Het Algoritmeregister: wat gemeenten en overheden moeten regelen onder de EU AI Act
Zahed Ashkara8 april 20267 min leestijd
Nederland liep voorop. Nog voor de EU AI Act op tafel lag, publiceerden Nederlandse overheidsorganisaties hun algoritmes al in een nationaal register. Het Algoritmeregister, opgezet door het ministerie van Binnenlandse Zaken, gaf burgers inzicht in hoe geautomatiseerde systemen publieke beslissingen beinvloedden.
Een goed begin. Maar het was vrijwillig, inconsistent en vaak onvolledig. De EU AI Act verandert de spelregels fundamenteel.
Van transparantie-initiatief naar wettelijke verplichting
Het Algoritmeregister was altijd een transparantie-instrument. Organisaties bepaalden zelf wat ze registreerden, hoeveel detail ze gaven en wanneer ze bijwerkten. Sommige gemeenten zoals Amsterdam en Utrecht namen het serieus. Andere behandelden het als een vinkjeslijst, met vage beschrijvingen en geen betekenisvolle risicobeoordeling.
De EU AI Act maakt van deze vrijwillige praktijk een bindend juridisch kader. Onder Artikel 6 en Bijlage III wordt elk AI-systeem dat wordt ingezet op gebieden als sociale zekerheid, rechtshandhaving, migratie of toegang tot essentiele diensten geclassificeerd als hoog-risico. Voor overheidsorganisaties bestrijkt dit een opvallend groot deel van hun bestaande systemen.
Denk aan wat een doorsnee Nederlandse gemeente gebruikt voor geautomatiseerde besluitvorming: bijstandsbeoordelingen, fraudedetectie bij uitkeringsaanvragen, parkeerhandhaving, vergunningverlening, wervingsselectie en voorspellende politiemodellen. Onder de EU AI Act moeten veel van deze systemen voldoen aan strenge eisen die ver uitstijgen boven een registervermelding.
De SyRI-les die alles had moeten veranderen
In februari 2020 verbood een Nederlandse rechter SyRI (Systeem Risico Indicatie), een overheidssysteem dat data van meerdere instanties combineerde om uitkeringsfraude op te sporen. De rechter oordeelde dat SyRI het recht op privacy schond onder het Europees Verdrag voor de Rechten van de Mens. Het systeem richtte zich onevenredig op lage-inkomenswijken en miste adequate transparantiewaarborgen.
SyRI werd een internationaal voorbeeld van algoritmische schade. Maar de ongemakkelijke waarheid is dat veel gemeenten na de uitspraak vergelijkbare risicoprofileringssystemen bleven draaien. Het fraudedetectie-algoritme van Rotterdam, dat uitkeringsgerechtigden markeerde op basis van gedragspatronen, kreeg kritiek vanwege soortgelijke biasproblematiek. Amsterdam schaalde stilletjes meerdere surveillance-algoritmes terug na druk vanuit de samenleving.
Gerelateerde artikelen
Klaar om te beginnen met leren?
Sluit je aan bij duizenden professionals die AI-vaardigheden leren met interactieve cursussen.
De EU AI Act maakt het SyRI-scenario juridisch onhoudbaar. Systemen voor de beoordeling van sociale uitkeringen vallen recht onder Bijlage III, Categorie 5. Dat betekent conformiteitsbeoordelingen, technische documentatie, eisen voor menselijk toezicht en verplichte registratie in de EU-database voor hoog-risico AI-systemen.
Wat verandert er voor gemeenten
De overgang van Algoritmeregister naar EU AI Act-compliance brengt concrete verplichtingen met zich mee waar de meeste overheidsorganisaties nog niet aan begonnen zijn.
Systeemclassificatie is de eerste hindernis. Elk geautomatiseerd besluitvormingssysteem moet worden geevalueerd tegen de hoog-risicocategorieen in Bijlage III. Dat is niet altijd eenvoudig. Een simpel regelgebaseerd systeem dat vergunningsaanvragen routeert, kwalificeert misschien niet als AI onder de definitie van de wet. Maar een machine learning-model dat frauderisico voorspelt, vrijwel zeker wel. De grijze zone tussen deze twee uitersten is waar de meeste gemeenten zullen worstelen.
Risicomanagementsystemen worden verplicht. Artikel 9 vereist dat aanbieders en gebruikers van hoog-risico AI-systemen een risicomanagementsysteem opzetten en onderhouden gedurende de hele levenscyclus van het systeem. Voor een gemeente betekent dit gedocumenteerde risicobeoordelingen, mitigatiemaatregelen en doorlopende monitoring voor elk kwalificerend systeem. Niet eenmalig, maar continu.
Datagovernancestandaarden moeten worden nageleefd. Artikel 10 stelt eisen aan trainings-, validatie- en testdata. Overheidsorganisaties die historische data gebruiken om voorspellende modellen te trainen, moeten aantonen dat deze data representatief is, zoveel mogelijk vrij van bias, en geschikt voor het beoogde doel. Aangezien veel overheidsdata bestaande maatschappelijke ongelijkheden weerspiegelt, vergt het voldoen aan deze standaard actieve inspanning.
