De AI-verordening, die op 2 augustus 2024 van kracht is geworden, introduceert EU-brede normen om het ethische en veilige gebruik van kunstmatige intelligentie te waarborgen. De verordening heeft niet alleen impact op privaatrechtelijke organisaties, maar ook op overheidsinstanties (en dus op gemeenten). Wat gemeenten er concreet mee moeten, is echter een stuk minder helder dan de regelgeving zelf. De VNG stelde al vast dat gemeenten onvoldoende zijn toegerust op de eisen die de AI Act stelt en dat is niet verrassend. De verordening is complex en een praktische vertaalslag ontbreekt nog al te vaak.
Is de AI Act al van kracht voor gemeenten?
Ja, en dat is het eerste misverstand dat we graag willen wegnemen. De AI Act is gefaseerd ingevoerd, maar de eerste verplichtingen gelden al. Verboden AI-systemen zijn per 2 februari 2025 niet meer toegestaan in de EU, en de AI-geletterdheidsplicht voor medewerkers geldt eveneens al.
De grote golf aan verplichtingen voor hoog-risico AI-systemen zou oorspronkelijk per 2 augustus 2026 ingaan. Op 7 mei 2026 bereikten de Europese Raad en het Europees Parlement echter een voorlopig akkoord over de zogeheten Digital Omnibus AI, waarmee deze deadlines zijn verschoven. Voor de meeste gemeentelijk relevante AI-toepassingen – waaronder bepaalde systemen in de publieke sector die als Annex III-systeem kwalificeren – geldt nu 2 december 2027 als toepassingsdatum.
De nieuwe deadlines bieden ademruimte, maar is geen reden tot stilzitten. Een volledige AI-compliance traject voor een gemeente, van inventarisatie van alle systemen tot het uitvoeren van een FRIA en het inrichten van AI-geletterdheid binnen de organisatie, neemt in de praktijk al snel een paar maanden in beslag.
Welke AI-toepassingen van gemeenten vallen onder hoog-risio?
Dat is genuanceerder dan vaak wordt gesuggereerd, en die nuance is juridisch relevant. Niet elke gemeentelijke AI-toepassing kwalificeert namelijk automatisch als hoog-risico. Een chatbot die standaardvragen beantwoordt over dienstverlening valt in een andere categorie dan een systeem dat meespeelt in een beslissing over een uitkering of handhavingsmaatregel.
De Annex III-categorie omvat specifiek bepaalde toepassingen binnen de publieke sector. Dat is een open norm die in de praktijk nog nader zal worden ingevuld. Welke gemeentelijke systemen hier precies onder vallen, vergt een zorgvuldige analyse per toepassing (en die analyse is ook juridisch verplicht).
Gemeenten als gebruiksverantwoordelijke: een eigen verantwoordelijkheidspakket
De AI Act maakt onderscheid tussen aanbieders – die een systeem ontwikkelen en op de markt brengen – en gebruiksverantwoordelijken, die een systeem onder eigen verantwoordelijkheid inzetten. Gemeenten zijn in de meeste gevallen gebruiksverantwoordelijke. Dat neemt niet weg dat een gemeente onder omstandigheden alsnog als aanbieder kan kwalificeren, bijvoorbeeld wanneer zij een bestaand AI-systeem aanzienlijk wijzigen. In dat geval gelden de zwaardere verplichtingen die de AI Act aan aanbieders oplegt.
Huidige leverancierscontracten bevatten doorgaans nog geen AI Act-gerelateerde afspraken. Dat is een lacune die gemeenten bij nieuwe aanbestedingen en contractverlenging actief moeten adresseren.
Zijn gemeenten verplicht een grondrechtenbeoordeling (FRIA) uit te voeren?
Ja, en dat is een verplichting die in de praktijk nog weinig aandacht krijgt. Op grond van artikel 27 AI Act moeten gebruiksverantwoordelijken die publiekrechtelijke organen zijn, voordat zij een hoog-risico AI-systeem in gebruik stellen, een beoordeling uitvoeren van de gevolgen voor de grondrechten. Gemeenten vallen daar zonder meer onder.
De FRIA vertoont gelijkenissen met de DPIA onder de AVG, maar is er niet mee gelijk. Waar de DPIA zich richt op risico’s voor persoonsgegevens, heeft de FRIA een breder bereik: het gaat om de gevolgen voor grondrechten in het algemeen, zoals non-discriminatie, toegang tot publieke diensten en het recht op een eerlijk proces. De AI Act bepaalt wel dat de FRIA en de DPIA samen kunnen worden uitgevoerd (de FRIA vormt dan een aanvulling op de DPIA) maar het is geen vervanging. Wie dus al een DPIA heeft uitgevoerd voor een AI-systeem, is daarmee niet automatisch klaar.
Wat betekent de AI-geletterdheidsplicht voor gemeentelijke medewerkers?
De AI-geletterdheidsplicht betekent dat gemeentelijke medewerkers niet alleen een AI-systeem mogen gebruiken, maar ook moeten begrijpen wat dat systeem doet, welke beperkingen het heeft en welke risico’s eraan verbonden zijn. Die verplichting geldt al en is niet uitgesteld door de Digital Omnibus.
In de praktijk vraagt dit van gemeenten dat zij goed nadenken over de kennis en vaardigheden die verschillende functies nodig hebben. Het gebruik van een AI-tool voor bijvoorbeeld tekstverwerking stelt andere eisen aan begrip en bewustzijn dan het werken met een algoritme dat signalen geeft in de jeugdhulpverlening.
Wat moet een gemeente nu concreet doen?
Begin met de inventarisatie. Breng in kaart welke AI-systemen er binnen de gemeente worden gebruikt. Pas daarna kun je zinvol beoordelen wat de AI Act van jouw organisatie vraagt.
Controleer vervolgens of verboden toepassingen al zijn uitgefaseerd, zorg dat de AI-geletterdheidsplicht serieus wordt ingevuld, en start tijdig met de voorbereiding van FRIA’s voor toepassingen die als hoog-risico kwalificeren. Wie dat traject nu opstart, heeft voldoende ruimte om het goed te doen.
Juridische ondersteuning nodig bij de AI Act?
Heeft jouw gemeente behoefte aan juridische ondersteuning bij de implementatie van de AI Act, zoals het uitvoeren van een risicoclassificatie? Wij helpen overheidsinstanties bij het vertalen van de AI Act naar werkbare en juridisch houdbare praktijk. Neem gerust contact met ons op.
