💼 Management Samenvatting
Menselijk toezicht is een kernvereiste voor het verantwoord inzetten van AI binnen de Nederlandse overheid. Het zorgt ervoor dat geautomatiseerde aanbevelingen, besluiten en analyses altijd worden beoordeeld door deskundige professionals die de publieke taak, de juridische kaders en de maatschappelijke impact begrijpen.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
120u (tech: 40u)
Van toepassing op:
✓ Azure
✓ M365
✓ AI Services
✓ M365
✓ AI Services
Zonder goed ingericht menselijk toezicht bestaat het risico dat AI-systemen feitelijk autonoom besluiten nemen over burgers, organisaties of middelen, terwijl dat in strijd kan zijn met de rechtsstaat, de AVG en de EU AI Act. Fouten, bias of verkeerde aannames in modellen kunnen dan onopgemerkt blijven, met mogelijk grote gevolgen voor grondrechten, gelijke behandeling en het vertrouwen van burgers. In complexe ketens kan bovendien onduidelijk zijn wie verantwoordelijk is voor een bepaald AI-gestuurd advies of besluit, waardoor aansprakelijkheid en herstel moeilijk te organiseren zijn.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Azure Portal, Microsoft Defender Portal
Connection:
Required Modules: Microsoft.Graph, Az.Accounts
Connection:
Connect-MgGraph, Connect-AzAccountRequired Modules: Microsoft.Graph, Az.Accounts
Implementatie
Dit artikel beschrijft hoe overheidsorganisaties menselijk toezicht op AI-systemen systematisch ontwerpen, implementeren en borgen. We gaan in op rollen en verantwoordelijkheden, het inrichten van beslisprocessen met ‘human-in-the-loop’ en ‘human-on-the-loop’, eisen aan deskundigheid van toezichthouders, praktische werkafspraken voor dagelijkse casuïstiek en de vertaling naar concrete controles in Microsoft 365, Azure en ondersteunende documentatie. Ook laten we zien hoe monitoring en periodieke evaluaties helpen om menselijk toezicht blijvend effectief te houden in een snel veranderend technologisch en juridisch landschap.
Governance, Rollen en Verantwoordelijkheden rond Menselijk Toezicht
Effectief menselijk toezicht begint bij duidelijke governance: wie is verantwoordelijk voor welke beslissingen, en hoe wordt geborgd dat mensen de daadwerkelijke regie houden over AI-systemen? In een Nederlandse overheidsorganisatie betekent dit dat bestuur, lijnmanagement, CISO, FG, chief data officer, juridisch adviseurs en proceseigenaren gezamenlijk vastleggen hoe AI wordt gebruikt binnen processen en waar menselijk toezicht precies plaatsvindt. Voor ieder AI-systeem wordt een eigenaar aangewezen die eindverantwoordelijk is voor de inzet, inclusief de keuze om aanbevelingen wel of niet over te nemen. Deze eigenaar borgt dat de inrichting van menselijk toezicht is vastgelegd in beleid, procesbeschrijvingen en werkinstructies, en dat medewerkers hiervoor zijn opgeleid. Governance-documenten beschrijven bijvoorbeeld expliciet dat AI nooit zelfstandig formeel-juridische besluiten mag nemen, maar alleen ondersteunende input levert aan bevoegde medewerkers.
Een belangrijk onderscheid is dat tussen human-in-the-loop en human-on-the-loop. Bij human-in-the-loop neemt een mens altijd de uiteindelijke beslissing, waarbij de AI alleen input levert zoals analyses, samenvattingen of risicoscores. Dit is passend bij veel overheidsprocessen waarin besluiten juridische gevolgen hebben, zoals toekenning van uitkeringen, vergunningen of handhavingsmaatregelen. Human-on-the-loop wordt gebruikt wanneer AI bepaalde stappen automatisch uitvoert, maar een mens periodiek de prestaties en effecten beoordeelt en kan ingrijpen. Denk aan automatische classificatie van meldingen, automatische toewijzing van zaken of genereren van standaardteksten. In beide gevallen moet de governance vastleggen welke drempelwaarden gelden voor escalatie naar een mens, hoe vaak steekproefsgewijs wordt gecontroleerd en welke rapportages worden gebruikt om de kwaliteit van AI-uitvoer te beoordelen.
Daarnaast speelt de verdeling van verantwoordelijkheden tussen organisatieonderdelen een grote rol. IT- en datateams zijn verantwoordelijk voor de technische betrouwbaarheid, beveiliging en datakwaliteit van AI-systemen, maar zij nemen geen besluiten over individuele dossiers of burgers. Proceseigenaren en uitvoerende medewerkers zijn verantwoordelijk voor de inhoudelijke beoordeling van casuïstiek en moeten kunnen uitleggen waarom een bepaald AI-advies wel of niet is gevolgd. De CISO en FG bewaken dat menselijk toezicht voldoet aan de eisen van de BIO, AVG en EU AI Act, en dat risico’s rond AI tijdig worden gesignaleerd en gemitigeerd. Door deze verantwoordelijkheden formeel vast te leggen in beleidsdocumenten, mandaten en functieprofielen, voorkomt de organisatie dat in de praktijk niemand zich eigenaar voelt van het toezicht op AI en dat beslissingen ‘tussen wal en schip’ vallen.
