💼 Management Samenvatting
Een AI Impact Assessment (AIIA) is een gestructureerde beoordeling van de risico's, effecten en beheersmaatregelen rond het gebruik van kunstmatige intelligentie in diensten van de overheid. Voor Nederlandse overheidsorganisaties is een gedegen impact assessment essentieel om transparant, uitlegbaar en rechtmatig met AI om te gaan.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
120u (tech: 40u)
Van toepassing op:
✓ Azure
✓ M365
✓ AI Services
✓ M365
✓ AI Services
Zonder een AI Impact Assessment ontbreekt het overzicht op de risico's voor burgers, de rechtmatigheid van verwerkingen, de mogelijke vooringenomenheid in modellen en de gevolgen voor grondrechten zoals non-discriminatie en privacy. Dit kan leiden tot juridische procedures, ingrijpen door toezichthouders zoals de Autoriteit Persoonsgegevens, negatieve media-aandacht en een verlies aan vertrouwen in de digitale overheid. Bovendien wordt het voor bestuurders en CISO's vrijwel onmogelijk om verantwoording af te leggen wanneer beslissingen zijn genomen op basis van AI-systemen waarvan de impact nooit systematisch is onderzocht.
PowerShell Modules Vereist
Primary API: Microsoft Purview, Microsoft Teams, SharePoint Online
Connection:
Required Modules: PnP.PowerShell
Connection:
PowerShell, WebportalenRequired Modules: PnP.PowerShell
Implementatie
Dit artikel beschrijft hoe Nederlandse overheidsorganisaties een AI Impact Assessment kunnen opzetten, uitvoeren en onderhouden, in samenhang met bestaande instrumenten zoals DPIA's onder de AVG en risicobeoordelingen binnen de BIO. We gaan in op de juridische en ethische context, de praktische stappen voor uitvoering, de rolverdeling tussen beleid, IT en business, en de manier waarop resultaten worden vastgelegd en opgevolgd. Tot slot tonen we hoe u met geautomatiseerde controles kunt bewaken of AI-projecten daadwerkelijk over een actuele impact assessment beschikken en hoe u verbeteracties structureel kunt borgen.
Juridische en Ethische Context van AI Impact Assessments
Een AI Impact Assessment staat niet op zichzelf, maar beweegt zich in het spanningsveld tussen regelgeving, maatschappelijke verwachtingen en technologische mogelijkheden. Binnen de Europese Unie vormt de EU AI Act het leidende kader voor de regulering van AI-systemen. Deze wet maakt onderscheid tussen verboden AI-toepassingen, hoog-risico systemen, beperkte risico's en minimale risico's. Voor high-risk AI-systemen, zoals besluitvormingssystemen voor uitkeringen, fraudedetectie, migratie of toegang tot publieke voorzieningen, is een diepgaande risicobeoordeling en documentatieplicht voorgeschreven. Tegelijkertijd blijven bestaande kaders zoals de AVG, de Wet open overheid (Woo) en de BIO volledig van kracht. Een AI Impact Assessment moet daarom zowel de juridische compliance als de bredere maatschappelijke en ethische impact in kaart brengen.
Voor Nederlandse overheidsorganisaties betekent dit dat een AI Impact Assessment verder gaat dan een traditionele DPIA. Waar een DPIA primair kijkt naar privacyrisico's rond persoonsgegevens, richt een AI Impact Assessment zich ook op zaken als uitlegbaarheid van modellen, potentiële discriminatie, verschuiving van machtsverhoudingen tussen burger en overheid en het risico op onbedoelde automatisering van beleid. Denk bijvoorbeeld aan een risicomodel dat burgers automatisch in hokjes plaatst op basis van postcode, gezinssamenstelling en historisch betalingsgedrag. Zelfs wanneer de onderliggende data op zichzelf rechtmatig is verwerkt, kan de uitkomst van het model structureel nadelig uitpakken voor bepaalde groepen, wat in strijd kan zijn met grondrechten en maatschappelijke waarden.
