Algoritmeregistratie in Nederland moet beter

De Autoriteit Persoonsgegevens (AP) roept, als coördinerend toezichthouder op algoritmes en AI, daarom op tot verplichtstelling van algoritmeregistratie voor overheidsorganisaties. De AP moedigt overige branches en sectoren aan om intensiever aan de slag te gaan met het opzetten van algoritmeregisters. Om overheden en bedrijven op weg te helpen publiceert de AP 8 handvatten in het document Aan de slag met algoritmeregistratie.

Sinds begin 2023 zijn 1.000 algoritmes opgenomen in het Algoritmeregister van de Nederlandse overheid. De gemeente Amsterdam en de Douane lopen hierin voorop en geven, samen met een groep andere publieke organisaties, het goede voorbeeld.

Toch ziet de AP dat de meeste overheidsorganisaties ontbreken. Meer dan de helft van de gemeenten heeft nog geen algoritmes geregistreerd. Van de zelfstandige bestuursorganen heeft meer dan driekwart helemaal niets geregistreerd. Bij bijna alle geregistreerde algoritmes ontbreekt een grondrechtenbeoordeling. Die is maar in 5 procent van de gevallen gedaan.

Met 1.000 geregistreerde algoritmes is de pioniersfase voorbij. Om een volgende stap te zetten pleit de AP daarom voor het instellen van een registratieplicht voor overheidsorganisaties.

De AP bespreekt de stand van zaken in publieke algoritmeregistratie in de vijfde Rapportage AI & Algoritmes Nederland (RAN), die volgende week verschijnt.

Weinig zicht op algoritmeregistratie in andere sectoren

In sectoren zoals de woningmarkt, vervoer, zorg, onderwijs, financiële dienstverlening en veel sectoren buiten de overheid is er weinig zicht op algoritmeregistratie. Daardoor is vaak niet duidelijk waar en hoe organisaties algoritmes gebruiken. Positief is wel dat er interesse is. Zo werkt het onderwijsveld actief aan het opzetten van eigen algoritmeregisters.

Waarom algoritmeregistratie nodig is

Algoritmes en AI worden op steeds grotere schaal toegepast en bieden veel kansen, maar brengen ook risico’s met zich mee. Zoals discriminatie, schending van privacy en problemen met cybersecurity. Het registreren van algoritmes is een belangrijke eerste stap om dat soort risico’s te beperken. Het registreren van algoritmes biedt proactief inzicht, waardoor zowel interne als externe controle mogelijk wordt.

Bij registratie is het belangrijk niet alleen het doel van het systeem te beschrijven, maar ook andere belangrijke elementen. Zoals de gebruikte trainingsdata, de werking van het algoritme, welke controles er zijn en wie ervoor verantwoordelijk is.

Algoritmeregistratie maakt ook transparantie en verantwoording mogelijk richting burgers, klanten, toezichthouders, volksvertegenwoordigers, wetenschap, media en anderen. De handvatten van de AP helpen organisaties algoritmeregistratie laagdrempelig op te pakken en intern bewustzijn te vergroten.

Algoritmeregisters blijven nodig naast Europese AI-databank

De AP benadrukt dat algoritmeregisters bedoeld zijn om zichtbaar te maken welke algoritmes organisaties gebruiken bij het uitvoeren van hun taken. Het doel van algoritmeregisters verschilt op 2 punten van dat van de Europese databank voor hoog-risico AI-systemen, die onderdeel is van de Europese AI-verordening.

De Europese databank van AI-systemen richt zich ten eerste op het productaanbod. Aanbieders moeten hoog-risico AI-systemen registreren voordat die in de handel worden gebracht, of in gebruik worden genomen. Ten tweede hebben algoritmeregisters een bredere reikwijdte: niet alle impactvolle algoritmes zijn (hoog-risico) AI-systemen. Denk aan relatief simpele beslisalgoritmes die geen AI bevatten, maar wel worden gebruikt voor het toekennen of terugvorderen van subsidies en toeslagen.

Oproep aan organisaties: wacht niet, begin vandaag

De AP roept publieke én private organisaties op om actief werk te maken van algoritmeregistratie. Het document Aan de slag met algoritmeregistratie biedt handvatten om dit aan te pakken. Registratie is geen doel op zich. Het is de eerste cruciale bouwsteen naar verantwoord, transparant en controleerbaar algoritmegebruik.