Tot slot moet governance voorzien in escalatiepaden en conflictoplossing. Medewerkers moeten weten wat te doen als zij twijfelen aan de juistheid van een AI-advies, vermoeden dat een model bias bevat of merken dat burgers klachten hebben over AI-gestuurde interacties. Er moeten duidelijke routes zijn naar bijvoorbeeld een vakinhoudelijke expert, de CISO, FG of een ethiekcommissie, afhankelijk van de aard van de zorg. Rapportage- en klachtenprocedures worden aangepast zodat expliciet wordt vastgelegd wanneer AI een rol speelde in een casus. Dit maakt het mogelijk om structurele patronen te herkennen, zoals een model dat bepaalde groepen burgers systematisch ongunstiger behandelt, en om daarop tijdig in te grijpen. Goed ingericht menselijk toezicht is daarmee niet slechts een formaliteit, maar een integraal onderdeel van goed bestuur en verantwoording.
Ontwerp van Beslisprocessen met Menselijk Toezicht
Bij het ontwerpen van beslisprocessen met AI is het essentieel om vanaf het begin na te denken over waar en hoe menselijk toezicht plaatsvindt. Dit begint met een heldere beschrijving van het proces: welke stappen worden door AI ondersteund, welke gegevens worden gebruikt, welke uitkomsten worden gegenereerd en wat de potentiële impact is op burgers of organisaties. Op basis hiervan wordt bepaald op welke punten een mens altijd moet meekijken, waar steekproeven volstaan en wanneer geautomatiseerde verwerking acceptabel is. In hoog-risico toepassingen – bijvoorbeeld waar AI bijdraagt aan risicoselectie, fraudedetectie of prioritering van toezicht – ligt de lat hoog: hier moet menselijk toezicht niet alleen formeel geregeld zijn, maar in de praktijk aantoonbaar leiden tot inhoudelijke beoordeling, kritische reflectie en mogelijkheid tot correctie of tegenbewijs.
Een praktisch hulpmiddel is het gebruik van beslisbomen en procesmodellen waarin expliciet is opgenomen waar menselijke beslismomenten liggen. Bijvoorbeeld: een AI-systeem kent een risicoscore toe aan een dossier; dossiers met lage scores worden steekproefsgewijs door mensen gecontroleerd, dossiers met middelhoge scores worden door een medewerker beoordeeld voordat actie wordt ondernomen en dossiers met zeer hoge scores worden altijd geëscaleerd naar een senior specialist. Bij ieder beslismoment wordt vastgelegd welke informatie de medewerker minimaal moet zien (zoals onderliggende data, verklarende variabelen of voorbeeldcases), welke vragen hij of zij moet kunnen stellen over de herkomst van de uitkomst en welke ruimte er is om af te wijken van de AI-aanbeveling. Deze ontwerpkeuzes worden vertaald naar configuratie in systemen en naar duidelijke werkinstructies.
Naast het procesontwerp moeten ook gebruiksinterfaces menselijk toezicht ondersteunen. Een goede interface toont niet alleen een uitkomst (bijvoorbeeld ‘hoog risico’ of een voorgestelde tekst), maar geeft context: waarom denkt het model dit, hoe zeker is de voorspelling, welke alternatieven zijn er en welke beperkingen gelden voor het gebruik van de informatie? In Microsoft 365 en Azure-omgevingen kan dit betekenen dat dashboards in Power BI, applicaties op het Power Platform of maatwerkportalen laten zien welke datasets zijn gebruikt, welke filters zijn toegepast en hoe het model de uitkomst heeft berekend. Ook moet de interface het eenvoudig maken om feedback te geven, bijvoorbeeld door aan te geven dat een AI-advies niet klopt of dat belangrijke factoren ontbreken. Deze feedback vormt de brandstof voor continue verbetering van zowel modellen als toezichtprocessen.
Ten slotte wordt bij het ontwerp rekening gehouden met ketensamenwerking. Veel overheidsprocessen verlopen over de grenzen van één organisatie heen, bijvoorbeeld bij jeugdzorg, veiligheid, belastinginning of sociale zekerheid. Wanneer AI in zo’n keten wordt ingezet, moet duidelijk zijn welke organisatie verantwoordelijk is voor het model, wie menselijk toezicht uitvoert en hoe informatie over onzekerheden en beperkingen wordt gedeeld met ketenpartners. Dit vereist afspraken in convenanten, verwerkersovereenkomsten en samenwerkingsprotocollen. In de praktijk betekent dit bijvoorbeeld dat een ontvangende organisatie niet blind mag varen op een door een andere partij aangeleverde AI-risicoscore, maar altijd eigen weging en dossiervorming toepast. Het ontwerp van menselijk toezicht moet dus expliciet rekening houden met de positie van de organisatie in de keten en de wederzijdse afhankelijkheden.
