💼 Management Samenvatting
Transparantie is een kernvoorwaarde voor verantwoorde inzet van kunstmatige intelligentie binnen de Nederlandse overheid. Burgers, toezichthouders en interne stakeholders moeten kunnen begrijpen wanneer en hoe AI wordt ingezet, welke gegevens worden gebruikt en welke rol algoritmen spelen in besluitvorming.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
100u (tech: 40u)
Van toepassing op:
✓ Azure
✓ M365
✓ AI Services
✓ M365
✓ AI Services
Zonder transparantie ontstaat er wantrouwen in digitale overheidsdiensten, zeker wanneer AI wordt gebruikt bij besluiten over uitkeringen, toezicht, vergunningen of handhaving. Niet-transparante AI-toepassingen leiden tot juridische risico’s onder de AVG, Woo, BIO, NIS2 en de EU AI Act, vergroten de kans op klachten en rechtszaken, en maken het voor bestuurders vrijwel onmogelijk om verantwoording af te leggen. Bovendien wordt het voor auditors en interne toezichthouders onduidelijk hoe beslissingen tot stand komen, waardoor risico’s te laat worden gesignaleerd.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal
Connection:
Required Modules:
Connection:
Geen directe API-vereiste, gebruik standaard log- en rapportagefunctionaliteit in Microsoft 365, Azure en SIEM-oplossingenRequired Modules:
Implementatie
Dit artikel beschrijft hoe overheidsorganisaties transparantievereisten voor AI praktisch kunnen invullen: van duidelijke gebruikerscommunicatie en publieksvriendelijke uitleg op websites tot technische logging, documentatie en rapportage. We behandelen de minimale transparantieverplichtingen uit de AVG en EU AI Act, werken uit hoe je een transparantierapport per AI-toepassing opbouwt, en laten zien hoe Microsoft 365, Azure en loggingplatforms kunnen worden ingezet om inzicht te bieden in gebruik, datastromen en besluitvorming. Het doel is een reproduceerbaar en toetsbaar kader waarmee transparantie geen losse actie is, maar een vast onderdeel van het AI-governanceproces.
Juridische en Ethische Context van Transparantie
Transparantie rond AI-toepassingen is geen vrijblijvende keuze, maar een harde juridische en ethische eis. De AVG schrijft voor dat betrokkenen in duidelijke taal geïnformeerd moeten worden over de verwerking van hun persoonsgegevens, inclusief wanneer geautomatiseerde besluitvorming of profilering wordt toegepast. In de praktijk betekent dit dat een organisatie niet kan volstaan met een algemene privacyverklaring, maar voor specifieke AI-toepassingen moet toelichten welke gegevens worden gebruikt, wat het doel is van de verwerking, hoe lang gegevens worden bewaard en welke rechten burgers hebben. De EU AI Act vult dit verder in door voor hoog-risico AI-systemen expliciete transparantievereisten te formuleren, zoals het informeren van gebruikers dat zij met een AI-systeem interacteren en het documenteren van de belangrijkste kenmerken, prestaties en beperkingen van het systeem.
Voor Nederlandse overheidsorganisaties komt daar de verplichting bij om te voldoen aan de Wet open overheid (Woo) en de beginselen van behoorlijk bestuur. Besluiten die (deels) tot stand komen met behulp van AI moeten uitlegbaar zijn in bezwaar- en beroepsprocedures, en bij vragen van burgers, journalisten of volksvertegenwoordigers moet helder kunnen worden gemaakt welke rol algoritmen hebben gespeeld. Dat vraagt om meer dan alleen technische documentatie: er is behoefte aan publieksvriendelijke uitleg, beslisdocumenten en interne notities waarin de keuze voor een AI-oplossing en de inrichting van waarborgen wordt onderbouwd. Een ongemotiveerd beroep op ‘bedrijfsgeheimen van leveranciers’ is juridisch risicovol en maatschappelijk moeilijk verdedigbaar, zeker wanneer de uitkomst direct ingrijpt in de levens van burgers.
