AI bij de overheid

Wie is er eigenlijk van?

Tekst Maarten Koningsveld

Maarten Koningsveld werkt als strategisch adviseur voor decentrale overheden

AI-toepassingen zijn niet meer weg te denken uit de overheid. Maar het roept ook fundamentele vragen op. Wie draagt de verantwoordelijkheid voor keuzes en risico’s? En hoe zorg je dat eigenaarschap duidelijk is geregeld in een organisatie?

Al jaren maken overheidsorganisaties gebruik van AI-toepassingen. Denk aan systemen als Signalen voor het automatisch toewijzen van e-mails aan de juiste ambtenaar of laksoftware die persoonsgegevens anonimiseert in Woo-documenten. Maar de komst van generatieve AI – die met een simpele klik of update beschikbaar kan komen in bestaande software – brengt een fundamenteel andere dynamiek met zich mee. De toegankelijkheid van deze technologie dwingt organisaties om opnieuw na te denken over eigenaarschap, verantwoordelijkheid en governance. Want wie is er eigenlijk verantwoordelijk als AI wordt ingezet binnen een publieke dienst? En is onze informatiehuishouding daar wel klaar voor?

EU

De EU treft ondertussen maatregelen: de AI-Verordening legt vanaf augustus 2026 transparantie-eisen op bij het gebruik van AI. Organisaties die AI integreren in hun dienstverlening (bijvoorbeeld aan inwoners en ondernemers) worden aangemerkt als ‘gebruiksverantwoordelijke’ (art. 3, lid 4). Daarmee rust op hen een expliciete verplichting tot risicoclassificatie en – indien sprake is van een beperkt of hoog risico – actieve communicatie over hoe je risico’s beheerst (in een register). De grote vraag die hierdoor op tafel komt, is: wie binnen de organisatie is verantwoordelijk voor het naleven van deze verplichtingen? Is dat de proceseigenaar die verantwoordelijk is voor de dienstverlening waarin AI wordt ingezet? De systeemeigenaar die de technische applicatie beheert? Of is het de data-eigenaar, die over de informatie beschikt die het AI-model gebruikt? Moeten we kijken naar de Chief Information Security Officer (CISO), Functionaris Gegevensbescherming (FG) of Product Owner? Of ligt de bal bij de I-adviseur of ict-samenwerking? In de praktijk zien we vaak dat niemand zich echt eigenaar voelt.

Duidelijkheid over eigenaarschap

Het bijzondere aan veel AI-toepassingen – zeker bij generatieve AI – is dat deze vaak decentraal in gebruik worden genomen. Een medewerker kan een functie binnen een applicatie vaak activeren zonder formele aanvraagroute: een “klik” is voldoende. En zelfs als dat niet kan of mag: elke collega kan gewoon een website met een chatbot bezoeken. Het maakt governance moeilijk. Het vereist niet alleen afspraken aan de ‘voorkant’ van processen, maar ook continue monitoring aan de achterkant. Meer dan ooit is er behoefte aan helderheid over wie waarvoor verantwoordelijk is. Het begrip eigenaarschap is daarbij cruciaal. Maar juist dat begrip wordt in organisaties vaak op verschillende manieren begrepen en beleefd. Waar de een bij eigenaarschap denkt aan beslissingsbevoegdheid, doelt de ander op verantwoordelijkheid voelen. Die verwarring maakt dat collega’s langs elkaar heen praten. Zeker wanneer er iets misgaat of als risico’s zichtbaar worden, blijkt niemand echt eigenaar te zijn. Of erger: iedereen wijst naar elkaar.

Een taalkundige oefening

Ik kom bij veel gemeenten over de vloer en zie overal dezelfde onduidelijkheid over verantwoordelijkheid en eigenaarschap. Maar ik leerde ook dat je die onduidelijkheid kunt doorbreken: door de Engelse termen te gebruiken wordt zichtbaar dat beide woorden in het Nederlands containerbegrippen zijn. Zo heeft verantwoordelijkheid drie behoorlijk verschillende vertalingen:

  • Responsibility – de verantwoordelijkheid om een inspanning te leveren (operationeel).
  • Accountability – aanspreekbaar zijn op een resultaat en er verantwoording over afleggen.
  • Liability – de juridische aansprakelijkheid als er iets fout gaat.
‘GENERATIEVE AI BRENGT EEN FUNDAMENTEEL ANDERE DYNAMIEK MET ZICH MEE’

En ook voor eigenaar zijn er meerdere interpretaties:

  • Owner – iemand die zich inhoudelijk verantwoordelijk voelt als beheerder van een taak of proces.
  • Proprietor – degene met formele zeggenschap of beslissingsbevoegdheid.
  • Master – iemand die autoriteit ontleent aan zijn of haar kennis of kunde op een bepaald terrein.