Menselijk toezicht is niet optioneel. Artikel 14 vereist dat hoog-risico AI-systemen zo zijn ontworpen dat ze effectief door mensen kunnen worden overzien. In de praktijk betekent dit dat een fraudedetectiesysteem niet simpelweg zaken kan markeren voor automatische afwijzing. Er moeten gekwalificeerde mensen zijn die het systeem begrijpen, de output kunnen interpreteren en de bevoegdheid hebben om geautomatiseerde beslissingen te overrulen.
Transparantieverplichtingen worden fors uitgebreid. Naast het Algoritmeregister moeten gebruikers individuen informeren wanneer zij onderworpen zijn aan een hoog-risico AI-systeem (Artikel 13). Het vereiste niveau van documentatie, inclusief gebruiksinstructies, technische specificaties en prestatiemetrieken, gaat veel verder dan wat de meeste registervermeldingen nu bevatten.
De classificatie-uitdaging
Een van de grootste praktische uitdagingen voor overheidsorganisaties is bepalen welke van hun systemen daadwerkelijk onder de AI-definitie van de EU AI Act vallen. De wet definieert AI-systemen breed, van machine learning tot logica-gebaseerde benaderingen en statistische methoden. Maar er geldt ook een drempel: het systeem moet een "mate van autonomie" hebben in zijn werking.
Dit creert oprechte ambiguiteit. Een deterministische beslisboom die vaste regels toepast op bijstandsaanvragen kwalificeert misschien niet. Een systeem dat machine learning gebruikt voor risicoprofilering vrijwel zeker wel. Maar wat met een systeem dat statistische scoring combineert met handmatig gedefinieerde drempels? Of een chatbot die burgers naar diensten verwijst?
De richtlijnen van de Europese Commissie over de AI-definitie, gepubliceerd begin 2025, bieden enige duidelijkheid. Maar gemeenten zullen nog steeds beoordelingen moeten maken, en die beoordelingen moeten gedocumenteerd, verdedigbaar en conservatief zijn. Bij twijfel is het veiliger om een systeem als potentieel hoog-risico te behandelen.
Praktische stappen voor augustus 2026
Overheidsorganisaties die nog niet begonnen zijn met voorbereiden, raken door hun tijd heen. Zelfs met de mogelijke uitstel van deadlines via de Digital Omnibus, die sommige hoog-risico-eisen naar eind 2027 of 2028 zou kunnen verschuiven, kunnen het Algoritmeregister en het fundamentele risicobeoordelingswerk niet wachten.
Begin met een complete inventarisatie. Niet alleen de systemen in het Algoritmeregister, maar elk geautomatiseerd proces dat beslissingen over burgers beinvloedt. Neem de systemen mee waar niemand aan denkt als AI: de scoringsmodellen verborgen in legacysoftware, de leverancierstools die niemand volledig begrijpt, de Excel-modellen met macro's die zijn uitgegroeid tot beslissingsondersteunende systemen.
Classificeer elk systeem tegen de Bijlage III-categorieen. Wees eerlijk over wat een hoog-risicosysteem is. Documenteer je redenering. Betrek juristen en domeinexperts bij het classificatieproces, niet alleen IT.
Begin voor hoog-risicosystemen met het conformiteitsbeoordelingsproces. Dit omvat technische documentatie (Artikel 11), kwaliteitsmanagementsystemen (Artikel 17) en registratie in de EU-database (Artikel 49). Dit zijn geen taken die in een paar weken kunnen worden afgerond.
Investeer in AI-geletterdheid binnen de organisatie. Artikel 4 van de EU AI Act vereist dat personeel dat betrokken is bij het bedienen of toezicht houden op AI-systemen voldoende begrip heeft van de technologie. Voor overheidsorganisaties, waar medewerkers dagelijks met algoritmische output werken, is dit een bijzonder urgente eis.
De kans in de verplichting
Compliance wordt vaak als last gezien. Maar voor overheidsorganisaties biedt de EU AI Act iets wezenlijkers: een kans om het publieke vertrouwen in algoritmische besluitvorming te herstellen.
De SyRI-uitspraak liet zien wat er gebeurt als overheidsalgoritmes in de schaduw opereren. Het Algoritmeregister was een eerste stap richting transparantie. De EU AI Act biedt het kader om verder te gaan, zodat geautomatiseerde systemen in de publieke sector eerlijk, gedocumenteerd, gemonitord en onderworpen aan betekenisvol menselijk toezicht zijn.
De gemeenten die dit kader proactief omarmen, vermijden niet alleen boetes. Ze laten burgers zien dat hun overheid algoritmische verantwoording serieus neemt. In een tijd van afnemend institutioneel vertrouwen telt dat zwaarder dan welk compliance-certificaat ook.