Beleid procesdigitalisatie Gebruik van RPA, Data science en Generatieve AI

Geldend van 14-04-2026 t/m heden

Intitulé

Beleid procesdigitalisatie Gebruik van RPA, Data science en Generatieve AI

Inleiding

Een van de meest belangrijke en snelle technologische ontwikkelingen in procesautomatisering speelt zich af in het domein van Artificiële Intelligentie (AI). De Regionale Belasting Groep (RBG) ziet deze ontwikkelingen als strategisch instrument om bestaande processen te optimaliseren, dienstverlening te verbeteren, klantgericht werken te versterken en medewerkers te ondersteunen. Het toepassen van AI is nooit een doel op zich, maar wordt uitsluitend ingezet wanneer aantoonbare meerwaarde aanwezig is voor het verbeteren van kwaliteit, versterken van klantenservice, vergroten van efficiëntie en het ondersteunen van medewerkers. Publieke waarden zoals privacy, transparantie, gelijke behandeling en menselijke controle blijven leidend.

Doelen van het beleid procesdigitalisatie

  • Verbeteren van kwaliteit: Technologie wordt ingezet om processen, producten en dienstverlening foutloos, betrouwbaar en voorspelbaar te maken, met minder herstelwerk, hogere datakwaliteit en ter ondersteuning van het ontwikkelen van data gedreven werken.

  • Versterken van klantenservice: Technologie maakt een persoonlijkere, snellere en proactieve dienstverlening mogelijk, met gerichte communicatie en directe afhandeling van eenvoudige klantvragen.

  • Vergroten van efficiëntie: Processen worden gestroomlijnd en geautomatiseerd zodat capaciteit en middelen beter worden benut, patronen sneller worden ontdekt en dienstverlening sneller en consistenter verloopt.

  • Ondersteunen van medewerkers: Digitale hulpmiddelen nemen routinetaken over en automatisering verlaagt de werkdruk. Ze maken samenvattingen, houden agenda’s bij, synchroniseren actielijsten en helpen bij het opstellen van beleidsstukken, waardoor er ruimte ontstaat voor complexer en waardevoller werk.

Het beleid proces digitalisatie - gebruik van RPA, Data science en Generatieve AI

Het motto onder ons beleid van procesdigitalisatie is “ja, mits aan voorwaarden wordt voldaan”. Op hoofdlijnen betekent dit:

  • We gebruiken AI alleen als de data binnen de Europese Economische Ruimte (EER) blijft. Voor gegevens van de Regionale Belasting Groep geldt dat verwerking uitsluitend binnen de EER mag plaatsvinden. Deze regel geldt voor alle vormen van informatieverwerking. Voor AI betekent dit dat sommige oplossingen buiten bereik vallen.

  • We vertrouwen AI nooit blind en controleren altijd de betrouwbaarheid van de uitkomst. Generatieve AI kan onjuiste informatie geven. Het systeem presenteert iets als waarheid terwijl dat niet zo is. Daarom moeten gebruikers altijd nagaan of de uitkomst klopt en bruikbaar is voor de vraag.

  • Door de vele toepassingen, de snelle ontwikkelingen en de complexe technologie, zal het beleid regelmatig geactualiseerd moeten worden. We steunen verder op ons informatiebeveiligingsbeleid, we houden ons aan wet- en regelgeving zoals de AVG en de AI-act, en we bewaken daarbij actief het gebruik van AI en de grenzen daarvan.

  • Alleen AI toepassingen die op de whitelist in het verwerkingsregister staan zijn toegestaan en worden uitsluitend ingezet op de vooraf gedefinieerde verwerking volgens de kernprincipes (zie bladzijde 6). Zo mag een toepassing met generatieve software worden ingezet om een samenvatting te maken van een bestaand onderzoeksrapport, maar mag dezelfde toepassing niet ingezet worden om bijv. de inkomenssituatie van een gezin te analyseren.

