EU AI Act voor gemeenten: wat moet u nu al geregeld hebben?

Bijgewerkt op 18 mei 2026. Dit artikel is herzien naar aanleiding van het politieke akkoord over de Digital Omnibus on AI van 7 mei 2026. De toepassingsdata voor hoogrisico-AI verschuiven daarmee naar 2 december 2027 (stand-alone systemen) en 2 augustus 2028 (AI in producten). De plicht rond AI-geletterdheid uit Artikel 4 is ongewijzigd en geldt al sinds 2 februari 2025.

Waarom gemeenten anders zijn dan andere organisaties

Voor de meeste organisaties draait de EU AI Act vooral om Artikel 4, de verplichting om medewerkers AI-geletterd te maken; wat Artikel 4 van de EU AI Act voorschrijft zetten we elders op een rij.

Voor gemeenten ligt het anders. Lokale besturen nemen besluiten over burgers, over uitkeringen, vergunningen, sociale dienstverlening, handhaving. Zodra AI bij die besluitvorming wordt ingezet, moet per toepassing beoordeeld worden of die onder Bijlage III van de verordening valt. Bij publieke bijstand, essentiële diensten, rechtshandhaving en migratie- of asielprocedures is de kans op hoogrisico-classificatie aanzienlijk.

Dat is geen kwestie van interpretatie. Bijlage III somt de hoogrisico-toepassingen expliciet op, en daar staan onder andere in: AI bij toegang tot essentiële publieke diensten, AI bij beoordeling of toekenning van publieke bijstand, AI bij rechtshandhaving, AI bij migratie- en asielprocedures. Gemeenten raken al deze gebieden in hun dagelijkse praktijk.

Wat lokale besturen vaak niet doorhebben

In gesprekken met gemeentesecretarissen en IT-coördinatoren komt steeds hetzelfde patroon naar boven: men weet dat de EU AI Act bestaat, maar onderschat hoe breed het begrip "AI-systeem" is. De wet slaat niet alleen op spectaculaire toepassingen zoals gezichtsherkenning of voorspellende handhaving. Het slaat ook op alledaagse tools, met heel verschillende risiconiveaus:

Ieder van deze voorbeelden maakt de gemeente tot deployer van een AI-systeem. Voor alle gevallen geldt de Artikel 4-plicht. Voor de toepassingen die onder Bijlage III blijken te vallen, komen daar de specifieke hoogrisico-verplichtingen bovenop.

Wat is op dit moment al verplicht, wat komt er nog aan

Nu al van kracht. Artikel 4 over AI-geletterdheid geldt sinds 2 februari 2025. Providers en deployers van AI-systemen moeten maatregelen nemen om, naar best vermogen, te zorgen dat hun medewerkers en degenen die in hun naam met AI werken voldoende AI-geletterd zijn, afgestemd op rol, ervaring en gebruikscontext. Voor gemeenten is dit de meest concrete plicht op dit moment.

Op 2 december 2026. Het politieke akkoord over de Digital Omnibus voegt een nieuwe verplichting toe: een verbod op AI-systemen voor nudification en op AI die kindermisbruikmateriaal kan genereren. Relevant voor IT-aankoopbeleid en voor wat in de gemeentelijke AI-tool-inventaris terechtkomt.

Op 2 december 2027. Volgens het politieke akkoord van 7 mei 2026 worden de hoogrisico-verplichtingen voor stand-alone AI-systemen onder Bijlage III pas op deze datum afdwingbaar. Oorspronkelijk stond 2 augustus 2026 in Verordening 2024/1689; die datum blijft formeel geldig totdat de Digital Omnibus in het Publicatieblad van de EU wordt gepubliceerd, verwacht in de zomer van 2026.

Op 2 augustus 2028. Op die datum worden de hoogrisico-verplichtingen voor AI-systemen ingebed in producten van toepassing, eveneens volgens het politieke akkoord.

De extra tijd is geen vrijbrief. Voor systemen die straks als hoogrisico worden geclassificeerd ligt de provider-verplichting tot conformiteitsbeoordeling primair bij de leverancier. Voor gemeenten als deployer geldt iets anders: het systeem volgens de instructies gebruiken, menselijk toezicht inrichten met daarvoor opgeleide personen, inputdata onder controle houden, gebruik monitoren, ernstige incidenten melden, logs bewaren, registratie bij de bevoegde autoriteit controleren, betrokkenen informeren waar de wet dat vereist, en samenwerken met toezichthouders.

Wie houdt toezicht, welke rechten krijgen burgers

In België en Nederland wordt het toezicht via nationale en sectorale autoriteiten ingericht. Voor lokale besturen zullen privacytoezicht, sectoraal toezicht en markttoezicht elkaar in de praktijk raken. De FOD Economie heeft in België een coördinerende rol gekregen rond grondrechtenautoriteiten onder Artikel 77; de exacte structuur wordt verder ingevuld.

Voor burgers ontstaat onder Artikel 86 een recht op een duidelijke en betekenisvolle uitleg over de rol die een AI-systeem speelde in een beslissing die juridisch of vergelijkbaar significant nadelig effect heeft. Daarnaast moeten gemeenten bij hoogrisico-AI menselijk toezicht organiseren en hun bestaande bezwaar- en beroepsprocedures op orde houden. Klachten zullen niet uitblijven.

De vier rollen die in elke gemeente verschillend moeten worden opgeleid

Eén generieke training voor alle ambtenaren voldoet niet aan Artikel 4, en helemaal niet voor gemeenten die met hoogrisico-AI gaan werken. De wet vereist dat het opleidingsniveau past bij de rol. Praktisch gezien zijn er vier groepen die elk een eigen invulling vragen:

Een gemeente die deze vier rollen niet apart adresseert, kan bij een audit niet aantonen dat de Artikel 4-plicht serieus is ingevuld.

Wat u nu realistisch kunt doen

Het uitstel van de hoogrisico-deadlines naar 2027 en 2028 verandert iets aan de tijdsdruk, niet aan de opdracht. De Artikel 4-plicht geldt al, en de tijd tot 2 december 2027 is precies wat een gemeente nodig heeft om de hoogrisico-stappen zorgvuldig te zetten in plaats van overhaast.

Komende maanden:

Tweede helft 2026:

2027:

Wat het uw gemeente oplevert

Het is verleidelijk om de EU AI Act te zien als compliance-overhead, een zoveelste verplichting die bovenop GDPR, NIS2 en BBB komt. Voor gemeenten is er een tweede kant aan. Een gemeente die haar AI-gebruik op orde heeft, neemt betere besluiten, beschermt burgers tegen onterechte beslissingen, en bouwt vertrouwen op bij bewoners die steeds kritischer worden over algoritmische overheid. Dat is geen luxe, dat is basislegitimiteit van het lokaal bestuur in 2026 en daarna.

Bij AIAdopt hebben we het Basispakket en de sectoruitbreiding Publieke Dienstverlening (M3-PD) specifiek afgestemd op de werkelijkheid van Belgische en Nederlandse lokale besturen. Elke training wordt afgesloten met een getoetst certificaat dat de gedekte AI Act-artikelen vermeldt, precies het bewijs dat een toezichthouder zal opvragen.