Zo maak je als privacyteam het verschil voor AI-compliance en data-ethiek
Elise Niemeijer | RDW
De wet- en regelgeving rond algoritmes en Artificial Intelligence (AI) stelt privacy professionals voor nieuwe uitdagingen. Een monsterklus, of een kans om de bescherming van persoonsgegevens extra op de kaart te zetten? Elise Niemeijer, Functionaris voor de Gegevensbescherming (FG) van de RDW en spreker tijdens het Dataprotectie & Privacy Congres 2025, deelt de actuele lessen uit de praktijk.
“Een aantal jaren geleden werd nog wel eens gezegd dat algoritmes en Artificial Intelligence (AI) niet per definitie persoonsgegevens verwerken. In onze praktijk zien we dat er eigenlijk altijd persoonsgegevens aan te pas komen. Daarom is het logisch om de naleving van de AI-verordening onderdeel te maken van onze werkwijze voor de Algemene verordening persoonsgegevens (AVG)”, zegt Elise Niemeijer, Functionaris voor de Gegevensbescherming (FG) van de RDW, de organisatie die onder meer verantwoordelijk is voor de registratie van gemotoriseerde voertuigen en rijbewijzen in Nederland.
Privacy, algoritmes en AI in één proces
Niemeijer is een van de sprekers tijdens het Dataprotectie & Privacy Congres 2025, waar ze vertelt over de inzichten en ervaringen van de RDW op het gebied van AI governance, AI geletterdheid en AI compliance. De RDW startte vier jaar geleden met een werkgroep om de komst van de AI-verordening voor te bereiden. Niemeijer is al vanaf het begin betrokken bij de werkgroep. “Het uitgangspunt daarbij is dat artikel 22 van de AVG, over geautomatiseerde besluitvorming, betekent dat de AVG-verplichtingen van toepassing zijn op de ontwikkeling en het gebruik van AI en algoritmes. De AI-verordening voegt daaraan extra regels toe, met name voor toepassingen met een hoog risico.” Overheden en uitvoeringsorganisaties van de overheid, zoals de RDW, gebruiken daarbij ook richtlijnen, instrumenten en best practices over de zorgvuldige omgang met algoritmes. Bijvoorbeeld het AI Impact Assessment.
De RDW heeft bewust gekozen voor een integrale benadering van AI en algoritmes, licht Niemeijer toe. “Bij een algoritme is sprake van een systeem met regels die volledig zijn geprogrammeerd door mensen. AI voegt daaraan toe dat een systeem wordt getraind – of wordt voorzien van zelflerend vermogen – om op basis van data specifieke taken uit te voeren. In de praktijk is de scheidslijn natuurlijk niet altijd zo duidelijk. Het is bijvoorbeeld goed mogelijk dat een algoritme bij een update wordt voorzien van een AI-onderdeel. Daarom ligt de verbinding tussen privacy, algoritmes en AI van voor de hand.”
Privacy, AI-compliance en data-ethiek
Niemeijer werkt al ruim tien jaar als privacy professional. Ze was onder meer legal counselor en centrale privacy officer bij de RDW, en vervult daar sinds 2021 de FG-functie. “De RDW beschikt over omvangrijke databases met veel gevoelige persoonsgegevens. Denk aan het register met twaalf miljoen rijbewijzen, waarin pasfoto’s en soms ook gezondheidsgegevens van burgers zijn opgenomen. We beschikken over een ICT-afdeling die veel systemen en applicaties zelf bouwt. We gebruiken daarbij algoritmes, maar we zijn voorzichtig met AI-toepassingen. Compliance is onze license to operate.”
Bij de RDW zijn AI-compliance en data-ethiek ondergebracht in de processen voor privacy. “De risico’s van algoritmes en AI zijn al vroegtijdig in kaart gebracht. Daardoor is duidelijk dat er geen sprake is van een grootschalige inzet van algoritmes – en ook niet van AI-toepassingen met een hoog risico. Daarom is er geen AI officer aangesteld. De privacy officers zijn extra opgeleid, zodat ze de taal van ICT’ers en AI-leveranciers goed begrijpen en de juiste vragen stellen om nieuwe projecten met algoritmen in goede banen te leiden. Ook de processen zijn op orde gebracht. Er is bijvoorbeeld een goede werkwijze ontstaan om risico’s multidisciplinair af te wegen en om Data Protection Impact Assessments (DPIA’s) effectief uit te voeren.”
Innovatie versus compliance
“Het hoogtepunt van de AI-hype lijkt inmiddels voorbij, maar er is nog altijd heel veel aandacht voor de leuke en innovatieve kant. Een tegenkracht is dan ook best eens nodig. Samen met collega’s zoals risk officers en security officers, zorgt het privacyteam daarvoor”, zegt Niemeijer over een uitdaging bij AI-compliance. “Er is soms een perceptie dat de AVG een rem zet op nieuwe initiatieven. Maar de adviezen van het privacyteam laten juist zien wat er wél mogelijk is.”