Deskundigheid, Ethiek en Organisatiecultuur
Menselijk toezicht is alleen effectief als toezichthouders beschikken over de juiste kennis, vaardigheden en handelingsperspectief. Medewerkers die AI-uitkomsten beoordelen, hoeven geen data scientists te zijn, maar moeten wel begrijpen hoe modellen in grote lijnen werken, welke soorten fouten kunnen optreden en hoe bias zich kan manifesteren. Opleidingsprogramma’s voor toezichthouders en beslissers besteden daarom aandacht aan basisbegrippen van machine learning, de grenzen van voorspellende modellen, interpretatie van onzekerheidsmarges en de relatie met juridische kaders zoals de AVG en EU AI Act. Daarnaast leren zij hoe zij kritische vragen kunnen stellen bij AI-aanbevelingen, bijvoorbeeld over de herkomst van data, de representativiteit van trainingssets en de gevolgen voor specifieke groepen burgers. Deze kennis wordt periodiek opgefrist, omdat technologie en regelgeving zich snel ontwikkelen.
Naast technische en juridische kennis speelt ethisch bewustzijn een centrale rol. Toezichthouders moeten nadenken over vragen als: is het proportioneel om AI in dit proces in te zetten, welke waarden staan op het spel, en welke groepen kunnen onevenredig worden geraakt door fouten of bias? Overheidsorganisaties kunnen hiervoor ethische kaders ontwikkelen, bijvoorbeeld in de vorm van AI-ethiekprincipes of moreel beraad rond concrete casussen. Deze kaders helpen medewerkers om spanningen tussen efficiëntie, privacy, transparantie en rechtvaardigheid te herkennen en erover in gesprek te gaan. In trainingen worden realistische scenario’s gebruikt, zoals generatieve AI die een dreigende brief formuleert of een risicomodel dat gezinnen in een kwetsbare positie onterecht hoog risicoprofiel geeft. Door dit soort casussen gezamenlijk te bespreken, groeit het vermogen om in de praktijk ethisch verantwoorde keuzes te maken.
De organisatiecultuur bepaalt in belangrijke mate of menselijk toezicht werkelijk wordt uitgeoefend of slechts op papier bestaat. Medewerkers moeten zich vrij voelen om AI-uitkomsten ter discussie te stellen, zonder angst voor verwijt dat zij ‘de technologie niet vertrouwen’. Leidinggevenden spelen hierin een sleutelrol door voorbeeldgedrag te tonen: zij benadrukken dat AI een hulpmiddel is en geen autoriteit, en dat het gewenst is wanneer medewerkers afwijkende signalen melden of weigeren een AI-advies te volgen dat in strijd is met hun professionele oordeel. Tegelijkertijd moet worden voorkomen dat medewerkers AI-uitkomsten standaard negeren; het gaat om een volwassen, kritische omgang met technologie. Dit vraagt om heldere communicatie, ruimte voor reflectie in teamoverleggen en een veilige meldcultuur voor incidenten, bijna-incidenten en twijfelgevallen waarin AI een rol speelde.
Tot slot worden hr-processen en beoordelingstrajecten aangepast zodat menselijk toezicht structureel wordt gewaardeerd. In functieprofielen van bijvoorbeeld klantcontactmedewerkers, inspecteurs, juristen of beleidsadviseurs wordt expliciet opgenomen dat zij verantwoordelijkheid dragen voor het kritisch beoordelen van AI-ondersteuning binnen hun werk. In beoordelingsgesprekken kan aandacht worden besteed aan hoe medewerkers met AI omgaan, bijvoorbeeld of zij actief risico’s signaleren, verbeterideeën aandragen of collega’s helpen bij het interpreteren van AI-uitvoer. Dit versterkt het signaal dat menselijk toezicht geen extra last is, maar een essentieel onderdeel van professioneel handelen binnen de digitale overheid.
Monitoring van Menselijk Toezicht en Rapportage
Gebruik PowerShell-script human-oversight.ps1 (functie Invoke-Monitoring) – Controleert of documentatie en procesafspraken voor menselijk toezicht op AI aanwezig en actueel zijn..
Om te voorkomen dat menselijk toezicht na de initiële implementatie uit beeld raakt, richten organisaties structurele monitoring en rapportage in. Dit begint met het inventariseren van alle AI-systemen waarvoor menselijk toezicht is vereist, inclusief de bijbehorende procesbeschrijvingen, werkinstructies en opleidingsmaterialen. Deze informatie wordt vastgelegd in een register of architectuurinventarisatie, bijvoorbeeld in een centrale documentatiemap of een configuration management database. Vanuit dit overzicht kan periodiek worden gecontroleerd of alle benodigde documenten bestaan, of ze recent zijn bijgewerkt en of de beschreven processen aansluiten op de huidige praktijk. In Microsoft 365 kunnen bijvoorbeeld SharePoint-bibliotheken of Teams-kanalen worden gebruikt om documentatie te beheren, waarbij metadata vastlegt wie eigenaar is, wanneer de laatste review heeft plaatsgevonden en welke AI-systemen onder het document vallen.
