tussen Europa, (Nederlandse) ministeries en toezichthouders. Zo kan de samenhang worden bewaakt en tijdig worden geanticipeerd op nieuwe wet- en regelgeving die toezichtcomponenten bevatten. Gewezen wordt in dit verband op de noodzaak van flexibele en op expertise gebaseerde samenwerking tussen toezichthouders.

• • Gezien het belang van goede samenwerking zal er voor de zomer (in het tweede kwartaal van 2023) door het kabinet wederom met een brede groep toezichthouders worden gesproken. Ditmaal zal er specifiek worden ingegaan op de Europese AI-verordening en de toezichtstaken- en vraagstukken die hier (mogelijk) uit voortvloeien. De AI-verordening bevindt zich momenteel nog in onderhandeling en zal naar verwachting op z’n vroegst eind 2025 in werking treden.

2. Doorzettingsmacht AP en rol Directie Coördinatie Algoritmes

Tijdens het Commissiedebat «Inzet algoritmes en data-ethiek binnen de rijksoverheid» van 15 februari jl. verzocht uw Kamer mij om schriftelijk in te gaan op de vraag of er een «doorzettingsmacht van de AP» bestaat inzake het toezicht op digitaliseringsgebied. Ik zal dit hieronder nader toelichten.

Met doorzettingsmacht wordt de bevoegdheid bedoeld om een doorslaggevende stem uit te brengen bij verschillende standpunten. Alle toezichthouders binnen het digitale domein die met algoritmes te maken krijgen zijn volledig bevoegd om te beslissen over de inzet van hun eigen bevoegdheden. Er is in die zin dus geen sprake van een doorzettingsmacht ten aanzien van algoritmes. Indien het toezicht op naleving van het gegevensbeschermingsrecht betreft is de AP bevoegd om boetes en andere sancties op te leggen en tot normuitleg te komen binnen het (Nederlandse) toezichtlandschap. Op dezelfde wijze zijn op de verschillende toezichtsterreinen in het Nederlandse toezicht- en controlelandschap de andere colleges, markttoezichthouders en rijksinspecties bevoegd. De DNB en AFM bepalen bijvoorbeeld – binnen hun wettelijke taken en bevoegdheden – hoe zij normen uit regelgeving omtrent financiële markten toepassen.

Als er sprake is van een toezichtsvraagstuk waarbij verschillende instanties bevoegd zijn, bijvoorbeeld wanneer het een algoritme of AI-systeem betreft dat persoonsgegevens verwerkt in de zorg, kunnen zowel de Inspectie Gezondheidszorg en Jeugd (IGJ) en de AP bevoegd zijn om handhavend op te treden. In een dergelijk geval is het aan de bevoegde toezichthouders zelf om te komen tot afspraken over het (concrete) handhavingsbeleid. Zowel samenwerkingsplatformen als het SDT – als de al bestaande samenwerkingsconvenanten – kunnen invulling geven aan dergelijke afstemming.

Rol Directie Coördinatie Algoritmes (DCA)

De (toezichts)taken van de Directie Coördinatie Algoritmes (DCA) bij de AP – waarmee invulling is gegeven aan de in het coalitieakkoord (Bijlage bij Kamerstuk 35 788, nr. 77) opgenomen algoritmetoezichthouder – bestaan uit verschillende taken om het bestaande toezichtlandschap op algoritmes te versterken.1 Het bestaande toezichtlandschap blijft daarbij intact.

Allereerst deelt de DCA domeinoverstijgende signalen met onder meer toezichthouders en departementen. Omdat AI en algoritmes in allerlei sectoren worden ingezet, en ook algoritmes die geen persoonsgegevens verwerken de belangen van burgers of organisaties kunnen schaden, is het belangrijk dat signalen over de risico’s en kansen van algoritmegebruik breed worden geanalyseerd en gedeeld.

