Wie krijgt het toezicht op kunstmatige intelligentie?

Beeld: Dreamstime

Nieuwe medicijnen en individuele voedingspatronen ontdekken, illegale verhuurwoningen opsporen, beter sporten, risicovolle straten benoemen, witwassen en wietteelt traceren, chauffeurloos rijden en steden optimaliseren; voor alles gaan we software met beslisregels loslaten op databergen. Maar wie de waakhond wordt is nog een open vraag.

Nauwelijks verholen bleef in februari de confrontatie in de pers over het AI-toezicht tussen Angeline van Dijk, directeur-hoofdinspecteur van het AT, en AP-voorzitter Aleid Wolfsen. De eerste gaf het startschot met een vraaggesprek in het Dagblad van het Noorden waarin ze stelde dat haar AT onderzoekt of het toezicht kan houden op kunstmatige intelligentie. Ex-PvdA Kamerlid en ex-burgemeester Wolfsen speelde het handiger: NRC leende zich voor een interview op 17 februari, precies voorafgaand aan een hoorzitting van de Tweede Kamer over het toezicht op toepassing van AI.

Aangevuld met precies op die ochtend een plan van zijn AP onder de titel Toezicht op AI & Algoritmes, met gedetailleerde voornemens voor voorlichting over, en toezicht op algoritmes. Deze hoorzitting was georganiseerd door de Tijdelijke Commissie Digitale Toekomst. Behalve commissievoorzitter Kathalijne Buitenweg (GroenLinks), Jan Middendorp (VVD) en Kees Verhoeven (D66), de digitale voorhoedespelers in de Tweede Kamer, had slechts anderhalf commissielid voor de hoorzitting de maandagochtendkou getrotseerd: Gerrit Jan van Otterloo (50PLUS) en Danai van Weerdenburg (PVV) voor een halve vergadering.

De AP valt onder Justitie en Veiligheid, het AT onder Economische Zaken en Klimaat. Tijdens de genoemde hoorzitting namen beide departementen met een tweede toezichthouder deel: Inspectie Justitie en Veiligheid en Autoriteit Consument en Markt (onder EZK). Onder de Kamerleden sijpelden de voorkeuren door: zo merkte commissievoorzitter Buitenweg op dat Middendorp (VVD) slim de bal toespeelde naar AP-baas Wolfsen.

Jaarlijks rapporteren

“Zodra er digitale bestanden worden verwerkt en er persoonsgegevens in zijn verwerkt, zijn wij daar altijd van. Dus in die zin leven wij in een redelijk digitale wereld”, aldus Wolfsen in een pleidooi voor de AP als ideale AI-toezichthouder. Hij koppelde er voor de Kamer nog een dreigement aan vast: “Algoritmes en applicaties zijn van alledag; daar moet echt iedereen zich mee bezighouden… Als bedrijven of overheidsinstellingen nu niet weten wat er met automatisering en algoritmes intern gebeurt, durf ik te zeggen dat dat het begin van een volgende crisis is.”

Onderbouwing ontbreekt, maar het onderbuikgevoel van Wolfsen vindt steun bij Middendorp: “Is het een goed idee als we alle algoritme-gebruikende instanties jaarlijks laten rapporten over hun inzet daarvan? Zodat we transparantie krijgen over wat er aan de hand is, mede om de onaangename gevolgen die de heer Wolfsen noemde te voorkomen?”
Wolfsen: “Ik vind dat een goed idee. Die verantwoording verdwijnt vaak in algemene jaarverslagen. Je moet het expliciet maken, zoals je ook met financiën doet. Organisaties moeten één keer per jaar onderzoeken en rapporteren wat ze met algoritmes doen.”

Daartegenover stelde Kees Verhoeven juist vragen aan AT-bazin Van Dijk waarop zij kon uitweiden over de brede expertise van haar organisatie: “Van oudsher is dat de verdeling van etherfrequenties, maar inmiddels zijn ook satellieten en de frequentieruimte onderwerpen; op basis van de Telecomwet, de Wet beveiliging netwerken en informatiesystemen, de Cybersecurity Act, de eIDAS-verordening en de Wet digitale overheid.”

