De Autoriteit Persoonsgegevens heeft vandaag de zesde editie van de Rapportage AI & Algoritmes Nederland (RAN) gepubliceerd, en het beeld is alarmerend. Van de negen graadmeters in de AI-Impactbarometer staan er nu vier op rood. Dat is een verdubbeling ten opzichte van de vorige editie. De boodschap van de toezichthouder is helder: de risico's groeien sneller dan de maatregelen om ze te beheersen.
- 4 van 9 indicatoren op rood in de AI-Impactbarometer (verdubbeld)
- AI in werving en selectie groeit snel, maar transparantie schiet tekort
- Organisaties proberen de AI Act te ontwijken door AI-systemen als "gewone algoritmes" te classificeren
- Augustus 2026 deadline voor hoog-risico AI in werving nadert snel
- Het nieuwe kabinet moet de Nederlandse uitvoeringswet en toezicht versnellen
Wat is de RAN en waarom zou je het lezen?
De RAN is het halfjaarlijkse rapport waarmee de AP als coordinerend toezichthouder op algoritmes en AI de stand van zaken opmaakt. Het is geen droog statistiekrapport. De AP analyseert de belangrijkste risico's, vertaalt die naar negen graadmeters, en geeft daarmee een beeld van hoe Nederland ervoor staat op het gebied van verantwoord AI-gebruik.
Die graadmeters zijn nu duidelijker dan ooit. Vier van de negen staan op rood, het hoogste alarmniveau. De AP maakt zich specifiek zorgen over het gebrek aan voortgang bij de inrichting van toezicht, de ontwikkeling van standaarden, de registratie van algoritmes door de overheid en het zicht op incidenten.
Drie bevindingen die aandacht verdienen
1. AI in werving en selectie: groeiend gebruik, groeiende risico's
Steeds meer werkgevers zetten AI in bij werving en selectie. Dat is op zich niet nieuw, maar de schaal en de risico's nemen snel toe. De AP constateert dat transparantie en uitlegbaarheid bij deze systemen vaak tekortschieten. Vooral bij online en game-based assessments is onduidelijk hoe ze de geschiktheid van kandidaten voorspellen, hoe een oordeel tot stand komt en hoe kandidaten dat kunnen betwisten.
Het gevolg: sommige kandidaten krijgen vanaf het begin nauwelijks kans om geselecteerd te worden, zonder dat ze weten waarom. Dat is niet alleen onwenselijk, het is straks ook onwettig. Onder de AI-verordening zijn AI-systemen voor werving en selectie geclassificeerd als hoog-risico. Vanaf augustus 2026 moeten ze voldoen aan strenge eisen voor nauwkeurigheid, non-discriminatie en uitlegbaarheid.
2. Transparantie en uitlegbaarheid schieten tekort
Het transparantieprobleem beperkt zich niet tot werving. De AP signaleert breder dat organisaties onvoldoende inzicht geven in hoe hun AI-systemen werken en beslissingen nemen. Dat is problematisch, want transparantie is een van de pijlers van de AI-verordening. Zonder uitlegbaarheid is er geen zinvol menselijk toezicht mogelijk, en zonder menselijk toezicht kunnen grondrechten niet effectief worden beschermd.
Dit raakt direct aan de eisen die de AI Act stelt aan deployers: begrijpen wat het systeem doet, adequaat toezicht houden, en ingrijpen wanneer dat nodig is. Als een organisatie niet kan uitleggen hoe een beslissing tot stand komt, voldoet ze daar per definitie niet aan.
3. Voorbereiding op de AI Act loopt achter
De derde bevinding is misschien wel de meest verontrustende. Ondanks dat de AI-verordening al van kracht is en de deadlines naderen, constateer de AP dat de voorbereiding structureel achterblijft. De toezichthouder noemt vier specifieke zorgen: het gebrek aan voortgang bij de inrichting van toezicht, de trage ontwikkeling van standaarden, gebrekkige registratie van algoritmes door de overheid, en onvoldoende zicht op incidenten.