Ethisch gezien raakt transparantie aan kernwaarden zoals rechtvaardigheid, non-discriminatie en autonomie. Burgers moeten kunnen begrijpen hoe besluiten over hen tot stand komen en in welke mate zij hier invloed op kunnen uitoefenen. Transparantie vereist daarom dat organisaties niet alleen processen documenteren, maar ook actief uitleggen waar de grenzen en onzekerheden van AI liggen. Bijvoorbeeld door te benoemen dat een risicomodel slechts een adviesinstrument is, dat menselijke medewerkers eindverantwoordelijk blijven en dat er procedures zijn voor herbeoordeling. Door deze ethische dimensie expliciet mee te nemen in het governanceproces, wordt transparantie geen terugkerende crisiscommunicatie na incidenten, maar een structureel onderdeel van zorgvuldig overheidsoptreden.
Praktische Maatregelen voor Transparantie in AI-toepassingen
Transparantie begint met heldere communicatie naar eindgebruikers en betrokkenen. Voor iedere AI-toepassing wordt een transpariteitspagina of toelichtingsdocument opgesteld waarin in begrijpelijke taal wordt uitgelegd wat het systeem doet, welke gegevens worden gebruikt, welke rol AI speelt in de besluitvorming en welke rechten burgers hebben. Dit document wordt gekoppeld aan de online omgeving waar de dienst wordt aangeboden, bijvoorbeeld via een link vanuit de webpagina, het klantportaal of de applicatie zelf. In Microsoft 365- en Azure-omgevingen kunnen banners, waarschuwingen of helpteksten worden ingezet om gebruikers te informeren wanneer zij functionaliteiten gebruiken die AI inzetten, zoals Copilot-functionaliteit of geautomatiseerde classificatie.
Daarnaast moeten interne stakeholders – beleidsmedewerkers, juristen, CISO, FG en auditors – toegang hebben tot een meer technische vorm van transparantie. Dit omvat systeemdocumentatie, datastroomdiagrammen, beschrijvingen van gebruikte modellen en configuratieoverzichten van gekoppelde cloudservices. Deze informatie wordt beheerd in een centraal register of document managementsysteem, waarbij per AI-toepassing een dossier wordt opgebouwd. In dat dossier wordt vastgelegd wie eigenaar is van de toepassing, welke risicoanalyses (zoals DPIA’s en ethische reviews) zijn uitgevoerd, welke beslissingen in de governance-structuur zijn genomen en welke afspraken met leveranciers gelden. Door deze informatie systematisch vast te leggen, wordt het eenvoudig om achteraf te reconstrueren waarom bepaalde keuzes zijn gemaakt en welke waarborgen golden op het moment van besluitvorming.
Technische logging en monitoring zijn de derde pijler van praktische transparantie. In Azure en Microsoft 365 worden logbestanden geconfigureerd die inzicht geven in wie AI-functionaliteit gebruikt, welke datasets worden geraadpleegd en welke uitzonderingen op standaardbeleid voorkomen. Deze logs worden gecentraliseerd in bijvoorbeeld Microsoft Sentinel of een ander SIEM-platform, waar dashboards worden ingericht die specifiek focussen op AI-gebruik. Door gebruikspatronen te analyseren, kunnen organisaties tijdig signaleren of bepaalde AI-functionaliteiten anders worden ingezet dan bedoeld, of dat er sprake is van concentratie van risico’s in specifieke processen. Transparantie wordt daarmee niet alleen een statisch verhaal op een website, maar een dynamisch inzicht in hoe AI zich in de praktijk ontwikkelt binnen de organisatie.
Monitoring, Rapportage en Auditbaarheid van Transparantie
Gebruik PowerShell-script transparency-requirements.ps1 (functie Invoke-Monitoring) – Voert een basale controle uit op de aanwezigheid van transparantiedocumentatie en registreert welke AI-toepassingen al een transpariteitspagina hebben..
