25 jan 2021

Data & algoritmes: mogelijkheden benutten versus risico's beperken

Dat overheidsorganisaties veilig en verantwoord gebruik moeten maken van data lijkt een open deur. Toch is het ingewikkelder dan gedacht, zeker als er gebruik wordt gemaakt van algoritmes. Maar hoe doe je dit dan als overheidsorganisatie? Alex Commandeur (BMC) en Hans Spaan (ORTEC) werpen licht op de zaak. ‘Kijk naar je opgave en bedenk op basis daarvan wat je nodig hebt.’

We kunnen er niet meer omheen, zo stellen Alex Commandeur, managing consultant bij BMC, en Hans Spaan, director bij ORTEC. De digitale transformatie leidt tot allerlei nieuwe mogelijkheden op het gebied van data. Ook voor overheden. ‘Data-analyses, het gebruik van sensordata en de toepassing van algoritmes zijn daarvan goede voorbeelden’, geeft Commandeur aan. ‘Tot enkele jaren geleden was dit vooral voorbehouden aan grote bedrijven als Google en Facebook, maar tegenwoordig zien ook overheden de mogelijkheden. Of het nu gaat om de betaalbaarheid van jeugdhulp en maatschappelijke ondersteuning, het optimaliseren van de routes om het huisvuil op te halen of het inrichten van de schuldhulpverlening. Overal kom je data tegen. Overal kun je data gebruiken. En overal worden die data ook al gebruikt.’

Veilig en verantwoord gebruik van data

De digitale transformatie biedt dus kansen, maar er zijn ook risico’s. Veilig en verantwoord gebruik van data is volgens beiden dan ook van essentieel belang voor datagedreven organisaties. ‘De Algemene Verordening Gegevensbescherming (AVG) verplicht dit zelfs’, aldus Commandeur. ‘De AVG stelt bijvoorbeeld dat organisaties een risicoanalyse moeten doen om aan te tonen dat ze hun data veilig en verantwoord gebruiken. Ook moeten ze transparant zijn over hun datagebruik. Dat betekent uitleggen, verantwoorden en laten zien wat je ermee doet. Dit vergroot ook het draagvlak voor de uitkomsten van data-analyses.’ Spaan vult aan: ‘De AVG is natuurlijk niet het enige. Als organisatie wil je ook in control zijn. Want als het mis gaat, loop je reputatieschade op. Denk aan datalekken na een aanval van hackers, zoals onlangs gebeurde bij gemeente Hof van Twente.’

Risico’s zo veel mogelijk beperken

Commandeur stelt dat risico’s niet geheel zijn uit te sluiten ‘Maar je kunt ze wel zo veel mogelijk beperken. Bijvoorbeeld door een Data Protection Impact Assessment (DPIA) te doen. Daarmee krijg je als organisatie inzicht in de rechtmatigheid van het gebruik van data, de beveiliging en de risico’s die aan het verwerken van de data verbonden zijn. In de dagelijkse praktijk van BMC merken we dat DPIA’s overheden ook helpen om vooraf scherp in beeld te krijgen welke opgave ze willen realiseren en hoe data daarbij kunnen helpen. Maar ook welke mogelijke risico’s er zijn voor de betrokkenen. Bijvoorbeeld bij het gebruik van algoritmes.’ Waarom is het gebruik van algoritmes dan zo risicovol? ‘Vooral op ethisch vlak kan het spaak lopen’, stelt Spaan. ‘Bij geautomatiseerde besluitvorming op basis van algoritmes is discriminatie bijvoorbeeld een reëel risico. Als overheidsorganisatie moet je daarover nadenken: hoe organiseer je het zo dat jouw algoritmes niet discrimineren? Dat individuen en groepen burgers niet onwenselijk, onrechtmatig, of oneerlijk bevoordeeld of benadeeld worden?’

Wees transparant bij gebruik algoritmes

Als voorbeeld van een risico bij het gebruik van algoritmes noemt Commandeur de uitspraak van de rechter over de wet SyRI. ‘Deze wet moest fraude bij uitkeringen, toeslagen en belastingen bestrijden. De rechter oordeelde echter dat de wet in strijd met het recht was. Onder meer omdat de informatie die betrekking had op de werking van het risicomodel, bijvoorbeeld over het type algoritmes dat in het model werd gebruikt, niet kenbaar was gemaakt. En dus was het voor een burger niet mogelijk zich te verweren tegen een risicomelding.’ Daar zit ‘m volgens Spaan de crux bij het werken met algoritmes. ‘Je moet als organisatie kunnen verantwoorden op basis van welke informatie je tot een resultaat bent gekomen. Daarnaast moet je oog houden voor de resultaten en blijven toetsen of de uitkomsten ook begrijpelijk en verklaarbaar zijn. Die individuele toets moet je inbouwen bij het werken met algoritmes, net als de mogelijkheid om gegrond af te kunnen wijken van de uitkomsten. Ook bij de kinderopvangtoeslagaffaire is een van de maatregelen meer transparantie en openheid over besluitvorming en het gebruik van data. Kortom, je moet transparant zijn en je keuzes te allen tijde kunnen uitleggen en verantwoorden.’

