Hooghiemstra & Partners en Pro Facto deden onderzoek naar het gebruik van geautomatiseerde risicoselectie-instrumenten door overheidsorganisaties. Het rapport volgt in hoeverre volledig geautomatiseerde besluitvorming voldoet aan de vereisten uit de AVG en welke waarborgen in de praktijk versterkt moeten worden. De onderzoekers concluderen dat het beeld naar voren komt dat op de inzet van door deze organisaties geschetste risicoselectie-instrumenten het verbod van artikel 22 AVG niet van toepassing is. Hierbij moet worden opgemerkt dat een deel van de publieke dienstverleners nog bezig is met het inventariseren van instrumenten en dat geen zelfstandig onderzoek is verricht naar de toepassing van deze instrumenten in de praktijk.

Wel blijkt dat het voorkomen van discriminatie en vergroten van de transparantie nog niet structureel zijn geborgd. Het belang van het uitvoeren van een Data Protection Impact Assessment wordt door onderzochte organisaties gezien, maar het proces kan beter in organisaties worden geïmplementeerd en geïntegreerd met het Impact Assessment Mensenrechten en Algoritmen. Ook raden de onderzoekers aan dat overheidsorganisaties meer kennis en expertise met elkaar delen en dat organisaties een bestuurlijke visie ontwikkelen. Er is wel nader onderzoek nodig naar de manier waarop medewerkers dossiers behandelen en besluiten nemen. Het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties volgt in de beslisnota voor de Tweede Kamer de aanbevelingen en gaat daarmee aan de slag.

Lees het volledige rapport hier. De Kamerbrief, de bestuurlijke reactie en beslisnota zijn hier te vinden.

Deze opdracht werd uitgevoerd voor het Netwerk van Publieke Dienstverleners (NPD) en Ministerie van BZK door Thijs Drouen en Anna Keuning (H+P) en Chantal Ridderbos-Hovingh, Christian Boxum en Bieuwe Geertsema (Pro Facto).

Beeld: Kevin Ku via Unsplash

Op 20 mei 2024 is de herziene eIDAS-verordening (eIDAS 2.0) in werking getreden. De doelen van eIDAS 2.0 zijn: de doeltreffendheid van eIDAS 1.0 te verbeteren, de voordelen ervan voor de private sector uit te breiden en betrouwbare digitale identiteiten voor alle Europeanen te bevorderen.

Wat betekenen deze EDI-wallets voor de zorgsector? In opdracht van Nictiz en het Ministerie van Volksgezondheid, Welzijn en Sport onderzochten wij de impact van de inwerkingtreding van de eIDAS 2.0 verordening en de invoering van de EDI-Wallet. Wij analyseerden wat dit betekent voor de zorgsector op het gebied van identificatie en authenticatie (I&A) en welke gevolgen dit heeft voor het beleidsterrein van het ministerie van VWS. Daarbij keken we onder andere naar voor welke actoren in de zorgsector de acceptatieplicht voor de EDI-Wallet geldt en per wanneer en hoe deze zich verhoudt tot bestaande wetgeving, zoals de Wdo, Wgbo, Wkkgz, Wabvpz, AVG en het wetsvoorstel DIAZ.

Benieuwd naar de antwoorden op deze vragen? Lees de juridische analyse hier.

Aan dit onderzoek werkten Helen Hukshorn en Walter van Holst mee.

Bron beeld: Bermix Studio via Unsplash

In 2021 is het Impact Assessment Mensenrechten en Algoritmes (IAMA) ontwikkeld. Met het IAMA kunnen organisaties afgewogen discussies voeren over de impact van een algoritme of AI-toepassing op mensenrechten en gepaste maatregelen treffen nemen om risico’s te mitigeren.

