Sinds 2023 publiceert de Nederlandse overheid haar algoritmes op een centrale plek: algoritmes.overheid.nl, het Algoritmeregister. Het register groeit gestaag en bevatte begin 2026 al meer dan duizend ingeschreven algoritmes. Maar de meeste organisaties weten niet precies hoe dit register zich verhoudt tot de AI Act, tot de EU AI-databank en tot het interne AI-register dat zij zelf moeten bijhouden. De drie zijn verschillende dingen, met overlap. In dit artikel onderscheiden we ze en geven we aan wat in welke situatie verplicht is.
Wat is het Algoritmeregister van de Nederlandse overheid?
Het Algoritmeregister werd in december 2022 gelanceerd door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties als instrument voor transparantie van overheidsalgoritmes. Het idee: burgers en pers moeten kunnen zien welke algoritmes de overheid inzet die hun leven raken. Het register is publiek toegankelijk via algoritmes.overheid.nl.
Het register is in de eerste versie vrijwillig, met de bedoeling dat rijksoverheid, uitvoeringsorganisaties, gemeenten, provincies en waterschappen hun algoritmes vrijwillig registreren. Sinds 2024 geldt voor rijksoverheid en uitvoeringsorganisaties een actieve registratieverplichting voor hoog-risico algoritmes. Het Algoritmekader Nederland, gepubliceerd in 2024, geeft inhoudelijke richtlijnen voor wat geregistreerd moet worden.
Begin 2026 telt het register 1.000+ ingeschreven algoritmes, met grote koplopers zoals de Belastingdienst, UWV, DUO, het CBS en een groeiend aantal gemeenten. Maar de dekking is verre van compleet: meer dan de helft van de Nederlandse gemeenten heeft nog geen enkel algoritme geregistreerd, terwijl onderzoek aantoont dat zij wel degelijk geautomatiseerde besluitvorming gebruiken.
Voor wie is registratie verplicht in 2026?
De huidige verplichtingen verschillen per organisatietype:
- Rijksoverheid (ministeries en agentschappen): verplichte registratie van hoog-impact algoritmes sinds 2024, op basis van kabinetsbesluit.
- Grote uitvoeringsorganisaties (UWV, SVB, Belastingdienst, DUO): verplichte registratie voor hoog-impact algoritmes, vaak met sectorale aanvullingen.
- Gemeenten en provincies: registratie is in 2026 nog vrijwillig. De VNG werkt aan een handleiding voor gemeenten. Met de Uitvoeringswet AI-verordening kan dit verplicht worden.
- ZBO's en zelfstandige bestuursorganen: wisselend, afhankelijk van eigen toezichthouder.
- Private organisaties: geen verplichting om in het Algoritmeregister te registreren. Wel verplichting tot intern AI-register en, bij hoog-risico aanbieders, registratie in de EU AI-databank.
De Autoriteit Persoonsgegevens heeft meermalen opgeroepen om de registratieplicht uit te breiden tot alle overheden, inclusief gemeenten. Daarnaast pleit de AP voor onderzoek of een verplichting voor bepaalde private sectoren, zoals consumentenkrediet, ook wenselijk is. In de internetconsultatie voor de UAIA is dit een terugkerend discussiepunt.
Wat staat er minimaal in een algoritmeregistratie?
Het Algoritmekader Nederland voorziet in een standaard datamodel. Per geregistreerd algoritme worden minimaal de volgende velden gepubliceerd:
- Naam en korte beschrijving van het algoritme
- Doel: welk probleem lost het algoritme op, in welke wettelijke taak past het
- Type algoritme: regelgebaseerd, machine learning, deep learning, hybride
- Gebruikte data: bronnen, datacategorieen, of het persoonsgegevens betreft
- Risicoclassificatie: minimaal, beperkt, hoog of onaanvaardbaar onder de AI Act
- Contactpersoon of verantwoordelijke organisatie
- Beslissing of advies: neemt het algoritme zelf besluiten of ondersteunt het mensen?
