AI Geletterdheid Hub

De EU AI act in de publieke sector: Een uitgebreide gids voor overheden

ā€¢ā€¢6 min leestijd
Engelse versie niet beschikbaar

De EU AI act in de publieke sector: Een uitgebreide gids voor overheden

Kunstmatige intelligentie is in minder dan een decennium geƫvolueerd van pilot-technologie naar een fundamenteel bedrijfsmiddel voor de overheid. Tegelijk is het vertrouwen van burgers in geautomatiseerde besluitvorming broos. De Europese Unie wil dat vertrouwen herstellen via de Artificial Intelligence Act (AI-Act), 's werelds eerste omnibus-verordening voor AI. Voor de publieke sector is de wet van bijzonder belang: zij behoort tot de grootste gebruikers Ʃn tot de strengst gereguleerde categorieƫn.

Dit blogartikel laat zien welke deadlines en mijlpalen al vastliggen, welke extra verplichtingen specifiek voor overheden gelden, waar de grootste risico's schuilen bij toepassingen in bijvoorbeeld sociale zekerheid, rechtshandhaving en vergunningverlening, en hoe u zich als publieke organisatie tijdig voorbereidt op handhaving en toezicht.

Van publicatie tot handhaving: de tijdlijn in Ć©Ć©n oogopslag

De AI-Act werd op 12 juli 2024 in het Publicatieblad geplaatst en trad formeel in werking op 1 augustus 2024. In plaats van een "big bang"ā€introductie kent de wet een gefaseerde toepassing met cruciale mijlpalen voor de publieke sector.

De implementatie loopt van augustus 2024 tot augustus 2027, waarbij elke fase specifieke verplichtingen met zich meebrengt. Hoewel de Europese Commissie op 12 juni 2025 liet doorschemeren dat er mogelijk vertragingen volgen bij het uitvaardigen van gedelegeerde handelingen, is de formele kalender nog ongewijzigd.

Boetes en sancties

De AI-Act kent zwaardere sancties dan de GDPR. Gebruik van verboden AI kan worden bestraft met maximaal ā‚¬ 35 miljoen of 7% van de wereldwijde jaaromzet; andere overtredingen lopen op tot 3% en onjuiste informatie tot 1% van de omzet. Voor kleine overheids-nv's en semipublieke instellingen gelden lagere absolute maxima, maar de reputatieschade is vaak doorslaggevend.

De risicogebaseerde indeling voor overheden

De AI-Act sorteert systemen in vier klassen: unacceptable, high, limited en minimal risk. Het zwaartepunt ligt op high-risk-systemen (Annex III). Voor de publieke sector zijn met name relevant:

  • Biometrische identificatie (remote of post-event)
  • Kritieke infrastructuur (verkeersmanagement, energie)
  • Onderwijs en examens
  • Werkgelegenheid en personeelsselectie
  • EssentiĆ«le overheid- en bancaire diensten (toeslagen, kredieten)
  • Wetshandhaving, migratie en justitie

Voor elk high-risk-systeem gelden een gecertificeerd risicobeheerproces, data-governance-eisen, uitgebreide technische documentatie en CE-markering voordat het in gebruik mag worden genomen.

Verboden toepassingen en strikte uitzonderingen

Sinds 2 februari 2025 is elk systeem verboden dat:

  • burgers rangschikt via social scoring
  • ongericht gezichtsherkenningstraining uitvoert (scraping van internet of CCTV)
  • emotieherkenning inzet op school of werk
  • gevoelige biometrie gebruikt om ras of seksuele geaardheid af te leiden

Real-time gezichtsherkenning in de openbare ruimte door politie is in principe verboden, maar mag in een beperkt aantal scenario's ā€” bijvoorbeeld het zoeken naar een vermist kind of het voorkomen van een terreuraanval ā€” na gerechtelijke toestemming.

Specifieke verplichtingen voor de publieke sector

Deployers versus providers

Een overheidsinstantie kan zowel provider zijn (zij ontwikkelt zelf een algoritme) als deployer (zij koopt of huurt een extern systeem). De AI-Act kent voor beide rollen unieke plichten; het is essentieel om vooraf te bepalen welke rol u vervult in elke use-case.

Fundamental Rights Impact Assessment (FRIA)

Voor elke inzet van een high-risk-systeem moet de overheid vĆ³Ć³r ingebruikname een FRIA uitvoeren (art. 27). De FRIA beschrijft doel, doelgroep, potentiĆ«le inbreuken op grondrechten, menselijke toezichtslagen en herstelmaatregelen. Samenvattingen van de FRIA moeten worden gepubliceerd.

Registratie in de EU-database

Zowel providers als deployers van high-risk-systemen moeten hun systeem registreren in de centrale EU-database (art. 49/71) en de gegevens actueel houden.

