AI bij de overheid: wie is er eigenlijk van?

Al jaren maken overheidsorganisaties gebruik van AI-toepassingen. Denk aan systemen als Signalen voor het automatisch toewijzen van e-mails aan de juiste ambtenaar of laksoftware die persoonsgegevens anonimiseert in Woo-documenten. Deze toepassingen zijn inmiddels ingeburgerd in de dagelijkse praktijk. Toch is er iets aan het verschuiven. De komst van generatieve AI – die met een simpele klik of update beschikbaar kan komen in bestaande software – brengt een fundamenteel andere dynamiek met zich mee. De toegankelijkheid van deze technologie dwingt organisaties om opnieuw na te denken over eigenaarschap, verantwoordelijkheid en governance. Want wie is er eigenlijk verantwoordelijk als AI wordt ingezet binnen een publieke dienst? En is onze informatiehuishouding daar wel klaar voor?

‘Mainstreaming’ van kunstmatige intelligentie
Waar AI voorheen vooral werd ingezet binnen specialistische projecten of pilots, is er nu sprake van een ‘mainstreaming’ van kunstmatige intelligentie. AI-gebruik wordt normaal en nieuwe AI-functies worden eenvoudig toegevoegd aan bestaande systemen. Denk aan de introductie van Microsoft CoPilot binnen Teams, Outlook en SharePoint. Dit soort generatieve AI-toepassingen kunnen werk makkelijker, leuker en beter maken, maar zijn ook riskant. We worden gewaarschuwd dat AI tot uitkomsten kan leiden die botsen met de grondbeginselen van de rechtsstaat: een overheidsbesluit moet immers ‘uitlegbaar’, ‘reproduceerbaar’ en ‘gelijk voor een ieder’ zijn.

De EU treft daarom maatregelen: de AI-Verordening legt vanaf augustus 2026 transparantie-eisen op bij het gebruik van AI. Organisaties die AI integreren in hun dienstverlening (bijvoorbeeld aan inwoners en ondernemers) worden aangemerkt als ‘gebruiksverantwoordelijke’ (art. 3, lid 4). Daarmee rust op hen een expliciete verplichting tot risicoclassificatie en – indien sprake is van een beperkt of hoog risico – actieve communicatie over hoe je risico’s beheerst (in een register).

Wie draagt die verantwoordelijkheid?
De grote vraag die hierdoor op tafel komt, is: ‘wie binnen de organisatie is verantwoordelijk voor het naleven van deze verplichtingen?’ Is dat de proceseigenaar die verantwoordelijk is voor de dienstverlening waarin AI wordt ingezet? De systeemeigenaar die de technische applicatie beheert? Of is het de data-eigenaar, die over de informatie beschikt die het AI-model gebruikt? Moeten we kijken naar de Chief Information Security Officer (CISO), Functionaris Gegevensbescherming (FG) of Product Owner? Of ligt de bal bij de I-adviseur of ICT-samenwerking? In de praktijk zien we vaak dat niemand zich echt ‘eigenaar’ voelt.

Dit probleem is niet nieuw. We zagen eerder al bij de implementatie van wetgeving zoals de Omgevingswet, de Wet open overheid (Woo) en de Wet modernisering elektronisch bestuurlijk verkeer (Wmebv) dat eigenaarschapsstructuren rondom de informatiehuishouding onvoldoende zijn voor complexe implementatievraagstukken. Elke implementatie leidt tot een zoektocht wie waarover mag (of moet?) beslissen. Met als gevolgen: vertraging, extra kosten, extra ‘legacy-issues’ en demotivatie van medewerkers. Door de AI-Verordening dreigt dit opnieuw te gebeuren. Maar dan met één verschil: de AI-Verordening geldt direct en wordt niet via nationale wetgeving geïmplementeerd. De invoeringsdatum is hard: uitstel omdat we er nog niet klaar voor zijn (zoals bij Omgevingswet, Woo, Wmebv en Archiefwet) is nu geen optie…

AI vereist duidelijkheid over eigenaarschap
Het bijzondere aan veel AI-toepassingen – zeker bij generatieve AI – is dat deze vaak decentraal in gebruik worden genomen. Een medewerker kan een functie binnen een applicatie vaak activeren zonder formele aanvraagroute: een ‘klik’ is voldoende. En zelfs als dat niet kan of mag: elke collega kan gewoon een website met een chatbot bezoeken. Het maakt governance moeilijk. Het vereist niet alleen afspraken aan de ‘voorkant’ van processen, maar ook continue monitoring aan de ‘achterkant’. Meer dan ooit is er behoefte aan helderheid over wie waarvoor verantwoordelijk is.

Het begrip ‘eigenaarschap’ is daarbij cruciaal. Maar juist dat begrip wordt in organisaties vaak op verschillende manieren begrepen en beleefd. Waar de één bij ‘eigenaarschap’ denkt aan beslissingsbevoegdheid, doelt de ander op verantwoordelijkheid voelen. Die verwarring maakt dat collega’s langs elkaar heen praten. Zeker wanneer er iets misgaat of als risico’s zichtbaar worden, blijkt niemand écht eigenaar te zijn. Of erger: iedereen wijst naar elkaar.

