Toespraak van Ewout Irrgang, collegelid van de Algemene Rekenkamer op het congres voor AI-geletterdheid en de AI-act - Mauritshuis op 15 januari 2025

Dames en heren,
Dank dat ik namens de Algemene Rekenkamer vandaag mag spreken op uw congres over het verbeteren van AI-geletterdheid. En laat ik maar meteen beginnen met een bekentenis: deze speech is weliswaar ouderwets in Microsoft Word uitgetypt, maar de basis is gelegd in NotebookLM. Met die AI-tool heb ik in een handomdraai een outline voor mijn verhaal van vandaag laten maken op basis van een aantal bestaande, openbare onderzoeksrapporten van onszelf en andere instanties.
Een paar jaar geleden zou zoiets volkomen ondenkbaar zijn. Ik zou uren hebben gespendeerd aan het lezen van al die rapporten. Vervolgens is het nog een kunst op zich om daar een rode draad uit te destilleren. Maar AI heeft ook mijn wereld in no time veranderd. Zaken die vroeger uren, dagen of weken duurden, doe ik nu in een paar tellen. De ontwikkeling van digitale mogelijkheden sloeg de laatste jaren als een golf over de maatschappij heen en veranderde de wereld in razend tempo. Dan kun je twee dingen doen: actief kijken welke kansen het je biedt en hoe je die het best kunt pakken of blijven doen wat je altijd deed en denken dat het wel overwaait. Ik hoef u niet te overtuigen welke de betere optie is. ‘You better start swimming or you’ll sink like a stone, for the times they are a-changing’, zong Bob Dylan al begin jaren 60.
We moeten dus met zijn allen in rap tempo AI-geletterd worden. Of dat eigenlijk al zijn, want AI-geletterdheid wordt volgende maand al een verplichting vanuit de Europese AI-verordening voor ontwikkelaars en gebruikers van AI-systemen. Overheidsorganisaties moeten ervoor zorgen dat het personeel dat te maken heeft met de operatie van AI-systemen voldoende geletterdheid hebben in AI. Dat houdt bijvoorbeeld in dat een HR-medewerker moet begrijpen dat een AI-systeem vooroordelen kan bevatten of essentiële informatie kan negeren. Maar ook dat een baliemedewerker bij een gemeente waar AI-systemen worden gebruikt weet dat deze systemen vaak niet voor iedereen even goed werken. Die ambtenaar moet begrijpen dat hij dus niet blindelings de resultaten van dit soort AI-systemen kan volgen.
Voor een grote groep mensen is de hele digitale wereld, laat staan AI, abracadabra. En daardoor wordt het soms iets mysterieus: iets dat potentieel veel problemen op kan lossen maar ook bij fouten of misbruik kan veranderen in iets uit een slechte science-fictionfilm. De waarheid is dat we nog niet weten wat AI gaat betekenen voor burgers, maar onze oproep aan de overheid is wel: wees je bewust van de verschillende groepen burgers in ons land. Kijk naar de risico’s, en probeer die te beheersen, maar verlies daarbij niet de kansen uit het oog.
Dat geldt voor burgers, bedrijven en andere organisaties, maar zeker ook voor de overheid. Ook die moet AI-geletterd zijn. Als Algemene Rekenkamer heeft de rijksoverheid met name onze aandacht. Wij controleren namelijk al 200 jaar of publiek geld netjes besteed wordt. We zetten ons in voor een beter presterende overheid. Anno 2025 hoort daar ook bij dat we scherp in de gaten houden of er wel op een goede manier gebruik wordt maakt van algoritmen, data en AI. We mogen immers van de overheid verwachten dat die hard werkt om bijvoorbeeld datalekken, fouten in het IT-beheer en discriminerende algoritmen te voorkomen. Zeker wanneer burgers daarvan het slachtoffer kunnen worden. Tegelijkertijd willen we een overheid die niet afwacht als er kansen liggen om zaken efficiënter en sneller te doen. Als er obstakels zijn om die kansen te pakken, moet de overheid die zoveel mogelijk wegnemen.
Daarom hebben we de laatste jaren veel onderzoek gedaan naar digitalisering bij het Rijk. We hebben – voor zover we zelf hebben kunnen nagaan – als eerste rekenkamer ter wereld een toetsingskader gemaakt, waarmee we ieder jaar een aantal algoritmes tegen het licht kunnen houden. We controleren dan of ze doen waarvoor ze bedoeld zijn en of ze verantwoord worden gebruikt. Ook controleren we op AI-geletterdheid. Deskundigheid is namelijk een van onze normen. Inmiddels hebben we daarmee al zo’n 15 algoritmes diepgravend onderzocht. Afgelopen najaar hebben we bovendien een focusrapport gepubliceerd waarin we van 70 overheidsorganisaties in beeld brachten hoeveel kunstmatige intelligentie – AI, een bijzondere variant van algoritmes – er al gebruikt wordt en waarvoor. Ik kom daar zo op terug.