AP-voorzitter Aleid Wolfsen is duidelijk in zijn boodschap: "Vijf jaar na het toeslagenschandaal zijn de lessen duidelijk, maar de opvolging blijft achter. Nu de druk om AI te omarmen toeneemt, moeten we grondrechten beschermen. Wie een nieuw schandaal wil voorkomen, moet nu handelen."
De classificatietruc: AI noemen als "gewoon algoritme"
Een van de meest zorgwekkende trends die de AP signaleert, is dat organisaties proberen onder de AI-verordening uit te komen door hun systemen als "gewone algoritmes" te classificeren. Het voorbeeld dat de AP noemt is veelzeggend: OxRec, een tool die door reclasseringsorganisaties wordt gebruikt om recidive te voorspellen. Het systeem was als algoritme geregistreerd in het algoritmeregister, terwijl het in werkelijkheid een AI-systeem is.
Dat onderscheid is niet triviaal. Als een systeem als AI-systeem wordt geclassificeerd onder de AI-verordening, valt het onder strenge regels voor transparantie, risicomanagement en menselijk toezicht. Als het als "gewoon algoritme" wordt bestempeld, ontwijkt de organisatie die verplichtingen. De AP constateert dat dit geen incident is: elke week ziet de toezichthouder nieuwe registraties van systemen als algoritme, terwijl het om AI-systemen gaat.
Let op: ook commerciele organisaties proberen hun verantwoordelijkheden te ontlopen. De AP waarschuwt expliciet dat dit ten koste gaat van klanten en gebruikers. Het bewust verkeerd classificeren van een AI-systeem is geen slimme compliance-strategie, het is een risico dat vroeg of laat terugkomt.
De bredere risicocontext
Naast de drie kernbevindingen schetst de AP een breder beeld van groeiende risico's. De toezichthouder noemt de oncontroleerbare toename van deepfakes, AI-gestuurde fraude, psychische schade door chatbots, en AI-beveiligingsmaatregelen die steeds meer achterblijven bij de technologische ontwikkelingen.
De AP verwijst naar recente incidenten: de wildgroei aan AI-stemwijzers en de problemen met Grok, waarmee niet van echt te onderscheiden naaktbeelden van willekeurige personen konden worden gemaakt. Dit zijn geen theoretische risico's meer. Ze raken grondrechten en cyberveiligheid nu al, en de bescherming ertegen is onvoldoende.
Dat sluit direct aan bij de eerdere waarschuwing van de AP over AI agents, waarin de toezichthouder wees op beveiligingsrisico's van autonome AI-systemen.
Wat moet het nieuwe kabinet doen?
De AP is ongekend direct in zijn boodschap aan de politiek. Het nieuwe kabinet moet volgens de toezichthouder snel werk maken van vier zaken:
- De Nederlandse uitvoeringswet vaststellen. De AI-verordening is Europees recht, maar vereist nationale implementatie. Die wet is er nog niet.
- Toezichthouders aanwijzen. Het is nog steeds niet volledig helder welke instanties welk toezicht gaan uitoefenen.
- Financiering voor toezicht structureren. Toezicht zonder budget is geen toezicht.
- Aandringen op duidelijkheid in Europa over de discussies rond uitstel en vereenvoudiging van regelgeving, zodat organisaties weten waar ze aan toe zijn.
Wat betekent dit voor organisaties?
De deadline van augustus 2026 voor hoog-risico AI-systemen in werving en selectie is concreet en nadert snel. Organisaties die AI inzetten in hun recruitmentprocessen moeten nu beginnen met compliance, als ze dat nog niet deden. Dat betekent: inventariseren welke systemen je gebruikt, beoordelen of ze als hoog-risico kwalificeren, en werken aan transparantie, uitlegbaarheid en menselijk toezicht.
Maar het gaat breder dan werving alleen. De RAN maakt duidelijk dat de tijd van afwachten voorbij is. De AI-Impactbarometer die op vier punten rood kleurt, is een signaal dat organisaties serieus moeten nemen.
Praktisch: Gebruik de AI Act compliance tool om te checken of jouw AI-systemen als hoog-risico kwalificeren. Begin met een inventarisatie, en classificeer je systemen eerlijk. De AP kijkt mee.