Door deze termen expliciet te benoemen in gesprekken, ontstaat meer helderheid over rollen en verwachtingen. Zo kan de data-eigenaar misschien wel de owner zijn van een verzameling gegevens of documenten, maar is de proceseigenaar uiteindelijk accountable voor de uitkomst van een AI-ondersteunde dienst die op deze data draait.

Copilot

Neem het voorbeeld van Microsoft Copilot. Dat kan geactiveerd worden binnen de Microsoft 365-omgeving – bij veel overheidsorganisaties in gebruik. Copilot is een krachtige assistent die op basis van prompts nieuwe tekst of andere inhoud kan genereren. Daarbij kan Copilot “leren” van reeds bestaande documenten binnen OneDrive en SharePoint (zoals beleidsstukken, rapporten en e-mails). Maar wat als Copilot inhoud maakt op basis van informatie waartoe de gebruiker eigenlijk geen toegang zou mogen hebben? Denk bijvoorbeeld eens aan de gevoelige inhoud van gespreksverslagen over gebiedsontwikkeling of over niet-functionerende collega’s. Microsoft belooft dat Copilot zich zal houden aan de rechtenstructuur: bij het beantwoorden van een prompt leert Copilot alleen van bestanden in mappen waar de vrager toegang toe heeft. Maar in veel organisaties kun je er niet zeker zijn dat mapjes op de netwerkschijf slechts toegankelijk zijn voor collega’s die er toegang toe zouden moeten hebben… De kernvraag is dan: is onze rechtenstructuur op orde? En als die dat niet is: wie moet daarvoor zorgen? Ligt de verantwoordelijkheid bij de beheerder van Microsoft 365, bij de CISO, of bij de data-eigenaren? In veel organisatie bestond zo’n stevige rechtenstructuur niet (meer) binnen de netwerkschijven. Betekent het dat de projectleider van het migratietraject (van de netwerkschijven naar OneDrive en SharePoint) die nu moet ontwerpen? Of moet de rechtenstructuur worden opgesteld door het management, omdat die ook gaat over de organisatiestructuur? En hoe is dit eigenlijk georganiseerd bij ketenpartners (zoals gemeenschappelijke regelingen) die publieke taken uit onze naam uitvoeren?

‘IN DE PRAKTIJK VOELT VAAK NIEMAND ZICH ECHT EIGENAAR’

Structurele oplossing

AI gaat niet meer weg. En het gebruik ervan binnen publieke dienstverlening zal de komende jaren alleen maar toenemen. De opgave is om als organisatie nu te investeren in een solide governance-structuur rondom AI. Dat begint met het voeren van een goed gesprek over verantwoordelijkheid en eigenaarschap – en het vereist duidelijke vastlegging van verantwoordelijkheden en bevoegdheden. Mijn pleidooi is dan ook:

  1. Start het gesprek over de termen verantwoordelijkheid en eigenaarschap in je organisatie. Gebruik de Engelse termen om misverstanden te voorkomen.
  2. Leg voor onder andere proceseigenaren, data-eigenaren, applicatiebeheerders en accounthouders van samenwerkingsverbanden vast welke rollen, taken, bevoegdheden en verantwoordelijkheden zij hebben bij het (mogelijk) gebruiken van AI.
  3. Zorg voor een governance die niet alleen bij ingebruikname functioneert, maar ook borgt dat lerende AI-systemen blijven voldoen aan wettelijke en organisatie-eigen eisen.
  4. Maak een overzicht welke processen en systemen gebruik (kunnen) maken van AI en geef partners, maatschappij en toezichthouders inzicht in de keuzes die je over AI-gebruik maakt. Bijvoorbeeld via het Algoritmeregister.

Deel dit artikel

Inhoud