Een volwassen AI Impact Assessment verbindt daarom juridische eisen, ethische principes en technische realiteit. Vanuit juridisch perspectief moet worden vastgesteld of er een rechtsgrond is voor de inzet van AI, of de verwerking proportioneel en subsidiair is en of burgers voldoende geïnformeerd zijn. Vanuit ethisch perspectief spelen waarden als rechtvaardigheid, menselijke waardigheid, autonomie en transparantie een rol. Technisch gezien moeten ontwikkelaars en architecten inzichtelijk maken hoe het model tot beslissingen komt, welke datasets zijn gebruikt, welke aannames zijn gedaan en waar onzekerheidsmarges liggen. Deze dimensies komen samen in een gestructureerde set vragen en beoordelingscriteria die in de AI Impact Assessment worden uitgewerkt.
Bestuurders en managementteams hebben in dit geheel een cruciale rol. Zij bepalen de risicobereidheid, stellen kaders voor verantwoord gebruik van AI en moeten expliciet instemmen met de inzet van high-risk AI-systemen. Een AI Impact Assessment fungeert als het besluitvormingsdossier dat aantoont dat alternatieven zijn overwogen, risico's zijn geïdentificeerd en passende maatregelen zijn getroffen. Dit dossier is niet alleen relevant voor toezichthouders, maar ook voor interne en externe audits, parlementaire enquêtes en eventuele rechtszaken waarin de inzet van AI ter discussie staat. Door AI Impact Assessments te verankeren in de governance van digitale projecten, voorkomt u dat ethiek en rechtmatigheid worden gezien als een nabrander in plaats van een integraal onderdeel van ontwerp en implementatie.
Tot slot is het belangrijk te onderkennen dat de maatschappelijke context rond AI snel evolueert. Discussies over bias in algoritmes, de toelaatbaarheid van proactieve opsporing en de inzet van generatieve AI in de publieke sector leiden regelmatig tot nieuwe richtlijnen en beleidsnota's. Een AI Impact Assessment is daarom geen statisch document, maar een levend instrument dat periodiek moet worden herzien. Nieuwe jurisprudentie, gewijzigde wetgeving of incidenten bij andere organisaties kunnen aanleiding zijn om een bestaande impact assessment opnieuw te beoordelen en aanvullende maatregelen te nemen. Door deze dynamiek expliciet te benoemen in beleid en processen, voorkomt u dat het AI Impact Assessment verwordt tot een eenmalige invuloefening zonder echte bestuurlijke waarde.
Stapsgewijze Uitvoering van een AI Impact Assessment
De uitvoering van een AI Impact Assessment begint met een heldere afbakening van het systeem en de gebruiksscenario's. Beschrijf concreet welke processen door het AI-systeem worden ondersteund, welke beslissingen worden genomen of voorbereid en welke groepen burgers hierdoor geraakt worden. Vermijd abstracte omschrijvingen; hoe specifieker het gebruiksscenario is, hoe beter risico's en effecten in beeld gebracht kunnen worden. Inventariseer vervolgens de betrokken datasets: herkomst, eigenaarschap, bewaartermijnen, datakwaliteit en de aanwezigheid van gevoelige kenmerken zoals etniciteit, gezondheid of financiële problematiek. Dit vormt de basis voor zowel de juridische als de ethische analyse.
In de tweede stap wordt de technische werking van het AI-systeem in begrijpelijke taal beschreven. Leg uit welke algoritmische benadering wordt gebruikt (bijvoorbeeld beslisbomen, regressiemodellen of neurale netwerken), welke inputvariabelen een rol spelen en hoe de uitkomsten worden geïnterpreteerd in de werkprocessen van de organisatie. Daarbij is het van belang onderscheid te maken tussen ondersteunende systemen, waarbij een menselijke professional de uiteindelijke beslissing neemt, en systemen waarin beslissingen grotendeels automatisch worden genomen. Voor elk van deze categorieën gelden andere eisen aan uitlegbaarheid, logging en mogelijkheden voor bezwaar en beroep. Documenteer ook hoe het model is getraind, welke validatiemethoden zijn toegepast en welke performance-indicatoren worden gebruikt om de kwaliteit te meten.
