Overheidsorganisaties in Nederland gebruiken generatieve AI veel vaker dan vorig jaar. Het gaat om tekstassistenten als ChatGPT, Microsoft Copilot en Google Gemini, maar ook om codehulpen. De toename gebeurt nu in vrijwel alle bestuurslagen. Dat maakt de Europese AI-verordening gevolgen overheid meteen concreet voor beleid, inkoop en toezicht.
Overheid zet AI breder in
Wat begon als kleinschalige pilots groeit uit tot dagelijks gebruik. Medewerkers laten AI documenten samenvatten, conceptbrieven opstellen en beleidsteksten aanscherpen. Ook IT-teams gebruiken code-assistenten om sneller te programmeren.
Rijk, provincies, gemeenten en uitvoeringsorganisaties sluiten steeds vaker aan op Microsoft 365 Copilot of Azure OpenAI. Sommige organisaties testen interne chatbots met afgeschermde toegang. Doel is tijdwinst zonder dat gevoelige informatie weglekt.
Een deel van de diensten verkent open modellen zoals Llama van Meta en Mistral. Die kunnen lokaal of in een Europese cloud draaien. Daarmee willen ze afhankelijkheid van één leverancier verkleinen.
Tekst- en codeassistenten domineren
Grote taalmodellen, zoals GPT-4o of Gemini 1.5, voorspellen het volgende woord in een zin. Zo kunnen ze teksten schrijven of code aanvullen. Dat levert tempo op bij standaardtaken.
De kwaliteit wisselt nog per taak. Onjuiste of verzonnen uitkomsten, ook wel hallucinaties, komen voor. Daarom blijft menselijke controle verplicht, zeker bij besluiten die burgers raken.
Code-assistenten zoals GitHub Copilot versnellen routinewerk, maar kunnen kwetsbaarheden introduceren. Teams bouwen extra code-reviews in en beperken gebruik bij vertrouwelijke broncode. Zo ontstaat een balans tussen snelheid en veiligheid.
Generatieve AI is software die nieuwe tekst, code of beelden maakt op basis van patronen in bestaande data.
Gevolgen Europese AI-verordening
De Europese AI-verordening legt vanaf 2025–2026, op het moment van schrijven, nieuwe plichten op. Voor de overheid gelden eisen aan risicobeheer, logging en transparantie bij inzet van systemen. De term deployer in de wet is de partij die een AI-systeem gebruikt in een proces.
Generatieve AI valt onder general-purpose AI (GPAI). Leveranciers moeten technische documentatie, veiligheidsupdates en evaluaties leveren. Overheidsdiensten moeten bij inkoop toetsen of deze documenten beschikbaar zijn.
Waar systemen ingrijpen in rechten van burgers, kan de toepassing hoog risico zijn. Dan zijn extra maatregelen nodig, zoals kwaliteitseisen aan data en toezicht op prestaties. Ook een DPIA onder de AVG blijft vereist bij verwerking van persoonsgegevens.
Dataveiligheid blijft zwak punt
Het grootste risico is het onbedoeld delen van gevoelige informatie in prompts. Organisaties sturen daarom op dataminimalisatie en automatische verwijdering van chatgeschiedenis. Toegang wordt afgeschermd met single sign-on en rolbeheer.
Cloudkeuze speelt mee. Leveranciers bieden opties als de EU Data Boundary van Microsoft, maar garanties verschillen per product. Sommige diensten testen daarom Europese clouds en on-premise varianten.
Om lekken en bias te beperken, zetten teams extra controles in. Denk aan promptfilters, auditlogs en red-teaming van modellen. Evaluaties worden vastgelegd in modelkaarten met beperkingen en gebruiksinstructies.
Inkoop en compliance aanscherpen
De inkoop van AI-diensten verschuift van experiment naar raamcontracten. Contracten vragen nu om duidelijke SLA’s, hersteltermijnen en exit-opties om vendor lock-in te voorkomen. Ook hergebruik van data voor modeltraining wordt contractueel beperkt.
Aanbestedingen bevatten vaker eisen uit de AI-verordening en de AVG. Denk aan documentatie, bias-tests en beveiligingscertificeringen. Daarmee wordt naleving controleerbaar tijdens én na de implementatie.
Praktisch gevolg is dat security, juridische zaken en de lijnorganisatie samen optrekken. Zij beoordelen zowel het model als het proces daaromheen. Dat versnelt adoptie, maar maakt de voorbereiding intensiever.
Vaardigheden en toezicht moeten groeien
Werknemers hebben training nodig om AI-uitkomsten goed te beoordelen. Organisaties bieden korte leerlijnen aan over prompten, bronvermelding en privacy. Richtlijnen voor verantwoord gebruik worden rijksbreed gedeeld.
Toezicht krijgt vorm via interne audit en functionarissen gegevensbescherming. Extern houden de Autoriteit Persoonsgegevens en, op termijn, nationale AI-toezichthouders toezicht. Het Europese AI Office coördineert GPAI-toezicht.
De volgende stap is structurele evaluatie in de praktijk. Denk aan periodieke testen op nauwkeurigheid en discriminatie, met publicatie in een algoritmeregister. Zo wordt het gebruik van generatieve systemen transparanter voor burgers.