Daarnaast wordt monitoring ingericht op het daadwerkelijke gebruik van menselijk toezicht in de dagelijkse operatie. Dit kan onder meer door steekproeven op dossiers, loganalyse van beslisprocessen en het verzamelen van feedback van medewerkers. In Power BI-dashboards kunnen indicatoren worden opgenomen zoals het percentage dossiers waarbij AI-adviezen zijn aangepast door medewerkers, het aantal gemelde incidenten of klachten waarin AI een rol speelde, en de doorlooptijd van escalaties naar experts of ethiekcommissies. Deze indicatoren worden periodiek besproken in governance-overleggen waarin bestuurders, proceseigenaren, CISO en FG aanwezig zijn. Zo wordt menselijk toezicht niet gezien als afvinklijstje, maar als continu verbeterproces dat zichtbaar is op managementniveau.
Monitoring moet ook aandacht hebben voor uitzonderingen en afwijkingen. Soms kan het nodig zijn om tijdelijk af te wijken van standaardtoezicht, bijvoorbeeld bij een crisissituatie waarin versnelling noodzakelijk is of bij een pilot met innovatieve AI-toepassingen. In zulke gevallen moeten uitzonderingen expliciet worden vastgelegd, inclusief start- en einddatum, betrokken rollen en aanvullende mitigerende maatregelen. Rapportages aan bestuur en toezichthouders, zoals jaarverslagen over informatiebeveiliging of verantwoording aan gemeenteraad of parlement, bevatten een sectie over de inzet van AI en het functioneren van menselijk toezicht. Hiermee wordt transparant gemaakt dat AI niet in het verborgene wordt ingezet, maar onder democratisch en juridisch toezicht staat.
Remediatie en Verbeterplan voor Menselijk Toezicht
Gebruik PowerShell-script human-oversight.ps1 (functie Invoke-Remediation) – Genereert een basistemplate voor documentatie van menselijk toezicht en een overzicht van verbeteracties..
Wanneer uit monitoring, audits of incidentanalyses blijkt dat menselijk toezicht onvoldoende is ingericht, is een gestructureerd verbeterplan noodzakelijk. De eerste stap is een nulmeting: welke AI-systemen worden momenteel gebruikt, welke daarvan vereisen menselijk toezicht en welke documentatie en procesafspraken bestaan er al? Vaak blijkt dat er wel losse werkinstructies, projectdocumenten of notulen van besluitvorming zijn, maar dat deze niet zijn samengebracht in een consistent overzicht. Door voor ieder AI-systeem vast te leggen wie eigenaar is, welke beslissingen door AI worden ondersteund en welke menselijke rol daar tegenover staat, ontstaat een helder beeld van de hiaten. Deze nulmeting vormt de basis voor prioritering: AI-systemen met hoge impact op grondrechten of grote aantallen burgers krijgen voorrang in de remediatie-aanpak.
Op basis van de nulmeting wordt een verbeterplan opgesteld waarin concrete acties, verantwoordelijken en termijnen zijn vastgelegd. Acties kunnen bijvoorbeeld zijn: het opstellen of actualiseren van procesbeschrijvingen met expliciete beslismomenten voor mensen, het ontwikkelen van opleidingsmodules voor toezichthouders, het aanpassen van gebruikersinterfaces om meer context bij AI-uitkomsten te tonen of het inrichten van een structureel overleg over AI-ethiek. Het verbeterplan beschrijft ook hoe resultaten worden gemeten, bijvoorbeeld door middel van indicatoren voor kwaliteit van beslissingen, tevredenheid van burgers, aantal incidenten en uitkomsten van steekproeven. Door het plan bestuurlijk vast te stellen en te koppelen aan bestaande verbeterprogramma’s voor informatiebeveiliging en gegevensbescherming, wordt voorkomen dat menselijk toezicht een losstaand thema blijft.
Remediatie is geen eenmalige exercitie, maar een doorlopende beweging richting hogere volwassenheid. Dat betekent dat organisaties regelmatig evalueren of menselijk toezicht nog passend is bij de huidige stand van techniek, wetgeving en maatschappelijke verwachtingen. Nieuwe inzichten uit jurisprudentie, toezichtrapporten van bijvoorbeeld de Autoriteit Persoonsgegevens of de Algemene Rekenkamer, en ervaringen van burgers en belangenorganisaties worden gebruikt om toezichtprocessen aan te scherpen. In volwassen organisaties wordt menselijk toezicht integraal meegenomen in innovatie- en digitaliseringsprogramma’s: bij elk nieuw AI-initiatief wordt vanaf de start nagedacht over de rol van mensen, de mogelijkheid voor bezwaar en herziening, en de manier waarop beslissingen worden uitgelegd aan burgers. Zo groeit menselijk toezicht mee met de verdere digitalisering van de overheid.
Compliance & Frameworks
- BIO: 09.01, 09.02, 12.02 - Borging van menselijk toezicht, functiescheiding en verantwoording binnen processen waarin AI wordt ingezet.