Data en algoritmes: begin bij het probleem

Commandeur raadt organisaties die nog weinig ervaring hebben met data-analyses en algoritmes aan om klein te beginnen. ‘Kijk naar je opgave en bedenk op basis daarvan wat je nodig hebt. Neem dus niet je data als uitgangspunt, maar begin bij het probleem. Waar gaat het om? Wat wil je bereiken? En hoe kunnen data en algoritmes je hierbij helpen? Stel dat je inzicht wilt in de uitgaven in het sociaal domein, begin dan met één of enkele voorzieningen. Zorg daarbij eerst dat je weet of de data juist, volledig en actueel zijn, dat je weet wie de data heeft, of dezelfde definities worden gebruikt en of alle velden zijn ingevuld. Begin kortom bij overzicht en inzicht, niet bij vooruitzicht; begin dus niet met een voorspellend model.’ Spaan vult aan: ‘Het lijkt nu misschien alsof het gebruik van data en algoritmes voor overheidsorganisaties compleet nieuw is. Dat is natuurlijk niet zo. Neem het proces van rijbewijsverlengingen. Daar zit een leeftijdstoets in; dat is al een algoritme. Wel neemt het gebruik van algoritmes een enorme vlucht; ook worden ze steeds complexer. Daar moet je als organisatie gelijke tred mee houden. Dit betekent ook dat het gebruik van data en algoritmes niet meer alleen een feestje van de ICT-afdeling is. Het gaat erom dat de hele organisatie erbij wordt betrokken. En dat je alle mogelijke aspecten meeneemt als je ermee aan de slag gaat: ICT, juridisch, financieel en ethisch – willen we dit en kunnen we het uitleggen?’

Totaalpakket met unieke dienstverlening

Dat het veilig en verantwoord gebruik van data en algoritmesingewikkelder is dan veel overheidsorganisaties denken, is voor BMC en ORTEC reden genoeg om met elkaar samen te werken. Commandeur: ‘Samen bieden we organisaties in de publieke sector een totaalpakket met unieke dienstverlening, waarmee we hen helpen met het veilig en verantwoord gebruik van data en algoritmes. BMC heeft veel ervaring met werken voor de publieke sector, met denken en werken op basis van de opgave. Uiteraard hebben we ook ervaring met het begeleiden van digitale transformaties, het ontwikkelen van dashboards, het uitvoeren van DPIA’s en brede advisering op het gebied van privacy en informatiebeveiliging. Maar hebben we het over complexe algoritmes en alles wat daarbij komt kijken, dan is extra, specialistische kennis onmisbaar. Dat is waar ORTEC om de hoek komt kijken.’ Spaan vult aan: ‘Bij ORTEC hebben we een auditaanpak ontwikkeld, die we inzetten tijdens de ontwikkeling van een algoritme. Onze mensen zijn uiteraard getraind in het auditen van datasets en algoritmes. Ook bouwen we bij ORTEC zelf algoritmes; we weten precies wat er allemaal bij komt kijken en wat de risico’s en valkuilen zijn.’ Samen bieden BMC en ORTEC de DPIA PLUS: een uitgebreide risicoanalyse inclusief een toets op de rechtmatigheid en uitlegbaarheid van het algoritme. Commandeur sluit af: ‘BMC en ORTEC zijn elk op hun eigen vakgebied toonaangevend; gecombineerd vormen we een topteam.’

Alex Commandeur BMC & Hans Spaan ORTEC

Bekijk hier de dienstverlening van BMC & ORTEC

AVG DIGITALISERING PUBLICATIE DATA-EN-DIGITALISERING DIGITALE-TRANSFORMATIE DATA-EN-DIENSTVERLENING INFORMATIEBEVEILIGING RISICOANALYSE DATALEKKEN AI DATAGEDREVEN-WERKEN DATAGEDREVEN-WERKEN-PRIVACY

Meer informatie:

Alex Commandeur Informatie en gegevensmanagement managing consultant, CIPP/E 06 - 82 12 03 17 Bekijk profiel

Gerelateerde artikelen