We kijken ook naar ‘de cloud’. Ik kom net uit de Tweede Kamer. Letterlijk een paar minuten geleden hebben we ons grote onderzoek over cloudgebruik bij het Rijk gepubliceerd en gedeeld met de Tweede Kamer. Als we het over AI hebben, dan hebben we het eigenlijk ook automatisch over cloud. De cloud biedt de rekenkracht en opslagcapaciteit die nodig is voor AI. Dus je kunt pas zeggen dat AI-gebruik bij het Rijk veilig verloopt als de risico’s van cloudgebruik in beeld zijn en goed worden afgewogen. En nu het gepubliceerd is mag ik u verklappen: die risico’s van de cloud zijn héél vaak onvoldoende in beeld. En ze worden schrikbarend weinig afgewogen. Voor twee derde van de relevante materieel public cloud-contracten is geen risicoafweging gemaakt, in 84 van de 126 gevallen. En dus ontstaan er risico’s op het gebied van databeveiliging, beschikbaarheid van dienstverlening en digitale soevereiniteit. Daar kom ik later nog op terug, maar ik wil eerst iets anders bespreken.
Ik wil namelijk niet beginnen met de risico’s. Ik merk dat die vaak sowieso al de meeste aandacht krijgen. De kranten staan vol met de risico’s van AI. Begrijpelijk, want het is een belangrijk onderwerp, maar daardoor is er misschien niet altijd voldoende oog voor de kansen die het biedt. AI kan geweldige dingen doen. En veel taken efficiënter en sneller uitvoeren dan vroeger. Een efficiënte overheid is een slagvaardige en daadkrachtige overheid. We betalen allemaal belasting en als Algemene Rekenkamer controleren wij of al die belastingcenten goed worden besteed. Als AI verstandig wordt toegepast, kan het Rijk met evenveel geld veel méér doen. Dat is grote winst.
En we zien ook dat dat al gebeurt. AI maakt de overheid nu al efficiënter. In ons eerder genoemde onderzoek naar AI-gebruik bij de rijksoverheid kwam naar voren dat veruit de meeste overheidsinstellingen, 55 van de onderzochte 70, al op de een of andere manier gebruik maken van AI. In totaal werden er 433 systemen opgegeven. Ja, het zijn vaak maar een handjevol systemen per organisatie, maar het ze worden wel gewoon gebruikt in het dagelijks werk. AI bij het Rijk is geen toekomstmuziek meer. Voor de organisaties die AI gebruiken is AI-geletterdheid bovendien geen nice-to-have meer, maar een verplichting.
We zien vooral dat er kansen gepakt worden bij de interne processen. Twee derde van de systemen die we tegenkwamen wordt gebruikt door ambtenaren om bijvoorbeeld heel snel samenvattingen te kunnen maken van stapels documenten. Of in een handomdraai notulen van een vergadering te kunnen maken. Kunstmatige intelligentie die alvast een voorzet geeft voor de beantwoording van een Kamervraag, op basis van de beantwoording van eerdere Kamervragen. Dat klinkt misschien als stoffige ambtenarentaken waar je als gewone burger niets van merkt, maar ze zorgen ervoor dat de overheid sneller en efficiënter kan werken dan voorheen. Bovendien zijn de risico’s bij dit soort systemen beperkt. Natuurlijk is het voor een ambtenaar vervelend als zijn actiepunt niet in de notulen is overgenomen, maar dat is een risico van een heel andere orde dan wanneer je bijvoorbeeld AI gebruikt om de hoogte van een toeslag te bepalen voor een kwetsbare groep burgers. De kansen van AI zijn ook relevant voor een overheid die al een tijd worstelt met stagnerende arbeidsproductiviteit. Dat komt met name omdat de overheid het lastig vindt verder te automatiseren. In tijden van personeelstekorten en dalende arbeidsproductiviteit, is AI dus een duidelijke kans om de overheid te versterken.