- ISO 27001:2022: A.5.1, A.6.1, A.18.1 - Beleid, organisatie van informatiebeveiliging en naleving van wet- en regelgeving rond geautomatiseerde besluitvorming.
- NIS2: Artikel - Eisen aan governance, risicobeheer en incidentrapportage voor essentiële en belangrijke entiteiten die AI gebruiken in hun dienstverlening.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Monitoring en remediatie voor menselijk toezicht (human oversight) op AI-systemen.
.DESCRIPTION
Voert een basiscontrole uit op de aanwezigheid en actualiteit van documentatie en procesafspraken
rond menselijk toezicht op AI binnen de organisatie en kan een basistemplate genereren wanneer
documentatie ontbreekt.
.NOTES
Filename: human-oversight.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/ai/governance/human-oversight.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\human-oversight.ps1 -Monitoring
Voert een controle uit op de aanwezigheid en actualiteit van documentatie rond menselijk toezicht.
.EXAMPLE
.\human-oversight.ps1 -Remediation
Genereert een basistemplate voor documentatie van menselijk toezicht.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Configuratie voor documentatie over menselijk toezicht
$OversightRootPath = "D:\Github\m365-tenant-best-practise\documentatie\ai-governance"
$OversightFileName = "human-oversight-ai.md"
$MaxDocumentAgeDays = 365
function Test-HumanOversightDocumentation {
<#
.SYNOPSIS
Controleert de aanwezigheid en actualiteit van documentatie rond menselijk toezicht op AI.
.OUTPUTS
PSCustomObject met compliance resultaten.
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van documentatie voor menselijk toezicht in: $OversightRootPath"
if (-not (Test-Path -Path $OversightRootPath)) {
Write-Host " Documentatiefolder bestaat niet: $OversightRootPath" -ForegroundColor Red
return [PSCustomObject]@{
ScriptName = "human-oversight.ps1"
IsCompliant = $false
DocumentationPath = $null
Exists = $false
IsUpToDate = $false
DaysSinceUpdate = $null
Details = @("Documentatiefolder voor menselijk toezicht op AI ontbreekt.")
Recommendations = @("Maak de folder $OversightRootPath aan en leg hierin beleids- en procesdocumentatie vast over menselijk toezicht op AI-systemen.")
Timestamp = Get-Date
}
}
$documentationPath = Join-Path -Path $OversightRootPath -ChildPath $OversightFileName
$messages = @()
if (-not (Test-Path -Path $documentationPath)) {
$messages += "Document voor menselijk toezicht ontbreekt: $documentationPath"
Write-Host " ❌ Document voor menselijk toezicht niet gevonden: $documentationPath" -ForegroundColor Red
return [PSCustomObject]@{
ScriptName = "human-oversight.ps1"
IsCompliant = $false
DocumentationPath = $documentationPath
Exists = $false
IsUpToDate = $false
DaysSinceUpdate = $null
Details = $messages
Recommendations = @("Gebruik -Remediation om een basistemplate voor menselijk toezicht op AI aan te maken.")
Timestamp = Get-Date
}
}
$docFile = Get-Item -Path $documentationPath
$daysSinceUpdate = (Get-Date) - $docFile.LastWriteTime
$isUpToDate = $daysSinceUpdate.Days -le $MaxDocumentAgeDays
if ($isUpToDate) {
Write-Host " ✅ Document voor menselijk toezicht is actueel (laatste wijziging: $($docFile.LastWriteTime.ToString('yyyy-MM-dd')))" -ForegroundColor Green
}
else {
Write-Host " ⚠️ Document voor menselijk toezicht is verouderd (laatste wijziging: $($docFile.LastWriteTime.ToString('yyyy-MM-dd')))" -ForegroundColor Yellow
$messages += "Document voor menselijk toezicht is ouder dan $MaxDocumentAgeDays dagen."
}
# Eenvoudige inhoudscontrole op kernonderdelen van menselijk toezicht
$requiredSections = @(
"## Scope en AI-systemen",
"## Rollen en verantwoordelijkheden",
"## Human-in-the-loop en human-on-the-loop",
"## Escalatie en bezwaar",
"## Monitoring en rapportage",
"## Herziening en verbetering"
)
$content = Get-Content -Path $documentationPath -ErrorAction SilentlyContinue
foreach ($section in $requiredSections) {
if (-not ($content -match [regex]::Escape($section))) {
$messages += "Ontbrekende sectie in document human oversight: $section"
Write-Verbose "Ontbrekende sectie gedetecteerd: $section"
}
}
$isCompliant = $isUpToDate -and ($messages.Count -eq 0)
return [PSCustomObject]@{
ScriptName = "human-oversight.ps1"
IsCompliant = $isCompliant
DocumentationPath = $documentationPath
Exists = $true
IsUpToDate = $isUpToDate
DaysSinceUpdate = $daysSinceUpdate.Days
Details = $messages
Recommendations = @(
"Zorg dat voor alle AI-systemen met impact op burgers is vastgelegd hoe menselijk toezicht is ingericht.",
"Leg rollen, escalatiepaden en beslismomenten expliciet vast in procesbeschrijvingen en werkinstructies.",
"Herzie dit document minimaal jaarlijks of bij belangrijke wijzigingen in AI-gebruik of wetgeving."