Vervolgens worden de risico's systematisch in kaart gebracht. Dit omvat zowel risico's voor betrokken burgers als risico's voor de organisatie zelf. Voor burgers kan het gaan om onterechte afwijzing van aanvragen, stigmatisering van specifieke groepen, aantasting van privacy of een gevoel van voortdurende monitoring. Voor de organisatie liggen risico's op het vlak van non-compliance, reputatieschade, operationele verstoringen en financieel verlies. Een praktische aanpak is om per risico de waarschijnlijkheid en impact te scoren, rekening houdend met bestaande beheersmaatregelen. Daarbij moet expliciet aandacht zijn voor cumulatieve effecten: een model dat in isolatie acceptabele foutmarges heeft, kan in combinatie met andere systemen toch leiden tot systematische benadeling van kwetsbare groepen.
Op basis van de risicobeoordeling worden mitigerende maatregelen geformuleerd. Dit kunnen technische maatregelen zijn, zoals het verwijderen van bepaalde variabelen, het toevoegen van fairness-controles, of het beperken van de automatiseringsgraad. Daarnaast spelen organisatorische maatregelen een rol, bijvoorbeeld het verplicht stellen van een tweede lezer bij beslissingen met grote impact, het aanbieden van duidelijke bezwaarprocedures voor burgers en het inrichten van een periodieke herbeoordeling van het model. Juridische maatregelen omvatten het aanscherpen van verwerkersovereenkomsten, het vastleggen van verantwoordelijkheden in mandaatregelingen en het expliciet opnemen van AI-criteria in beleid en normen. Alle maatregelen worden in de AI Impact Assessment gekoppeld aan de geïdentificeerde risico's, zodat voor auditors en toezichthouders direct zichtbaar is hoe risico's zijn geadresseerd.
Een AI Impact Assessment eindigt met een bestuurlijke conclusie en besluitvorming. Hierin wordt samengevat of, en onder welke voorwaarden, het AI-systeem verantwoord kan worden ingezet. Het management besluit expliciet over doorgang, aanpassing of stopzetting van het project en legt vast welke monitoring- en rapportageafspraken gelden. Deze conclusie moet traceerbaar zijn naar de onderliggende analyses en maatregelen. Voor transparantie richting burgers kan een publiekvriendelijke samenvatting worden opgesteld waarin op begrijpelijke wijze wordt uitgelegd waarom AI wordt ingezet, welke waarborgen zijn aangebracht en hoe burgers hun rechten kunnen uitoefenen. Door deze samenvatting op te nemen in de digitale dienst of het privacyportaal, wordt de AI Impact Assessment niet alleen een intern document, maar ook een middel om vertrouwen te versterken.
Governance, Monitoring en Verbetering van AI Impact Assessments
Gebruik PowerShell-script impact-assessment.ps1 (functie Invoke-Monitoring) – Controleert of AI-projecten beschikken over een actuele AI Impact Assessment en rapporteert de status..
Een eenmalige AI Impact Assessment bij oplevering van een systeem is onvoldoende om blijvend verantwoord met AI om te gaan. Organisaties moeten een governance-structuur inrichten waarin AI Impact Assessments onderdeel zijn van de reguliere portfoliosturing en risicomanagementprocessen. Dit begint met heldere beleidskaders: wanneer is een AI Impact Assessment verplicht, wie is eigenaar van het proces en hoe verhoudt het zich tot andere instrumenten zoals DPIA's, security risk assessments en architectuurbeoordelingen. Leg vast dat voor ieder AI-project een verantwoordelijke wordt aangewezen die de impact assessment initieert, coördineert en actualiseert. Koppel deze verantwoordelijkheid aan bestaande rollen zoals proceseigenaar, systeemverantwoordelijke of Chief Data Officer, zodat het geen losstaand experiment blijft.