Transparantie moet aantoonbaar zijn. Dat betekent dat organisaties periodiek rapporteren over de mate waarin transparantiemaatregelen voor AI zijn geïmplementeerd en onderhouden. Een praktisch uitgangspunt is om per kwartaal of halfjaar een transparantierapport op te stellen waarin per AI-toepassing wordt aangegeven of er een publieksvriendelijke uitleg beschikbaar is, of technische documentatie up-to-date is, en of er openstaande acties zijn uit eerdere audits of reviews. Deze rapportages sluiten idealiter aan op bestaande kaders, zoals de rapportages over informatiebeveiliging, privacy en integrale risicosturing. Zo ontstaat één samenhangend beeld waarin transparantie niet wordt gezien als een losstaand thema, maar als onderdeel van bredere digitale weerbaarheid.
Voor auditors en toezichthouders is het cruciaal dat transparantie-inspanningen herleidbaar en reproduceerbaar zijn. Dit kan worden ondersteund met eenvoudige scripts en tooling die geautomatiseerd controleren of transparantiedocumenten aanwezig zijn op de juiste locaties in het webportaal, of verwijzingen naar AI-toepassingen in lijn zijn met het centrale AI-register en of logconfiguraties conform beleid zijn ingericht. De resultaten hiervan worden als audit evidence opgeslagen, bijvoorbeeld in de vorm van rapportbestanden, exports uit loggingplatforms en verslagen van governance-bijeenkomsten. Door auditbaarheid vanaf het begin mee te nemen in de inrichting van transparantiemaatregelen, verklein je de kans dat cruciale onderbouwing ontbreekt wanneer toezichthouders of rechters daar later om vragen.
Remediatie en Doorlopende Verbetering van Transparantie
Gebruik PowerShell-script transparency-requirements.ps1 (functie Invoke-Remediation) – Genereert een overzicht van AI-toepassingen zonder transparantiedocumentatie en helpt bij het plannen van verbeteracties..
Geen enkele organisatie start met perfecte transparantie. Vaak blijkt uit de eerste nulmeting dat voor meerdere AI-toepassingen nog geen duidelijke publieksuitleg bestaat, dat documentatie versnipperd is opgeslagen of dat logconfiguraties onvoldoende zijn afgestemd op de behoefte aan verantwoording. Remediatie begint met het in kaart brengen van deze hiaten en het prioriteren van verbeteracties op basis van risico en impact. Hoog-risico AI-toepassingen die diep ingrijpen in rechten van burgers, zoals fraudedetectie of toewijzingsbesluiten, krijgen prioriteit bij het aanmaken van transparantiedocumenten en het verbeteren van logging en monitoring. Minder kritieke toepassingen kunnen gefaseerd worden aangepakt, maar worden wel direct opgenomen in het centrale overzicht zodat duidelijk is welke stappen nog nodig zijn.
Doorlopende verbetering vraagt om een lerende aanpak waarin feedback uit de praktijk structureel wordt gebruikt om transparantiemaatregelen aan te scherpen. Klachten van burgers, signalen van ombudsmannen, bevindingen van interne audits en rapporten van externe toezichthouders vormen waardevolle input om de inhoud van transparantiedocumenten te verbeteren en toelichtingen begrijpelijker te maken. Ook technologische ontwikkelingen, zoals nieuwe loggingmogelijkheden of rapportagefunctionaliteit in Microsoft 365 en Azure, bieden kansen om transparantie verder te automatiseren en te verdiepen. Door periodiek de transparantieroadmap te actualiseren en resultaten te delen met bestuur en management, wordt transparantie een vast onderwerp op de agenda en groeit de organisatie stap voor stap naar een volwassen niveau van verantwoording over AI.
Compliance & Frameworks
- BIO: 09.01, 12.02, 18.01 - Transparante en uitlegbare verwerking van informatie in lijn met de BIO, inclusief documentatie, logging en verantwoording over kritieke systemen en algoritmen.
