Gemeenten experimenteren, beleid kijkt toe

Op het gemeentehuis van een middelgrote stad schuift een beleidsmedewerker haar bureaustoel naar achteren. Ze klikt op een AI-chatbot die helpt bij het beantwoorden van burgervragen. Geen officiële training gehad, geen vastgelegde richtlijnen. Maar het werkt. En ze is niet de enige.

In steeds meer gemeentehuizen gebeurt dit: medewerkers proberen AI-tools uit, vaak op eigen houtje. Soms om tijd te besparen, soms omdat er gewoon geen alternatief is. Een risicoscan hier, een automatische analyse daar intuïtief, creatief, maar ook zonder centrale regie. Wie precies verantwoordelijk is, blijft vaag.

En de cijfers bevestigen het gevoel dat dit geen incidenten zijn. Meer dan de helft van de medewerkers gebruikt AI op eigen initiatief. Richtlijnen? Vaak afwezig. Trainingen? Nog lang niet overal. Wat opvalt: de praktijk beweegt sneller dan het papier bijhoudt.

Daar zit het spanningsveld. Enerzijds zie je enthousiasme, oplossingen, innovatie. AI maakt het werk soms makkelijker. Maar de andere kant is minder zichtbaar, en daardoor juist risicovoller: onbekende datastromen, blinde vlekken voor algoritmische vooroordelen, en een groeiend ongemak over wie eigenlijk het overzicht heeft.

Dat overzicht ontbreekt vaak nog. Veel gemeenten weten simpelweg niet hoeveel AI-toepassingen er draaien, wie ze beheert, of welke gegevens worden verwerkt. Het is als een kamer met tl-licht, waarin sommige hoeken nog in de schaduw liggen, je voelt dat er iets gebeurt, maar je ziet niet precies wat.

Zorgen om dataveiligheid en burgervertrouwen

De bezorgdheid onder IT-verantwoordelijken groeit. Veel van hen geven aan dat het AI-gebruik in hun organisatie sneller toeneemt dan het vermogen om dit in goede banen te leiden. De dreiging van een datalek, het verlies van controle over burgergegevens en de onduidelijkheid over wettelijke verplichtingen zorgen voor spanning.

Vergelijk het met een auto die sneller rijdt dan de kaart kan bijhouden. Bestuurders weten dat ze ergens heen moeten, maar niet altijd waarheen. Of langs welke regels ze moeten rijden.

In die setting ligt reputatieschade op de loer. Een fout met AI, een onterecht besluit, een verkeerd profiel, een uitlek van gevoelige data, kan het publieke vertrouwen hard raken. En dat vertrouwen is, zoals vaak wordt gezegd, snel verloren en traag herwonnen.

Gemeenten zoeken dan ook steeds vaker naar manieren om dit risico te beteugelen. Audits, interne overleggen, of oriënterende gesprekken over wetgeving worden vaker genoemd. Tegelijkertijd ontbreekt het vaak aan capaciteit om AI écht te verankeren in de governance van de organisatie.

Waarom juridische kaders onmisbaar zijn.

Gemeenten zijn bestuursorganen. En bestuursorganen mogen niet zomaar persoonsgegevens verwerken of besluiten nemen zonder onderliggende wettelijke grondslag. AI verandert daar niets aan. Sterker nog: het maakt de verplichtingen vaak juist strenger.

Neem de Algemene verordening gegevensbescherming (AVG). Die geldt voor alle verwerkingen van persoonsgegevens, dus ook voor AI-systemen. Wanneer een gemeente een algoritme gebruikt dat gegevens van inwoners analyseert of verwerkt, is zij verantwoordelijke in de zin van de AVG. Dat betekent: doelbinding, transparantie, juistheid en beveiliging moeten aantoonbaar zijn geborgd.

Gaat het om geautomatiseerde besluitvorming met aanzienlijke gevolgen voor de burger? Dan geldt bovendien artikel 22 AVG. De betrokkene heeft dan recht op uitleg, menselijke tussenkomst én het recht om het besluit aan te vechten. Zonder die mechanismen is de toepassing juridisch ondeugdelijk.

De opkomst van Europese AI-wetgeving

En dan is er de EU AI-verordening. Een nieuwe Europese wet die stapsgewijs van kracht wordt, met ingang vanaf 2026. Die wet classificeert AI-systemen in risiconiveaus, en legt voor elke categorie andere verplichtingen op.

Voor gemeenten geldt: toepassingen waarbij grondrechten geraakt worden of waarbij besluiten genomen worden over toegang tot diensten, vallen al snel in de categorie ‘hoog risico’. Denk aan het inzetten van AI in het sociaal domein, voor fraudedetectie of voor besluitvorming over gemeentelijke ondersteuning.

In dat geval eist de verordening niet alleen transparantie en toezicht, maar ook dat het systeem geregistreerd wordt in een centrale databank. Bovendien moeten gemeenten dan kunnen aantonen dat het systeem eerlijk is, uitlegbaar, en menselijk controleerbaar.

Van vrijblijvendheid naar verantwoordelijkheid

In de praktijk betekent dit dat gemeenten zich moeten voorbereiden op een nieuwe bestuurscultuur rond AI. Niet reactief, maar proactief. Niet ad hoc, maar beleidsmatig ingebed.

Dat kan door eerst te inventariseren welke AI-toepassingen binnen de organisatie gebruikt worden. Door inzichtelijk te maken welke persoonsgegevens verwerkt worden. En door te bepalen welke systemen mogelijk als hoog risico gelden onder de aankomende verordening.

Daarnaast is het verstandig dat gemeenten nadenken over governance. Wie is verantwoordelijk? Wie monitort? Hoe worden fouten herkend en gecorrigeerd? En hoe communiceer je hierover met burgers?

Zonder die bouwstenen blijven AI-toepassingen in het luchtledige hangen. En dat is een risico, juridisch én maatschappelijk.

FAQ

Is AI-gebruik door gemeenten zonder beleid toegestaan? Niet per se. Als AI-systemen persoonsgegevens verwerken of besluiten beïnvloeden, gelden verplichtingen uit onder meer de AVG. Zonder beleid is de kans groot dat aan die verplichtingen niet voldaan wordt.

Wat is het risico van ‘hoog risico’-systemen onder de EU AI-verordening? Voor zulke systemen geldt een uitgebreid pakket aan eisen: registratie, risicobeoordeling, toezicht, documentatie, transparantie. Niet naleven kan leiden tot boetes of verbod op het systeem.

Gelden deze regels alleen voor nieuwe AI-systemen? Nee. Ook bestaande systemen vallen straks onder de EU-verordening als ze blijven draaien na 2026. Gemeenten moeten dus ook bestaande toepassingen herbeoordelen.

Wat als een gemeente AI inzet via een externe leverancier? Ook dan blijft de gemeente verantwoordelijk als ‘verwerkingsverantwoordelijke’ onder de AVG. Een externe leverancier ontslaat niet van verplichtingen rond toezicht, beveiliging of transparantie.

Wanneer moet een gemeente een impact assessment doen? Bij elke verwerking van persoonsgegevens die waarschijnlijk een hoog risico inhoudt voor rechten en vrijheden, is een DPIA (gegevensbeschermingseffectbeoordeling) verplicht. Dit geldt ook voor AI-gebruik met significante gevolgen voor burgers.

Bronnen

• Autoriteit Persoonsgegevens – Gemeenten

• EU AI Act – Europese Parlement

• Artificial Intelligence Act – High-Level Summary

• Uniserver – Motivaction onderzoek

• Publiek Denken – AI groeit sneller dan beleid

• Dutch IT Channel – AI in gemeenten