Monitoring speelt een sleutelrol bij het borgen van continuïteit. Door AI-projecten te registreren in een centraal AI-register, bijvoorbeeld in Microsoft Purview of een interne SharePoint-site, kan de organisatie automatisch controleren of bij elk project een AI Impact Assessment aanwezig is en hoe recent deze is bijgewerkt. Het script dat bij dit artikel hoort, kan worden gebruikt om periodiek een overzicht te genereren van alle geregistreerde AI-systemen, inclusief de datum van de laatste impact assessment en eventuele openstaande acties. Deze rapportages kunnen worden gedeeld met het CISO-office, de Functionaris Gegevensbescherming en interne audit, zodat zij gericht kunnen sturen op de grootste risico's. Door drempels laag te houden en generieke sjablonen aan te bieden, wordt het voor projectteams eenvoudiger om assessments bij te houden.
Verbetering is tenslotte een continu proces. Naarmate de organisatie meer ervaring opdoet met AI, zullen nieuwe aandachtspunten en best practices ontstaan. Documenteer leerpunten uit incidenten, klachten, juridische procedures of mediacases en vertaal deze naar aangescherpte vragen en criteria in het AI Impact Assessment-sjabloon. Organiseer periodieke review-sessies waarin verschillende disciplines – juridisch, ethisch, technisch en beleidsmatig – gezamenlijk kijken naar bestaande assessments en beoordelen of deze nog voldoen aan de laatste inzichten. Door AI Impact Assessments actief te gebruiken in trainingen, projectstart-ups en bestuursrapportages, groeit het bewustzijn dat verantwoord gebruik van AI niet alleen een technische uitdaging is, maar een integraal onderdeel van goed openbaar bestuur.
Aanpak bij Ontbrekende of Onvoldoende AI Impact Assessments
Gebruik PowerShell-script impact-assessment.ps1 (functie Invoke-Remediation) – Genereert sjablonen en actieoverzichten voor ontbrekende of verouderde AI Impact Assessments..
In de praktijk zal bij een eerste inventarisatie vaak blijken dat niet alle AI-projecten beschikken over een volwaardige of actuele AI Impact Assessment. Het is belangrijk om dit niet uitsluitend als tekortkoming te benaderen, maar als startpunt voor gerichte verbetering. Begin met het opstellen van een overzicht van alle bekende AI-toepassingen, bijvoorbeeld op basis van architectuurdocumentatie, inkoopdossiers, security-scans en interviews met sleutelafdelingen. Classificeer deze toepassingen naar risiconiveau, waarbij high-risk systemen met directe impact op burgers prioriteit krijgen. Voor deze categorie wordt bepaald of de inzet kan worden voortgezet onder tijdelijke voorwaarden of dat er een stop op nieuwe beslissingen nodig is totdat de impact assessment is afgerond.
Vervolgens worden concrete verbeteracties uitgewerkt. Dit kan variëren van het aanvullen van bestaande documentatie, het uitvoeren van aanvullende testen op bias en uitlegbaarheid, tot het organisatorisch aanpassen van processen om meer menselijk toezicht in te bouwen. Het is raadzaam om hiervoor multidisciplinaire werkgroepen in te richten waarin juristen, ethici, data scientists, privacy officers en vertegenwoordigers van de business samenwerken. Door gebruik te maken van gestandaardiseerde sjablonen en voorbeeldteksten, kan het opstellen van een eerste AI Impact Assessment aanzienlijk worden versneld, zonder dat dit ten koste gaat van de diepgang. De resultaten van deze verbeteracties worden vastgelegd in een overzicht dat zichtbaar maakt welke risico's zijn teruggebracht en welke rest-risico's bewust door het bestuur worden geaccepteerd.
Tot slot moet remediatie altijd worden gekoppeld aan structurele borging. Wanneer blijkt dat bepaalde risico's of tekortkomingen zich telkens opnieuw voordoen, is dat een signaal dat de onderliggende processen of governance onvoldoende zijn ingericht. Neem daarom lessen uit remediatieprojecten expliciet op in beleid, werkinstructies, architectuurprincipes en opleidingsprogramma's. Zorg er bovendien voor dat de status van AI Impact Assessments een vast onderdeel wordt van portfoliorapportages aan directies en bestuur. Op die manier groeit de volwassenheid van de organisatie op het gebied van AI stap voor stap, en wordt de inzet van AI beter verenigbaar met de waarden en verantwoordelijkheden die horen bij de Nederlandse publieke sector.