)
Timestamp = Get-Date
}
}
function New-HumanOversightTemplate {
<#
.SYNOPSIS
Genereert een basistemplate voor documentatie rond menselijk toezicht op AI.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$template = @"
# Menselijk Toezicht op AI-systemen (Human Oversight)
**Laatste wijziging:** $(Get-Date -Format "yyyy-MM-dd")
**Eigenaar:** [Bijvoorbeeld proceseigenaar / CISO / Chief Data Officer]
**Versie:** 1.0
## Scope en AI-systemen
Beschrijf voor welke AI-systemen en processen dit document geldt. Noem per systeem de naam, doelstelling, gebruikte data, betrokken ketenpartners en de impact op burgers of organisaties.
## Rollen en verantwoordelijkheden
Leg vast welke rollen betrokken zijn bij menselijk toezicht (bijvoorbeeld proceseigenaar, uitvoerende medewerkers, juridisch expert, CISO, FG, ethiekcommissie) en wat hun verantwoordelijkheden zijn. Beschrijf expliciet wie de uiteindelijke beslissingen neemt en wie eigenaar is van het AI-systeem.
## Human-in-the-loop en human-on-the-loop
Beschrijf voor elk AI-systeem of sprake is van human-in-the-loop, human-on-the-loop of beide. Licht toe op welke momenten in het proces een mens verplicht moet beoordelen, welke informatie daarvoor beschikbaar is en hoe afwijking van AI-adviezen wordt vastgelegd.
## Escalatie en bezwaar
Beschrijf hoe medewerkers kunnen escaleren wanneer zij twijfelen aan de juistheid of rechtvaardigheid van AI-uitkomsten, en hoe burgers bezwaar kunnen maken tegen besluiten waarbij AI een rol speelde. Leg vast welke termijnen gelden en welke functionarissen betrokken zijn bij de behandeling van bezwaren en klachten.
## Monitoring en rapportage
Beschrijf welke indicatoren worden gemonitord om de werking van menselijk toezicht te beoordelen (bijvoorbeeld aantal aangepaste AI-adviezen, incidenten, klachten, steekproefresultaten) en hoe hierover wordt gerapporteerd aan management, bestuur en toezichthouders.
## Herziening en verbetering
Beschrijf hoe vaak dit document wordt herzien, wie verantwoordelijk is voor de actualiteit en hoe lessen uit audits, incidenten, jurisprudentie en signalen van burgers worden gebruikt om menselijk toezicht te verbeteren.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " Template aangemaakt: $OutputPath" -ForegroundColor Green
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert monitoring uit op documentatie voor menselijk toezicht.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Menselijk Toezicht op AI" -ForegroundColor Yellow
Write-Host "======================================" -ForegroundColor Yellow
$result = Test-HumanOversightDocumentation
Write-Host "`nResultaten:" -ForegroundColor Cyan
Write-Host " Documentatie pad : $($result.DocumentationPath)" -ForegroundColor Cyan
Write-Host " Bestaat : $($result.Exists)" -ForegroundColor Cyan
Write-Host " Actueel : $($result.IsUpToDate)" -ForegroundColor Cyan
if ($result.DaysSinceUpdate -ne $null) {
Write-Host " Dagen sinds update: $($result.DaysSinceUpdate)" -ForegroundColor Cyan
}
if ($result.Details.Count -gt 0) {
Write-Host "`n Details:" -ForegroundColor Yellow
foreach ($msg in $result.Details) {
Write-Host " - $msg" -ForegroundColor Yellow
}
}
if ($result.IsCompliant) {
Write-Host "`n✅ COMPLIANT - Documentatie voor menselijk toezicht is aanwezig en voldoet aan basiscontroles." -ForegroundColor Green
}
else {
Write-Host "`n❌ NON-COMPLIANT - Er zijn aandachtspunten voor documentatie en/of actualiteit." -ForegroundColor Red
Write-Host " Gebruik -Remediation om een basistemplate te genereren of documentatie aan te vullen." -ForegroundColor Yellow
}
return $result
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert een basistemplate voor documentatie rond menselijk toezicht op AI.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Menselijk Toezicht op AI" -ForegroundColor Yellow
Write-Host "=====================================" -ForegroundColor Yellow
$documentationPath = Join-Path -Path $OversightRootPath -ChildPath $OversightFileName
if ($WhatIf) {
Write-Host " [WhatIf] Zou template genereren op: $documentationPath" -ForegroundColor Yellow
return
}
New-HumanOversightTemplate -OutputPath $documentationPath
Write-Host "`n✅ Basis-template voor documentatie van menselijk toezicht is aangemaakt. Vul dit document verder in volgens de organisatiespecifieke eisen." -ForegroundColor Green
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Menselijk Toezicht op AI - Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
$null = Invoke-Monitoring
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Standaard: korte controle uitvoeren
$null = Invoke-Monitoring
}
}
catch {
Write-Error "Er is een fout opgetreden: $_"
throw
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
<#
.SYNOPSIS
Monitoring en remediatie voor Human Oversight (menselijke toezicht) op AI-systemen.