Kwaliteitsmanagement en conformiteitsbeoordeling

Voor high-risk-systemen is een auditeerbaar Quality Management System (QMS) verplicht, plus een interne of externe conformiteitsbeoordeling (art. 17, 43). Alleen bij 'significante wijziging' moet een systeem opnieuw worden beoordeeld, wat relevant is bij continue machine-learning-updates.

Model-contractclausules bij inkoop

De Europese Community of Practice heeft begin 2025 Model Contractual Clauses (MCC-AI) gepubliceerd: een High-Risk- en een Light-versie. Publieke inkopers kunnen hiermee AI-eisen contractueel afdwingen (audit-rechten, QMS, gegevens voor de AI-register, et cetera).

Let op: onderzoek toont dat veel overheidsorganisaties worstelen met de complexiteit van AI-inkoop en met expertiseschaarste. Nationale handreikingen ontbreken vaak nog.

Bevoegde autoriteiten en AI-sandboxes

Elk EU-land moet uiterlijk 2 augustus 2025 Ć©Ć©n of meer bevoegde AI-toezichthouders hebben aangewezen (art. 70) en vanaf 2 augustus 2026 een nationale AI-sandbox operationeel hebben (art. 57).

Publieke AI-use-cases anno 2025

  1. Uitkerings- en fraudedetectie ā€” scoring-modellen voor toeslagen en bijstand
  2. Slimme mobiliteit ā€” verkeerslichten die met computer vision doorstroming optimaliseren
  3. Chatbots voor burgerzaken ā€” automatisering van vergunningaanvragen
  4. Predictive policing ā€” hotspot-analyse van inbraak of overlast
  5. Medische triage in publieke ziekenhuizen

In vrijwel al deze domeinen kwalificeren de systemen als high-risk of zijn ze wegens profilering zelfs verboden.

Risico's en aandachtspunten

De belangrijkste risico's voor overheidsorganisaties zijn discriminatie (fraudedetectie die kwetsbare groepen onevenredig vaak als "hoog risico" markeert), onwettige surveillance (real-time camera-analytics zonder wettelijke basis), gebrek aan uitlegbaarheid (burger krijgt geen begrijpelijke toelichting op afwijzing vergunning), cybersecurity en datalekken (modelparameters lekken en geven inzicht in gezichtstemplates), en vendor lock-in (leverancier weigert compliance-documentatie te delen).

Integratie met bestaande EU-regels

De AI-Act komt bovenop de GDPR, de Data Governance Act, de Data Act en de Digital Services Act. Denk bijvoorbeeld aan:

  • DPIA ā†” FRIA: een DPIA onder art. 35 GDPR blijft nodig; de samenvatting wordt onderdeel van het FRIA-dossier
  • Data Act: verplichte interoperabiliteit beĆÆnvloedt de definitie van "significante wijziging" bij model-updates

Roadmap naar compliance (2025-2027)

  1. Inventariseer alle bestaande en geplande AI-toepassingen en koppel elk systeem aan een risicocategorie
  2. Bepaal de rol (provider vs deployer) en stel vast welke verplichtingen gelden
  3. Voer FRIA's en DPIA's parallel uit voor alle high-risk-systemen
  4. Stel contract-sjablonen op (op basis van MCC-AI) en eis CE-markering of gelijkwaardig bewijs
  5. Bouw een QMS en registreer systemen in de EU-database
  6. Train medewerkers in AI-literacy, governance en auditvaardigheden
  7. Test innovaties in de nationale AI-sandbox om kinderziekten en compliance-issues vroegtijdig te detecteren
  8. Monitor continu ā€” logs, incidentrapportage en her-FRIA bij elke grote model-wijziging

Conclusie

De EU AI Act zet een nieuwe standaard voor verantwoord gebruik van AI in de publieke sector. De tijdlijn is ambitieus, de boetes fors, maar de wet biedt ook kansen: meer vertrouwen, betere datakwaliteit en een gelijk speelveld. Voor overheden die nu investeren in goede governance, gedegen impactbeoordelingen en robuuste inkoopprocessen hoeft 2 augustus 2026 geen angstdatum te zijn, maar juist het moment waarop digitale dienstverlening aantoonbaar eerlijker, veiliger en mensgerichter wordt.

Kortom: begin vandaag met inventariseren, betrek juristen Ć©n data scientists, en leg de lat bewust hoog. Dan staat u in 2027 niet alleen in compliance maar vooral in control van de AI-toekomst van uw publieke organisatie.

Hulp nodig met de EU AI act? šŸ’”

Wilt u weten wat de EU AI act betekent voor uw overheidsorganisatie? Of heeft u vragen over de implementatie in de publieke sector? Neem contact met ons op voor een vrijblijvend gesprek.