Naar hoofdinhoud
Handhaving AI-verordening: vanaf 2 augustus 2026 regel het op tijd voor je team →
AIAI-geletterdheidstraining
InloggenRegel het voor je team →
Regel het voor je team →Of begin zelf gratis
TrainingenAI-beleidKennisbankVoor werkgeversDe AI-wetCertificaatInloggen
Gratis template · AI-gebruiksbeleid

AI-gebruiksbeleid voor de overheid (template)

AI zit al in je werk: inwonerchatbots, voorbeoordeling van aanvragen en subsidies, het samenvatten van stukken en risicoselectie. Dit AI-gebruiksbeleid legt vast hoe ambtenaren, beleidsmedewerkers, baliemedewerkers en uitvoeringsorganisaties binnen deze organisatie verantwoord met AI omgaan. Zo blijven de rechten van inwoners, de menselijke maat en de AVG geborgd, en voldoe je aan de AI-geletterdheidsplicht uit artikel 4 van de EU AI-verordening.

Versie 1.0 · Juni 2026 · Aanpasbaar voorbeeld, geen juridisch advies. Vervang [organisatie] en [datum] door je eigen gegevens.

1. Doel en reikwijdte

Dit AI-gebruiksbeleid beschrijft hoe medewerkers van [organisatie] verantwoord, veilig en wettelijk omgaan met kunstmatige intelligentie (AI). Het beleid helpt [organisatie] te voldoen aan artikel 4 van de EU AI-verordening (de AI-geletterdheidsplicht) en aan de Algemene verordening gegevensbescherming (AVG).

Het beleid geldt voor iedereen die namens de organisatie met AI werkt: vaste medewerkers, tijdelijke krachten, stagiairs en ingehuurde externen. Het gaat over alle AI-systemen die in het werk worden gebruikt, of die nu zelf zijn aangeschaft, in bestaande software zitten of gratis online beschikbaar zijn (zoals algemene chatbots).

2. Definities

Om misverstanden te voorkomen, gebruiken we de volgende begrippen:

  • AI-systeem: software die op basis van data zelfstandig uitkomsten genereert, zoals tekst, beeld, voorspellingen, classificaties of aanbevelingen.
  • Generatieve AI: AI die nieuwe inhoud maakt, zoals tekst (ChatGPT, Copilot, Gemini), beeld of code.
  • Hallucinatie: een AI-uitkomst die overtuigend klinkt maar feitelijk onjuist of verzonnen is (bijvoorbeeld een niet-bestaande bron of een verkeerd getal).
  • Persoonsgegevens: alle gegevens over een herkenbaar persoon (naam, e-mail, klant- of patiëntgegevens, beeld, locatie).
  • Hoog-risico AI: AI-toepassingen die volgens de AI-verordening extra eisen kennen omdat ze mensen of hun rechten direct kunnen raken.
  • Schaduw-AI: AI-tools die medewerkers gebruiken zonder dat de organisatie ze heeft goedgekeurd.

3. Uitgangspunten

Bij alles wat we met AI doen, gelden deze vijf uitgangspunten:

  • Mens beslist. AI is een hulpmiddel; een medewerker controleert de uitkomst en neemt de eindbeslissing.
  • Veilig met gegevens. We delen geen vertrouwelijke of persoonsgegevens met AI-tools die daarvoor niet zijn goedgekeurd.
  • Eerlijk en transparant. Klanten, burgers of betrokkenen weten wanneer zij met AI te maken hebben.
  • Aantoonbaar bekwaam. Iedereen die met AI werkt, is voldoende AI-geletterd (artikel 4 AI-verordening).
  • Verantwoord en uitlegbaar. We kunnen uitleggen hoe een uitkomst tot stand kwam en waarom we erop vertrouwen.

4. Wat mag wel

  • Gebruik alleen door de organisatie goedgekeurde AI-tools met een verwerkersovereenkomst die data binnen de EU verwerken.
  • Behandel een AI-markering of voorbeoordeling als een signaal, nooit als een besluit, en beoordeel elk geval zelf met oog voor de menselijke maat.
  • Controleer elk genoemd wetsartikel, elke beleidsregel en elke uitspraak zelf in de bron voordat het in een brief of besluit gaat.
  • Zorg dat je elk besluit zelf kunt uitleggen en motiveren, los van wat de AI voorstelde.
  • Anonimiseer of pseudonimiseer inwonergegevens voordat je iets in een AI-tool invoert, en verwijder gegevens die niet nodig zijn.
  • Vertel inwoners duidelijk wanneer zij met een chatbot praten en bied altijd een route naar een mens.
  • Zorg dat impactvolle algoritmes en AI worden gepubliceerd in het Algoritmeregister waar dat aan de orde is, en meld een vermoedelijk datalek direct.
  • Volg de AI-geletterdheidstraining en houd je certificaat actueel (artikel 4 AI-verordening).