.DESCRIPTION
Voert een basiscontrole uit op de aanwezigheid en actualiteit van documentatie en processen
rond human oversight en kan een basistemplate genereren wanneer deze documentatie ontbreekt.
.NOTES
Filename: human-oversight.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/ai/governance/human-oversight.json
.LINK
https://github.com/[org]/m365-tenant-best-practise
.EXAMPLE
.\human-oversight.ps1 -Monitoring
Voert een controle uit op de aanwezigheid en actualiteit van human oversight-documentatie.
.EXAMPLE
.\human-oversight.ps1 -Remediation
Genereert een basistemplate voor documentatie van human oversight.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter()]
[switch]$WhatIf,
[Parameter()]
[switch]$Monitoring,
[Parameter()]
[switch]$Remediation
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
# Configuratie
$OversightRootPath = "D:\Github\m365-tenant-best-practise\documentatie\ai-governance"
$OversightFileName = "human-oversight-ai-systemen.md"
$MaxOversightAgeDays = 365
function Test-HumanOversightDocumentation {
<#
.SYNOPSIS
Controleert de aanwezigheid en actualiteit van human oversight-documentatie.
.OUTPUTS
PSCustomObject met compliance resultaten.
#>
[CmdletBinding()]
param()
Write-Verbose "Controleren van human oversight-documentatie in: $OversightRootPath"
if (-not (Test-Path -Path $OversightRootPath)) {
Write-Host " Documentatiefolder bestaat niet: $OversightRootPath" -ForegroundColor Red
return [PSCustomObject]@{
IsCompliant = $false
OversightPath = $null
Exists = $false
IsUpToDate = $false
DaysSinceUpdate = $null
ValidationMessages = @("Documentatiefolder voor human oversight ontbreekt.")
}
}
$oversightPath = Join-Path -Path $OversightRootPath -ChildPath $OversightFileName
$messages = @()
if (-not (Test-Path -Path $oversightPath)) {
$messages += "Human oversight-document ontbreekt: $oversightPath"
Write-Host " ❌ Human oversight-document niet gevonden: $oversightPath" -ForegroundColor Red
return [PSCustomObject]@{
IsCompliant = $false
OversightPath = $oversightPath
Exists = $false
IsUpToDate = $false
DaysSinceUpdate = $null
ValidationMessages = $messages
}
}
$oversightFile = Get-Item -Path $oversightPath
$daysSinceUpdate = (Get-Date) - $oversightFile.LastWriteTime
$isUpToDate = $daysSinceUpdate.Days -le $MaxOversightAgeDays
if ($isUpToDate) {
Write-Host " ✅ Human oversight-document aanwezig en actueel (laatste wijziging: $($oversightFile.LastWriteTime.ToString('yyyy-MM-dd')))" -ForegroundColor Green
}
else {
Write-Host " ⚠️ Human oversight-document is verouderd (laatste wijziging: $($oversightFile.LastWriteTime.ToString('yyyy-MM-dd')))" -ForegroundColor Yellow
$messages += "Human oversight-document ouder dan $MaxOversightAgeDays dagen."
}
# Eenvoudige inhoudscontrole op enkele kernsecties
$requiredSections = @(
"## Scope en toepassingsgebied",
"## Rollen en verantwoordelijkheden",
"## Werkprocessen voor menselijk toezicht",
"## Monitoring en rapportage",
"## Herziening en continue verbetering"
)
$content = Get-Content -Path $oversightPath -ErrorAction SilentlyContinue
foreach ($section in $requiredSections) {
if (-not ($content -match [regex]::Escape($section))) {
$messages += "Ontbrekende sectie in human oversight-document: $section"
Write-Verbose "Ontbrekende sectie gedetecteerd: $section"
}
}
$isCompliant = $isUpToDate -and ($messages.Count -eq 0)
return [PSCustomObject]@{
IsCompliant = $isCompliant
OversightPath = $oversightPath
Exists = $true
IsUpToDate = $isUpToDate
DaysSinceUpdate = $daysSinceUpdate.Days
ValidationMessages = $messages
}
}
function New-HumanOversightTemplate {
<#
.SYNOPSIS
Genereert een basistemplate voor human oversight-documentatie.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$template = @"
# Human Oversight voor AI-systemen in de organisatie
**Laatste wijziging:** $(Get-Date -Format "yyyy-MM-dd")
**Eigenaar:** [Naam functie, bijv. CISO / Chief Data Officer]
**Versie:** 1.0
## Scope en toepassingsgebied
Beschrijf voor welke AI-systemen, processen en organisatieonderdelen deze human oversight-regeling geldt. Geef aan welke typen beslissingen of adviezen door AI worden ondersteund en welke wettelijke kaders (bijvoorbeeld EU AI Act, AVG, sectorale wetgeving) van toepassing zijn.