- Mate van menselijke controle
- Eventuele documenten: DPIA, IAMA, broncode-link
Het Algoritmekader vraagt daarnaast om actualisatie en periodieke evaluatie. Een algoritme dat aanzienlijk wordt aangepast, moet binnen redelijke termijn worden bijgewerkt in het register.
Verhouding met de EU AI-databank onder artikel 49 AI Act
Artikel 49 AI Act introduceert een Europese AI-databank, beheerd door de Europese Commissie. Daar moeten aanbieders van zelfstandige hoog-risico AI-systemen (Annex III) hun systemen registreren voordat zij op de markt worden gebracht. Belangrijke kenmerken van de EU-databank:
- Verplicht voor aanbieders van hoog-risico AI uit Annex III
- Deployers (gebruikers) zoals overheden moeten in bepaalde gevallen ook registreren
- Sommige onderdelen zijn publiek, andere alleen toegankelijk voor toezichthouders
- De data omvat technische specificaties, beoogde doel, gebruiksinstructies en aanbieder-contactinformatie
- Inwerkingtreding gekoppeld aan hoog-risico verplichtingen (nieuw na Digital Omnibus: 2 december 2027)
De EU AI-databank richt zich op aanbieders en op systeem-niveau. Het Nederlandse Algoritmeregister richt zich op gebruikers binnen de overheid en op toepassing-niveau. Voor de Nederlandse overheid betekent dit dat een hoog-risico AI-systeem dubbel relevant kan zijn: de aanbieder registreert in de EU-databank, de Nederlandse overheidsgebruiker registreert in het Algoritmeregister.
Verhouding met het intern AI-register voor bedrijven
Naast de twee publieke registers heeft elke deployer van hoog-risico AI een eigen intern AI-register nodig. Dit volgt uit artikel 26 AI Act en uit de algemene accountability-eisen. Het intern register is niet publiek, maar moet bij elke audit door de toezichthouder kunnen worden getoond. Kenmerken:
- Verplicht voor alle deployers van hoog-risico AI
- Ook nuttig voor lager-risico AI als basis voor governance
- Niet publiek, maar wel beschikbaar voor toezichthouder, DPO en interne audit
- Bevat per AI-tool: aanbieder, doel, risicoclassificatie, gebruikte data, menselijk toezicht, verantwoordelijke
Voor private bedrijven is het intern AI-register dus de primaire registratieverplichting. Het publieke Algoritmeregister speelt voor hen geen rol, tenzij zij in opdracht van een Nederlandse overheid een hoog-risico algoritme leveren of beheren.
Drie registers, een verhaal
De volgende tabel maakt het verschil tussen de drie registers helder:
| Register | Voor wie | Publiek? | Verplicht |
|---|---|---|---|
| EU AI-databank (artikel 49) | Aanbieders hoog-risico AI | Deels publiek | Verplicht voor Annex III |
| Algoritmeregister Nederland | Nederlandse overheid | Volledig publiek | Verplicht voor rijksoverheid, vrijwillig voor gemeenten |
| Intern AI-register | Alle deployers (overheid en privaat) | Niet publiek | Verplicht voor hoog-risico deployers |
Praktisch: wie verantwoordelijk is voor naleving, moet eerst bepalen welke rol de organisatie speelt. Bent u aanbieder van hoog-risico AI? Dan EU-databank. Bent u Nederlandse overheid? Dan Algoritmeregister. Bent u welke organisatie dan ook die hoog-risico AI gebruikt? Dan intern AI-register. Vaak vallen meerdere registratiepogingen samen.
Praktijkproblemen: meer dan helft gemeenten registreert niets
De afgelopen twee jaar hebben verschillende onderzoeken aangetoond dat de praktijk van het Algoritmeregister achterloopt op de bedoeling. Belangrijkste bevindingen:
- Meer dan de helft van de Nederlandse gemeenten heeft geen enkel algoritme in het register geplaatst, ondanks dat onderzoek van Bits of Freedom en Open State Foundation laat zien dat zij wel degelijk algoritmische systemen inzetten in WMO-beoordelingen, bijstandscontrole en handhaving.