Onze opdracht & aanpak

Judith Zoë Blijden, Lieve Smeets en Taetske van der Reijt deden onderzoek naar de interne kwaliteit van IAMA’s die door verschillende overheidsorganisaties zijn uitgevoerd. Wij analyseerden tien IAMA’s en zes privacy-instrumenten van vijf verschillende organisaties. Daarnaast namen wij kwalitatieve interviews af om meer te weten te komen over het IAMA-proces, de beschikbare capaciteit en verbeterpunten voor de toekomst.

Belangrijke bevindingen

Uit het onderzoek blijkt dat de kwaliteit van IAMA’s uiteenloopt. De antwoorden op de vragen uit het assessment varieerden sterk: van kort en onvolledig tot zeer uitgebreid en beargumenteerd. Een aantal vragen werden in alle IAMA’s op een andere manier geïnterpreteerd, of uit het antwoord bleek dat bepaalde terminologie onvoldoende werd begrepen.

Uit de interviews blijkt dat de interne kwaliteit niet altijd iets zegt over de impact van het IAMA-proces op een organisatie. Zo hielp het uitvoeren van IAMA’s bij het voeren van ethische gesprekken en het vergroten van het bewustzijn rondom mensenrechten, algoritmes en AI – ook wanneer de interne kwaliteit minder goed was. Standaardprocedures en voldoende capaciteit om IAMA’s uit te voeren moeten (nog) beter worden gerealiseerd om in de toekomst te kunnen voldoen aan de verplichtingen uit de AI-verordening.

De AI-verordening bevat een toekomstige verplichting voor het uitvoeren van een Fundamental Rights Impact Assessment (FRIA). Organisaties moeten dan bij de inzet van AI-systemen met een hoog risico de impact op mensenrechten in kaart brengen. Het is daarom van belang dat organisaties ervaring opdoen met IAMA’s, hun kennis vergroten en processen inrichten om aan deze verplichting te kunnen voldoen.

Aanknopingspunten voor verbetering

Op basis van de ingevulde IAMA’s en de gesprekken met organisaties komen wij tot drie aanbevelingen. Deze kunnen in de praktijk leiden tot kwalitatief hogere mensenrechtenassessments.

1. Vergroot de mensenrechtenkennis binnen organisaties, bijvoorbeeld door de ontwikkeling van kennisdocumenten, methoden en richtlijnen.
2. Ontwikkel een pre-IAMA om te bepalen of en wanneer een IAMA moet worden uitgevoerd.
3. Verbeter het IAMA: verkort het instrument, verduidelijk aantal inhoudelijke punten en verleg de focus op de mensenrechtentoets.

Lees hier het volledige rapport.

Meer weten?

Vragen over IAMA’s, FRIA’s of impact assessments? Neem contract met de onderzoekers (Judith Zoë Blijden, Lieve Smeets of Taetske van der Reijt) of via info@hooghiemstra-en-partners.nl

Noot: Voor de afronding van dit onderzoek is het IAMA vernieuwd. Daardoor kunnen sommige bevindingen ten tijde van publicatie (mei 2026) achterhaald zijn.

Photo credit: Hanna Barakat  & Archival Images of AI + AIxDESIGN / https://betterimagesofai.org / https://creativecommons.org/licenses/by/4.0/

Op 1 juli 2023 is de Wet digitale overheid (Wdo) gefaseerd in werking getreden. Het doel van de wet is om overheidsbreed de inzet van veilige inlogmiddelen te regelen. Hooghiemstra & Partners voerde een evaluatie uit naar de doeltreffendheid en effecten van de Wdo in de praktijk, met specifieke aandacht voor gegevensbescherming, beveiliging en de toegankelijkheid van elektronische dienstverlening.

Praktische uitwerking van de wet

Ons onderzoeksteam concludeert dat de wet (voor zover in werking getreden) toereikend is om haar doel te kunnen bereiken. De bewustwording rond veilig digitaal handelen en het bepalen van betrouwbaarheidsniveaus is vergroot. In de praktijk zien we echter dat er maar in beperkte mate uitvoering wordt gegeven aan de Wdo. Zo bevinden bepaalde voorzieningen zich nog in de pilotfase en kunnen betrouwbaarheidsniveaus niet altijd worden behaald. Ook signaleren we een aantal risico’s op het gebied van gegevensbescherming. Organisaties hebben op hun beurt moeite met het anticiperen op doorontwikkeling van de Wdo, aangezien onduidelijk is hoe de planning voor de tweede fase van inwerkingtreding van de wet eruitziet.