Maakt dat het AT ook het meest geschikt om toe te zien op AI, dat meer software en data, dus inhoud behelst, plus ethiek? Van Dijk, in een vraaggesprek met iBestuur: “AI is een nieuwe component in de digitale infrastructuur die wij generiek overzien. We zien ook toe op cybersecurity, bij uitstek een terrein waar harde infrastructuur, software en procedures samenvloeien.”

Het AT wil het voortouw nemen voor generiek toezicht, het specifieke toezicht bij de sectoren laten, en het toezicht op persoonsgegevens bij de AP. Van Dijk: “We verkennen nu intern, in samenspraak met andere toezichthouders via de Inspectieraad, hoe ons toezicht eruit moet zien. Daar volgt een blauwdruk uit voor ons toezicht. We hebben een auditvorm voor ogen waarbij we de bouw van algoritmes al vanaf het begin volgen en uiteindelijk al dan niet certificeren.”

Drie opties

Behalve EZK en JenV was ook Financiën van de partij met twee toezichthouders: De Nederlandsche Bank (DNB) en Autoriteit Financiële Markten (AFM). Ook deze beide partijen anticiperen op de digitale storm. DNB investeert extra budget van Financiën in digitale expertise. En Johan de Groot, directielid van AFM, vertelt: “Wij werken met een fintechteam, een team digitaal onderzoek en een projectgroep datagedreven onderzoek. En we overleggen intensief met verzekeringsbedrijven over inzet van AI, bijvoorbeeld om discriminatie te voorkomen.” Ook de Autoriteit Consument & Markt (ACM) roert zich op dit drukke terrein. Directielid Freek Keppels: “We doen onderzoek naar betalingsdiensten van bigtechbedrijven, algoritmes voor prijsbepaling en aanbieders van videostreams. Dat kan allemaal op basis van de huidige normen die open zijn.”

De expertise over AI en algoritmes is niet alleen heel versnipperd; elke afzonderlijke toezichthouder investeert erin en breidt zijn terrein uit. KPMG doet al onderzoek of de AP meer geld en mensen nodig heeft, en bij het AT staat uitbreiding met AI-experts op stapel. En ook allerhande toezichthouders in specifieke sectoren – zoals de NZA (zorg) – investeren in data. Dus staat het parlement voor drie opties: gescheiden toezichthouders die samenwerken, toezichthouders samenvoegen (zoals voorheen met NMA, Opta en CA tot ACM), of één nieuwe toezichthouder voor data installeren.”

Rustig beginnen

Het vuurtje werd opgestookt in september 2019; toen dienden Verhoeven en Harry van der Molen (CDA) al een motie in om alle overheden te verplichten om hun besluitvorming op grond van algoritmes voortaan te melden bij een onafhankelijke toezichthouder. De Tweede Kamer ging akkoord, met het oog op risico’s van ongelijke behandeling en uitsluiting. Maar welke toezichthouder? Dat stond niet in de motie.

En een nieuwe wet? Richard van Zwol van de Raad van State, begint liever eenvoudig: “Geef in besluiten door overheden aan de burgers informatie over de gehanteerde beslisregels en welke data. Dit kunnen diensten, van Belastingdienst tot UWV, gewoon uitvoeren.”

Aan bestaande wetten kan het parlement regels toevoegen volgens de Staatsraad. Ook het toezicht kan eenvoudig beginnen: “Je kunt bestaande autoriteiten en hoge colleges vragen in samenwerking toe te zien op digitalisering. Lukt dat niet, dan kun je altijd nog over nieuwe instituties gaan nadenken.” Die rustige houding lijkt terecht waar het de Nederlandse overheid betreft. Recent bleek uit antwoorden op tientallen Kamervragen over algoritmegebruik door de politie dat die nog bescheiden is. Dit in tegenstelling tot de Amerikaanse context. Maar de regulering daarvan vraagt wel om een Europese dimensie.

