Brief regering : Toezicht in het digitale domein (o.a. op AI en algoritmes)

Nr. 1029
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 24 mei 2023

Via deze brief ga ik, mede namens de Minister van Economische Zaken en Klimaat en
de Minister voor Rechtsbescherming, in op verschillende vragen en toezeggingen die
in het eerste deel van 2023 zijn gedaan in het kader van toezicht in het digitale
domein, in het bijzonder op Artificiële Intelligentie (AI) en algoritmes.

Allereerst ga ik nader in op de uitkomsten van het gesprek dat ik op 27 maart jl.
voerde met zeven toezichthouders die actief zijn op het digitale domein, waaronder
alle leden van het Samenwerkingsplatform Digitale Toezichthouders (SDT) en met het
Ministerie van Economische Zaken en Klimaat (EZK). Vervolgens besteed ik aandacht
aan de vraag of er een bepaalde doorzettingsmacht is bij de Autoriteit Persoonsgegevens
(AP) als het gaat om algoritmes en in brede zin op het gebied van digitalisering.
Deze toezegging heb ik tijdens het Commissiedebat «Inzet algoritmes en data-ethiek
binnen de rijksoverheid» van 15 februari jl. (Kamerstuk 26 643, nr. 982) aan uw Kamer gedaan. Tot slot beantwoord ik de vragen die op 28 maart jl. in het
tweeminutendebat over de «Inzet algoritmes en data-ethiek binnen de rijksoverheid»
(Handelingen II 2022/23, nr. 66, item 30) mondeling zijn gesteld door het lid Rahimi (VVD) over toezicht op onder meer algoritmes.

1. Uitkomsten gesprek toezichthouders binnen het digitale domein

Op 27 maart jl. voerde ik een gesprek met vertegenwoordigers (directeuren en/of bestuursvoorzitters)
van zeven toezichthouders die actief zijn binnen het digitale domein en EZK. Aanwezig
waren de vier leden van het SDT: de Autoriteit Consument en Markt (ACM), de Autoriteit
Financiële Markten (AFM), de AP en het Commissariaat voor de Media (CvdM). Daarnaast
waren het College voor de Rechten van de Mens (CRM), De Nederlandsche Bank (DNB) en
de Rijksinspectie Digitale Infrastructuur (RDI) aanwezig. Deze toezichthouders krijgen
in hun werk regelmatig te maken met toezicht op algoritmes en complexere algoritmische
systemen die ook wel als AI bekendstaan. De belangrijkste uitkomsten van het gesprek
zijn als volgt:

• De noodzaak tot afstemmen en coördinatie op digitale onderwerpen, en dan voornamelijk
AI en algoritmes, wordt breed gedeeld. Er is behoefte aan een structuur die geen gaten
in het toezicht laat vallen, waarbij (overheids)organisaties en bedrijven zoveel mogelijk
vooraf weten op welke wijze zij compliant kunnen zijn en waarbij de toezichthouders
zich niet in het vaarwater van elkaars bevoegdheden bevinden.

• Daarbij wijzen de toezichthouders ook op het belang van samenwerking op alle aspecten
van digitalisering, en AI in het bijzonder, en op afstemming over normuitleg. Dit
laatste betreft de wijze waarop (geldende) regels en normen worden uitgelegd aan ondertoezichtgestelden.
Het uniform uitleggen van normen is van groot belang om burgers, bedrijven en overheden
zekerheid te bieden over waar zij aan dienen te voldoen, bijvoorbeeld in het geval
van (effectieve) transparantie. Dit naast de andere aspecten, zoals hoe AI op de markt
komt vanuit de Europese productregelgeving, hoe veilig geëxperimenteerd kan worden
om ruimte te geven aan innovatie en hoe de sectorale risico’s van AI te duiden zijn.

• Samenwerkingsverbanden tussen toezichthouders, zoals het SDT en de Inspectieraad,
zijn van belang om de wetgever en beleidsmakers te voorzien van input en te anticiperen
op (aankomende) toezichtsvraagstukken en voor de coördinatie van de normuitleg.

• Het SDT maakte in maart 2023 bekend dat het twee zogeheten Kamers zal oprichten waarin
afstemming zal plaatsvinden over het toezicht op online platforms en de normuitleg
van algoritmes en AI. Bij deze Kamers zullen ook niet-SDT-leden worden betrokken.

• Het SDT ziet het als zijn verantwoordelijkheid om – ter voorkoming van extra overleggremia
– een goede afstemming te bevorderen tussen deze ambtelijke samenwerkingsverbanden
en het bestuurlijke overleg in het SDT.

