Mijn Leeromgeving

Outvie zomeractie: Kies uit een Winkelcheque of een Bol.com cadeaubon t.w.v. €50,-* Bekijk de actie.

Zo werkt de NPO aan verantwoorde AI

Foto van Joost Negenman, Privacy & AI Governance Officer | NPO

Joost Negenman, Privacy & AI Governance Officer | NPO

Pas als je de basis voor AI-compliance op orde hebt, kan je de verantwoordelijkheden goed beleggen in de organisatie. Dat zegt Joost Negenman, Privacy & AI Governance Officer bij de NPO en spreker tijdens het Nationaal Congres AI Governance & Compliance.

 

“In de jaren vóór de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) waren er veel dwingende en dubieuze commerciële adviezen in omloop over de wettelijke vereisten. Zoiets gebeurt nu ook met Artificial Intelligence (AI) en de AI-verordening”, signaleert Joost Negenman.

 

Negenman is Privacy & AI Governance Officer bij de NPO, de organisatie die verantwoordelijk is voor onder andere de distributie van publieke radio- en televisiezenders en on demand (zoals NPO Start). “AI-adviseurs geven nu soms een voorstelling van zaken en schetsen scenario’s die niet stroken met de werkelijkheid. Daardoor ontstaat een onrealistisch beeld van de nieuwe verplichtingen en het toezicht. Dat zorgt voor onnodige verwarring en onrust.”

Twee soorten AI, elk met een eigen aanpak

Negenman maakt een helder onderscheid tussen twee soorten AI-toepassingen bij de NPO. “Allereerst gaan medewerkers aan de slag met tools zoals ChatGPT, Claude en Copilot. Daarnaast wordt AI ingezet om nieuwe toepassingen te ontwikkelen. Denk aan de aanbevelingsengines op onlineplatforms, de geautomatiseerde spraakherkenning voor ondertiteling en de analyse van (niet-gepersonaliseerde) kijkdata.”

 

Voor elk van de twee domeinen is volgens Negenman een eigen regime en aanpak nodig. “Om het gebruik van AI-tools op de werkvloer in goede banen te leiden, zijn er richtlijnen en do’s & dont’s. We willen geen tools vooraf verbieden, maar medewerkers de ruimte geven om te experimenteren en om zelf te ontdekken wat er werkt voor hun specifieke takenpakket. Bij ontwikkeltrajecten voor AI-toepassingen zetten we de regels van de AVG en de AI-verordening voorop. Daarvoor is een stappenplan beschikbaar. Belangrijke onderdelen daarvan zijn risico-analyses, regels voor het gebruik van data-input, en criteria voor de omgang met output.”

Van AVG-implementatie naar AI-compliance

Negenman startte in 2017 als Privacy Officer bij de NPO. In 2022 – nog voor de doorbraak van ChatGPT in Nederland – werd zijn takenpakket uitgebreid tot Privacy & AI Governance Officer. De focus van zijn werk lag in eerste instantie op compliance. “De ervaringen met de implementatie van de AVG maken het mogelijk om de organisatie daarin goed mee te nemen. De beslissingsmakers en koplopers die je al kent van de AVG-implementatie, zijn ook voor de AI-compliance belangrijke stakeholders om te activeren.”

 

Negenman adviseert organisaties die aan de slag zijn met AI-governance om voort te bouwen op de ervaringen met de AVG. “Kijk wat je al in huis hebt aan privacymanagement, zoals risico-analyses. Het gaat er niet om dat je álles wat er in de organisatie met AI gebeurt vastlegt. Je wilt focussen op de grootste risico’s. Waar zijn de mogelijke effecten voor betrokkenen het meest verstrekkend? Denk aan situaties waarin AI autonome beslissingen neemt op basis van persoonsgegevens. Waar kunnen dingen misgaan voor de organisatie? Wat voorzien we als AI-output verkeerd wordt geïnterpreteerd? Welke risico’s wil je níet accepteren?”