  • Europese AI regels zijn leidend. We volgen de Europese verordening en de daarvan afgeleide Nederlandse regels. Deze bevatten verplichtingen zoals investeren in AI geletterdheid en het bijhouden van een algoritmeregister.

Definitie van AI

De definitie van kunstmatige intelligentie is volgens het Europees Parlement:

“AI is de mogelijkheid van een machine om mensachtige vaardigheden te vertonen – zoals redeneren, leren, plannen en creativiteit.” (Europees Parlement, 2021).

In het voorliggende beleid is deze definitie opgenomen in ons beleid procesdigitalisatie waarmee we bedoelen: Alle technologieën die ingezet worden om informatie te analyseren, patronen daarin te herkennen, nieuwe informatie te genereren ter ondersteuning bij handelen en besluiten door de gebruiker van die technologie. De definitie van procesdigitalisatie betekent concreet onderstaande technieken:

  • Robotisering: Ondersteunen van eenvoudige en herhalende taken met behulp van software die exact uitvoert wat vooraf door een mens is bepaald. Ze ondersteunen processen en medewerkers in routinematige handelingen, bijvoorbeeld zoals het kopiëren en invoeren van gegevens in Excel werklijsten of openen van programma’s.

  • Data Science: Clustering en rechtlijnige patroonherkenning en neurale netwerktechnologieën zoals geavanceerde patroonherkenning en voorspellende simulaties

  • Generatieve AI: Generatoren zoals chatbots, persoonlijke digitale assistenten of audiogeneratoren die audio omzetten naar tekst of andersom voor het maken van samenvattingen van gesprekken of vergaderingen.

Scope van het beleid

Het beleid is van toepassing op:

  • De bovengenoemde definitie, alle systemen en (experimentele) vormen van kunstmatige intelligentie die binnen de RBG worden gebruikt.

  • Alle medewerkers van de RBG, inclusief het management

  • Organisaties en bedrijven (zoals leveranciers) die in opdracht van de RBG werken. Van deze organisaties wordt het AI-beleid opgevraagd en getoetst op aansluiting op het beleid procesdigitalisatie van de RBG.

Begrippen

Procesdigitalisatie: met procesdigitalisatie bedoelen we de technieken in de voorgenoemde AI-definitie

Klanten: dit omvat alle inwoners, bedrijven en instellingen die gebruikmaken van onze dienstverlening.

Vooringenomenheid: een AI-systeem kan verkeerde uitkomsten geven als het is getraind met data die geen volledig beeld van alle klantgroepen bevatten. Bijvoorbeeld: een model voor belastingaangiften dat vooral gegevens van één groep gebruikt, kan andere groepen onterecht vaker als afwijkend aanmerken.

Anonimiseren/pseudonimiseren: gevoelige gegevens worden verwijderd of vervangen door neutrale termen, zoals ‘aanvrager’ of ‘klant, zodat personen niet te herleiden

Kernprincipes van procesdigitalisatie

  • 1.

    Inzet van AI-technologie in het algemeen

    • Bij het ontwikkelen van AI-systemen maakt de RBG gebruik van goedgekeurde, bestaande en bewezen AI-technologieën en laat zich hierover adviseren.

    • Ruimte voor gecontroleerde experimenten. We leren door te doen. AI wordt pas goed beoordeeld na praktijkproeven. Daarom starten we gecontroleerde pilots in een afgebakende omgeving met fictieve gegevens.

    • We verwerken alleen gegevens die noodzakelijk zijn voor het doel en zorgen voor anonimisering of pseudonimisering.

    • Persoonsgegevens worden uitsluitend verwerkt met een geldige grondslag binnen de kaders van de AVG.

    • Gegevensverwerking in AI-systemen blijven altijd in eigendom van RBG, informatie wordt niet hergebruikt voor andere verwerking dan waarvoor deze is aangeboden en worden niet gebruikt om de AI-systemen te verrijken.