Ten tweede optimaliseert de DCA samenwerkingen tussen toezichthouders en brengt het overkoepelend toezicht op AI en algoritmegebied in kaart. Gezamenlijk optrekken is juist omdat algoritmes in veel verschillende sectoren worden ingezet – van de zorg, financiële markten, infrastructuur tot het veiligheidsdomein – van groot belang.

Ten derde faciliteert en ondersteunt de DCA het uniform uitleggen van normen die betrekking hebben op algoritme-inzet. Dit is van meerwaarde omdat er binnen het AI- en algoritmedomein – en breder binnen het gehele digitaliseringsdomein – sprake is van een breed scala aan verschillende wetten en regels die invulling dienen te geven aan concrete normen en waarden. Voor ondertoezichtgestelden – bijvoorbeeld burgers, bedrijven of overheden – is het onder meer in het kader van rechtsbescherming en de voorspelbaarheid van het overheidshandelen belangrijk dat zij weten aan welke normen zij moeten voldoen. Voor de DCA ligt er een rol in het faciliteren van uniforme uitleg van (domeinoverstijgende) normen in samenwerking met andere toezichthouders.

3. Beantwoording vragen lid Rahimi (VVD)

Tijdens het tweeminutendebat van 28 maart jl. heeft lid Rahimi mondeling een aantal vragen gesteld over (toezicht op) algoritmes. Hieronder geef ik daarop antwoord.

3.1 Wat is het mandaat van de AP?

De AP is voor Nederland de toezichthoudende autoriteit als het gaat om persoonsgegevens. De taken en bevoegdheden van de toezichthoudende autoriteit staan vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Het takkenpakket van de AP bestaat voor een groot deel uit handhavingstaken, maar daarnaast betreffen de taken van de AP ook het geven van advies, het samenwerken met andere toezichthoudende autoriteiten en het behandelen van klachten. In de AVG en in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)2 zijn, met het oog op de bovengenoemde taken, bevoegdheden toegekend aan de AP. Zo heeft de AP de bevoegdheid tot het opleggen van een last onder dwangsom en een last onder bestuursdwang. Ook is zij bevoegd tot het opleggen van administratieve boetes. Uiteindelijk is de AP de toezichthouder op de naleving van de AVG, maar diens taak ontslaat individuele organisaties niet van een scherpe blik op de eigen processen. Elke organisatie die persoonsgegevens verwerkt is er namelijk in de eerste plaats zelf verantwoordelijk voor dat dit op een rechtmatige manier gebeurt, en moet daarbij voldoende interne toezichtmechanismen inrichten om daarop toe te zien.3

Daarnaast is de AP in 2023 van start gegaan met nieuwe, coördinerende taken die een impuls moeten geven aan het toezicht op algoritme-inzet, ook indien het andere gegevens dan persoonsgegevens betreft. Bij de AP is daarvoor in 2023 een nieuw organisatieonderdeel opgericht, de DCA, die werkt aan de in de inrichtingsnota algoritmetoezichthouder geformuleerde doelen.4 In paragraaf 2 (pagina’s 3 en 4) wordt verder ingegaan op de specifieke taken van de DCA.

3.2 Hoe verhouden de andere toezichthouders zich tot de AP?

Zoals ook benoemd in paragraaf 2, is de AP is de bevoegde toezichthouder als het gaat om het toezicht op persoonsgegevens in Nederland. De andere toezichthouders zijn, conform hun respectievelijke wettelijke taken, verantwoordelijk voor het toezicht binnen hun eigen domein waarvoor zij het mandaat hebben, ook wanneer algoritmes worden gebruikt.

De verschillende toezichthouders komen bij de toepassing van hun wettelijke bevoegdheden gelijksoortige vraagstukken op het gebied van algoritmes tegen. De DCA bij de AP streeft daarom naar uniforme normuitleg (en guidance)5, in samenspraak met de andere betrokken toezichthouders. Deze uniforme normuitleg en guidance doet niets af aan de onderscheidende mandaten die verschillende toezichthouders hebben, ook niet op algoritmegebied.