Ook bij AI of algoritmes waar je als burger wél mee te maken kunt krijgen, zijn er kansen. En ook daar zien we steeds meer dat die worden gepakt. Zo gebruikt de politie al een slim keuzehulpsysteem dat mensen kan helpen bij het doen van aangifte. En zet het ministerie van SZW algoritmes succesvol in om de beslagvrije voet van mensen in schulden te kunnen berekenen. Je kunt wel zeggen dat je dat liever door mensen zou laten doen, maar dan duurt het ten eerste veel langer en bovendien kampt de hele overheid met grote personeelstekorten. Op deze manier kun je zonder extra mensen de dienstverlening toch een stuk beter en sneller maken. Daar profiteren we allemaal van. Ook in het geval dat de overheid de fout in gaat, zoals wij nu zien bij het UWV en de berekening van de WIA, kan AI hopelijk in de toekomst kansen bieden om dergelijke fouten eerder op te sporen. Hoe mooi zou het zijn als de overheid sneller, eerder en gepaster tegemoet kan komen wanneer zij fouten maakt die burgers raken?
Tijdens dit betoog voelt u vast en zeker een ‘maar’ aankomen. Die volgt nu: je moet er wel iets voor doen als rijksoverheid. Het gaat niet vanzelf. We zien in onze onderzoeken wel terug dat vaak onzeker is of de kansen worden benut. Dat kan allerlei oorzaken hebben. Zo kan wetgeving in de weg staan van een verder nuttig systeem. Of is er te weinig menskracht om een systeem veilig te implementeren.
Heel vaak zien we dat problemen te maken hebben met IT en data. Dat is niet verbazingwekkend als je weet dat sommige IT-systemen bij de overheid hopeloos achterhaald zijn. Daar komt nog bij dat alle AI datagedreven is. Hoe beter de data, hoe beter je AI-systeem werkt. Het is geen nieuws dat veel datasets van de overheid in kwaliteit tekortkomen. Zeg maar gewoon ronduit slecht zijn. Dit soort zaken, die volgens mij bij de basis van de IT-infrastructuur horen, heeft het Rijk op dit moment gewoon niet op orde. De risico’s zijn dan heel serieus: denk dan bijvoorbeeld aan onbevoegden die toegang kunnen krijgen tot de omgeving van een algoritme en daarin wijzigingen kunnen aanbrengen. Ook kan het zijn dat niet te achterhalen is wanneer en door wie er aanpassingen zijn gedaan.
Op dit gebied hobbelen we bij de rijksoverheid dus achter de feiten aan. Je mag niet verwachten dat het Rijk alle kansen pakt die hypermoderne AI te bieden heeft wanneer basale IT-systemen niet op orde zijn of stammen uit de jaren 90 of nog eerder. Het Rijk probeert, zoals voormalig SP-leider Jan Marijnissen weleens zei, in een paardentram over de snelweg te rijden. AI-geletterdheid is voor het Rijk op dat front nog niet in zicht: de wil om de kansen te pakken is er, maar dat kan pas optimaal wanneer de basis op orde is.
En in dat kader kom ik ook even terug op het cloudonderzoek dat zojuist gepresenteerd is. Want zoals ik al zei is veilig cloudgebruik een absolute vereiste voor veilige AI-systemen. Vrijwel alle AI-systemen maken gebruik van de cloud. Cloud is in wezen niets anders dan het gebruikmaken van de computer van iemand anders. Dat kan sneller en goedkoper zijn. Maar, hoe veilig is dat? Zijn er genoeg maatregelen genomen om de data te beschermen? Zodat die niet wordt ingezien of wordt misbruikt door kwaadwillenden?
Het Rijk zit volop in de cloud. In ons rapport concluderen we dat het Rijk ondoordacht cloud is gaan gebruiken en nu onvoldoende grip op heeft op zijn cloudgebruik. We beoordelen het cloudgebruik door het Rijk dan ook als zorgelijk. Voor uw beeld: van meer dan een kwart van de ruim 1500 clouddiensten die het Rijk gebruikt, weten ministeries een basaal gegeven niet; of het public of private cloud is. En zoals ik al aangaf is voor twee derde van de belangrijkste clouddiensten géén risicoafweging gemaakt. En dus zijn die risico’s niet bekend, laat staan het treffen van specifieke maatregelen. De dienstverlening aan burgers en bedrijven loopt zo te veel risico. De mogelijke schade van verstoorde overheidsdienstverlening kan ons land en onze maatschappij ontwrichten. Daarnaast kan cloudbeleid - en de uitvoering hiervan - niet los worden gezien van een verontrustende geopolitieke wereld.
Want het gros van de clouddiensten is van grote Amerikaanse bedrijven. En de wet in de VS geeft aan dat de geheime dienst data van deze bedrijven mag opvragen, zelfs als de servers op Europees grondgebied staan. Nu lijkt dit in de praktijk nauwelijks voor te komen, maar het risico bestaat, waardoor we moeten oppassen met gevoelige data.