Compliance & Frameworks
- BIO: 12.02, 12.05, 18.01 - Borging van risicobeoordeling, documentatie en toezicht op AI-systemen binnen het informatiebeveiligingsmanagement.
- ISO 27001:2022: A.6.1.2, A.8.2.1, A.18.1.1 - Structuur voor risicomanagement, documentatie van beheersmaatregelen en naleving van wet- en regelgeving bij inzet van AI.
- NIS2: Artikel - Eisen aan risicobeheer, documentatie en rapportage voor essentiële en belangrijke diensten waarin AI een rol speelt.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
AI Impact Assessment Monitoring en Remediatie voor Nederlandse overheidsorganisaties
.DESCRIPTION
Controleert of AI-projecten beschikken over een actuele AI Impact Assessment (AIIA)
en genereert waar nodig sjablonen en actieoverzichten.
.NOTES
Filename: impact-assessment.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-01-15
Last Modified: 2025-01-15
Version: 1.0
Related JSON: content/ai/ethics/impact-assessment.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\impact-assessment.ps1 -Monitoring
Controleert alle geregistreerde AI-projecten op aanwezigheid en actualiteit van AI Impact Assessments.
.EXAMPLE
.\impact-assessment.ps1 -Remediation
Genereert AI Impact Assessment-sjablonen voor projecten zonder assessment en maakt een overzichtsrapport.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation,
[Parameter()]
[string]$RegisterPath = "D:\Github\m365-tenant-best-practise\documentatie\ai-register",
[Parameter()]
[string]$AssessmentPath = "D:\Github\m365-tenant-best-practise\documentatie\ai-impact-assessments"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Configuratie
$MaxAssessmentAgeDays = 365
$RegisterFileName = "ai-register.csv"
function Get-AIProjectRegister {
<#
.SYNOPSIS
Leest het AI-projectregister in.
.OUTPUTS
Lijst met AI-projecten als PSCustomObject.
.NOTES
Verwacht een CSV-bestand met minimaal de kolommen:
- ProjectName
- Owner
- RiskLevel (Low/Medium/High)
- AssessmentFile (optioneel)
#>
[CmdletBinding()]
param()
$registerFile = Join-Path -Path $RegisterPath -ChildPath $RegisterFileName
if (-not (Test-Path -Path $registerFile)) {
Write-Verbose "AI-register niet gevonden op $registerFile, maak een leeg register-object aan."
return @()
}
try {
$projects = Import-Csv -Path $registerFile -ErrorAction Stop
return $projects
}
catch {
Write-Error "Kon AI-register niet lezen: $_"
throw
}
}
function Get-AssessmentStatus {
<#
.SYNOPSIS
Bepaalt de status van AI Impact Assessments voor projecten.
.OUTPUTS
Lijst met statusobjecten.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[array]$Projects
)
$results = @()
foreach ($project in $Projects) {
$name = $project.ProjectName
$owner = $project.Owner
$riskLevel = $project.RiskLevel
# Bepaal pad naar assessmentbestand
$assessmentFileName = if ($project.AssessmentFile) {
$project.AssessmentFile
} else {
($name -replace '[^\w\-]', '-') + "-ai-impact-assessment.md"
}
$assessmentFilePath = Join-Path -Path $AssessmentPath -ChildPath $assessmentFileName
$exists = Test-Path -Path $assessmentFilePath
$isOutdated = $false
$lastWriteTime = $null
if ($exists) {
$file = Get-Item -Path $assessmentFilePath
$lastWriteTime = $file.LastWriteTime
$age = (Get-Date) - $lastWriteTime
if ($age.Days -gt $MaxAssessmentAgeDays) {
$isOutdated = $true
}
}
$status = [PSCustomObject]@{
ProjectName = $name
Owner = $owner
RiskLevel = $riskLevel
AssessmentPath = $assessmentFilePath
Exists = $exists
IsOutdated = $isOutdated
LastWriteTime = $lastWriteTime
}
$results += $status
}
return $results
}
function New-AIAssessmentTemplate {
<#
.SYNOPSIS
Genereert een AI Impact Assessment-sjabloon voor een project.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$ProjectName,
[Parameter(Mandatory = $true)]
[string]$Owner,
[Parameter(Mandatory = $true)]
[string]$RiskLevel,
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$today = Get-Date -Format "yyyy-MM-dd"
$template = @"
# AI Impact Assessment - $ProjectName
**Laatst bijgewerkt:** $today
**Projecteigenaar:** $Owner
**Risiconiveau:** $RiskLevel
**Status:** Concept
## 1. Beschrijving van het AI-systeem en de context
Beschrijf het doel van het AI-systeem, de dienst of het proces waarin het wordt gebruikt, en de betrokken burgers of organisaties.