3.3 Heeft de AP genoeg kennis in huis om alles te toetsen?

De AP houdt niet toezicht op alles met betrekking tot AI en algoritmen. De AP houdt toezicht op naleving van het gegevensbeschermingsrecht. De AP heeft voldoende expertise om toezicht te houden op de bescherming van persoonsgegevens, ook indien die verwerkt worden door algoritmes. De DCA zet zich daarnaast in om de samenwerking tussen toezichthouders te versterken, domeinoverstijgende signalen op te vangen en kennis te delen over het toezicht op algoritmes. Het delen van kennis over het toezicht op AI – waarbij het dus ook gaat om algoritmes en AI-systemen die geen persoonsgegevens verwerken – is des te belangrijker omdat algoritmes in alle sectoren voorkomen en veel verschillende toezichthouders binnen hun mandaat te maken krijgen met dit soort technologie.

3.4 Welke wetgeving is er in Nederland nog nodig (op algoritmegebied)?

Als systeemtechnologie zijn de toekomstige ontwikkelingen van AI en de impact van AI op de samenleving vooraf onmogelijk volledig af te bakenen.6 Daarom is het belangrijk de opgaven die AI met zich meebrengt structureel te benaderen. Regulering van AI is één van die opgaven. Gezien de snelle ontwikkelingen van AI is het belangrijk dat wetgevende kaders toekomstbestendig zijn en dat regelmatig wordt geëvalueerd of de kaders nog adequaat zijn.

De (aankomende) Europese AI-verordening zal het primaire wetgevende kader op AI zijn en het fundament zijn waarmee het toezicht op AI en algoritmes verder zal worden vormgegeven in Nederland. De Europese AI-verordening bevindt zich momenteel nog in de onderhandelingsfase. De verordening classificeert verschillende AI-systemen in risicocategorieën, waarbij systemen die onder een hoger risiconiveau vallen aan meer waarborgen en specifieke eisen moeten voldoen. De verordening zal voor zowel de ontwikkelaars als de gebruikers van AI-systemen verplichtingen bevatten.

Voor de toepassing van algoritmes door Nederlandse overheden wordt verder onderzocht in hoeverre ingezette beleidstrajecten en in ontwikkeling zijnde instrumenten – zoals het algoritmeregister, implementatiekader en (verplichte) mensenrechten impacttoetsen – behulpzaam zijn bij de verdere uitwerking van het (toekomstig) toezicht. Uitgangspunt is dat daarbij niet vooruit zal worden gelopen op de toezichtstaken en verplichtingen uit de AI-verordening.

3.5 Gaat de AP helpen bij het maken van onderscheid tussen verwerken van data en algoritmes?

De AP kan op basis van de AVG toezicht houden op data die persoonsgegevens zijn en ook op de verwerking van persoonsgegevens met algoritmes. Data (in sommige gevallen persoonsgegevens) fungeren als input voor algoritmes, zonder data kunnen algoritmes niet functioneren. Werkende algoritmes zijn dus een vorm van dataverwerking. Het maken van onderscheid is daarom niet per se zinvol.

3.6 De werking van algoritmes uitleggen is complex. Hoe kunnen we zorgen dat burgers in normale taal weten wat deze voor hen betekenen?

Het is van groot belang dat algoritmes die worden ingezet bij besluiten die burgers of organisaties raken transparant zijn. Eind 2022 lanceerde ik daarom een eerste versie van het algoritmeregister dat bijdraagt aan de uitlegbaarheid van de toepassing en uitkomsten van (overheids)algoritmes.7 Het algoritmeregister biedt volksvertegenwoordigers, journalisten, onderzoekers en burgers de mogelijkheid om inzage te krijgen in welke algoritmes er worden ingezet door overheden. Daarmee kunnen zij het algoritmegebruik van de overheid volgen, controleren en bevragen of in een specifiek geval nagaan of algoritmes worden gebruikt om een beslissing te nemen. Op dit moment wordt het algoritmeregister doorontwikkeld. Ook de broncode van het algoritmeregister is online te vinden. Belangstellenden en experts kunnen daarbij suggesties doen voor verbeteringen.