    • Van de toegepaste technologie moet bekend zijn:

      • i.

        Welke technologie is toegepast

      • ii.

        Welke data is gebruikt om de technologie te trainen

      • iii.

        Wat de betrouwbaarheid is van de toegepaste technologie

    • We gebruiken AI-technologie binnen de geldende juridische kaders. Die juridische kaders bestaan uit:

      • i.

        De AI-ACT: 1

      • ii.

        De AI-verordening: 2

      • iii.

        De AVG & BIO: recht op een menselijke blik bij besluiten die over betrokkenen gaan

    • Bij het inkopen van generatieve AI-modellen of applicaties maken we met leveranciers afspraken over datadeling, dataretentie en het (eventueel) her trainen van modellen met gebruikersinput, en we controleren bij externe partijen of en hoe AI in hun systemen is verwerkt; als dit niet past bij ons AI-beleid, gebruiken we hun oplossing niet.

    • Voordat we AI gebruiken om data te analyseren, maken we een plan. In dat plan staat welke AI-technologie we gebruiken, welke data we inzetten en wat we doen met de uitkomsten. We toetsen het plan op nut, privacy en veiligheidsrisico’s.

    • We onderzoeken AI-technologieën en -toepassingen en bepalen of we ze kunnen gebruiken. Alleen AI-toepassingen die op de lijst staan in ons verwerkingsregister, gebruiken we voor het geteste doel. In het interne Algoritme-register staat vermeld wanneer een AI-systeem moet worden geregistreerd.

    • Volgens de AI Act mag Kunstmatige Intelligentie niet worden gebruikt om:

      • i.

        de rechten van anderen te schenden, zoals auteursrechten, privacyrechten en portretrechten;

      • ii.

        beslissingen te nemen zonder menselijke tussenkomst;

      • iii.

        onbevoegd toegang te krijgen tot gegevens;

      • iv.

        schadelijke, beledigende, discriminerende of illegale inhoud te ondersteunen, versterken of verspreiden;

      • v.

        voor persoonlijke doeleinden te worden ingezet.

    • Uitzonderingen op het AI-beleid kunnen worden aangevraagd en op advies van de CISO, PO en de FG worden goedgekeurd.

  • 2.

    Ethisch en mensgericht gebruik

    • AI-systemen moeten bijdragen aan het welzijn van klanten en hun grondrechten respecteren.

    • AI-systemen die onaanvaardbare risico’s vormen voor de rechten en vrijheden van klanten, worden niet ingezet.

  • 3.

    Transparantie en toegankelijkheid

    • Klanten worden geïnformeerd over AI-systemen die hen direct raken, inclusief gebruikte data en algoritmes, via wettelijke kanalen zoals het algoritmeregister en de privacyverklaring.

    • De werking van AI-systemen wordt begrijpelijk uitgelegd en toegankelijk gemaakt, zodat klanten vragen kunnen stellen of feedback kunnen geven. Indien uitleg niet mogelijk is, wordt het systeem niet ingezet.

  • 4.

    Geen discriminatie of vooringenomenheid

    • AI-systemen moeten vrij zijn van vooroordelen en discriminatie; alle bevolkingsgroepen worden gelijk behandeld.

    • Data en algoritmes worden regelmatig gecontroleerd en bijgestuurd om vooringenomenheid te identificeren en te corrigeren.

  • 5.

    Menselijke controle en verantwoordelijkheid

    • Besluiten mogen niet volledig geautomatiseerd door AI worden genomen.

    • AI-systemen functioneren altijd onder toezicht van teammanagers, die eindverantwoordelijk zijn voor belangrijke beslissingen.

    • Er wordt een werkgroep AI aangesteld die verantwoordelijk is voor de evaluatie op (nieuwe) AI-systemen en toetsing op het AI beleid

Specifieke regels voor AI-toepassingen

Onderstaande onderwerpen zijn al geborgd in bestaande beleidstukken en/of wet- en regelgeving en worden ingezet voor de ontwikkeling van procesdigitalisatie.