Aanbevelingen

Het onderzoek leidt tot een aantal aanbevelingen, waaronder het vergroten van het draagvlak en het managen van verwachtingen richting uitvoerende partijen. De samenhang tussen het Stelsel Toegang en huidige inlogmiddelen enerzijds en het stelsel dat noodzakelijk is voor de implementatie van de EDI-wallet moet helder worden uitgelegd. Ook kan worden onderzocht of een periodieke toetsing van de vereiste betrouwbaarheidsniveaus wenselijk is. Daarnaast adviseren we om kritisch te kijken naar het toezicht op de Wdo en verplichte standaarden. Zo speelt bij organisaties de vrees dat mogelijk geen toezichthouder wordt aangewezen.

Lees meer

Het hele onderzoek is hier te lezen.

Dit onderzoek werd uitgevoerd door Thijs Drouen, Theo Hooghiemstra, Riëlle Osepa en Helen Hukshorn.

Foto credit: Kelvin Han via Unsplash

Eerder dit jaar deelden wij dat het Regionaal Integraal Gezondheidsakkoord (RIGA) is gestart met een domeinoverstijgend onderzoek in Westland, Schieland en Delfland (WSD-regio). Met het Gezamenlijk Regionaal Informatieplatform (GRIP) werkt RIGA aan het verbeteren van zorg in de regio, onder andere door het gerichter en sneller oplossen van zorgvragen. Hooghiemstra & Partners stelde een data protection impact assessment (DPIA) op voor deze data-infrastructuur. Uit het proces zijn een aantal brede en nuttige lessen te trekken.

De DPIA werd uitgevoerd in opdracht van Invest-NL, die de lessen naar dit item heeft vertaald. Er bestaat een behoefte om domeinoverstijgend te werken en data breed in te zitten. In dit praktijk leidt dat echter tot vragen op het gebied van bijvoorbeeld techniek, governance en het recht. De lessen geven inzicht in wat er noodzakelijk is bij ontwikkeling, implementatie en opschaling van een regionale data-infrastructuur.

Vijf lessen

Dit zijn de belangrijkste lessen op een rijtje:

1. Met de juiste technische keuzes en maatregelen is er vaak meer mogelijk binnen de wet dan vooraf wordt gedacht.
2. Data-functionaliteit werkt alleen goed als deze vanaf het begin wordt geïntegreerd in de inhoudelijke regioplannen.
3. Het opzetten van een regionale data-infrastructuur vraagt een aanzienlijke voorbereiding en structurele capaciteit, maar voorkomt herhaling en versnippering op de lange termijn.
4. Draagvlak ontstaat door partijen vroeg te betrekken, klein te beginnen en te investeren in begrip van de techniek.
5. Hoewel starten vaak mogelijk is, vraagt duurzame opschaling om aanvullende afspraken en landelijke randvoorwaarden.

Deze uitkomsten helpen regio’s om hun data-infrastructuur op te zetten en te verbeteren. Met behulp van de kennis uit andere regio’s, kunnen zij van elkaar leren en worden stappen sneller gezet.

Benieuwd naar meer? Het is mogelijk om de DPIA van H+P op te vragen via grip@riga.nl. De lessen zijn verder uitgewerkt in een aanvullend rapport, te vinden op de website van Invest-NL.

Deze opdracht werd uitgevoerd in opdracht van Invest-NL, met steun van de Europese Unie via de InvestEU Advisory Hub. Aan de DPIA werkten Theo Hooghiemstra, Walter van Holst, Wimmy Choi en Daniël Groos mee.