EU-verband

Recent kwam de Europese Commissie met een datastrategie, een ambitieus geheel. Qua wetgeving wil de Commissie vooral de markt faciliteren met een ‘combinatie van wetgeving en governance om de beschikbaarheid van data te waarborgen, met investeringen in normen, instrumenten en infrastructuren en competenties voor de omgang met gegevens.’ De Commissie wil bestaande wetten voor bescherming van privacy, consumenten en mededinging optimaal inzetten. In een apart witboek AI maakt de Commissie met uitgebreide opsommingen van risico’s wel gewag van grote noodzaak voor nieuwe regels. Ofschoon al veel grondrechten (zoals voor databescherming, privacy en non-discriminatie), consumentenbescherming, productveiligheid en -aansprakelijkheid van toepassing zijn. Er blijft een wetgevingsgat, en de omvang daarvan behoeft onderzoek. Daar is haast bij, want lidstaten tuigen al eigen regelgeving op, zoals Duitsland via een Ethische Datacommissie en Denemarken met een uitgewerkte Data-ethiek.

Voor AI-toepassing met hoge risico’s is ex-ante toezicht nodig, verder volstaat toezicht achteraf. Dat moet kunnen bogen op een Europese bestuursstructuur, om gefragmenteerde beoordeling te voorkomen. Die vormt een spin in een netwerk van nationale autoriteiten, inclusief sectortoezicht zoals al bestaat voor bijvoorbeeld de zorg, luchtvaart en farmacie. Zo’n structuur moet een maximale deelname van de belanghebbenden garanderen. Qua uitvoering van controle denkt de Commissie aan testcentra voor audits van AI-systemen. Tot 19 mei mogen alle lidstaten nog commentaar leveren. En wie goed leest ziet dat de strijd op de vierkante kilometer in Den Haag tussen onze kandidaat-toezichthouders wellicht minder relevant is.

Kees Verhoeven: “Toezichtvraag is ingewikkeld”

Beeld: Lex Draijer/De Beeldredaktie

AP en AT willen beide het voortouw nemen in AI-toezicht, leggen we Kees Verhoeven voor in een vraaggesprek na de hoorzitting. Hij meent: “We lopen heel erg tegen dit vraagstuk aan. De strijd is nog ietsje breder zelfs: ook de Rekenkamer claimt het toezicht op algoritmes vanuit hun taak om de overheid door te lichten.”

Maar eerst de wetgeving, is die afdoende? Verhoeven: “Ik denk van niet. We lopen nog aan tegen kwesties als gezichtsherkenning in de openbare ruimte, algoritmes toepassen door gemeenten tegen bijstandsfraude. We hebben de AVG voor privacy, AWB voor bestuursrecht, Wet digitale overheid, Mediawet, Mededingingswet et cetera, met hun toezichthouders, met overlappingen en hiaten in data-analyse. Bij overlappingen is er veelal constructieve afstemming. Maar voor de hiaten kun je geen toezicht claimen zonder heldere regels.”

En vereist AI eerder een aanpak onder Justitie, dus vanuit privacy en veiligheid, of onder Economische Zaken, vanuit mededinging? Verhoeven: “Wat wil je begrenzen in AI-toepassing? Voor bescherming van individuen kom je terecht bij Justitie en de Autoriteit Persoonsgegevens; voor concurrentiemacht meer richting Economische Zaken; voor grondrechten bij Binnenlandse Zaken, met louter overheidscontrole bij de Rekenkamer. Het is dus ingewikkeld.”

In Brussel gaan meer en meer stemmen op om vanuit mededinging de uit hun krachten gegroeide digitale concerns aan te pakken, omdat privacytoezicht vanuit de AVG onvoldoende werkt. Voor Nederland kom je dan uit bij de ACM. Verhoeven: “Data, inclusief toepassing van algoritmes, vormen onmiskenbaar steeds meer de economische posities van bedrijven.”

Verhoeven richtte zich met een Initiatiefnota vooral op mededinging, omdat de data-economie voor consumenten inperking van keuzevrijheid brengt door monopolisering, plus groeiende gedragssturing door onzichtbare algoritmes. Verhoeven wil Google, Facebook en Amazon aanpakken met strenge regels voor digitale markten, met enorme boetes, tot 50 procent van de omzet.

De hamvraag: krijg je met nieuwe wetgeving ook een nieuwe toezichthouder? Verhoeven: “De bestaande toezichthouders vinden dat onnodig. Dus dan maar de bestaande toezichthouders bundelen? Nee, dat willen ze ook niet. Eerst moet de wetgeving sluitend worden, maar dan moet de Tweede Kamer besluiten nemen over de beste wijze van toezicht. En een nieuwe toezichthouder of bundeling wil ik niet uitsluiten.”

Dit artikel staat ook in iBestuur magazine 34