5. Wat mag niet

  • Plak nooit aanvragen, dossiers, BSN's of andere inwonergegevens in een gratis of openbare chatbot.
  • Neem nooit een wetsartikel, beleidsregel of uitspraak van AI over zonder het zelf in de bron te verifiëren.
  • Laat AI nooit zelfstandig een besluit nemen, een aanvraag afwijzen of een inwoner als risico bestempelen.
  • Neem een risicomarkering nooit klakkeloos over zonder de individuele situatie zelf te beoordelen.
  • Verstuur geen door AI opgestelde besluitbrief zonder inhoudelijke controle en een eigen motivering.
  • Gebruik geen privé-AI-accounts of niet-goedgekeurde tools (schaduw-AI) voor werk met inwonergegevens.
  • Verberg niet voor de inwoner dat een chatbot of algoritme is ingezet; wees transparant over het gebruik.
  • Gebruik geen inwonergegevens om een AI-model te trainen, tenzij dit expliciet en met een grondslag is toegestaan.

6. Gegevens, privacy en geheimhouding

Persoons- en bedrijfsgegevens horen alleen in AI-tools die de organisatie zakelijk heeft goedgekeurd en die voldoen aan de AVG. In gratis, openbare AI-tools voer je nooit vertrouwelijke informatie in: gegevens kunnen worden bewaard en hergebruikt voor het trainen van het model.

  • Voer geen namen, klant-, patiënt- of dossiergegevens, contracten, broncode of bedrijfsgeheimen in een niet-goedgekeurde AI-tool in.
  • Anonimiseer gegevens waar mogelijk voordat je ze (in een goedgekeurde tool) gebruikt.
  • Verwerk je persoonsgegevens met AI? Zorg voor een grondslag, een verwerkersovereenkomst met de leverancier en, bij hoog risico, een DPIA (gegevensbeschermingseffectbeoordeling).
  • Twijfel je of iets mag? Vraag het de verantwoordelijke (zie Rollen) vóór je het invoert.

7. Transparantie

Mensen hebben recht om te weten wanneer zij met AI communiceren of wanneer AI een rol speelt in een uitkomst die hen raakt. We zijn hier open over.

  • Een chatbot of AI-assistent maakt duidelijk dat het geen mens is.
  • AI-gegenereerde teksten die naar buiten gaan, worden door een mens gecontroleerd en waar passend als zodanig herkenbaar gemaakt.
  • Bij beslissingen die mensen raken, kunnen we uitleggen welke rol AI speelde.

8. Menselijk toezicht en eindverantwoordelijkheid

AI levert een voorstel, geen oordeel. De medewerker beoordeelt elke AI-uitkomst kritisch op juistheid, volledigheid en redelijkheid, en blijft eindverantwoordelijk. Hoe groter de impact van een fout, hoe grondiger de controle.

  • Controleer feiten, cijfers, bronnen en wetsverwijzingen die AI noemt; ga uit van mogelijke hallucinaties.
  • Neem een AI-uitkomst nooit ongezien over in een advies, besluit, rapport of bericht aan een klant.
  • Kun je een uitkomst niet uitleggen of verantwoorden, gebruik hem dan niet.

9. Hoog-risico AI

Sommige AI-toepassingen gelden onder de AI-verordening als hoog risico, bijvoorbeeld omdat ze meebeslissen over werk, geld, gezondheid, onderwijs of rechten van mensen. Daarvoor gelden strengere eisen aan kwaliteit, toezicht, documentatie en menselijke controle. Twijfel je of een toepassing hoog risico is, behandel hem dan alsof dat zo is en overleg met de verantwoordelijke.

10. Incidenten en datalekken melden

Ging er iets mis met AI? Meld het direct, zodat we schade kunnen beperken. Een datalek kan ontstaan doordat vertrouwelijke informatie in een verkeerde tool belandt.

  • Meld een (vermoedelijk) datalek of AI-incident meteen bij de verantwoordelijke/FG (functionaris gegevensbescherming).
  • Een datalek met risico voor betrokkenen melden we binnen 72 uur bij de Autoriteit Persoonsgegevens.
  • Voorbeelden om te melden: gevoelige gegevens in een openbare chatbot geplakt, een AI-fout die naar buiten ging, of een misleidende AI-uitkomst die schade veroorzaakte.
  • Melden leidt niet tot straf; niet-melden wel. Fouten gebruiken we om te leren.

11. Toegestane tools en schaduw-AI

We werken alleen met AI-tools die de organisatie heeft goedgekeurd en die in een actueel overzicht (AI-toolregister) staan. Wil je een nieuwe tool gebruiken, vraag dan eerst goedkeuring. Zo voorkomen we schaduw-AI: ongecontroleerde tools waarmee ongemerkt gegevens kunnen weglekken.