Foto credit: Nhat Ahn Nguyen Chi via Unsplash

In opdracht van het Ministerie van Volksgezondheid, Welzijn en Sport heeft Hooghiemstra & Partners samen met Axon Lawyers onderzocht welke gevolgen de AI act heeft voor AI-systemen die ook onder de Medische Hulpmiddelen Verordening (MDR) en de In-Vitro Diagnostica Verordening (IVDR) vallen. Deze Europese AI-verordening is sinds 1 augustus 2024 van kracht en wordt gefaseerd ingevoerd.

Wij zien knelpunten die tot tegenstrijdigheden en rechtsonzekerheid voor ontwikkelaars kunnen leiden. Zo is de afstemming tussen de AI Act en MDR/IVDR onvoldoende, waardoor veel regels in de praktijk lastig uitvoerbaar blijken. Deze knelpunten leiden tot rechtsonzekerheid en kunnen innovatie in de zorg afremmen.

Vier-sporen aanpak

Wij adviseren een aanpak via vier sporen die bijdraagt aan het introduceren en gebruiken van medische technologie die voldoet aan de drie genoemde verordeningen:

1. Vergroten van de werkbaarheid van interactie tussen de verordeningen door snelle ontwikkeling van richtsnoeren, focus op AI in de zorg en heldere interpretaties van bepalingen uit de AI-verordening;

2. Regie nemen op de implementatie van de AI-verordening door de ministeries van VWS en EZ, om zo de belangen van de zorgsector actief te behartigen;

3. Organiseren van goed toezicht met een helder kader en gezamenlijk richtsnoeren opstellen voor de beoogde toezichthouder;

4. Investeren in (zo mogelijk op Europees niveau) informatievoorziening gericht op zowel ontwikkelaars als gebruikers van hoog-risico AI-systemen, zodat alle partijen de AI-verordening op dezelfde manier interpreteren en toepassen.

Het onderzoeksteam stelt vast dat AI grote kansen voor de zorg biedt. Voor succesvolle toepassing ervan zijn echter duidelijke regels, regie vanuit de overheid en ondersteuning van het veld noodzakelijk. Alleen dan kunnen medische AI-systemen verantwoord en haalbaar worden geïmplementeerd.

Het ministerie van VWS heeft aangegeven de aanbevelingen van het rapport mee te nemen in de analyses van de voorgestelde wijzigingen van de AI-verordening in de Digitale Omnibus en in de wijzigingsvoorstellen van de MDR/IVDR van de Europese Commissie, in het bijzonder waar het gaat om de wisselwerking tussen deze regelgevingskaders.

Lees hier het volledige rapport. Het onderzoeksteam bestond Theo Hooghiemstra, Robin Verhoef, Wimmy Choi, Marlies Van Eck, Erik Vollebregt en Cécile van der Heijden.

Foto credit: Vitaly Gariev via Unsplash

Nederland werd in de afgelopen jaren opgeschrikt door zware geweldsincidenten, zoals de moorden op Derk Wiersum, Nabil B. en Peter R. de Vries. Met het stelsel van Bewaken en Beveiligen geeft de overheid uitvoering aan haar zorgplicht om bedreigde burgers te beschermen, maar door toenemende dreigingen staat het stelsel onder druk. In het coalitieakkoord is opgenomen dat geïnvesteerd wordt in het stelsel van Bewaken en Beveiligen, om tegenwicht te bieden aan deze dreigingen tegen bijvoorbeeld politici, journalisten en advocaten.

Hooghiemstra & Partners en Pro Facto deden onderzoek naar hoe de stelsels van Bewaken en Beveiligen in een aantal andere Europese landen zijn vormgegeven. Het onderzoek in opdracht van het WODC gaat onder meer in op de stelsels van België, Denemarken, Duitsland, Frankrijk en Italië. In het bijzonder is gekeken naar de vraag hoe in deze landen het verzamelen en delen van informatie is geregeld om bedreigde personen te beveiligen. Daarnaast analyseerden de onderzoekers onder andere hoe beveiligingsmaatregelen tot stand komen, worden geëvalueerd en afgebouwd en hoe toezicht op het stelsel is vormgegeven.