Maar er zijn meer risico’s dan alleen voor soevereiniteit, privacy en beschikbaarheid van dienstverlening. De meest in het oog springende is toch wel het risico op discriminatie en bias in AI-systemen. Vooral omdat de datasets van de overheid nogal eens tekortschieten bestaat de kans dat een algoritme zo wordt ingericht dat er op basis van de verkeerde variabelen of bevooroordeelde data onderscheid gemaakt wordt tussen mensen. Voor je het weet worden mensen met bepaalde achternamen, afkomsten, voorkeuren of religieuze overtuigingen anders behandeld dan anderen en dat moet de overheid absoluut voorkomen.
Bij sommige mensen bestaat het beeld dat dit heel vaak voorkomt. Dat beeld werd nog eens versterkt door de toeslagenaffaire. Maar tot nu toe kan ik op basis van onze onderzoeken niet concluderen dat het stikt van de discriminerende systemen bij het Rijk. Er zijn zeker algoritmen waarbij dit risico bestaat, maar dat risico kun je beheersen.
Een goed voorbeeld is de Koninklijke Marechaussee. Die heeft een algoritme dat op onze luchthavens advies geeft over welke binnenkomende vluchten strenger gecontroleerd worden dan andere. Dat heeft als risico dat bepaalde landen van herkomst er sneller uit gepikt worden. Dan moeten er controlemechanismen zijn om bias te voorkomen en te corrigeren. Wij constateerden dat de Marechaussee serieus werk maakt van de risicobeheersing rondom inzet van dat algoritme. Zo is er een stuurgroep die nieuwe en bestaande profielen bespreekt en die bijhoudt hoeveel hits een profiel heeft opgeleverd. Let op: ik zeg niet dat er niet gediscrimineerd wordt bij de Marechaussee. Het blijft uiteindelijk mensenwerk. Hoe goed je technische systemen ook controleert, mensen kunnen ook nog steeds discrimineren.
Kansen en risico’s dus. Een verantwoorde inzet van AI vereist een zorgvuldige afweging van die kansen en risico's. Dat is de grote uitdaging waar het Rijk nu voor staat. De basis, de AI-geletterdheid en het IT-beheer, zal op orde moeten komen. Maar er is meer nodig. De basis op orde betekent ook dat de hele overheid een eenduidig beeld heeft van wat AI is, waarvoor je het kunt gebruiken, hoe je risico’s in kaart brengt en wie daarop toezicht houdt en controleert. Op dit moment zijn de ministeries en andere organisaties een lappendeken van regels, kaders en systemen. Ook de door ons onderzochte rijksorganisaties lopen hier tegenaan. In ons onderzoek naar AI kwamen we bijvoorbeeld 24 verschillende manieren tegen om risico’s van AI af te wegen. Dat maakt het niet alleen een helse klus om de systemen te controleren op fouten, maar het maakt het ook voor iedereen onduidelijk.
Onduidelijkheid zien we momenteel ook als het over het toezicht gaat. Wie er ook verantwoordelijk gaat zijn voor het toezicht, het moet in elk geval een partij zijn waar genoeg capaciteit en expertise in huis is. Een organisatie die duidelijke bevoegdheden heeft en kan straffen als het misgaat. In februari gaat de Europese AI-wetgeving al in, maar de minister geeft aan dat er pas in augustus iets duidelijk wordt over wie het toezicht gaat houden op de naleving daarvan. Alsof je een snelweg in gebruik neemt maar nog maanden wacht met het aanleggen van vangrails. De overheid rent op deze manier achter de feiten aan. Terwijl dit kabinet juist een voortrekkersrol zou moeten vervullen in de ontwikkeling en toepassing van verantwoorde AI.
En dat kan. Ik ben optimistisch, ik zie de potentie. Dit verhaal had ik niet kunnen houden zonder AI. De ontwikkelingen gaan razendsnel, en ik snap best dat je daarvan een gevoel van haast kunt krijgen. Er wordt in hoog tempo AI-geletterdheid verwacht, zowel van individuen als van organisaties. Met richtlijnen, duidelijke kaders voor risicoafwegingen, standaardisatie en duidelijk toezicht en handhaving kan AI verantwoord worden ingezet. Daarmee kan het een grote factor worden in het succes van de overheid van de toekomst. Daar geloof ik in. Maar voor het Rijk is het speelkwartier nu wel echt voorbij.
Dankuwel.