- ISO 27001:2022: A.5.1, A.12.4, A.18.1.1 - Informatiebeveiligingsbeleid, logging en naleving van wet- en regelgeving, met nadruk op traceerbaarheid en verantwoording van geautomatiseerde verwerkingen.
- NIS2: Artikel - Eisen aan governance, transparantie en rapportage voor essentiële en belangrijke entiteiten die AI en clouddiensten inzetten in kritieke processen.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Transparantiecontrole voor AI-toepassingen binnen de Nederlandse overheid.
.DESCRIPTION
Voert een eenvoudige controle uit op de aanwezigheid van transparantiedocumentatie
voor AI-toepassingen en kan een overzichtsrapport genereren voor verdere remediatie.
.NOTES
Filename: transparency-requirements.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/ai/governance/transparency-requirements.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\transparency-requirements.ps1 -Monitoring
Voert een controle uit op de aanwezigheid van transparantiedocumentatie.
.EXAMPLE
.\transparency-requirements.ps1 -Remediation
Genereert een overzichtsrapport met ontbrekende transparantiedocumenten.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Basispaden op basis van de scriptslocatie
$scriptRoot = $PSScriptRoot
$repoRoot = Split-Path -Parent (Split-Path -Parent (Split-Path -Parent $scriptRoot))
$websiteRoot = Join-Path -Path $repoRoot -ChildPath "website\artikelen\ai\governance"
$contentRoot = Join-Path -Path $repoRoot -ChildPath "content\ai\governance"
$reportFolder = Join-Path -Path $repoRoot -ChildPath "artifacts---\reviews"
$reportFile = Join-Path -Path $reportFolder -ChildPath "ai-transparency-overview.txt"
function Get-TransparencyInventory {
<#
.SYNOPSIS
Haalt een overzicht op van AI-governance artikelen en transparantiedocumentatie.
.OUTPUTS
PSCustomObject[] met inventarisinformatie.
#>
[CmdletBinding()]
param()
Write-Verbose "Inventariseren van transparantiecontent in: $websiteRoot"
if (-not (Test-Path -Path $websiteRoot)) {
Write-Warning "Websitepad niet gevonden: $websiteRoot"
return @()
}
if (-not (Test-Path -Path $contentRoot)) {
Write-Warning "Contentpad niet gevonden: $contentRoot"
return @()
}
# Zoek HTML-artikelen in deze governance-submap
$htmlFiles = Get-ChildItem -Path $websiteRoot -Filter "*.html" -ErrorAction SilentlyContinue
$results = @()
foreach ($html in $htmlFiles) {
$baseName = [System.IO.Path]::GetFileNameWithoutExtension($html.Name)
$jsonPath = Join-Path -Path $contentRoot -ChildPath ($baseName + ".json")
$hasJson = Test-Path -Path $jsonPath
$results += [PSCustomObject]@{
ArticleId = $baseName
HtmlPath = $html.FullName
HtmlLastWrite = $html.LastWriteTime
JsonPath = if ($hasJson) { $jsonPath } else { $null }
JsonExists = $hasJson
}
}
return $results
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert een controle uit op de aanwezigheid van transparantiedocumentatie.
