Na de toeslagenaffaire is bij Nederlandse overheden geen onderwerp gevoeliger dan algoritmes en AI. De EU AI Act formaliseert wat eigenlijk al pijnlijk geleerd is: zodra een algoritme of AI-systeem beïnvloedt of een burger een uitkering krijgt, gecontroleerd wordt of toegang heeft tot een dienst, gelden zware verplichtingen.
Voor gemeenten, ministeries, ZBO's en uitvoeringsorganisaties is de AI Act geen losse exercitie. De wet sluit aan bij het bestaande Algoritmeregister, de Code Goed Digitaal Bestuur en bestaande AVG-verplichtingen.
Drie dingen die overheden moeten weten
1. Bijna alles wat u doet is hoog-risico
Bijlage III noemt expliciet als hoog-risico:
Toegang tot publieke voorzieningen
AI bij toekenning, weigering of intrekking van uitkeringen, schuldhulpverlening, sociale woningen, gezondheidszorgvergoedingen.
Fraudedetectie en risicoselectie
Modellen die voorspellen welke aanvragen/burgers nader onderzocht moeten worden. SyRI 2.0 in welke vorm dan ook valt hieronder.
Rechtshandhaving
AI bij politiewerk, strafzaken, grenscontrole, asielprocedures. Zwaarste regime in de hele wet.
Migratie en asiel
Risicoanalyses, biometrische verificatie, leugendetectie aan de grens (waarbij polygraaf-achtige AI overigens verboden is).
2. Verboden onder artikel 5 die specifiek overheden raken
- Social scoring door overheidsinstanties is volledig verboden, ook indirect via leveranciers.
- Realtime biometrische identificatie in openbare ruimte mag alleen door opsporingsdiensten in zeer beperkte uitzonderingen, met expliciete machtiging.
- Predictive policing op individueel niveau (zonder concrete aanwijzing) is verboden. Locatie- of patroon-gebaseerde inzet (gebiedsgericht) blijft mogelijk.
3. FRIA is verplicht vóór ingebruikname
Onder artikel 27 moeten overheden voor elk hoog-risico AI-systeem een Fundamental Rights Impact Assessment uitvoeren. Niet als afvinkoefening, maar als documentatie van: doel, betrokken groepen, risico op grondrechtenschending, beperking maatregelen, klachtenregeling. De FRIA moet worden gedeeld met de toezichthouder.
Hoog-risico AI-systemen die op 2 augustus 2026 al in gebruik zijn, vallen ook onder de wet. Voor systemen ontworpen voor overheden is er onder artikel 111 een aparte overgangsregeling die uiterlijk 2 augustus 2030 op orde moet zijn, mits significante wijzigingen worden aangebracht. In de praktijk: doe niet alsof u tot 2030 kunt wachten.
Hoe verhoudt de AI Act zich tot het Algoritmeregister?
Het Algoritmeregister.nl is een nationale verplichting voor publicatie van impactvolle algoritmes, niet hetzelfde als het EU AI-register voor providers (artikel 71). Voor gemeenten betekent dit:
- Algoritmeregister: u publiceert alle impactvolle algoritmes, ook deze die geen AI zijn onder artikel 3.
- Intern AI-register (AI Act): u houdt een lijst bij van AI-systemen die u inzet, met risicoclassificatie en naleving-status.
- EU-database: providers (niet u als deployer) registreren hoog-risico AI in een centrale EU-database.
Praktische actielijst gemeenten
- Inventariseer alle algoritmes en AI-systemen (vraag bij elke afdeling, niet alleen IT).
- Kruisreferentie met Algoritmeregister.nl, staan ze er allemaal in die er in horen?
- Markeer per systeem: AI Act-risiconiveau (hoog, beperkt, minimaal).
- Plan FRIA's in voor alle hoog-risico systemen, prioriteer op impact.
- Stel een AI-functionaris of -beïnvloeder aan (vergelijkbaar met de FG bij AVG).
- Train medewerkers conform artikel 4 (AI-geletterdheid).
- Zet een meldroute op voor incidenten met hoog-risico AI (15 dagen melden).
- Update inkoopvoorwaarden: leveranciers moeten u kunnen helpen aan de informatie die u nodig heeft voor uw deployer-verplichtingen.
Toezicht in Nederland: de AP is coördinerend AI Act-toezichthouder, met sectorale instanties voor specifieke domeinen. Daarnaast heeft de Auditdienst Rijk en de Algemene Rekenkamer een rol bij rijksoverheid.
Inzicht in de AI-positie van uw organisatie?
Doe de gratis ActCheck-scan en zie binnen 10 minuten waar uw gemeente of dienst staat.
Start de gratis check