Hoe pas je de AI Act toe op algoritmen die je al gebruikt?

Door /
https://verantwoordai.nl/blog/hoe-pas-je-de-ai-act-toe-op-algoritmen-die-je-al-gebruikt

De Europese AI Act brengt stevige verplichtingen voor gemeenten en publieke organisaties die al AI-systemen gebruiken. Hoe zorg je dat bestaande algoritmen voldoen aan de nieuwste wet- en regelgeving? Deze gids biedt een compleet stappenplan, praktijkvoorbeelden en tools om direct aan de slag te gaan.

Inleiding – Waarom dit relevant is voor gemeenten

Steeds meer gemeenten en publieke organisaties gebruiken AI voor hun dienstverlening, bijvoorbeeld voor het voorspellen van schooluitval, verkeersmanagement of het toewijzen van sociale voorzieningen. De AI Act vereist dat ook reeds geïmplementeerde algoritmen (legacy AI) voldoen aan strikte eisen op het gebied van risicobeheersing, transparantie, auditability en burgerrechten. Tijdige aanpassing voorkomt juridische problemen, boetes en reputatieschade.

Uitleg – Wat houdt het onderwerp in?

De AI Act, het nieuwe Europese regelgevend kader (per 2024/2025 gefaseerd in werking), verplicht alle overheden om gebruikte AI-systemen te classificeren naar risiconiveau en passende waarborgen in te bouwen.

  • Risicoclassificatie: Minimale, beperkte, hoge en onaanvaardbare risico’s – met strengste regels voor ‘hoog risico’ systemen.
  • Compliance: Transparantie, uitlegbaarheid, datakwaliteit, menselijk toezicht en registratie in het algoritmeregister.
  • Audittrail en documentatie: Complete vastlegging van werking, besluiten, updates, incidenten en maatregelen per algoritme.
  • Burgerrechten en bezwaar: Rechten van burgers op uitleg, inzage, bezwaar en herstel worden centraal gesteld.
Deze verplichtingen gelden óók voor algoritmen die al vóór de AI Act operationeel waren.

Praktijkvoorbeeld

Case: Een gemeente gebruikt sinds 2022 een AI-model om het risico op schooluitval te voorspellen. Onder de AI Act valt dit onder ‘hoog risico’. De gemeente voert een extra Data Protection Impact Assessment (DPIA) uit, actualiseert het algoritmeregister, brengt een menselijk toezichtsmechanisme aan, en past de privacy- en bezwaarprocedures aan op basis van de AI Act. Zo blijft het systeem in lijn met de Europese en Nederlandse eisen.

Stappenplan: zo breng je bestaande algoritmen in lijn met de AI Act

  1. Breng je algoritmen in kaart – Stel een compleet overzicht op van alle gebruikte AI-systemen, inclusief interne en ingekochte oplossingen.
  2. Voer een risicobeoordeling uit – Classificeer elk algoritme volgens de AI Act: minimaal, beperkt, hoog of onaanvaardbaar risico.
  3. Check compliance en mitigatie – Controleer of alle eisen rond transparantie, uitleg, documentatie, menselijk toezicht, bias-preventie en security zijn geborgd.
  4. Voer (opnieuw) een DPIA uit – Herbeoordeel privacyrisico’s, met focus op dataminimalisatie, legitimiteit, beveiliging en burgerrechten.
  5. Actualiseer je algoritmeregister – Zorg dat het register volledig, actueel en publiek toegankelijk is.
  6. Leg audittrail en documentatie vast – Houd een compleet dossier bij van werking, besluitvorming, updates, incidenten en genomen maatregelen.
  7. Stel een communicatie- en bezwaarprocedure op – Informeer burgers proactief en stel een duidelijke bezwaarroute in, inclusief uitleg over AI-besluiten.
  8. Implementeer monitoring en jaarlijkse review – Monitor continu, stel jaarlijkse evaluatiemomenten in en blijf verbeteringen doorvoeren.
  9. Contractmanagement en leveranciersbeoordeling – Borg dat externe leveranciers hun AI-systemen contractueel aanpassen aan de AI Act-eisen. Zet dit vast in inkoopvoorwaarden.
  10. Stakeholder- en burgerparticipatie – Betrek burgers via burgerpanels of online consultatie bij (her)beoordeling van bestaande algoritmen.

Best Practices uit Europa

  • Helsinki (Finland): Heeft al hun gebruikte AI-systemen inzichtelijk gemaakt via een open algoritmeregister, inclusief documentatie en uitleg voor burgers.
  • Barcelona (Spanje): Implementeert burgerpanels om samen met inwoners de impact van bestaande AI-algoritmen te beoordelen en aanpassen.
  • Duitsland: De “Federal AI Register” verplicht publieke organisaties tot periodieke audit en publieke consultatie bij alle bestaande AI-modellen.