 

Het AVG-principe van doelbinding krijgt bij AI een extra dimensie, aldus Negenman. “Voor medewerkers is het vaak ingewikkeld om de doelstelling van een gegevensverwerking vast te stellen. Je wilt dan immers niet zozeer beschrijven wat je doet, maar wat je wilt bereiken. Dat is nogal abstract. Bij een AI-toepassing is zo’n doelstelling soms nog lastiger te formuleren, omdat de totstandkoming van de output een blackbox is. Je hebt daarom een gedeeld verhaal nodig over de ambities die je met AI nastreeft. Zodat voor de gehele organisatie duidelijk is van wat je precies beter wilt maken voor klanten en medewerkers.”

AVG, AI-verordening en Cyberbeveiligingswet

Naast de AVG en de AI-verordening, speelt ook de Cyberbeveiligingswet een belangrijke rol bij AI-compliance. “Je zoekt steeds naar synergie tussen de verschillende wettelijke regimes. De digitale omnibus van de Europese Unie is bedoeld om de tegenstrijdigheden tussen de wet- en regelgeving voor privacy, AI en cybersecurity te verminderen. Maar het is nog niet duidelijk wat er precies uit het initiatief komt.”

 

Zo lang de omnibus er niet is, staat een organisatie voor de opgave om tot een werkbare aanpak te komen. “Bij de NPO leggen we de nadruk op de registratie en analyse van gegevensverwerkingen en AI-toepassingen met een hoog risico. Daarnaast hebben we het verwerkingsregister dat verplicht is op grond van de AVG aangepast. Daarin leggen we nu ook de informatie vast over de AI-toepassingen die we zelf ontwikkelen. Dat voorkomt dat je twee aparte registers moet bijhouden.” 

Drie best practices voor AI-compliance en AI-governance

Het Nationaal Congres AI Governance & Compliance 2026 geeft praktische inzichten over de actuele uitdagingen. In discussies, workshops en masterclasses delen experts van toonaangevende organisaties de ervaringen en best practices.

 

Negenman vertelt tijdens het congres over de lessen die hij in zijn functie als Privacy & AI Governance Officer bij de NPO heeft geleerd. “Het belangrijkste inzicht is dat de inzet van AI complex is en dat de organisatie de datahuishouding echt eerst op orde moet hebben. Om een verantwoorde toepassing te ontwikkelen, moeten data van goede kwaliteit én goed gestructureerd zijn.”

 

Een andere les is om overzicht te houden over de AI-tools die medewerkers gebruiken. “Als je in beeld hebt welke tools populair zijn, dan kan je vervolgens de top vijftien vaststellen. Je kunt dan gericht werken aan een verantwoord en veilig gebruik van die tools. Bijvoorbeeld door medewerkers te trainen en best practices uit te wisselen.”

 

Laat je niet gek maken, benadrukt Negenman. “Gebruik de toezichtagenda van de Autoriteit Persoonsgegevens om je focus te bepalen. Denk na over een intern verhaal over het wat en waarom van AI-toepassingen. Betrek je stakeholders daarbij, zodat ze een gevoel krijgen bij het belang van AI-compliance.”

AI-compliance en AI-governance

In de afgelopen jaren heeft Negenman zich, in nauwe samenwerking met onder meer de Functionaris voor de Gegevensbescherming (FG), de security officer, het IT-team en AI-ontwikkelaars, vooral gericht op wat er nodig is voor AI-compliance. “Nu gaan we steeds meer aan de slag met de governance. Het begint met het draagvlak voor de rationale achter de AI-doelstellingen van de organisatie. Vervolgens gebruiken we de risicomodellen om de verantwoordelijkheden op de juiste niveaus te beleggen.”

 

“Je kunt wel zeggen: de Raad van Bestuur is eindverantwoordelijk. Maar zo simpel is het natuurlijk niet”, voegt Negenman toe. “Hoe hoger we het risico van een AI-toepassing inschatten, hoe steviger de compliance en governance moeten worden geregeld. Ook de acceptatie van restrisico’s is een zaak voor het management. Maar voor systemen met een laag risico maakt het commitment van het middelmanagement juist het verschil.”

 

Wilt u ook klaar zijn voor de kansen en uitdagingen van AI? Leer van de koplopers en ontmoet experts en vakgenoten tijdens het Nationaal Congres AI Governance & Compliance 2026 op 9 april in Utrecht.

Download de brochure

Share

Outvie logo