- Van de wel-registrerende organisaties registreert een aanzienlijk deel alleen laag-risico algoritmes en houdt hoog-risico beslissingsondersteuning buiten beeld. Dit ondermijnt het doel van het register: juist de impactvolle systemen zijn relevant voor publieke verantwoording.
- De kwaliteit van registraties varieert sterk: sommige zijn uitgebreid en met DPIA, andere zijn minimale stubs zonder context over werking of risico's.
- De AP heeft de overheid herhaaldelijk aangesproken op deze registratiekloof, met name na incidenten zoals de Toeslagenaffaire waar gebrek aan transparantie over algoritmes structurele schade veroorzaakte.
De achterliggende oorzaak is mede dat de UAVG en de Wet open overheid wel kaders bieden voor algoritme-transparantie, maar geen directe sanctiemogelijkheid bij niet-registratie. Pas met de UAIA komt er een afdwingbare structuur, en dan alleen voor wat de wet expliciet verplicht. Daarnaast spelen capaciteit en kennis een rol: veel gemeenten weten niet welke systemen kwalificeren als algoritme of AI in de zin van het register, en hebben geen vrijgemaakte FTE om registratie systematisch op te pakken.
De rol van VNG en koepelorganisaties
Om de registratiekloof te dichten heeft de Vereniging van Nederlandse Gemeenten een handreiking ontwikkeld die gemeenten stapsgewijs door het registratieproces leidt. Ook bestaan er regionale samenwerkingsverbanden waarin gemeenten samen inventariseren welke leveranciers welke algoritmische functionaliteit aanbieden. Voor scholen en zorginstellingen werken sectorale koepels aan vergelijkbare templates, hoewel die organisaties strikt genomen niet onder het Algoritmeregister vallen maar onder hun eigen sectorale toezichthouder.
Roadmap: wat verandert in 2026/2027?
De Uitvoeringswet AI-verordening creeert de wettelijke ruimte om de registratieplicht uit te breiden. Drie ontwikkelingen om te volgen:
- Verbreding registratieplicht overheid: de UAIA kan verplichten dat alle overheidslagen, inclusief gemeenten en provincies, hun hoog-risico algoritmes registreren. De internetconsultatie levert input hierover.
- Koppeling met EU AI-databank: als overheden registreren als deployer in de EU-databank, kunnen die gegevens deels worden gespiegeld naar het Algoritmeregister.
- Mogelijke uitbreiding naar private hoog-impact toepassingen: de AP onderzoekt of in bepaalde sectoren (consumentenkrediet, woningverhuur, verzekeringen) een publieke registratieplicht zinvol is. Dit ligt politiek gevoelig.
Gemeenten die nu nog niets in het Algoritmeregister hebben staan, doen er goed aan om vooruit te lopen. Begin met inventarisatie van alle algoritmes en geautomatiseerde besluitvorming, ook bij leveranciers en SaaS-tools. Als de registratieplicht in 2027 verplicht wordt, heeft u voorbereiding en draagvlak gewonnen.
Wat doet u als private organisatie?
Voor private organisaties is de boodschap eenvoudig: focus op uw interne AI-register en, als u aanbieder bent van hoog-risico AI, op de EU AI-databank. Het publieke Algoritmeregister is geen verplichting voor u.
- Bouw of update uw intern AI-register: minimaal alle AI-tools die u gebruikt, met aanbieder, doel, risicoclassificatie, gegevensverwerking en verantwoordelijke.
- Bent u aanbieder van hoog-risico AI? Dan moet u tegen 2 december 2027 (na Digital Omnibus-akkoord) klaar zijn voor registratie in de EU AI-databank.
- Leveranciers van overheid: als uw klant een Nederlandse overheidsorganisatie is en uw tool een hoog-risico algoritme is, kan uw klant uw tool publiceren in het Algoritmeregister. Stem af welke informatie u toelaat.
- Houd de UAIA in de gaten: als de registratieplicht wordt uitgebreid naar bepaalde private sectoren, moet u snel kunnen handelen.
Bouw uw AI-register in 10 minuten
De gratis ActCheck-checker inventariseert uw AI-tools, bepaalt de risicoclassificatie en geeft u een startpunt voor uw interne AI-register, klaar voor toezicht.
Start de gratis check