Bevindingen

De bevindingen zijn samengebracht in een referentiemodel voor Bewaken en Beveiligen met verschillende ijkpunten. Het model kan ter inspiratie dienen voor het Nederlandse stelsel en de plannen uit het coalitieakkoord om het stelsel te versterken.
De ijkpunten bepalen dat:
… Toegang tot het stelsel adequaat moet zijn
… Coördinatie en rolverdeling tussen partijen is helder moet zijn
… De juridische basis voor het verzamelen en delen van informatie is helder moet zijn
… Een heldere juridische basis voor de inzet van dwangbevoegdheden moet bestaan
… De dreigingsanalyse adequaat en bruikbaar moet zijn
… De evaluatie van maatregelen effectief moet zijn
… Het toezicht eenduidig en doeltreffend moet zijn

In het onderzoek worden voorbeelden uit de onderzochte landen aangevoerd over hoe deze ijkpunten kunnen worden ingevuld.

Bekijk ook onze factsheet voor meer informatie over het onderzoek. Het volledige onderzoek is te lezen via de website van het WODC. Aan het onderzoek werkten mee: Thijs Drouen, Anna Keuning, Lieve Smeets (H+P) en Heinrich Winter, Christian Boxum, Stan Roggeveen (Pro Facto)

Foto credit: Boco Yun via Unsplash

Ons adviesrapport Rechtsgeldigheid toestemming van kinderen (12-16 jaar) voor digitale toegang in de zorg is aangeboden aan het Ministerie van Volksgezondheid, Welzijn en Sport. Theo Hooghiemstra lichtte namens de expertcommissie het rapport toe, dat Hooghiemstra & Partners in opdracht van Nictiz heeft uitgevoerd. Vanuit ons kantoor waren ook Helen Hukshorn en Wimmy Choi betrokken.

Het advies gaat in op juridische vragen rondom toestemming van kinderen tussen de 12 en 16 jaar. Bijvoorbeeld wanneer deze toestemming rechtsgeldig is en welke aandachtspunten in acht moeten worden genomen bij het gebruik van het patiëntenportaal. Het advies wordt afgesloten met verschillende aanbevelingen, zoals het realiseren van sterke landelijke regie en een goede positionering van de zorgverlener.

Lees het hele rapport hier.

Foto credit: Patty Brito via Unsplash

Op 1 juli 2025 is de Algemene Maatregel van Bestuur Bescherming Slachtoffergegevens in werking getreden. Het doel van de regeling is om de privacy en rechtspositie van slachtoffers in strafdossiers te versterken. In opdracht van het Wetenschappelijk Onderzoek- en Datacentrum hebben Hooghiemstra & Partners en Pro Facto onderzoek gedaan naar de werking van de AMvB.

De onderzoekers hebben een evaluatiekader opgesteld waarmee de nieuwe regeling gemonitord en geëvalueerd kan worden. Het kader bestaat uit twee delen. In het onderzoek wordt geconcludeerd dat de praktische toepassing van de AMvB mogelijk omslachtig blijkt. Het eerste deel van het evaluatiekader richt zich op het afbakenen van gegevens die strafvorderlijk relevant zijn. In het tweede deel wordt onderzocht of een afname van persoonsgegevens in processtukken heeft plaatsgevonden.

In de factsheet Bescherming Slachtoffergegevens in Strafdossiers vindt u meer informatie over het besluit, om welke gegevens het gaat, het evaluatiekader en de tijdlijn (waaronder het evaluatiemoment). Het volledige onderzoek leest u hier. Aan het onderzoek werkten Thijs Drouen, Judith Zoë Blijden, Robin Verhoef (H+P), Nicolette Woestenburg en Heinrich Winter (Pro Facto) mee.