Het gebruik van Kunstmatige intelligentie (AI) neemt in rap tempo toe. Ook bij gemeenten zie je dat AI steeds vaker wordt ingezet: om processen te versnellen, betere besluiten te nemen of grote hoeveelheden data te verwerken. Maar met nieuwe kansen komen ook nieuwe regels. In 2026 gaat de Europese AI-verordening (Artificial Intelligence Act) in werking, een wet die strenge eisen stelt aan het gebruik van AI. Wat betekent dat voor je informatiebeveiliging als gemeente? In deze blog leg ik het uit en waarom het slim is om je nu al voor te bereiden op deze wet.

Download hier een pdf van deze blog

Wat houdt de AI-verordening in?

De AI-verordening (officieel de Artificial Intelligence Act) is een Europese wet die ervoor moet zorgen dat AI veilig en eerlijk wordt gebruikt. Het doel is om risico’s te beperken, discriminatie te voorkomen en onze grondrechten te beschermen.

Binnen deze wet worden AI-systemen ingedeeld in vier risicoklassen: onaanvaardbaar risico (die worden verboden), hoog risico, beperkt risico en minimaal risico. Vooral bij toepassingen met een hoog risico, denk aan AI bij uitkeringsaanvragen, sollicitaties of toezicht, gelden strenge eisen. Die hebben onder meer te maken met transparantie, uitleg over hoe het systeem werkt, goede data, toezicht en natuurlijk: goede beveiliging. Voor gemeenten betekent dit dat als je AI inzet, je te maken kunt krijgen met verplichte documentatie, risicobeoordelingen, toezichtmaatregelen en technische beveiligingseisen.

Samenhang met informatiebeveiliging

Wat vaak nog over het hoofd wordt gezien, is dat de AI-verordening naadloos aansluit bij wat we binnen informatiebeveiliging al gewend zijn. Gemeenten die al serieus werk maken van informatieveiligheid, privacy en risicomanagement, hebben dus al een flinke voorsprong. Dit zijn de vijf belangrijkste raakvlakken:

1. Een gedeelde basis: risico’s snappen en beheersen
   De AI-verordening werkt, net als ISO 27001, met een risicobenadering. Je kijkt: hoe risicovol is dit AI-systeem, en wat moet je dan regelen? Voor gemeenten is dat eigenlijk bekend terrein. Denk aan je Business Impact Analyse (BIA) of een Data Protection Impact Assessment (DPIA) voor privacy. Die tools kun je ook prima inzetten voor je AI-toepassingen. Zo sla je twee vliegen in één klap: je voldoet aan de regels én je borgt je beveiliging.
   
   
2. AI en persoonsgegevens: twee wetten om rekening mee te houden
   Veel AI-systemen werken met persoonsgegevens. Bijvoorbeeld systemen die inschatten of iemand recht heeft op een voorziening, of burgers categoriseren. In zulke gevallen moet je voldoen aan twee wetten: de AI-verordening en de Algemene Verordening Gegevensbescherming (AVG). De AI-verordening eist bijvoorbeeld dat de gebruikte data van goede kwaliteit zijn en geen discriminatie in de hand werken. Tegelijkertijd zegt de AVG dat persoonsgegevens rechtmatig en transparant verwerkt moeten worden. Vanuit informatiebeveiliging wil je daarnaast ook nog zorgen voor goede beveiliging, denk aan toegangsbeheer, encryptie en logging. Kortom: een AI-systeem moet niet alleen AVG-proof zijn, maar óók voldoen aan de eisen van de AI-verordening én goed beveiligd zijn.
   
   
3. Logging en transparantie: kunnen uitleggen wat er is gebeurd
   Een AI-systeem mag geen black box zijn. Zeker bij hoog-risico toepassingen moet je kunnen laten zien welke beslissing is genomen, waarom, en wie daar bij betrokken was. Gelukkig is dat binnen informatiebeveiliging geen nieuw thema: logging, monitoring en verantwoording zijn al verplicht in de Een AI-systeem mag geen black box zijn. Zeker bij hoog-risico toepassingen moet je kunnen laten zien welke beslissing is genomen, waarom, en wie daar bij betrokken was. Gelukkig is dat binnen informatiebeveiliging geen nieuw thema: logging, monitoring en verantwoording zijn al verplicht in de BIO en ISO 27001. Gebruik je AI om bijvoorbeeld aanvragen voor energietoeslag automatisch te behandelen? Dan moet je dus kunnen terugzien op welke gronden dat besluit is genomen.
   
   
4. AI moet bestand zijn tegen fouten en manipulatie
   AI-systemen moeten niet alleen slim zijn, maar ook veilig. De AI-verordening schrijft voor dat hoog-risico systemen bestand moeten zijn tegen fouten en manipulatie. Bijvoorbeeld als iemand expres foute input geeft. Dat vraagt om goede beveiligingsmaatregelen, zoals bescherming tegen malware, wijzigingsbeheer en robuuste controles. Anders loop je het risico dat een systeem verkeerde of zelfs discriminerende beslissingen neemt, met alle gevolgen van dien en grote (juridische) gevolgen.
   
   
5. Heldere afspraken: wie doet wat?
   Tot slot: governance.De AI-verordening eist dat je vooraf goed regelt wie waarvoor verantwoordelijk is. Wie beheert het AI-systeem? Wie houdt toezicht? En wie grijpt in als er iets misgaat? Ook dat kennen we al vanuit informatiebeveiliging. Daar heb je ook vaste rollen, zoals de Chief Information Security Officer (CISO), de Privacy Officer en de beleidsadviseur. Voor AI moet je die rolverdeling opnieuw bekijken. Zeker als je als gemeente zelf AI-systemen ontwikkelt of inkoopt, is het belangrijk dat je weet wie waarvoor verantwoordelijk is.

Wat kun je nu al doen als gemeente?

Je hoeft niet te wachten tot 2026 om iets met de AI-verordening te doen. Sterker nog: er zijn nu al praktische stappen waarmee je als gemeente goed voorbereid bent. Begin bijvoorbeeld met:

• Breng in kaart welke AI-systemen of -toepassingen je nu al gebruikt.
• Voer risicoanalyses uit (eventueel met een DPIA).
• Leg verantwoordelijkheden, beleid en logging goed vast.
• Zorg dat je AI-beleid aansluit op je bestaande informatiebeveiligings- en privacybeleid.

Zo zorg je ervoor dat AI geen ongrijpbare black box wordt, maar een betrouwbare tool binnen je gemeente.

Conclusie

De AI-verordening is geen losstaand thema, maar raakt aan alle bestaande processen rondom informatiebeveiliging, privacy en datakwaliteit. Het is dus géén ICT-onderwerp alleen. Gemeenten die al werken volgens de BIO en ISO 27001 hebben de basis op orde. Door nu al bewust na te denken over AI-risico’s, governance en transparantie, voorkom je dat je straks voor verrassingen komt te staan. Kortom: begin klein, maar begin wel. Dan loop jij straks niet achter de feiten aan.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.