• Naast het SDT bestaan er nog verschillende andere samenwerkingsverbanden tussen toezichthouders.
Bijvoorbeeld de «Werkgroep AI» onder de vlag van de Inspectieraad waarin meer dan
twintig rijksinspecties, colleges en markttoezichthouders zitting hebben.

• Enkele toezichthouders wijzen op de risico’s van te veel verschillende overleggremia
voor toezichthouders.

• De toezichthouders die actief zijn binnen de financiële sector (met name de AFM en
DNB) en digitale infrastructuur (de RDI) wijzen erop dat zij al veel ervaring hebben
met toezicht op AI en algoritmes.

• De AP wijst erop dat het belangrijk is dat alle toezichthouders zich binnen hun mandaat
in toenemende mate richten op algoritmes. De recent opgerichte Directie Coördinatie
Algoritmes bij de AP neemt daarbij geen bevoegdheden over, maar richt zich op het
versterken van de samenwerkingen met colleges, markttoezichthouders en rijksinspecties,
het signaleren en analyseren van overkoepelende risico’s, het komen tot gezamenlijke
normuitleg en bekijkt waar zich gaten bevinden in het toezicht op algoritmes.

• Met het oog op het brede scala aan Europese (digitale) wetgeving dat in de maak is
benoemen enkele toezichthouders het risico dat bedrijven zich elders vestigen wanneer
Europese wetgeving in Nederland zou worden voorzien van aanvullende nationale regels.
Hiermee zouden bedrijven vanuit andere EU-lidstaten Nederlandse consumenten bedienen,
met als gevolg dat de consument minder goed beschermd wordt. Tevens kunnen nationale
regels de integrale Europese benadering doorkruisen.

• De rechtstreekse toepasselijkheid van Europese regelgeving op het digitale toezichtdomein
in Nederland (zoals de AI-verordening, de Data-verordening, de Digital Markets Act
en de Digital Services Act) vraagt om een samenspel tussen Europa, (Nederlandse) ministeries
en toezichthouders. Zo kan de samenhang worden bewaakt en tijdig worden geanticipeerd
op nieuwe wet- en regelgeving die toezichtcomponenten bevatten. Gewezen wordt in dit
verband op de noodzaak van flexibele en op expertise gebaseerde samenwerking tussen
toezichthouders.

• Gezien het belang van goede samenwerking zal er voor de zomer (in het tweede kwartaal
van 2023) door het kabinet wederom met een brede groep toezichthouders worden gesproken.
Ditmaal zal er specifiek worden ingegaan op de Europese AI-verordening en de toezichtstaken-
en vraagstukken die hier (mogelijk) uit voortvloeien. De AI-verordening bevindt zich
momenteel nog in onderhandeling en zal naar verwachting op z’n vroegst eind 2025 in
werking treden.

2. Doorzettingsmacht AP en rol Directie Coördinatie Algoritmes

Tijdens het Commissiedebat «Inzet algoritmes en data-ethiek binnen de rijksoverheid»
van 15 februari jl. verzocht uw Kamer mij om schriftelijk in te gaan op de vraag of
er een «doorzettingsmacht van de AP» bestaat inzake het toezicht op digitaliseringsgebied.
Ik zal dit hieronder nader toelichten.

Met doorzettingsmacht wordt de bevoegdheid bedoeld om een doorslaggevende stem uit
te brengen bij verschillende standpunten. Alle toezichthouders binnen het digitale
domein die met algoritmes te maken krijgen zijn volledig bevoegd om te beslissen over
de inzet van hun eigen bevoegdheden. Er is in die zin dus geen sprake van een doorzettingsmacht
ten aanzien van algoritmes. Indien het toezicht op naleving van het gegevensbeschermingsrecht
betreft is de AP bevoegd om boetes en andere sancties op te leggen en tot normuitleg
te komen binnen het (Nederlandse) toezichtlandschap. Op dezelfde wijze zijn op de
verschillende toezichtsterreinen in het Nederlandse toezicht- en controlelandschap
de andere colleges, markttoezichthouders en rijksinspecties bevoegd. De DNB en AFM
bepalen bijvoorbeeld – binnen hun wettelijke taken en bevoegdheden – hoe zij normen
uit regelgeving omtrent financiële markten toepassen.

Als er sprake is van een toezichtsvraagstuk waarbij verschillende instanties bevoegd
zijn, bijvoorbeeld wanneer het een algoritme of AI-systeem betreft dat persoonsgegevens
verwerkt in de zorg, kunnen zowel de Inspectie Gezondheidszorg en Jeugd (IGJ) en de
AP bevoegd zijn om handhavend op te treden. In een dergelijk geval is het aan de bevoegde
toezichthouders zelf om te komen tot afspraken over het (concrete) handhavingsbeleid.
Zowel samenwerkingsplatformen als het SDT – als de al bestaande samenwerkingsconvenanten
– kunnen invulling geven aan dergelijke afstemming.

Rol Directie Coördinatie Algoritmes (DCA)

De (toezichts)taken van de Directie Coördinatie Algoritmes (DCA) bij de AP – waarmee
invulling is gegeven aan de in het coalitieakkoord (Bijlage bij Kamerstuk 35 788, nr. 77) opgenomen algoritmetoezichthouder – bestaan uit verschillende taken om het bestaande
toezichtlandschap op algoritmes te versterken.1 Het bestaande toezichtlandschap blijft daarbij intact.

Allereerst deelt de DCA domeinoverstijgende signalen met onder meer toezichthouders
en departementen. Omdat AI en algoritmes in allerlei sectoren worden ingezet, en ook
algoritmes die geen persoonsgegevens verwerken de belangen van burgers of organisaties
kunnen schaden, is het belangrijk dat signalen over de risico’s en kansen van algoritmegebruik
breed worden geanalyseerd en gedeeld.

Ten tweede optimaliseert de DCA samenwerkingen tussen toezichthouders en brengt het
overkoepelend toezicht op AI en algoritmegebied in kaart. Gezamenlijk optrekken is
juist omdat algoritmes in veel verschillende sectoren worden ingezet – van de zorg,
financiële markten, infrastructuur tot het veiligheidsdomein – van groot belang.

Ten derde faciliteert en ondersteunt de DCA het uniform uitleggen van normen die betrekking
hebben op algoritme-inzet. Dit is van meerwaarde omdat er binnen het AI- en algoritmedomein
– en breder binnen het gehele digitaliseringsdomein – sprake is van een breed scala
aan verschillende wetten en regels die invulling dienen te geven aan concrete normen
en waarden. Voor ondertoezichtgestelden – bijvoorbeeld burgers, bedrijven of overheden
– is het onder meer in het kader van rechtsbescherming en de voorspelbaarheid van
het overheidshandelen belangrijk dat zij weten aan welke normen zij moeten voldoen.
Voor de DCA ligt er een rol in het faciliteren van uniforme uitleg van (domeinoverstijgende)
normen in samenwerking met andere toezichthouders.

3. Beantwoording vragen lid Rahimi (VVD)

Tijdens het tweeminutendebat van 28 maart jl. heeft lid Rahimi mondeling een aantal
vragen gesteld over (toezicht op) algoritmes. Hieronder geef ik daarop antwoord.

3.1 Wat is het mandaat van de AP?

De AP is voor Nederland de toezichthoudende autoriteit als het gaat om persoonsgegevens.
De taken en bevoegdheden van de toezichthoudende autoriteit staan vastgelegd in de
Algemene Verordening Gegevensbescherming (AVG). Het takkenpakket van de AP bestaat
voor een groot deel uit handhavingstaken, maar daarnaast betreffen de taken van de
AP ook het geven van advies, het samenwerken met andere toezichthoudende autoriteiten
en het behandelen van klachten. In de AVG en in de Uitvoeringswet Algemene Verordening
Gegevensbescherming (UAVG)2 zijn, met het oog op de bovengenoemde taken, bevoegdheden toegekend aan de AP. Zo
heeft de AP de bevoegdheid tot het opleggen van een last onder dwangsom en een last
onder bestuursdwang. Ook is zij bevoegd tot het opleggen van administratieve boetes.
Uiteindelijk is de AP de toezichthouder op de naleving van de AVG, maar diens taak
ontslaat individuele organisaties niet van een scherpe blik op de eigen processen.
Elke organisatie die persoonsgegevens verwerkt is er namelijk in de eerste plaats
zelf verantwoordelijk voor dat dit op een rechtmatige manier gebeurt, en moet daarbij
voldoende interne toezichtmechanismen inrichten om daarop toe te zien.3

Daarnaast is de AP in 2023 van start gegaan met nieuwe, coördinerende taken die een
impuls moeten geven aan het toezicht op algoritme-inzet, ook indien het andere gegevens
dan persoonsgegevens betreft. Bij de AP is daarvoor in 2023 een nieuw organisatieonderdeel
opgericht, de DCA, die werkt aan de in de inrichtingsnota algoritmetoezichthouder
geformuleerde doelen.4 In paragraaf 2 (pagina’s 3 en 4) wordt verder ingegaan op de specifieke taken van
de DCA.

3.2 Hoe verhouden de andere toezichthouders zich tot de AP?

Zoals ook benoemd in paragraaf 2, is de AP is de bevoegde toezichthouder als het gaat
om het toezicht op persoonsgegevens in Nederland. De andere toezichthouders zijn,
conform hun respectievelijke wettelijke taken, verantwoordelijk voor het toezicht
binnen hun eigen domein waarvoor zij het mandaat hebben, ook wanneer algoritmes worden
gebruikt.

De verschillende toezichthouders komen bij de toepassing van hun wettelijke bevoegdheden
gelijksoortige vraagstukken op het gebied van algoritmes tegen. De DCA bij de AP streeft
daarom naar uniforme normuitleg (en guidance)5, in samenspraak met de andere betrokken toezichthouders. Deze uniforme normuitleg
en guidance doet niets af aan de onderscheidende mandaten die verschillende toezichthouders
hebben, ook niet op algoritmegebied.

3.3 Heeft de AP genoeg kennis in huis om alles te toetsen?

De AP houdt niet toezicht op alles met betrekking tot AI en algoritmen. De AP houdt
toezicht op naleving van het gegevensbeschermingsrecht. De AP heeft voldoende expertise
om toezicht te houden op de bescherming van persoonsgegevens, ook indien die verwerkt
worden door algoritmes. De DCA zet zich daarnaast in om de samenwerking tussen toezichthouders
te versterken, domeinoverstijgende signalen op te vangen en kennis te delen over het
toezicht op algoritmes. Het delen van kennis over het toezicht op AI – waarbij het
dus ook gaat om algoritmes en AI-systemen die geen persoonsgegevens verwerken – is
des te belangrijker omdat algoritmes in alle sectoren voorkomen en veel verschillende
toezichthouders binnen hun mandaat te maken krijgen met dit soort technologie.

3.4 Welke wetgeving is er in Nederland nog nodig (op algoritmegebied)?

Als systeemtechnologie zijn de toekomstige ontwikkelingen van AI en de impact van
AI op de samenleving vooraf onmogelijk volledig af te bakenen.6 Daarom is het belangrijk de opgaven die AI met zich meebrengt structureel te benaderen.
Regulering van AI is één van die opgaven. Gezien de snelle ontwikkelingen van AI is
het belangrijk dat wetgevende kaders toekomstbestendig zijn en dat regelmatig wordt
geëvalueerd of de kaders nog adequaat zijn.

De (aankomende) Europese AI-verordening zal het primaire wetgevende kader op AI zijn
en het fundament zijn waarmee het toezicht op AI en algoritmes verder zal worden vormgegeven
in Nederland. De Europese AI-verordening bevindt zich momenteel nog in de onderhandelingsfase.
De verordening classificeert verschillende AI-systemen in risicocategorieën, waarbij
systemen die onder een hoger risiconiveau vallen aan meer waarborgen en specifieke
eisen moeten voldoen. De verordening zal voor zowel de ontwikkelaars als de gebruikers
van AI-systemen verplichtingen bevatten.

Voor de toepassing van algoritmes door Nederlandse overheden wordt verder onderzocht
in hoeverre ingezette beleidstrajecten en in ontwikkeling zijnde instrumenten – zoals
het algoritmeregister, implementatiekader en (verplichte) mensenrechten impacttoetsen
– behulpzaam zijn bij de verdere uitwerking van het (toekomstig) toezicht. Uitgangspunt
is dat daarbij niet vooruit zal worden gelopen op de toezichtstaken en verplichtingen
uit de AI-verordening.

3.5 Gaat de AP helpen bij het maken van onderscheid tussen verwerken van data en algoritmes?

De AP kan op basis van de AVG toezicht houden op data die persoonsgegevens zijn en
ook op de verwerking van persoonsgegevens met algoritmes. Data (in sommige gevallen
persoonsgegevens) fungeren als input voor algoritmes, zonder data kunnen algoritmes
niet functioneren. Werkende algoritmes zijn dus een vorm van dataverwerking. Het maken
van onderscheid is daarom niet per se zinvol.

3.6 De werking van algoritmes uitleggen is complex. Hoe kunnen we zorgen dat burgers
in normale taal weten wat deze voor hen betekenen?