.OUTPUTS
PSCustomObject met samenvattende resultaten.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: AI Transparantievereisten" -ForegroundColor Yellow
Write-Host "======================================" -ForegroundColor Yellow
$inventory = Get-TransparencyInventory
if (-not $inventory -or $inventory.Count -eq 0) {
Write-Host " ❌ Geen governance-artikelen gevonden in: $websiteRoot" -ForegroundColor Red
return [PSCustomObject]@{
HtmlCount = 0
JsonCount = 0
MissingJson = @()
IsCompliant = $false
WebsitePath = $websiteRoot
ContentPath = $contentRoot
}
}
$htmlCount = $inventory.Count
$jsonCount = ($inventory | Where-Object { $_.JsonExists }).Count
$missingJson = $inventory | Where-Object { -not $_.JsonExists }
Write-Host " Gevonden HTML-artikelen : $htmlCount" -ForegroundColor Cyan
Write-Host " Gevonden JSON-artikelen : $jsonCount" -ForegroundColor Cyan
if ($missingJson.Count -gt 0) {
Write-Host "`n ❌ Artikelen zonder gekoppeld JSON-transparantiedocument:" -ForegroundColor Yellow
foreach ($item in $missingJson) {
Write-Host " - $($item.ArticleId) (`"$($item.HtmlPath)`")" -ForegroundColor Yellow
}
}
else {
Write-Host "`n ✅ Alle governance-artikelen hebben een gekoppeld JSON-document." -ForegroundColor Green
}
$isCompliant = ($missingJson.Count -eq 0)
if ($isCompliant) {
Write-Host "`n✅ COMPLIANT - Transparantiedocumentatie is voor alle artikelen aanwezig." -ForegroundColor Green
}
else {
Write-Host "`n❌ NON-COMPLIANT - Zie hierboven voor ontbrekende JSON-bestanden." -ForegroundColor Red
}
return [PSCustomObject]@{
HtmlCount = $htmlCount
JsonCount = $jsonCount
MissingJson = $missingJson
IsCompliant = $isCompliant
WebsitePath = $websiteRoot
ContentPath = $contentRoot
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert een overzichtsrapport met transparantiedocumentatie en hiaten.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: AI Transparantie Overzichtsrapport" -ForegroundColor Yellow
Write-Host "============================================" -ForegroundColor Yellow
$inventory = Get-TransparencyInventory
if (-not $inventory -or $inventory.Count -eq 0) {
Write-Host " Geen content om te rapporteren." -ForegroundColor Red
return
}
if ($WhatIf) {
Write-Host " [WhatIf] Zou rapport genereren op: $reportFile" -ForegroundColor Yellow
return
}
if (-not (Test-Path -Path $reportFolder)) {
New-Item -Path $reportFolder -ItemType Directory -Force | Out-Null
}
$lines = @()
$lines += "AI Transparantie Overzichtsrapport"
$lines += "=================================="
$lines += "Gegenereerd op: $(Get-Date -Format 'yyyy-MM-dd HH:mm:ss')"
$lines += ""
$lines += "Websitepad: $websiteRoot"
$lines += "Contentpad: $contentRoot"
$lines += ""
foreach ($item in $inventory | Sort-Object ArticleId) {
$lines += "Artikel : $($item.ArticleId)"
$lines += " HTML : $($item.HtmlPath)"
$lines += " Laatst gewijzigd (HTML): $($item.HtmlLastWrite.ToString('yyyy-MM-dd HH:mm'))"
if ($item.JsonExists) {
$lines += " JSON : $($item.JsonPath)"
}
else {
$lines += " JSON : ONTBREEKT"
}
$lines += ""
}
$lines | Out-File -FilePath $reportFile -Encoding UTF8
Write-Host " Rapport gegenereerd: $reportFile" -ForegroundColor Green
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "AI Transparantievereisten Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Standaard: voer een korte controle uit
$null = Invoke-Monitoring
}
}
catch {
Write-Error "Er is een fout opgetreden: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder structurele transparantiemaatregelen voor AI lopen overheidsorganisaties een hoog risico op juridische non-compliance, verlies van vertrouwen van burgers en onvermogen om besluiten te onderbouwen richting toezichthouders en rechters.
Management Samenvatting
Richt een transparantiekader in voor alle AI-toepassingen, inclusief publieksvriendelijke uitleg, technische documentatie, logging en periodieke rapportage. Zorg dat transparantie aantoonbaar is met auditbare rapporten en koppelingen naar bestaande governance- en complianceprocessen.
- Implementatietijd: 100 uur
- FTE required: 0.4 FTE