  • 1.

    Beoordeling van Risico’s - (informatiebeveiligingsbeleid RBG)

    • Voor toepassingen met een hoger risico model, gebaseerd op het verwerkingsregister, wordt een risicoanalyse uitgevoerd, gericht op privacy, ethiek, non-discriminatie en veiligheid, inclusief toepassingen voor data gedreven werken of onderzoek.

    • Toepassingen die een significante impact op klanten hebben, vereisen een uitgebreide risicoanalyse en goedkeuring door de interne onafhankelijke werkgroep AI.

    • De FG, PO en CISO houden actief toezicht op externe AI-misbruiken die de RBG kunnen schaden, zoals nep profielen, phishing of overbelasting van servers en diensten. Bij signalen van misbruik worden preventieve, repressieve of correctieve maatregelen genomen.

  • 2.

    Data Governance en kwaliteitscontrole - (informatiebeveiligingsbeleid RBG & AVG)

    • AI-systemen verwerken alleen strikt noodzakelijke gegevens. De noodzakelijkheid wordt bepaald door het doel van de verwerking, data-minimalisatie en privacyaspecten.

    • De data die aan AI wordt aangeboden, wordt gecontroleerd op representativiteit en mogelijke vooringenomenheid (inputcontrole).

    • Door AI gegenereerde data wordt gecontroleerd op juistheid, representativiteit en mogelijke vooringenomenheid (outputcontrole).

  • 3.

    Monitoring en controle op resultaten - (informatiebeveiligingsbeleid RBG)

    • AI-systemen worden periodiek gecontroleerd en gemonitord om te garanderen dat ze correct functioneren, betrouwbare resultaten leveren en binnen de kaders van het AI-beleid opereren.

    • De monitoring richt zich zowel op de output als op de impact van AI-systemen op inwoners, met speciale aandacht voor afwijkingen en onverwachte gevolgen.

  • 4.

    Privacy by Design en Privacy by Default - (AVG)

    • Alle systemen, inclusief AI, passen ‘Privacy by Design’ en ‘Privacy by Default’ toe, zodat privacy vanaf de ontwerpfase is ingebouwd. Voor SAAS-systemen met AI moet de leverancier aantonen hoe deze privacy wordt gewaarborgd.

    • Waar nodig wordt gebruikgemaakt van afscherming, zoals anonimiseren of pseudonimiseren, om privacy te beschermen.

    • De RBG voert regelmatig audits en beveiligingsupdates uit om de veiligheid van gegevens te waarborgen.

  • 5.

    Beveiligingsnormen en Cyberveiligheid - (informatiebeveiligingsbeleid RBG & AVG)

    • AI-systemen sluiten aan op onze interne beveiligingsnormen om de privacy en veiligheid van inwoners te beschermen.

    • Beveiligingsincidenten worden direct gemeld volgens ons calamiteitenplan

    • Datalekken worden onmiddellijk gemeld volgens het datalekkenprotocol

  • 6.

    Continu onderzoek en verbetering - (NIS2)

    • AI-systemen worden jaarlijks geëvalueerd op basis van nieuwe technologische, juridische en maatschappelijke inzichten.

    • Bij iedere nieuwe release van een SAAS-AI-oplossing moet de leverancier wijzigingen in de AI-technologie expliciet melden. Deze wijzigingen worden getoetst op aansluiting bij het AI-beleid.

    • Medewerkers hanteren interne richtlijnen in AI gebruik en krijgen trainingen om op de hoogte te blijven van ontwikkelingen op AI-gebied.

Ondertekening

Vastgesteld door het dagelijks bestuur van de Regionale Belasting Groep,

Schiedam, 9 maart 2026,

Directeur,

J.F. Kooistra

Voorzitter,

P. Ouwendijk