## 2. Juridische grondslag en verhouding tot regelgeving
Beschrijf de rechtsgrond voor inzet van het AI-systeem, de relatie met de AVG, EU AI Act, BIO en eventuele sectorspecifieke wetgeving.
## 3. Data en modelkarakteristieken
Beschrijf de gebruikte datasets, herkomst, datakwaliteit, gevoeligheid en de belangrijkste modelkenmerken (bijvoorbeeld gebruikte variabelen en algoritmetype).
## 4. Risico's voor betrokkenen en grondrechten
Analyseer de mogelijke negatieve effecten voor burgers, waaronder discriminatie, uitsluiting, onterechte beslissingen en aantasting van privacy.
## 5. Organisatorische en technische beheersmaatregelen
Beschrijf welke maatregelen zijn genomen om geïdentificeerde risico's te beperken, zowel technisch (bijvoorbeeld fairness-controles) als organisatorisch (bijvoorbeeld menselijk toezicht).
## 6. Uitlegbaarheid, transparantie en rechten van betrokkenen
Beschrijf hoe beslissingen worden uitgelegd aan burgers, welke informatie beschikbaar is en hoe rechten zoals inzage, bezwaar en correctie worden gefaciliteerd.
## 7. Governance, monitoring en periodieke herbeoordeling
Beschrijf hoe het AI-systeem wordt gemonitord, hoe incidenten worden afgehandeld en hoe vaak de AI Impact Assessment wordt herzien.
## 8. Bestuurlijke conclusie en besluitvorming
Vat de belangrijkste bevindingen samen en beschrijf het besluit van het bevoegde bestuursorgaan over inzet, voorwaarden en rest-risico's.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
if ($WhatIf) {
Write-Host "[WhatIf] Zou folder aanmaken: $folder" -ForegroundColor Yellow
} else {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
}
if ($WhatIf) {
Write-Host "[WhatIf] Zou AI Impact Assessment-sjabloon genereren: $OutputPath" -ForegroundColor Yellow
} else {
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "Sjabloon gegenereerd: $OutputPath" -ForegroundColor Green
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de status van AI Impact Assessments in het AI-register.