Met betrekking tot de uitlegbaarheid van algoritmes wijs ik ook graag op de wijziging van de Algemene wet bestuursrecht (Awb) ter versterking van de waarborgfunctie daarvan.8 Het voorstel is 19 januari jl. aangeboden aan stakeholders in een zogeheten pre-consultatie, een informele en extra stap voorafgaand aan de gebruikelijke (internet)consultatie. Hierin is onder meer aandacht voor algoritmische besluitvorming en het belang van een begrijpelijke motivering van (overheids)besluiten. Dit onderwerp is tevens nader verkend in een expertsessie en zal worden meegenomen in de verdere ontwikkeling van het voorstel.

Tot slot vereist de AVG ook al dat (overheids)organisaties en bedrijven die geautomatiseerd besluiten nemen in bepaalde gevallen voldoen aan concrete eisen, zoals uitlegbaarheid en transparantie. De logica van een algoritme kan in dat kader dus uitgelegd worden.

3.7 De problemen met algoritmes zijn structureel van aard. Daarom moet er ook een structurele oplossing voor worden bedacht. Bijvoorbeeld door een auditor, die net als een accountant, structureel elk jaar de cijfers van een gemeente controleert en aanbevelingen doet. Wil de Staatssecretaris onderzoeken hoe we dit kunnen waarmaken?

Er lopen momenteel verschillende trajecten en initiatieven die raken aan het inzetten van audits om tot verantwoorde inzet van algoritmes te komen.

Aanbieders van hoog-risico AI-systemen van zowel bedrijven als overheden zullen onder de AI-verordening aan specifieke eisen omtrent onder meer menselijk toezicht en datakwaliteit moeten voldoen. Aanbieders van deze systemen moeten dit aantonen door middel van een ex ante conformiteitsbeoordeling. Deze beoordeling kan in bepaalde gevallen ook uitgevoerd worden door een derde partij.

Voor de overheid dient te worden onderstreept dat de Auditdienst Rijk (ADR) al regelmatig adviezen uitbrengt over algoritmegebruik binnen de Rijksdienst en het toezicht hierop.9 Ook de Algemene Rekenkamer kan op eigen initiatief onderzoeken starten naar algoritmegebruik bij de (Rijks)overheid, hetgeen de afgelopen jaren resulteerde in meerdere onderzoeken.10 Daarnaast is hier de rol van de Rijksinspecties, die in hun toezicht ook algoritmes tegenkomen, relevant. De Rijksinspecties geven ook signalen aan ministeries en de Tweede Kamer over de uitwerking van beleid in de praktijk en over de stand van zaken in een specifieke sector. Dit wordt gedaan in de vorm van onderzoeks- en inspectierapporten, jaarrapportages en publicaties.

Daarnaast gaf ik in de inrichtingsnota van de algoritmetoezichthouder, die ik in december 2022 met uw Kamer deelde, aan periodieke audits op algoritme-inzet voor het Rijk verder te verkennen. Dit zou kunnen gaan om het laten uitvoeren van periodieke audits op algoritme-inzet door overheidsorganisaties, bijvoorbeeld door een onafhankelijke partij zoals de ADR. Het zou de AP, en andere toezichthouders die in hun taken te maken krijgen met algoritmes, daarbij kunnen helpen als de (eventuele) rode draden uit deze audits werden teruggekoppeld. Op die manier kan het inzicht in de mate van beheersing in zowel positieve als negatieve punten van algoritmegebruik door overheden mogelijk worden versterkt en kunnen toezichthoudende instanties rekening houden met eventuele signalen.

In dit kader wijs ik ook graag op de recent aangenomen motie van het lid Kathmann c.s., die oproept om te onderzoeken in hoeverre de inzet van expertteams die op vertrouwelijke basis volledige inzage krijgen in een hoe een algoritme succesvol kan zijn in het bestrijden van discriminerende algoritmes.11 Over de voortgang van deze motie hoop ik uw Kamer in het derde kwartaal van dit jaar nader te informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen