Brief regering : Uitvoering van de motie van de leden Kathmann en Six Dijkstra Dijkstra over burgers altijd informeren als er een (deels) geautomatiseerde risicoselectie heeft plaatsgevonden en dit tot een besluit heeft geleid (Kamerstuk 26643-1287)

Nr. 1433
BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 november 2025

Uw Kamer heeft op 6 maart 2025 een motie van de leden Kathmann (GL-PvdA) en Six Dijkstra
(NSC) (Kamerstuk 26 643, nr. 1287) aangenomen waarin de regering wordt verzocht om:

– burgers altijd te informeren wanneer er ten aanzien van hen (deels) geautomatiseerde
risicoselectie heeft plaatsgevonden en dit tot een besluit heeft geleid;

– hier duidelijk in de brieven en communicatie richting burgers melding van te maken,
en te wijzen op alle mogelijkheden om bezwaar te maken of een klacht in te dienen;

– deze mogelijkheid samen met de Autoriteit Persoonsgegevens vorm te geven en de Kamer
binnen drie maanden te informeren over de uitkomst.1

Met deze brief laat ik u weten op welke wijze ik uitvoering geef aan de motie.

Toelichting op het gebruik van geautomatiseerde risicoselectie

Geautomatiseerde risicoselectie kent een breed toepassingsgebied, van ondersteuning
van burgers bij dienstverlening tot de detectie van onvolledigheden, fouten en fraude.
Risicoselectie ondersteunt overheidsorganisaties bij het in beeld krijgen van dossiers
of situaties die aandacht moeten krijgen van overheden en helpt om de beschikbare
capaciteit voor publieke dienstverlening zo gericht en efficiënt mogelijk in te zetten.
Burgers hebben ook baat bij risicoselectie wanneer die wordt ingezet om vroegtijdig
fouten te corrigeren of hulp te bieden bij aangifte- of aanvraagprocedures. Wanneer
risicoselectie wordt ingezet voor fraudedetectie, wordt bovendien zoveel mogelijk
voorkomen dat burgers onnodig worden lastiggevallen met controles.

De motie-Kathmann/Six Dijkstra verwijst expliciet naar een specifieke toepassing van
(deels) geautomatiseerde risicoselectie, namelijk voor fraudecontroles door overheden.
Wanneer risicoselectie wordt ingezet om mogelijke onrechtmatigheden (waaronder fraude,
misbruik of oneigenlijk gebruik) te detecteren, ondersteunt het instrument de keuze
van medewerkers welke dossiers wel of niet te selecteren voor nader onderzoek of controle.
Of de risicoselectie daadwerkelijk leidt tot een controle is vaak ook afhankelijk
van andere overwegingen zoals capaciteit. Als na de risicoselectie een controle volgt,
en vervolgens bij deze controle door een ambtenaar onrechtmatigheden wordt vastgesteld,
dan zal het bestuursorgaan aan de geconstateerde onrechtmatigheden consequenties verbinden
dan wel handhavend optreden. Zo kan een bestuursorgaan besluiten een regeling of toekenning
aan te passen of stop te zetten, of besluiten om een boete op te leggen. Zo’n besluit
is in de regel een bestuursrechtelijk besluit waarop de Algemene wet bestuursrecht
(Awb) van toepassing is. De Awb waarborgt dat de totstandkoming van een besluit deugdelijk
en kenbaar wordt gemotiveerd. In de Awb is vastgelegd dat burgers tegen een besluit
bezwaar kunnen maken en beroep kunnen instellen.

Lopende trajecten gericht op transparantie

Het kabinet heeft in het in september 2024 gepubliceerde regeerprogramma de ambitie
uitgesproken om werk te maken van meer transparantie en betere rechtsbescherming bij
de inzet van algoritmen.2 Burgers moeten kunnen weten hoe een besluit tot stand is gekomen, ook als daar algoritmen
bij betrokken zijn, en het moet duidelijk zijn welke rechtsmiddelen er bestaan. In
het geval van (deels) geautomatiseerde risicoselectie hebben de Autoriteit Persoonsgegevens,
het College voor de Rechten van de Mens en de Algemene Rekenkamer recent gewezen op
het belang van transparantie.3 De afgelopen jaren zijn goede stappen gezet, maar het kabinet vindt dat er meer nodig
is. In dit kader heeft mijn ambtsvoorganger, samen met de toenmalige Minister van
Binnenlandse Zaken en Koninkrijksrelaties en de Staatssecretaris Rechtsbescherming,
uw Kamer op 11 juli 2025 geïnformeerd over de consultatie over algoritmische besluitvorming
en de Awb. De komende tijd wordt onderzocht of aanvulling of wijziging van de Awb
nodig is om de transparantieverplichting ten aanzien van algoritmische besluitvorming
te versterken.4

Waar de motie om verzoekt is deels al in gang gezet. Mijn ministerie moedigt overheden
aan om algoritmes te publiceren in het Algoritmeregister. Uw Kamer heeft expliciet
verzocht om risicoselectie-algoritmen te publiceren in het Algoritmeregister.5 Deze algoritmen kunnen vallen in categorie A (hoog-risico AI-systemen in de zin van
de AI-verordening) of categorie B (impactvolle algoritmen).6 De departementen hebben uw Kamer in de zomer geïnformeerd over de planning van vulling
van het Algoritmeregister en eind van dit jaar informeer ik uw Kamer over de voortgang
daarvan. Ook de medeoverheden zijn bezig met het publiceren van algoritmen in het
register.

Daarnaast heeft het kabinet in december 2024 aan uw Kamer laten weten opvolging te
geven aan het advies van de Autoriteit Persoonsgegevens (AP) over geautomatiseerde
selectie-instrumenten.7 De AP wijst in dit advies op verschillende waarborgen die overheidsorganisaties moeten
nemen voor de verantwoorde inzet van geautomatiseerde risicoselectie. De motie-Kathmann/Six
Dijkstra sluit hierbij aan. Uitvoeringsorganisaties hebben de door de AP genoemde
waarborgen al in meer of mindere mate in hun processen opgenomen, maar er is nog ruimte
voor verbetering. Het kabinet heeft daarom in zijn reactie op het advies een aantal
vervolgstappen aangekondigd om hier verdere invulling aan te geven. Zo zijn de waarborgen
die de AP noemt verwerkt in het Algoritmekader. Ook organiseert het Netwerk van Publieke
Dienstverleners momenteel een analyse van casuïstiek met betrekking tot geautomatiseerde
risicoselectie-instrumenten. Die analyse zal, onder meer, inzicht geven in de wijze
waarop openheid en transparantie richting burgers en bedrijven wordt verschaft. Mijn
ambtsvoorganger heeft eerder de toezegging gedaan uw Kamer voor het eind van 2025
te informeren over de inzichten die zijn opgedaan uit de analyse.8

Hieronder ga ik verder in op de verplichtingen en richtlijnen rondom het informeren
van burgers en de stappen die de Rijksoverheid al zet en nog kan zetten.

Wettelijke transparantieverplichtingen en aanvullende waarborgen

Het spreekt voor zich dat het gebruik van geautomatiseerde risicoselectie moet voldoen
aan geldende wet- en regelgeving en in lijn moet zijn met de grondrechten. Uit de
Awb, AVG en AI-verordening vloeien transparantieverplichtingen voort die ik hieronder
uiteenzet.

Algemene wet bestuursrecht (Awb)

De Awb vereist dat besluiten berusten op een deugdelijke en kenbare motivering.9 De Awb is ook van toepassing op besluitvorming waarbij algoritmen een rol spelen.
De AP stelt in haar advies van oktober 2024 dat indien de risicoselectie aanleiding
was om een dossier op een bepaalde manier te behandelen of om af te wegen of een eventueel
besluit moest worden genomen, dit aan de burger kenbaar moet worden gemaakt.10 De burger moet dan uiterlijk bij bekendmaking van het uiteindelijke besluit in kennis
worden gesteld van de reden voor de selectie.11

Algemene verordening gegevensverwerking (AVG)

Wanneer overheden voor de risicoselectie persoonsgegevens verwerken, volgt uit de
AVG een algemene transparantieverplichting.12 Een bestuursorgaan dat persoonsgegevens verzamelt of verkrijgt moet de burger uit
eigen beweging informatie geven over onder meer de verwerkingsdoeleinden waarvoor
de persoonsgegevens zijn bestemd, de rechtsgrond voor de verwerking en de betrokken
categorieën van persoonsgegevens. Ook moet informatie worden gegeven over het recht
op inzage en rectificatie of verwijdering van de persoonsgegevens, alsmede het recht
om tegen de verwerking bezwaar te maken en om een klacht in te dienen bij een toezichthoudende
autoriteit.13 De AP adviseert aan organisaties om informatie over de verwerking van persoonsgegevens
te verstrekken in een privacyverklaring op de website van de organisatie.14

Indien de risicoselectie is gebaseerd op geautomatiseerde verwerking van persoonsgegevens
waarbij persoonlijke aspecten van een persoon worden geëvalueerd, met de bedoeling
het risico op onrechtmatigheden te analyseren of te voorspellen, is sprake van profilering
in de zin van de AVG.15 Voor profilering volgt uit de AVG geen bijzondere transparantieverplichting, tenzij
sprake is van geautomatiseerde besluitvorming in de zin van artikel 22 AVG.16 In haar advies heeft de AP toegelicht dat geautomatiseerde risicoselectie niet kwalificeert
als geautomatiseerde besluitvorming indien de risicoselectie alleen gebruikt wordt
om te beoordelen of acties jegens betrokkene nodig zijn, zoals navraag doen of informatie
verzamelen, en eventuele rechtsgevolgen of aanmerkelijke effecten voor betrokkene
pas tot stand komen na betekenisvolle menselijke tussenkomst. Een beslissing om iemand
wel of niet te controleren op mogelijke onrechtmatigheden heeft op zichzelf immers
nog geen rechtsgevolgen voor de burger en een voorzienbare reguliere controle zal
een burger doorgaans niet in aanmerkelijke mate treffen.17 Een eventueel besluit om consequenties te verbinden aan de geconstateerde onrechtmatigheden,
bijvoorbeeld om te handhaven, heeft wel rechtsgevolgen, maar wanneer de controle of
handmatige behandeling voorziet in betekenisvolle menselijke tussenkomst tussen de
geautomatiseerde risicoselectie en het eventuele (handhavings)besluit, dan is dat
besluit niet enkel gebaseerd op de risicoselectie. Hoewel de AVG dus geen transparantieverplichting
regelt voor geautomatiseerde risicoselectie, adviseert de AP, mede op basis van de
Awb, om het gebruik van risicoselectie-instrumenten kenbaar te maken aan betrokkene,
indien de risicoselectie aanleiding is geweest voor behandeling van een dossier of
een bepaald besluit.18 Hierop bestaan volgens de AP uitzonderingen en de AVG laat toe dat het recht op informatie
bij wet wordt beperkt, onder meer ter waarborging van een taak op het gebied van toezicht,
inspectie of regelgeving.19 De AP adviseert dat dan zou kunnen worden volstaan met een abstractere duiding en/of
motivering van de rol van geautomatiseerde risicoselectie bij (de voorbereiding van)
een besluit.20 Het bestuursorgaan moet dan wel passende maatregelen nemen om de rechten, vrijheden
en belangen van burgers te beschermen.

AI-verordening

De AI-verordening bepaalt dat wanneer hoog-risico AI-systemen worden gebruikt om beslissingen
over mensen (helpen) te nemen, burgers geïnformeerd moeten worden dat zo’n systeem
op hen wordt toegepast.21 Risicoselectie-instrumenten kunnen hieronder vallen. De hoog-risico AI-systemen die
in gebruik worden genomen vanaf 2 augustus 2026 moeten direct voldoen aan dit vereiste,
vanaf 2030 moeten alle hoog-risico AI-systemen hieraan voldoen.

Uitvoering van de transparantieverplichting

Vanuit mijn ministerie is in de afgelopen maanden met verschillende overheidsorganisaties
gesproken over de mogelijkheden om burgers te informeren over geautomatiseerde risicoselectie.
De Rijksoverheid en medeoverheden onderschrijven het belang van transparantie en rechtsbescherming
en hebben daartoe stappen gezet. Daarnaast zijn aanvullende stappen nodig.

De motie verzoekt om de mogelijkheden om burgers te informeren over geautomatiseerde
risicoselectie samen met de AP vorm te geven. Aan dit verzoek kan niet worden voldaan.
De AP is de onafhankelijk toezichthouder op de AVG en heeft mede tot taak het geven
van normuitleg over de op grond van de AVG geldende voorschriften. De AP kan vanwege
die taak geen betrokkenheid hebben bij het vormgeven van beleid voor de uitvoering
van wettelijke vereisten. Indien nodig, kan het kabinet de AP verzoeken om normuitleg
over de wettelijke vereisten die volgen uit de AVG. Gezien het recente advies van
de AP over geautomatiseerde risicoselectie zie ik daartoe op dit moment geen aanleiding.

Algemene communicatie

Hierboven heb ik de vorderingen met het opnemen van risicoselectie-instrumenten in
het Algoritmeregister al genoemd. Nog niet alle overheidsorganisaties die persoonsgegevens
verwerken voor geautomatiseerde risicoselectie maken hier melding van in hun privacyverklaring.
Vanuit mijn ministerie zal de komende tijd met de departementen en uitvoeringsorganisaties
worden besproken wat er nodig is om dit op korte termijn te doen.

Informeren in individuele besluiten

Indien risicoselectie aanleiding is geweest voor een controle op mogelijke onrechtmatigheden,
en er op basis van de controle een besluit volgt, dan moet in het besluit gemeld worden
dat risicoselectie de reden is geweest voor de controle. Bij voorkeur wordt in het
besluit ook toegelicht wat de rol hiervan was in de verdere besluitvorming en wordt
verwezen naar algemene informatie over het gebruikte risicoselectie-instrument, bijvoorbeeld
een link naar het Algoritmeregister of de eigen website. Burgers worden in besluiten
reeds geïnformeerd over de mogelijkheden van bezwaar en beroep, conform artikelen 3:45
en 6:23 Awb.

Op de langere termijn is het wellicht voorstelbaar dat burgers in een besluit gepersonaliseerde
informatie krijgen over hoe de geautomatiseerde risicoselectie op hen van toepassing
is geweest en wat dit in hun geval betekent. Het informeren van een burger over de
specifieke reden van een selectie vraagt veel technische aanpassingen aan systemen,
brieven en werkprocessen van uitvoeringsorganisaties. Alle detailinformatie vanuit
het algoritme moet dan immers worden doorgegeven aan andere systemen en in eenvoudige
woorden worden vertaald, zodat de burger ook begrijpt wat het algoritme in het specifieke
geval heeft betekend. Vooral voor overheidsorganisaties die een groot aantal selectie-instrumenten
gebruiken of zeer veel besluiten nemen geeft dit een complexiteit die niet eenvoudig
is uit te voeren. Ik kan op dit moment niet zeggen of dit uitvoerbaar is en hoe de
afweging tussen transparantie en de effectiviteit van toezicht en handhaving daarbij
moet worden gemaakt. De komende tijd doen we onderzoek naar de toegevoegde waarde
van gepersonaliseerd informeren en de mogelijkheden hiertoe in het vervolg op de analyse
van de opbrengst van de internetconsultatie over algoritmische besluitvorming en de
Awb, hierboven al genoemd.

Vervolgstappen

Met het regeerprogramma heeft het kabinet ingezet op meer transparantie en rechtsbescherming
bij de inzet van algoritmen. In deze brief heb ik uiteengezet wat er nodig is om meer
openheid te verschaffen aan burgers over de inzet van (deels) geautomatiseerde risicoselectie
voor de detectie van onrechtmatigheden. Overheidsorganisaties zijn zelf verantwoordelijk
voor het voldoen aan wettelijke verplichtingen en het bieden van transparantie over
de algoritmen die zij gebruiken. Vanuit mijn coördinerende en faciliterende rol zal
ik overheidsorganisaties hierbij ondersteunen en adviseren. Uitvoeringsorganisaties
en medeoverheden onderschrijven het belang van transparantie. Tegelijk geven zij aan
dat het informeren over geautomatiseerde risicoselectie in individuele besluiten in
veel gevallen een grote aanpassing van processen vereist, zowel op juridisch als technisch
vlak, waarvoor tijd, geld en capaciteit moet worden vrijgemaakt. Bij sommige organisaties
zullen die aanpassingen heel moeilijk of niet (geheel) uitvoerbaar zijn. Ook moeten
overheidsorganisaties adequaat ingericht worden op een verwachte toename van vragen
van burgers over de inzet van geautomatiseerde risicoselectie, of die nu gaan over
individuele besluiten, het Algoritmeregister of de privacyverklaring. Ook dit moeten
organisaties eerst in kaart brengen. Verder wil ik de inzichten uit de analyse van
casuïstiek door het Netwerk van Publieke Dienstverleners eind dit jaar afwachten zodat
we die kunnen meenemen in de vervolgstappen.

Omdat de motie-Kathmann/Six Dijkstra verwijst naar fraudecontroles, en omdat overheidsorganisaties
niet alle processen waar risicoselectie een rol in speelt in een keer kunnen aanpassen,
wil ik binnen de Rijksoverheid afspreken om voorrang te geven aan het informeren van
burgers over geautomatiseerde risicoselecties ten behoeve van de detectie van onrechtmatigheden
(waaronder fraude, misbruik en oneigenlijk gebruik) en wanneer die risicoselectie,
na controle, hebben geleid tot een besluit. Dat betekent dat geen prioriteit wordt
gegeven aan het individueel informeren van burgers over risicoselectie wanneer die
is ingezet voor bijvoorbeeld het corrigeren van fouten of gerichte hulpverlening.
Dat wil niet zeggen dat transparantie hier niet van belang is. Zoals gezegd maken
overheidsorganisaties daar op andere wijzen al werk van, onder meer door publicatie
in het Algoritmeregister. Een kanttekening bij deze focus op de detectie van onrechtmatigheden
is dat in de praktijk het onderscheid tussen de verschillende doeleinden van risicoselectie
niet altijd gemakkelijk te maken is, bijvoorbeeld omdat dienstverlening en handhaving
in de systemen met elkaar verweven zijn. Daarom zullen organisaties eerst moeten onderzoeken
wat deze prioritering voor hen inhoudt, en of en hoe hier uitvoering aan kan worden
gegeven.

De komende tijd zal vanuit mijn ministerie met uitvoeringsorganisaties en medeoverheden
worden bekeken wat mogelijk is op de korte termijn en welke aanpassingen een langere
termijn vergen, om zo voor elke organisatie te komen tot werkbare vervolgstappen met
een realistisch tijdpad. De te nemen stappen en het tijdpad moeten in samenhang worden
bekeken met gerelateerde acties en verzoeken van uw Kamer op het gebied van algoritmen
en AI die ook om capaciteit bij de uitvoeringsorganisaties vragen, zoals het publiceren
van algoritmen in het Algoritmeregister en de uitvraag naar casuïstiek door het Netwerk
van Publieke Dienstverleners. Ik hecht eraan te komen tot uitvoerbare, zo mogelijk
uniforme, werkwijzen die daadwerkelijk zorgen voor meer transparantie en burgers verder
helpen. Ik zal uw Kamer voor het zomerreces van 2026 informeren over de voortgang.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
E. van Marum