  • Gebruik voor werk alleen goedgekeurde, zakelijke AI-tools en accounts.
  • Nieuwe tool nodig? Vraag goedkeuring aan de verantwoordelijke vóór gebruik.
  • Het AI-toolregister vermeldt per tool: doel, leverancier, soort gegevens en wie verantwoordelijk is.

12. Rollen en verantwoordelijkheden

  • Directie/bestuur: stelt dit beleid vast, stelt middelen beschikbaar en draagt eindverantwoordelijkheid.
  • AI-verantwoordelijke / aandachtsfunctionaris: beheert het toolregister, beoordeelt nieuwe tools en is aanspreekpunt bij twijfel.
  • Functionaris gegevensbescherming (FG) / privacy: bewaakt AVG, DPIA's en datalekprocedure.
  • Leidinggevenden: zorgen dat hun team het beleid kent en naleeft.
  • Medewerkers: passen het beleid toe, blijven AI-geletterd en melden incidenten.

13. AI-geletterdheid (artikel 4)

Artikel 4 van de EU AI-verordening verplicht organisaties om iedereen die met AI werkt aantoonbaar AI-geletterd te maken. De plicht geldt sinds 2 februari 2025; handhaving start vanaf 2 augustus 2026. Iedere medewerker die met AI werkt, volgt daarom een passende AI-geletterdheidstraining en houdt zijn kennis actueel. De organisatie legt vast wie de training heeft gevolgd (bijvoorbeeld met een certificaat met verificatiecode).

14. Naleving, evaluatie en ingangsdatum

Dit beleid is onderdeel van de afspraken binnen [organisatie]. Bij twijfel geldt: eerst vragen, dan doen. We evalueren dit beleid minstens één keer per jaar en passen het aan op nieuwe tools, ervaringen en regelgeving.

  • Ingangsdatum: [datum]. Vastgesteld door: [naam/functie] namens [organisatie].
  • Versie: 1.0. Eerstvolgende evaluatie: [datum + 1 jaar].

15. Sectorspecifieke risico's

⚠️ Discriminatie en bias bij risicoselectie
AI die aanvragen of inwoners op risico beoordeelt, kan bepaalde groepen, wijken of kenmerken stelselmatig anders behandelen. Wie zo'n markering klakkeloos overneemt, neemt die vooringenomenheid mee in een besluit. De toeslagenaffaire laat zien hoe groot de schade voor inwoners dan is.
⚠️ Hallucinaties in een besluit of brief
Generatieve AI kan overtuigend verwijzen naar een wetsartikel, beleidsregel of uitspraak die niet bestaat (een hallucinatie). Komt zo'n verzonnen bron in een besluitbrief, dan is het besluit onjuist gemotiveerd en juridisch aanvechtbaar.
⚠️ Inwonergegevens in open AI-tools
Wie een aanvraag, zienswijze of dossier in een gratis chatbot plakt om het 'even te laten samenvatten', deelt persoonsgegevens van inwoners met een externe partij. Dat kan een datalek onder de AVG opleveren en het vertrouwen in de overheid schaden.
⚠️ Onvoldoende uitlegbaarheid en motivering
Een besluit moet deugdelijk gemotiveerd en navolgbaar zijn. Leunt een ambtenaar op een AI-uitkomst die hij niet kan uitleggen, dan kan de inwoner niet begrijpen waarom een besluit zo is genomen en houdt het besluit bij bezwaar of beroep geen stand.
⚠️ Verlies van de menselijke maat
AI kijkt naar patronen, niet naar de mens achter een dossier. Wie te veel op de uitkomst vaart, mist de bijzondere omstandigheden van een inwoner. Juist bij de overheid raakt dat direct iemands rechten, inkomen en bestaanszekerheid.

16. Regels en toezicht voor deze sector

AVG
Persoonsgegevens van inwoners mogen alleen worden verwerkt met een grondslag en passende beveiliging. Zulke gegevens horen niet in openbare AI-tools; gebruik alleen oplossingen met een verwerkersovereenkomst en verwerking binnen de EU.
Behoorlijk bestuur en motivering (Algemene wet bestuursrecht)
Besluiten moeten zorgvuldig worden voorbereid en deugdelijk worden gemotiveerd. Een AI-uitkomst kan een hulpmiddel zijn, maar de ambtenaar moet zelf kunnen uitleggen waarom een besluit zo is genomen en blijft daarvoor verantwoordelijk.
Transparantie via het Algoritmeregister
Impactvolle algoritmes en AI die de overheid inzet, horen transparant te zijn. Publiceer ze waar dat aan de orde is in het Algoritmeregister, zodat inwoners kunnen zien welke systemen worden gebruikt en waarvoor.
Non-discriminatie en de menselijke maat
AI mag niet leiden tot ongelijke behandeling of het uit het oog verliezen van de individuele situatie. De les uit de toeslagenaffaire is dat een markering altijd menselijk wordt beoordeeld, met oog voor de menselijke maat. Besluit-AI bij de overheid is bovendien vaak hoog-risico onder de AI-verordening.

