Wat betekent de AI Act voor generatieve AI zoals ChatGPT?

Door /
https://verantwoordai.nl/blog/wat-betekent-de-ai-act-voor-generatieve-ai-zoals-chatgpt

De Europese AI Act stelt nieuwe regels aan het gebruik van generatieve AI zoals ChatGPT in de publieke sector. Wat betekent dit voor gemeenten die deze technologie inzetten? Dit artikel biedt een diepgaande analyse van de juridische, ethische en organisatorische gevolgen anno 2025, met praktijkvoorbeelden, tools en actuele bronnen.

Inleiding – Waarom dit relevant is voor gemeenten

Kunstmatige intelligentie is niet meer weg te denken uit het gemeentelijk landschap. Generatieve AI, zoals ChatGPT en andere grote taalmodellen, worden gebruikt voor klantenservice, communicatie, beleidsadvies en tekstgeneratie. Door de invoering van de AI Act en de toegenomen aandacht voor privacy en veiligheid, moeten gemeenten nu aantoonbaar voldoen aan nieuwe Europese eisen rondom transparantie, risicobeheer, toezicht en dataverwerking. Deze verplichtingen gaan verder dan de bestaande AVG, zeker bij generatieve AI.

Uitleg – Wat houdt het onderwerp in?

De AI Act is het eerste uitgebreide regelgevingskader voor AI binnen de Europese Unie. Het maakt onderscheid in vier risicoklassen. Generatieve AI-systemen zoals ChatGPT vallen meestal onder de categorie algemene AI-systemen met hoog risico of, bij inzet voor kritieke publieke processen, zelfs onder ‘hoog risico’. De belangrijkste verplichtingen:

  • Transparantie: Gebruikers moeten weten dat ze met AI communiceren. Er moet uitleg gegeven worden over de werking en logica van het systeem.
  • Menselijk toezicht: Bij kritieke toepassingen (zoals beslissingen over uitkeringen, vergunningen, klachtenafhandeling) moet menselijke controle aantoonbaar mogelijk blijven.
  • Documentatie en algoritmeregister: Gemeenten moeten vastleggen waar en hoe generatieve AI ingezet wordt, inclusief risicoanalyses (DPIA), datastromen, gebruikte prompts, en leveranciersinformatie.
  • Beveiliging & privacy: Data die via taalmodellen als ChatGPT lopen, moeten worden beveiligd en mogen niet buiten de EU komen zonder passende waarborgen (zie deepdive over serverlocatie hieronder).
  • Uitlegbaarheid & bias-audit: Gemeenten moeten kunnen aantonen dat de output van generatieve AI uitlegbaar en gecontroleerd is op bias en discriminatie.
Praktijkvoorbeeld: Een Nederlandse gemeente gebruikte ChatGPT om automatisch burgers te woord te staan over gemeentelijke dienstverlening. Na een audit bleek dat gevoelige persoonsgegevens via prompts gedeeld werden en antwoorden soms discriminerende aannames bevatten. De gemeente implementeerde daarna extra DPIA’s, betrok de FG (Functionaris Gegevensbescherming), registreerde het gebruik in een algoritmeregister, en schafte een “mens-in-the-loop”-workflow in bij iedere geautomatiseerde beslissing.

Wat moeten gemeenten hiermee?

  • Classificatie en DPIA: Bepaal voor elke toepassing van ChatGPT/AI het risiconiveau. Voer voor alle systemen die persoonsgegevens verwerken een Data Protection Impact Assessment (DPIA) uit, inclusief de risico’s van dataverwerking buiten de EU.
  • Algoritmeregister: Documenteer elk AI-systeem, inclusief prompts, gebruikte modellen, leveranciersinformatie en waar de data wordt verwerkt. Gebruik een openbaar algoritmeregister (VNG Realisatie).
  • Transparantie en uitlegbaarheid: Stel informatie beschikbaar voor burgers over het gebruik van generatieve AI, de werking van het systeem en de mogelijke gevolgen van de output. Leg uit hoe de output tot stand komt.
  • Menselijk toezicht en incident logging: Zorg voor een proces waarin medewerkers altijd beslissingen kunnen controleren, overrulen en incidenten direct loggen en evalueren. Stel procedures in voor rapportage van structurele fouten aan de gemeenteraad en AP.
  • Leveranciersselectie & exit-strategie: Leg eisen vast voor leveranciers van AI: hostinglocatie (EU/EER), herleidbaarheid, support, continuïteit (wat als ChatGPT niet meer mag?), due diligence en fallback-processen. Overweeg contractuele afspraken over dataverwijdering en eigenaarschap.
  • Bias-audit & inclusiviteit: Audit AI-systemen periodiek op bias (bijvoorbeeld met open source audittools), betrek burgers bij evaluaties, en zorg voor alternatieve kanalen voor inwoners die niet met AI overweg kunnen.
  • Training en kennisdeling: Leid medewerkers op in het veilig en verantwoord gebruik van generatieve AI en onderhoud kennis over actuele wetgeving en best practices (o.a. via masterclasses, whitepapers, community’s als NORA).