.OUTPUTS
Overzichtsobject met samenvatting.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: AI Impact Assessments" -ForegroundColor Yellow
Write-Host "==================================" -ForegroundColor Yellow
$projects = Get-AIProjectRegister
if (-not $projects -or $projects.Count -eq 0) {
Write-Host "Geen AI-projecten gevonden in het register." -ForegroundColor Yellow
return @{
TotalProjects = 0
ProjectsWithAssessment = 0
ProjectsWithoutAssessment = 0
OutdatedAssessments = 0
Details = @()
}
}
$status = Get-AssessmentStatus -Projects $projects
$withAssessment = $status | Where-Object { $_.Exists }
$withoutAssessment = $status | Where-Object { -not $_.Exists }
$outdated = $status | Where-Object { $_.Exists -and $_.IsOutdated }
Write-Host "`nResultaten:" -ForegroundColor Cyan
Write-Host " Totaal AI-projecten: $($status.Count)" -ForegroundColor Cyan
Write-Host " Met AI Impact Assessment: $($withAssessment.Count)" -ForegroundColor Cyan
Write-Host " Zonder AI Impact Assessment: $($withoutAssessment.Count)" -ForegroundColor $(if ($withoutAssessment.Count -eq 0) { "Green" } else { "Red" })
Write-Host " Verouderde AI Impact Assessments: $($outdated.Count)" -ForegroundColor $(if ($outdated.Count -eq 0) { "Green" } else { "Yellow" })
if ($withoutAssessment.Count -gt 0) {
Write-Host "`nProjecten zonder AI Impact Assessment:" -ForegroundColor Red
foreach ($item in $withoutAssessment) {
Write-Host " - $($item.ProjectName) (Owner: $($item.Owner), Risk: $($item.RiskLevel))" -ForegroundColor Red
}
}
if ($outdated.Count -gt 0) {
Write-Host "`nProjecten met verouderde AI Impact Assessment:" -ForegroundColor Yellow
foreach ($item in $outdated) {
$days = if ($item.LastWriteTime) { ((Get-Date) - $item.LastWriteTime).Days } else { "?" }
Write-Host " - $($item.ProjectName) (Laatste update: $($item.LastWriteTime), $days dagen geleden)" -ForegroundColor Yellow
}
}
return @{
TotalProjects = $status.Count
ProjectsWithAssessment = $withAssessment.Count
ProjectsWithoutAssessment = $withoutAssessment.Count
OutdatedAssessments = $outdated.Count
Details = $status
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert sjablonen voor ontbrekende AI Impact Assessments.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: AI Impact Assessment Sjablonen" -ForegroundColor Yellow
Write-Host "==========================================" -ForegroundColor Yellow
$projects = Get-AIProjectRegister
if (-not $projects -or $projects.Count -eq 0) {
Write-Host "Geen AI-projecten gevonden in het register." -ForegroundColor Yellow
return
}
$status = Get-AssessmentStatus -Projects $projects
$missing = $status | Where-Object { -not $_.Exists }
if ($missing.Count -eq 0) {
Write-Host "Alle geregistreerde projecten hebben een AI Impact Assessment." -ForegroundColor Green
return
}
Write-Host "`nGenereren van sjablonen voor projecten zonder assessment..." -ForegroundColor Cyan
foreach ($item in $missing) {
$projectInfo = $projects | Where-Object { $_.ProjectName -eq $item.ProjectName } | Select-Object -First 1
if (-not $projectInfo) {
continue
}
New-AIAssessmentTemplate -ProjectName $projectInfo.ProjectName `
-Owner $projectInfo.Owner `
-RiskLevel $projectInfo.RiskLevel `
-OutputPath $item.AssessmentPath
}
Write-Host "`nRemediatie voltooid. Vul de gegenereerde sjablonen inhoudelijk aan met projectspecifieke informatie." -ForegroundColor Green
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "AI Impact Assessment Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Standaard een korte samenvatting tonen
$summary = Invoke-Monitoring
Write-Host "`nGebruik -Remediation om sjablonen te genereren voor ontbrekende assessments." -ForegroundColor Yellow
return $summary
}
}
catch {
Write-Error "Er is een fout opgetreden: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder AI Impact Assessments ontbreekt aantoonbare sturing op risico's rond AI, waardoor juridische non-compliance, reputatieschade en aantasting van grondrechten van burgers dreigen. Incidenten met onterechte profilering of discriminerende modellen kunnen leiden tot handhaving door toezichthouders, politieke druk en verlies van vertrouwen in de overheid.
Management Samenvatting
Richt een structureel proces in voor AI Impact Assessments om juridische, ethische en technische risico's rond AI-toepassingen in kaart te brengen en te beheersen. Koppel assessments aan governance, portfoliosturing en monitoring, zodat high-risk AI-systemen alleen worden ingezet met passende waarborgen en bestuurlijke verantwoording.
- Implementatietijd: 120 uur
- FTE required: 0.6 FTE