Bronnen: AI Register Helsinki, Barcelona AI Strategy, German Federal AI Register

Risico’s van non-compliance

  • Hoge boetes tot 35 miljoen euro of 7% van de jaaromzet, afhankelijk van de ernst van overtredingen (AI Act, art. 71)
  • Bestuurlijke sancties en dwangsommen opgelegd door Autoriteit Persoonsgegevens of ACM
  • Uitsluiting van subsidies, aanbestedingen en Europese projecten
  • Juridische procedures of schadeclaims van burgers
  • Reputatieschade en verlies aan publiek vertrouwen

Template: Registratie & audittrail bestaande AI-systemen

AI-systeem Functie Risicocategorie DPIA uitgevoerd? Laatste update Toezicht Burgercommunicatie
Voorspellen schooluitval Signaleren risicogevallen Hoog Ja (2025) juni 2025 Menselijk toezicht & jaarlijkse audit Publieke toelichting + bezwaarprocedure
Automatische WMO-toekenning Besluitvorming Hoog Ja (2025) mei 2025 Jaarlijkse audit Fact sheet & bezwaar

Burgercommunicatie en bezwaar: voorbeeldtekst

Voorbeeld voor gemeentelijke website:
“Onze gemeente gebruikt kunstmatige intelligentie (AI) om onze dienstverlening te verbeteren. Uw rechten blijven centraal staan: u kunt altijd inzage krijgen in hoe AI tot een beslissing is gekomen, bezwaar maken tegen automatische besluiten, en uitleg vragen over het gebruikte algoritme. Lees meer in ons algoritmeregister of neem contact op via [contactformulier].”

Contractmanagement & leveranciers

Werk met leveranciers samen aan retrospectieve naleving. Neem in het contract op dat:

  • Alle door de leverancier geleverde AI-systemen uiterlijk Q3 2025 voldoen aan de AI Act (inclusief audittrail, DPIA en burgercommunicatie).
  • De leverancier verplicht is om updates aan te leveren bij wijzigingen in het algoritme of data.
  • De gemeente recht heeft op jaarlijkse compliance-audit en tussentijdse rapportage.
Gebruik het voorbeeld uit Duitsland en Finland als referentie bij onderhandelingen.

Monitoring en jaarlijkse review

Implementeer structurele monitoring:

  • Jaarlijkse compliance-check van alle bestaande algoritmen.
  • Continue logging van uitkomsten en incidenten.
  • Jaarlijkse herijking van risicoclassificatie en mogelijke aanpassingen aan AI-systemen.
  • Burgerrapportages, panels of consultaties om input te verzamelen voor verbetering.

Stakeholderbetrokkenheid en burgerparticipatie

Burgerpanel: Zet een burgerpanel of online consultatie op waarin inwoners input kunnen geven op bestaande algoritmen. Gebruik de uitkomsten voor herbeoordeling en als input voor het algoritmeregister en beleidsnotities.

Checklist: ben ik compliant met de AI Act voor bestaande algoritmen?

Veelgestelde vragen (FAQ)

Moet ik álle bestaande algoritmen direct aanpassen?
Ja, vanaf de gefaseerde inwerkingtreding van de AI Act gelden de eisen ook voor bestaande systemen. Start tijdig om niet achterop te raken.
Wat als een leverancier niet wil meewerken aan compliance?
Neem compliance-verplichtingen contractueel op, en stel alternatieven op voor kritische systemen. Neem contact op met de juridische afdeling of VNG voor ondersteuning.
Hoe wordt toezicht gehouden op naleving?
In Nederland is de Autoriteit Persoonsgegevens (AP) aangewezen als toezichthouder, eventueel samen met ACM. Bij ernstige incidenten of discriminatie moet direct gemeld worden.
Waar vind ik sectorale implementatiegidsen voor AI Act?
Kijk op VNG, rijksoverheid.nl of vraag je branchevereniging.
Wat zijn de gevolgen van non-compliance?
Naast boetes en sancties loop je risico op juridische claims, reputatieschade en uitsluiting van Europese subsidies of aanbestedingen.

Bronnen & aanvullende literatuur

Gerelateerde berichten:

  1. Nieuwe verplichtingen voor ‘hoog risico’-AI binnen de overheid
  2. Downloadbare checklist: AI Act-ready in 10 stappen
  3. Ethiek is geen bijzaak: AI-verantwoordelijkheid voorop
  4. De rol van algoritmetoezicht in een gezonde democratie
  5. Een vrijblijvende gratis scan van je AI-projecten
  6. Wat moet je opnemen in een AI-beleidskader? (+ beleidskader templates)
  7. Voorbeelden uit Europa: 3 gemeenten die al vooroplopen met virtuele assistenten
  8. Ontwerpprincipes voor toegankelijke en inclusieve AI-interfaces
Scroll naar boven