Tool: AI Audit Ready Checklist (voorbeeld)

  • Is het generatieve AI-systeem geclassificeerd en geregistreerd?
  • Is een DPIA uitgevoerd met bijzondere aandacht voor datastromen buiten de EU?
  • Is menselijke toetsing geborgd voor alle kritische beslissingen?
  • Worden incidenten met AI-output gelogd en geëvalueerd?
  • Wordt bias periodiek gecontroleerd en zijn alternatieven voor inclusiviteit aanwezig?
  • Zijn leverancierscontracten voorzien van afspraken over data, support en exit?

Deepdive: Waar staan de servers van ChatGPT en wat betekent dat?

Veel grote taalmodellen zoals ChatGPT worden gehost op servers van OpenAI en/of Microsoft (Azure). Standaard vindt de dataverwerking vaak plaats in de VS, tenzij een EU-instance expliciet is afgenomen. Volgens de AI Act (en de AVG) moeten gemeenten garanderen dat gevoelige data niet zomaar buiten de Europese Economische Ruimte (EER) wordt verwerkt.
In 2024 is OpenAI gestart met het aanbieden van dedicated EU-hosting via Microsoft Azure (zie Microsoft Responsible AI), maar standaard ChatGPT, API en playground zijn veelal nog Amerikaans gehost. Dit betekent dat:

  • Bij gebruik van ChatGPT zonder EU-hosting is export van persoonsgegevens naar de VS een risico, en vereist het EU-US Data Privacy Framework of aanvullende waarborgen (zoals SCC’s).
  • Gemeenten moeten altijd nagaan en documenteren waar de servers staan, dit in de DPIA beschrijven, en privacy officers/FG’s raadplegen.
  • Veel Nederlandse gemeenten kiezen daarom voor alternatieven als Rasa Open Source (self-hosted) of Microsoft Azure OpenAI met EU-datacenter.

Tip: Raadpleeg voor actuele cloudlocaties de documentatie van Microsoft Azure OpenAI en check NORA voor privacy-richtlijnen.

Deepdive: Incidentenlog & rapportage

Elke output van generatieve AI kan fouten of bias bevatten. Zorg voor een centraal incidentenregister waarin afwijkingen, klachten of ethische twijfels direct worden geregistreerd. Stel een verantwoordelijke aan voor periodieke analyse en rapportage aan de gemeenteraad en/of toezichthouder. Dit is verplicht bij structurele tekortkomingen, conform de AI Act en de aanbevelingen van de Autoriteit Persoonsgegevens.

Deepdive: Uitlegbaarheid en burgerbetrokkenheid

Burgers hebben recht op begrijpelijke uitleg over beslissingen die hen raken. Zorg dat alle gebruikte prompts, logica en algoritmen inzichtelijk zijn. Richt panels of burgerfora in om nieuwe AI-systemen te testen op begrijpelijkheid en acceptatie, zeker bij generatieve AI die invloed heeft op persoonlijke dienstverlening of communicatie.

Samenvatting

  • Generatieve AI zoals ChatGPT valt onder de AI Act en kent extra eisen voor transparantie, privacy, bias-bestrijding en menselijk toezicht.
  • Het is essentieel om servers, leveranciersafspraken en datastromen expliciet vast te leggen in DPIA’s en algoritmeregisters.
  • Borg uitlegbaarheid en burgerservice: geef uitleg, betrek burgers, train medewerkers en log incidenten structureel.
  • Gebruik EU-hosting, of overweeg open source/self-hosted alternatieven als compliance met AVG/AI Act niet 100% te garanderen is.

Bronnen

Gerelateerde berichten:

  1. Transparantie-eisen voor overheden in de AI Act
  2. Hoe maak je een AI-register binnen je gemeente?
  3. Zo stel je een AI-verantwoordingsdocument op
  4. Hoe een virtuele assistent AI-risico’s met zich mee kan brengen
  5. Hoe publieke waarden zich vertalen in AI-keuzes
  6. Volg onze mini-cursus: AI Act in 15 minuten
  7. Wat is de AI Act? En wat betekent het voor overheden?
  8. Praktijkgids: zo implementeer je een AI-assistent in je gemeente
Scroll naar boven