In de afgelopen jaren heeft de RDW een Plan Do Check Act-cyclus ontwikkeld om alle activiteiten rond AI-compliance en data-ethiek structureel te borgen. “Vanuit de verplichtingen van de AI-verordening heeft het privacyteam de toepassing van algoritmes en AI in de organisatie geïnventariseerd en geregistreerd. Daarmee is de basis gelegd voor ons algoritmeregister. Vervolgens zijn de templates voor pre-DPIA’s en DPIA’s geactualiseerd. Daarnaast zijn de privacy officers speciaal getraind op AI geletterdheid. Ook belangrijke interne stakeholders, zoals IT-architecten, security officers en specialisten in inkoop en contractmanagement, zijn extra opgeleid. Daarna is het beleid voor AI-compliance en data-ethiek uitgewerkt. Er zijn bijvoorbeeld AI-ontwerpprincipes vastgesteld, die serviceteams gebruiken in de ontwikkeling van systemen en applicaties.”
AI-washing
Een complex vraagstuk in het speelveld van privacy, algoritmes en AI vindt Niemeijer het leveranciersmanagement. “Als gebruiker van algoritmen en AI sta je voor de opgave om te toetsen of de leveranciers van AI-systemen en -applicaties voldoen aan de AVG én de AI-verordening. We merken dat er steeds meer AI-washing op de loer ligt. Een leverancier verkoopt dan een AI-product dat in feite alleen een algoritme is, of een IT-product met een zeer klein AI-onderdeel. Bovendien zijn niet alle leveranciers even deskundig op het gebied van privacy- en AI-compliance.”
Een terugkerend issue is de tijd die er nodig is om stappen te zetten naar AI-compliance. “De AI-verordening is in augustus 2024 in werking getreden, met een overgangstermijn van twee jaar. Sinds februari 2025 zijn organisaties verplicht om te zorgen voor AI-geletterdheid. Er zijn nog altijd organisaties die de basis niet op orde hebben. Er wordt wel gezegd: we hebben het allemaal al zo druk, en dan komt de implementatie van de AI-verordening er ook nog eens bij. Maar als je vanuit de AVG al werkt met een risicogerichte aanpak, dan kan je met een kleine groep mensen toch heel veel neerzetten. Je hebt bijvoorbeeld vanuit DPIA’s al inzicht in de risico’s van algoritmes en AI-toepassingen.”
Niemeijer ziet de samenwerking met ICT-specialisten daarbij als een belangrijke sleutel tot succes. “We hebben een werkwijze met de ICT-afdeling ontwikkeld, die ervoor zorgt dat we aan de voorkant al samenwerken aan risicomanagement en privacy by design. Als er vanuit de organisatie een verzoek komt voor een nieuw product, dan gaat de IT-architect in gesprek met de betrokkenen over het probleem dat er speelt. Het is immers aan het ICT-team om de oplossing te bepalen. Welke technologische oplossingen zijn er mogelijk? Wat is de beste optie? Wie gaat daarmee aan de slag, het IT-team of een leverancier? Hiermee verminderen we het risico dat we achteraf te maken krijgen met allerlei compliance-issues of ethische vraagstukken.”
Kleine effort, groot effect
De actieve bijdrage van het privacyteam aan AI-compliance en data-ethiek heeft een onverwacht neveneffect gesorteerd, merkt Niemeijer op. “AVG-compliance is zichtbaarder geworden en het privacyteam krijgt steeds meer positieve feedback. De organisatie merkt dat de bescherming van persoonsgegevens veel verder gaat dan een verplichte checklist. Dataprotectie gaat ook over vernieuwende en spannende ontwikkelingen zoals AI. Het privacyteam denkt daarover op een constructieve manier mee, en geeft praktische tips die de organisatie verder helpen. De efforts om AI-compliance en data-ethiek te integreren in onze processen voor privacy zijn relatief klein. Maar het positieve effect is groot. Voor het imago van het privacyteam, maar zeker ook voor de bescherming van de persoonsgegevens van burgers waarvoor we ons inzetten.”
Wilt u ook het verschil maken voor een effectieve inzet van technologie, waaronder AI – met oog voor privacy en AVG-compliance? Bezoek op 2 en 3 oktober het Dataprotectie & Privacy Actualiteitencongres in Utrecht.
AI Bedrijfstransformatie en leiderschap
Leer hoe u verandermanagement, leiderschap en praktische AI-toepassingen combineert voor een succesvolle transformatie binnen...
Dataprotectie & Privacy
Tijdens de 13e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Download de brochure van het Dataprotectie & Privacy Congres
Share