Een taalkundige oefening: ‘responsibility’ – ‘accountability’ – ‘liability’
Ik kom bij veel gemeenten over de vloer en zie overal dezelfde onduidelijkheid over ‘verantwoordelijkheid’ en ‘eigenaarschap’. Maar ik leerde ook dat je die onduidelijkheid kan doorbreken: Door de Engelse termen te gebruiken wordt zichtbaar dat beide woorden in het Nederlands containerbegrippen zijn. Zo heeft ‘verantwoordelijkheid’ drie behoorlijk verschillende vertalingen:

• Responsibility – de verantwoordelijkheid om een inspanning te leveren (operationeel).
• Accountability – aanspreekbaar zijn op een resultaat en er verantwoording over afleggen.
• Liability – de juridische aansprakelijkheid als er iets fout gaat.

En ook voor ‘eigenaar’ zijn er meerdere interpretaties:

• Owner – iemand die zich inhoudelijk verantwoordelijk voelt als beheerder van een taak of proces.
• Proprietor – degene met formele zeggenschap of beslissingsbevoegdheid.
• Master – iemand die autoriteit ontleent aan zijn of haar kennis of kunde op een bepaald terrein.

Door deze termen expliciet te benoemen in gesprekken, ontstaat meer helderheid over rollen en verwachtingen. Zo kan de data-eigenaar misschien wel de ‘owner’ zijn van een verzameling gegevens of documenten, maar is de proces-eigenaar uiteindelijk ‘accountable’ voor de uitkomst van een AI-ondersteunde dienst die op deze data draait.

Concreet voorbeeld: CoPilot
Neem het voorbeeld van Microsoft CoPilot. Dat kan geactiveerd worden binnen de Microsoft 365-omgeving – bij veel overheidsorganisaties in gebruik. CoPilot is een krachtige assistent die op basis van ‘prompts’ nieuwe tekst of andere inhoud kan genereren. Daarbij kan CoPilot ‘leren’ van reeds bestaande documenten binnen OneDrive en SharePoint (zoals beleidstukken, rapporten en e-mails). Maar wat als CoPilot inhoud maakt op basis van informatie waartoe de gebruiker eigenlijk geen toegang zou mogen hebben? Denk bijvoorbeeld eens aan de gevoelige inhoud van gespreksverslagen over gebiedsontwikkeling of over niet-functionerende collega’s. Microsoft belooft dat CoPilot zich zal houden aan de rechtenstructuur: bij het beantwoorden van een ‘prompt’ ‘leert’ CoPilot alleen van bestanden in mappen waar de vrager toegang toe heeft. Maar in veel organisaties kan je er niet zeker zijn dat mapjes op de netwerkschijf slechts toegankelijk zijn voor collega’s die er toegang toe zouden moeten hebben…

De kernvraag is dan: is onze rechtenstructuur op orde? En als die dat niet is: wie moet daarvoor zorgen? Ligt de verantwoordelijkheid bij de beheerder van Microsoft 365, bij de CISO, of bij de data-eigenaren? In veel organisatie bestond zo’n stevige rechtenstructuur niet (meer) binnen de netwerkschijven. Betekent het dat de projectleider van het migratietraject (van de netwerkschijven naar OneDrive en SharePoint) die nu moet ontwerpen? Of moet de rechtenstructuur worden opgesteld door het management, omdat die ook gaat over de organisatiestructuur? En hoe is dit eigenlijk georganiseerd bij ketenpartners (zoals gemeenschappelijke regelingen) die publieke taken uit onze naam uitvoeren?

Een structurele oplossing: leg verantwoordelijkheden en bevoegdheden vast
AI gaat niet meer weg. En het gebruik ervan binnen publieke dienstverlening zal de komende jaren alleen maar toenemen. De opgave is om als organisatie nú te investeren in een solide governance-structuur rondom AI. Dat begint met het voeren van een goed gesprek over verantwoordelijkheid en eigenaarschap – en het vereist duidelijke vastlegging van verantwoordelijkheden en bevoegdheden.

Mijn pleidooi is dan ook:

1. Start het gesprek over de termen ‘verantwoordelijkheid’ en ‘eigenaarschap’ in je organisatie. Gebruik de Engelse termen om misverstanden te voorkomen.
2. Leg voor o.a. proces-eigenaren, data-eigenaren, applicatiebeheerders en accounthouders van samenwerkingsverbanden vast welke rollen, taken, bevoegdheden en verantwoordelijkheden zij hebben bij het (mogelijk) gebruiken van AI.
3. Zorg voor een governance die niet alleen bij ingebruikname functioneert, maar ook borgt dat lerende AI-systemen blijven voldoen aan wettelijke en organisatie-eigen eisen.
4. Maak overzicht welke processen en systemen gebruik (kunnen) maken van AI en geef partners, maatschappij en toezichthouders inzicht in de keuzes die je over AI-gebruik maakt. Bijvoorbeeld via het Algoritmeregister.

Tot slot: AI vraagt niet alleen om techniek – maar ook om volwassenheid
AI is geen project. Het is een fundamentele verandering in hoe we informatie verwerken, beleid maken en dienstverlening inrichten. En het raakt aan alle onderdelen van de informatiehuishouding: processen, systemen, data, samenwerkingsverbanden en meer.

Overheden moeten niet alleen investeren in technologie, maar vooral in organisatorische volwassenheid. Wie dat niet doet, riskeert niet alleen risico op non-compliance met de AI-Verordening, maar ook verlies van vertrouwen van inwoners én verminderde aantrekkelijkheid als werkgever.

Daarom is nu het moment om de vraag serieus te stellen én te beantwoorden: wie is er eigenlijk van?

Dit artikel verscheen eerder in aangepaste vorm in vakblad Od