Print 🖨 PDF 📄 eBook 📱

Algoritmetoezicht Autoriteit Persoonsgegevens is wassen neus

algoritmetoezichtOp 17 juli 2023 publiceerde de Autoriteit Persoonsgegeven(AP) trots haar eerste Rapportage Algoritmerisico’s Nederland(RAN). Opgesteld door de Directie Coördinatie Algoritmes(DCA). Sinds begin 2023 heeft de AP de rol van toezichthouder op algoritmes op zich genomen. Met stuwend taalgebruik vertelt de AP waar ze mee bezig is. Als je het zeventien pagina’s tellende stuk kritisch leest slaat de schrik je om het hart. Je kunt dan zien dat de AP-weinig tot geen af te dwingen mogelijkheden heeft. De mogelijkheid om echt door te pakken ontbreekt. De AP doet vooral een beroep op bedrijven, instituties en overheden die algoritmes maken om verantwoordelijk bezig te zijn. Meer de richting van bewustwording dan de richting van handhaving op dus. Het algoritmeregister dat de overheid bijhoudt is niet verplicht. Bedrijven, instituties en vooral overheden kunnen discriminerende algoritmes gewoon niet melden. Het zal nog jaren duren vooraleer de AP enig bijtgedrag kan ontwikkelen.

Bewustwording

De DCA schrijft ook zelf dat ze haar rapportages vooral maakt om private en publieke organisaties bewust te maken van de risico’s die kleven aan het gebruik van algoritmes. Bij de SyRI-zaak, de toeslagenaffaire, de DUO-kwestie bleek telkens dat algoritmes zeer negatieve gevolgen hadden. De rapportage geeft volgens de AP analyses en aanbevelingen voor organisaties en beleidsmakers. Dat om bij de inzet van algoritmes de kans te verkleinen op ongewenste effecten voor grondrechten, publieke waarden en fundamentele vrijheden. De AP stelt (op pag. 5) dan ook dat het pionieren is om een totaalpakket aan beheersmaatregel te ontwikkelen voor systemen die al in alle domeinen van de samenleving zijn doorgedrongen. Alweer schrijft ze dat beleidsmakers door moeten pakken om argumenten en principes zoals registers, toetsingskaders en transparantie verplicht te maken bij het ontwikkelen van algoritmes. De AP verwijst daarbij dus telkens naar de eigen verantwoordelijkheid van de makers van algoritmes.

Verwijzing naar AI-verordening EU

De DCA stelt dat Nederland zeker niet alleen staat bij de handhaving t.a.v. algoritmes. Men verwijst naar de Artificial Intelligence(AI)-verordening van de Europese unie die in de maak is. Eind 2023 verwacht men een politiek akkoord daarover. Maar de DCA stelt nu al dat het geen panacee zal zijn. In de eerste plaats omdat die verordening toestaat dat als compliance-mechanisme voor een grote groep toepassingen met een hoog risico een eigen beoordeling door de producent van het systeem volstaat.

Dus geen externe beoordeling door een externe organisatie, een zog. “certifying body” om te zien of een algoritme echt doet wat het zou moeten doen. Ook wordt de Europese regelgeving pas over een paar jaar bindend. En dan is de AI-/algoritme- ontwikkeling inmiddels al weer veel verder.

Algoritmeregister niet verplicht

Het kabinet stelde in december 2022 een algoritmeregister in met de bedoeling dat algoritmes wettelijk gecontroleerd kunnen worden op discriminatie en willekeur. Echter, aanmelden van algoritmes bij het register is niet verplicht. Bij de start meldde men 109 aan. Maar een half jaar later staat de teller slechts op 117.  De AP schrijft in de Rapportage heel voorzichtig dat ze positief is over het algoritmeregister en dat er een deadline moet komen voor de vulling met hoog-risico-algoritmes. Ook zegt ze de voortgang binnen de overheid nadrukkelijk te volgen en erover te rapporteren. Maar afdwingen dat de overheid het gaat doen kan de AP helemaal niet. Je kunt op je vingers natellen dat ministeries die risicovolle algoritmes hanteren of ontwikkelen deze helemaal niet zullen melden aan de DCA van de AP. Het verplicht worden van het melden van algoritmes bij het register zie ik er nooit van komen.

Fooi

De AP heeft als privacy-toezichthouder financieel nooit veel armslag gekregen. De AP was en is underpaid, undermanned en understaffed. Continu hoor je dat de AP niet aan zaken toekomt door gebrek aan tijd en mankracht. Voor het extra werk als algoritme toezichthouder blijkt de AP nu 1 miljoen euro per jaar te krijgen, oplopen tot structureel 3,6 miljoen in 2026. Dat kan je in het licht van de omvang van het algoritmegebruik, alleen al bij de overheid, echt een fooi noemen en een onfatsoenlijke financiering. Ik heb vernomen dat de AP nu op de DCA nu 8 personeelsleden in dienst heeft. Daar kan je echt geen deuk mee in een pakje boter slaan.

Legitimatie-machine

Het ziet er dus naar uit dat de AP ten aanzien van de algoritmes vooralsnog voor lange tijd een tandeloze toezichthouder zal zijn als er niets verandert aan de voorwaarden waarbinnen zij moet opereren. In de tussentijd maakt het gegeven dat er op papier nu een “echte“ toezichthouder voor algoritmes bestaat dat bedrijven, instituties of overheden er mee kunnen schermen dat de AP geen bezwaar hebben heeft gemaakt tegen bepaalde algoritmes. Daarmee legitimeert men het gebruik van die algoritmes en verwordt de AP tot een “officiële” legitimatie-machine. Het is betreurenswaardig dat de overheid een toezichthouder creëert die de facto vleugellam is. Evenzo is het betreurenswaardig dat de AP akkoord is gegaan met een substantiële functie-uitbreiding zonder passend budget.

Zo verwordt toezicht tot een wassen neus.

W.J. Jongejan, 28 juli 2023

Afbeelding van Darko Djurin via Pixabay