Mail mij dit beleid + de compliance-checklist

Ontvang het volledige AI-gebruiksbeleid voor overheid en publieke sector als bestand, plus een 7-stappen compliance-checklist voor artikel 4. Geen spam.

Voorbeelden uit de praktijk

📎 Een uitvoeringsorganisatie gebruikt een model dat aanvragen markeert die mogelijk onjuist zijn, en het systeem markeert een aanvraag van een inwoner als verhoogd risico.
Aanpak: Behandel de markering als een signaal, niet als een oordeel. Beoordeel het dossier zelf, betrek de individuele omstandigheden en de menselijke maat, en laat de eindbeoordeling bij een bevoegde medewerker. Leg vast waarom je het signaal wel of niet opvolgt, zodat het besluit uitlegbaar is.
📎 Een beleidsmedewerker laat AI een conceptbesluit opstellen en de tekst verwijst overtuigend naar een specifiek wetsartikel.
Aanpak: Gebruik de tekst alleen als concept. Zoek het genoemde artikel op in de actuele wettekst en controleer of het bestaat en klopt; AI kan bronnen verzinnen. Schrijf de motivering zo dat je die zelf kunt uitleggen aan de inwoner, met de geverifieerde bron erbij.
📎 Een baliemedewerker zet 's avonds een inwonerchatbot in voor vragen over paspoorten en openingstijden.
Aanpak: Wees transparant: de inwoner moet weten dat hij met een chatbot praat. Zorg dat er altijd een route naar een mens is voor complexe of persoonlijke vragen, en controleer of de antwoorden van de chatbot kloppen. Geef de chatbot geen toegang tot persoonsdossiers zonder grondslag en beveiliging.

Veelgestelde vragen over AI-beleid in overheid en publieke sector

Moet een overheidsorganisatie een AI-beleid hebben?

Een AI-gebruiksbeleid is niet letterlijk bij wet verplicht, maar het is de meest praktische manier om aan de AI-geletterdheidsplicht uit artikel 4 van de AI-verordening te voldoen. Die plicht geldt sinds 2 februari 2025. Voor de overheid maakt een beleid bovendien aantoonbaar hoe je de AVG, behoorlijk bestuur en de menselijke maat borgt bij het gebruik van AI.

Is AI bij de overheid hoog-risico onder de AI-verordening?

Vaak wel. AI die meebeslist over toegang tot voorzieningen, uitkeringen of andere overheidsbesluiten, of die aan risicoselectie doet, valt onder de AI-verordening regelmatig in de hoog-risicocategorie. Dat brengt extra eisen mee, zoals menselijk toezicht, transparantie en zorgvuldigheid. Beoordeel per systeem in welke categorie het valt.

Mag een ambtenaar ChatGPT gebruiken voor zijn werk?

Ja, voor algemene taken zonder persoonsgegevens, zoals het opstellen van een concepttekst of het uitleggen van een begrip. Plak echter nooit aanvragen, dossiers of BSN's in een openbare versie van ChatGPT. Voor werk met inwonergegevens gebruik je alleen een door de organisatie goedgekeurde tool met verwerkersovereenkomst.

Wat leert de toeslagenaffaire ons over AI bij de overheid?

Dat een algoritme of risicomarkering nooit zonder menselijke beoordeling tot nadeel voor een inwoner mag leiden. De affaire laat zien hoe vooringenomenheid en het uit het oog verliezen van de menselijke maat grote schade veroorzaken. Daarom geldt: een markering is een signaal, geen besluit, en elk geval wordt individueel beoordeeld.

Moet AI van de overheid in het Algoritmeregister?

Impactvolle algoritmes en AI die de overheid inzet, horen transparant te zijn en worden waar dat aan de orde is gepubliceerd in het Algoritmeregister. Zo kunnen inwoners zien welke systemen worden gebruikt en waarvoor. Beoordeel per systeem of publicatie is vereist en houd de informatie actueel.

Een beleid is stap 1. Maak je team ook aantoonbaar AI-geletterd.

Artikel 4 vraagt niet alleen om afspraken, maar ook dat medewerkers aantoonbaar AI-geletterd zijn. Volg de training "AI voor de overheid" — in je eigen tempo, met certificaat.

Bekijk de training →Alle branches