## Rollen en verantwoordelijkheden
Beschrijf de rollen (bijvoorbeeld bestuur, directie, CISO, FG, Chief Data Officer, proceseigenaren, teamleiders, gebruikers) en hun verantwoordelijkheden bij het inrichten, uitvoeren en monitoren van human oversight. Leg vast wie eindverantwoordelijk is voor besluiten waarin AI een rol speelt.
## Werkprocessen voor menselijk toezicht
Beschrijf hoe menselijke toezicht in de dagelijkse praktijk is georganiseerd. Denk aan besluitondersteunende workflows, escalatiepaden, verplichte tweede beoordelingen, steekproefcontroles, en instructies voor medewerkers over wanneer zij AI-adviezen wel of niet mogen volgen.
## Monitoring en rapportage
Beschrijf welke indicatoren worden gemeten (bijvoorbeeld aantal overrides, escalaties, klachten), hoe loggegevens uit systemen worden gebruikt en in welke overlegstructuren resultaten worden besproken. Geef aan hoe vaak rapportages worden opgesteld en wie deze ontvangt.
## Herziening en continue verbetering
Beschrijf hoe vaak deze regeling wordt geëvalueerd, welke triggers leiden tot tussentijdse herziening (bijvoorbeeld wetswijzigingen, incidenten, nieuwe AI-functionaliteiten) en hoe wijzigingen worden goedgekeurd en gecommuniceerd binnen de organisatie.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$template | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host " Template aangemaakt: $OutputPath" -ForegroundColor Green
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Voert monitoring uit op human oversight-documentatie.
#>
[CmdletBinding()]
param()
Write-Host "`nMonitoring: Human Oversight voor AI-systemen" -ForegroundColor Yellow
Write-Host "============================================" -ForegroundColor Yellow
$result = Test-HumanOversightDocumentation
Write-Host "`nResultaten:" -ForegroundColor Cyan
Write-Host " Document pad: $($result.OversightPath)" -ForegroundColor Cyan
Write-Host " Bestaat: $($result.Exists)" -ForegroundColor Cyan
Write-Host " Actueel: $($result.IsUpToDate)" -ForegroundColor Cyan
if ($result.DaysSinceUpdate -ne $null) {
Write-Host " Dagen sinds laatste wijziging: $($result.DaysSinceUpdate)" -ForegroundColor Cyan
}
if ($result.ValidationMessages.Count -gt 0) {
Write-Host "`n Details:" -ForegroundColor Yellow
foreach ($msg in $result.ValidationMessages) {
Write-Host " - $msg" -ForegroundColor Yellow
}
}
if ($result.IsCompliant) {
Write-Host "`n✅ COMPLIANT - Human oversight-documentatie is aanwezig en voldoet aan basiscontroles." -ForegroundColor Green
return $result
}
else {
Write-Host "`n❌ NON-COMPLIANT - Er zijn aandachtspunten voor documentatie en/of actualiteit." -ForegroundColor Red
Write-Host " Gebruik -Remediation om een basistemplate te genereren." -ForegroundColor Yellow
return $result
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert een basistemplate voor human oversight-documentatie indien nodig.
#>
[CmdletBinding()]
param()
Write-Host "`nRemediatie: Human Oversight Template" -ForegroundColor Yellow
Write-Host "====================================" -ForegroundColor Yellow
$oversightPath = Join-Path -Path $OversightRootPath -ChildPath $OversightFileName
if ($WhatIf) {
Write-Host " [WhatIf] Zou template genereren op: $oversightPath" -ForegroundColor Yellow
return
}
New-HumanOversightTemplate -OutputPath $oversightPath
Write-Host "`n✅ Basis-template voor human oversight-documentatie is aangemaakt. Vul dit document verder in volgens de organisatiespecifieke eisen." -ForegroundColor Green
}
# ============================================================================
# MAIN EXECUTION
# ============================================================================
try {
Write-Host "`n============================================" -ForegroundColor Cyan
Write-Host "Human Oversight Monitoring" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "============================================`n" -ForegroundColor Cyan
if ($Monitoring) {
Invoke-Monitoring | Out-Null
}
elseif ($Remediation) {
Invoke-Remediation
}
else {
# Standaard: voer een korte controle uit
$null = Invoke-Monitoring
}
}
catch {
Write-Error "Er is een fout opgetreden: $_"
throw
}
finally {
Write-Host "`n============================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder goed ingericht menselijk toezicht op AI-systemen lopen overheidsorganisaties het risico dat AI feitelijk autonoom besluiten neemt over burgers, dat fouten en bias onopgemerkt blijven en dat niet kan worden voldaan aan eisen uit de AVG, BIO en EU AI Act. Dit kan leiden tot aantasting van grondrechten, verlies van vertrouwen en forse juridische en reputatieschade.
Management Samenvatting
Richt gestructureerd menselijk toezicht in op alle AI-systemen met impact op burgers en besluitvorming, leg rollen en processen vast, zorg voor scholing en ethische kaders en monitor de werking van toezicht in de praktijk. Zo blijft de overheid eindverantwoordelijk, transparant en toetsbaar bij de inzet van AI.
- Implementatietijd: 120 uur
- FTE required: 0.5 FTE