Het is van groot belang dat algoritmes die worden ingezet bij besluiten die burgers
of organisaties raken transparant zijn. Eind 2022 lanceerde ik daarom een eerste versie
van het algoritmeregister dat bijdraagt aan de uitlegbaarheid van de toepassing en
uitkomsten van (overheids)algoritmes.7 Het algoritmeregister biedt volksvertegenwoordigers, journalisten, onderzoekers en
burgers de mogelijkheid om inzage te krijgen in welke algoritmes er worden ingezet
door overheden. Daarmee kunnen zij het algoritmegebruik van de overheid volgen, controleren
en bevragen of in een specifiek geval nagaan of algoritmes worden gebruikt om een
beslissing te nemen. Op dit moment wordt het algoritmeregister doorontwikkeld. Ook
de broncode van het algoritmeregister is online te vinden. Belangstellenden en experts
kunnen daarbij suggesties doen voor verbeteringen.

Met betrekking tot de uitlegbaarheid van algoritmes wijs ik ook graag op de wijziging
van de Algemene wet bestuursrecht (Awb) ter versterking van de waarborgfunctie daarvan.8 Het voorstel is 19 januari jl. aangeboden aan stakeholders in een zogeheten pre-consultatie,
een informele en extra stap voorafgaand aan de gebruikelijke (internet)consultatie.
Hierin is onder meer aandacht voor algoritmische besluitvorming en het belang van
een begrijpelijke motivering van (overheids)besluiten. Dit onderwerp is tevens nader
verkend in een expertsessie en zal worden meegenomen in de verdere ontwikkeling van
het voorstel.

Tot slot vereist de AVG ook al dat (overheids)organisaties en bedrijven die geautomatiseerd
besluiten nemen in bepaalde gevallen voldoen aan concrete eisen, zoals uitlegbaarheid
en transparantie. De logica van een algoritme kan in dat kader dus uitgelegd worden.

3.7 De problemen met algoritmes zijn structureel van aard. Daarom moet er ook een
structurele oplossing voor worden bedacht. Bijvoorbeeld door een auditor, die net
als een accountant, structureel elk jaar de cijfers van een gemeente controleert en
aanbevelingen doet. Wil de Staatssecretaris onderzoeken hoe we dit kunnen waarmaken?

Er lopen momenteel verschillende trajecten en initiatieven die raken aan het inzetten
van audits om tot verantwoorde inzet van algoritmes te komen.

Aanbieders van hoog-risico AI-systemen van zowel bedrijven als overheden zullen onder
de AI-verordening aan specifieke eisen omtrent onder meer menselijk toezicht en datakwaliteit
moeten voldoen. Aanbieders van deze systemen moeten dit aantonen door middel van een
ex ante conformiteitsbeoordeling. Deze beoordeling kan in bepaalde gevallen ook uitgevoerd
worden door een derde partij.

Voor de overheid dient te worden onderstreept dat de Auditdienst Rijk (ADR) al regelmatig
adviezen uitbrengt over algoritmegebruik binnen de Rijksdienst en het toezicht hierop.9 Ook de Algemene Rekenkamer kan op eigen initiatief onderzoeken starten naar algoritmegebruik
bij de (Rijks)overheid, hetgeen de afgelopen jaren resulteerde in meerdere onderzoeken.10 Daarnaast is hier de rol van de Rijksinspecties, die in hun toezicht ook algoritmes
tegenkomen, relevant. De Rijksinspecties geven ook signalen aan ministeries en de
Tweede Kamer over de uitwerking van beleid in de praktijk en over de stand van zaken
in een specifieke sector. Dit wordt gedaan in de vorm van onderzoeks- en inspectierapporten,
jaarrapportages en publicaties.

Daarnaast gaf ik in de inrichtingsnota van de algoritmetoezichthouder, die ik in december
2022 met uw Kamer deelde, aan periodieke audits op algoritme-inzet voor het Rijk verder
te verkennen. Dit zou kunnen gaan om het laten uitvoeren van periodieke audits op
algoritme-inzet door overheidsorganisaties, bijvoorbeeld door een onafhankelijke partij
zoals de ADR. Het zou de AP, en andere toezichthouders die in hun taken te maken krijgen
met algoritmes, daarbij kunnen helpen als de (eventuele) rode draden uit deze audits
werden teruggekoppeld. Op die manier kan het inzicht in de mate van beheersing in
zowel positieve als negatieve punten van algoritmegebruik door overheden mogelijk
worden versterkt en kunnen toezichthoudende instanties rekening houden met eventuele
signalen.

In dit kader wijs ik ook graag op de recent aangenomen motie van het lid Kathmann
c.s., die oproept om te onderzoeken in hoeverre de inzet van expertteams die op vertrouwelijke
basis volledige inzage krijgen in een hoe een algoritme succesvol kan zijn in het
bestrijden van discriminerende algoritmes.11 Over de voortgang van deze motie hoop ik uw Kamer in het derde kwartaal van dit jaar
nader te informeren.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen