Gemeenten staan voor een driedubbele uitdaging: EUR 2,3 miljard structurele bezuiniging, strengere regelgeving en groeiende dienstverlening. CleverTech helpt middelgrote gemeenten AI in te zetten binnen BIO2, AI Act en Algoritmeregister — zonder concessies aan de menselijke maat.
De overheid kampt met een adoptiekloof: 38% AI-adoptie tegenover 67% landelijk gemiddelde (TNO-monitor GenAI, december 2025). Voor een middelgrote gemeente betekent die achterstand dat KCC, Woo-afhandeling en repetitieve administratie blijven leunen op schaarse mensen, terwijl dezelfde monitor 81 actieve GenAI-toepassingen telt — 42% daarvan bij gemeenten die wél zijn begonnen. De route die werkt: start met laag-risico-toepassingen zoals een website-chatbot, RPA en Woo-assistentie (geen Annex III-verplichtingen), bouw daarmee governance-ervaring op en sta klaar wanneer de hoog-risico-regels van de AI Act op 2 augustus 2026 handhaafbaar worden.
Zes uitdagingen waar gemeenten en overheden in 2026 tegenaan lopen bij AI-implementatie.
Vanaf 2026 daalt de Gemeentefonds-uitkering structureel met EUR 2,3 miljard per jaar. Het takenpakket groeit ondertussen door de Omgevingswet, Wmo-hervorming en energietransitie. Zonder procesoptimalisatie en slimme automatisering kunnen middelgrote gemeenten basale dienstverlening niet op peil houden binnen de Awb-beslistermijnen.
Drie grote regelgevingskaders worden in 2026 gelijktijdig afdwingbaar: AI Act hoog-risico-verplichtingen (2 augustus 2026), de Cyberbeveiligingswet (Nederlandse NIS2-implementatie, verwacht in de loop van 2026) en BIO2 v1.3 (maart 2026). Elke gemeente — ook de kleinste — wordt onder NIS2 een essentiële of belangrijke entiteit. De stapeling met AVG, Woo, Archiefwet en Awb maakt compliance zonder externe expertise nagenoeg onmogelijk.
Slechts 4% van de geregistreerde overheidsalgoritmen classificeert zichzelf als hoog-risico, terwijl 52% in het geheel niet in het Algoritmeregister staat (BZK-analyse 2025). Inconsistente risicobeoordelingen tussen gemeenten onderling creëren juridische kwetsbaarheden en ondermijnen burgervertrouwen.
Gemeenten concurreren op een krappe arbeidsmarkt met de private sector voor AI-, data- en security-specialisten. Een gemeente met 40.000-80.000 inwoners heeft zelden meer dan twee tot drie IT-medewerkers — laat staan een dedicated AI-governance-functie. De kenniskloof tussen wat regelgeving vereist en wat intern beschikbaar is, groeit met elke nieuwe richtlijn.
Zaaksystemen (Centric, PinkRoccade), basisregistraties (BRP, BAG, WOZ) en domeinapplicaties communiceren beperkt onderling. Common Ground en GEMMA wijzen de richting, maar de migratie van monolithische systemen is meerjarig. Een AI-toepassing die niet op de bestaande stack aansluit, is een dure shelfware-investering.
Het SyRI-arrest (Rb. Den Haag, 5 februari 2020) en de toeslagenaffaire hebben de norm voor overheidsalgoritmen permanent verscherpt. Elke nieuwe AI-toepassing wordt getoetst door burger, journalist, gemeenteraad én toezichthouder. Zonder aantoonbare transparantie, uitlegbaarheid en non-discriminatie is het politieke risico groter dan het efficiencyvoordeel.
De diensten die we het vaakst inzetten in deze branche
Benchmarks voor de publieke sector in Nederland (2025-2026). Vergelijk uw eigen cijfers met de typische waardes hieronder.
| Indicator | Typische waarde | Bron |
|---|---|---|
| AI-adoptie overheid (alle toepassingen) | 38% (vs. 67% landelijk gemiddelde) | TNO-monitor GenAI overheid, december 2025 |
| Actieve GenAI-toepassingen bij de overheid | 81 (waarvan 42% bij gemeenten) | TNO-monitor GenAI overheid, december 2025 |
| RPA-besparing gemeenten (best practice) | tot 800 uur/maand, 2 FTE vrijgespeeld | VNG-praktijkvoorbeelden gemeentelijke automatisering |
| Algoritmen in Algoritmeregister (zelfclassificatie hoog-risico) | Slechts 4%; 52% geheel ongeregistreerd | Algoritmeregister / BZK-analyse 2025 |
| Woo-beslistermijn (wettelijk) | 4 weken + 2 weken verlenging | Wet open overheid, art. 4.4 |
Gepubliceerd 5 maart 2026. ISO 27001-aligned, NIS2-geïntegreerd, ~130 beheersmaatregelen. Verplicht voor Rijk/provincies/waterschappen; richtinggevend voor gemeenten tot inwerkingtreding Cyberbeveiligingswet.
Ministerie van BZK / CIPPer 2 augustus 2026 handhaafbaar. Annex III classificeert AI voor uitkeringsbeoordeling, migratierisico en rechtsspraak als hoog-risico. Verplichtingen: conformiteitsbeoordeling, documentatie, logging, human oversight, EU-database-registratie.
Europese Commissie / Autoriteit PersoonsgegevensVerwacht in de loop van 2026. Alle 342+ gemeenten worden essentiële/belangrijke entiteiten. Bestuurlijke aansprakelijkheid op college-niveau voor cybersecurity. BIO2 als tactisch framework.
Ministerie van BZK / NCSCGeüpdatet 16 februari 2026 door BZK/Universiteit Utrecht. Aligned met AI Act art. 27 (FRIA). Verplicht voor overheidsalgoritmen met mensenrechtenimpact. Ingekort en gestroomlijnd met apart toelichtingsdocument.
Ministerie van BZK / Universiteit UtrechtMomenteel vrijwillig, richting wettelijk verplicht via Uitvoeringswet AI Act. Registratie van hoog-risico (cat. A) en impactvolle (cat. B) algoritmen de verwachte norm. 52% overheidsalgoritmen nog ongeregistreerd.
Ministerie van BZK / staatssecretaris digitaliseringIn werking sinds 1 mei 2022. Passieve + actieve openbaarmakingsplicht. AI-gegenereerde documenten en chatbot-logs vallen in scope. Beslistermijn 4 weken + 2 weken verlenging.
Ministerie van BZK / bestuursorganenZorgvuldigheidsbeginsel (art. 3:2), motiveringsplicht (art. 3:46), verbod op discriminatie. AI mag bestuurlijke besluitvorming ondersteunen maar niet vervangen. Bezwaar- en beroepsprocedures moeten werkbaar blijven.
Bestuursrechter / Raad van StateLaatst gecontroleerd: juni 2026
We koppelen met de systemen die u al gebruikt — geen rip-and-replace.
Meer taken, minder geld, minder mensen — en een burger die na de toeslagenaffaire terecht kritisch meekijkt. Wie in 2026 op een gemeentehuis werkt, herkent dit rijtje zonder toelichting. Het Gemeentefonds krimpt vanaf dit jaar structureel met EUR 2,3 miljard per jaar, terwijl het takenpakket groeit en een gemeente van 40.000-80.000 inwoners zelden meer dan twee à drie IT-medewerkers heeft. Tegelijk worden drie regelgevingskaders vrijwel gelijktijdig afdwingbaar: BIO2 v1.3 (sinds 5 maart 2026 de beveiligingsbaseline), de Cyberbeveiligingswet (Nederlandse NIS2-implementatie), verwacht in de loop van 2026, en de hoog-risico-verplichtingen van de EU AI Act per 2 augustus 2026. De vraag is dus niet óf AI nodig is om de dienstverlening op peil te houden, maar hoe u het verantwoord implementeert met beperkt budget en schaarse capaciteit.
CleverTech richt zich op gemeenten en overheidsorganisaties die wél willen digitaliseren, maar niet de slagkracht van een G4-gemeente hebben. Met AI-advies voor AI Act-classificatie en IAMA-begeleiding, AI-oplossingen voor Woo-verwerking en documentclassificatie en maatwerk software die aansluit op zaaksystemen en basisregistraties, leveren we de complete compliance-keten standaard mee: DPIA, IAMA, BIO2-classificatie, AI Act-risicobeoordeling en Algoritmeregister-publicatie — geen losse upsell. Onze startvraag is altijd: welk proces kost uw medewerkers de meeste tijd, en kan AI daar helpen zónder dat er een besluit over een burger uit voortkomt? Daar liggen de quick wins, en precies daar biedt de regelgeving ruimte.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.
Wie in 2026 software bij de overheid draait, krijgt met drie regelgevingskaders tegelijk te maken: BIO2 v1.3, de Cyberbeveiligingswet en de EU AI Act. BIO2 v1.3, gepubliceerd in de Staatscourant op 5 maart 2026, vervangt BIO v1.04: de oude BBN-classificatie verdwijnt, de baseline is volledig ISO 27001-aligned en integreert NIS2-vereisten. Voor het Rijk, provincies en waterschappen is BIO2 verplichte zelfregulering; voor gemeenten richtinggevend tot de Cyberbeveiligingswet (Nederlandse NIS2-implementatie), verwacht in de loop van 2026, in werking treedt — dan krijgt BIO2 de facto wettelijke status. Onder die wet worden alle 342 gemeenten essentiële of belangrijke entiteiten, met bestuurlijke aansprakelijkheid voor cybersecurity op college-niveau. De derde poot is de EU AI Act: de hoog-risico-verplichtingen worden handhaafbaar per 2 augustus 2026. Voor gemeenten die AI inzetten bij uitkeringsbeoordeling, jeugdzorgindicatie of vergunningverlening is Annex III glashelder — dat zijn hoog-risico-toepassingen met volledige conformiteitsverplichtingen.
De overheid loopt fors achter op de markt: 38% AI-adoptie tegenover 67% landelijk gemiddelde, de negende positie van elf onderzochte sectoren. De TNO-monitor GenAI bij de overheid (december 2025) telt 81 actieve generatieve-AI-toepassingen, waarvan gemeenten 42% voor hun rekening nemen — de meest AI-actieve overheidslaag. Maar slechts 46% van die toepassingen is volledig geïmplementeerd in de dagelijkse praktijk; de rest zit in pilot- of experimenteerfase. Opvallender nog: slechts 4% van de toepassingen is door de organisatie zelf als hoog-risico geclassificeerd, terwijl 52% niet in het Algoritmeregister staat. Die discrepantie suggereert dat veel organisaties de risicoclassificatie onvoldoende scherp uitvoeren — precies het probleem dat de IAMA 2026-update en de Uitvoeringswet AI Act willen aanpakken. Voor middelgrote gemeenten is de keuze daarmee helder: nu starten met laag-risico-toepassingen en governance-ervaring opbouwen, of straks onder tijdsdruk de compliance-sprint maken wanneer de handhaving per 2 augustus 2026 begint.
Registratie in het Algoritmeregister is formeel nog vrijwillig, maar wordt juridisch steeds dwingender: de Uitvoeringswet AI Act (in consultatie tot 1 juni 2026) beweegt richting verplichte registratie. De kwaliteit en volledigheid lopen intussen sterk uiteen — slechts 4% van de geregistreerde overheidsalgoritmen classificeert zichzelf als hoog-risico en 52% staat in het geheel niet in het register (BZK-analyse 2025). Die inconsistentie is een risico op zichzelf: als twee vergelijkbare gemeenten hetzelfde algoritme verschillend classificeren, ondermijnt dat de geloofwaardigheid van het hele stelsel. Het tweede instrument is de Impact Assessment Mensenrechten en Algoritmes (IAMA), op 16 februari 2026 geüpdatet door BZK en de Universiteit Utrecht: ingekort, gestroomlijnd en expliciet aligned met artikel 27 van de AI Act. Een zorgvuldig ingevulde IAMA levert daardoor circa 90% van de FRIA-input op — twee verplichtingen in één traject. CleverTech voert DPIA en IAMA geïntegreerd uit en levert het Algoritmeregister-formulier als standaard deliverable, zodat registratie een bijproduct is van het ontwikkelproces, geen achterstallige administratie.
Annex III van de EU AI Act bepaalt waar overheids-AI hoog-risico is — en het SyRI-arrest en de toeslagenaffaire laten zien waarom die grens er staat. Punt 5 raakt gemeenten het meest direct: AI die de toegang tot essentiële publieke diensten en uitkeringen beoordeelt, inclusief toekenning, vermindering en terugvordering — denk aan bijstandsclassificatie, WMO-triage en sociaal-medische indicaties. Daarnaast: biometrische identificatie in de publieke ruimte (punt 1, vrijwel verboden), migratie en grensbewaking (punt 6) en ondersteuning van rechterlijke autoriteiten (punt 8). De boetes tot 7% van de jaaromzet zijn voor overheden minder relevant dan de bestuurlijke en reputatieschade bij non-compliance. Het SyRI-arrest (Rb. Den Haag, 5 februari 2020) verklaarde risicoprofilering onrechtmatig wegens strijd met artikel 8 EVRM: onvoldoende transparant, oncontroleerbaar, niet proportioneel. De toeslagenaffaire toonde hoe risicoselectie op nationaliteit circa 26.000 gezinnen structureel benadeelde. Beide casussen gaan niet over slechte techniek, maar over ontbrekende governance — en de Autoriteit Persoonsgegevens houdt als coördinerend algoritmetoezichthouder de druk erop via de halfjaarlijkse Rapportage AI en Algoritmen Nederland. CleverTech legt daarom vier designprincipes contractueel vast: elke AI-output die een burger raakt is een voorstel aan een mens, IAMA vóór implementatie met bestuurlijk beslismoment, bias-testing op demografische subgroepen vóór én na productie, en publicatie in het Algoritmeregister met begrijpelijke uitleg en bezwaarprocedure.
De VNG zet met het Governancekader AI en Algoritmen en het Meerjarenplan Digitale Informatiehuishouding 2026-2030 in op collectivisering: gedeelde AI-infrastructuur en gezamenlijke inkoop in plaats van 342 gemeenten die elk hun eigen chatbot, documentclassificatie of Woo-tool bouwen. De e-learning AI op het RADIO-platform maakt AI-geletterdheid (art. 4 AI Act) breed toegankelijk, en BZK adviseert een meerjarige investering in een verantwoord AI-platform inclusief vlam-chat — een AI-assistent voor ambtenaren op basis van Europese taalmodellen. Voor middelgrote gemeenten is collectivisering geen optie maar noodzaak: individuele compliance- en implementatietrajecten zijn niet te dragen op een begroting die al EUR 2,3 miljard lichter wordt. Gedeelde IAMA's, leveranciersbeoordelingen en model-cards zijn besparingen die nu al gerealiseerd kunnen worden. CleverTech werkt standaard met multi-tenant-licenties en Common Ground-principes, zodat een oplossing die voor één gemeente is gebouwd door meerdere gemeenten hergebruikt kan worden — met broncode-escrow bij hoog-risico-toepassingen, een eis die steeds vaker in gemeentelijke aanbestedingen terugkomt.
Welke software een overheidsorganisatie verantwoord kan inzetten, hangt af van het risicoprofiel — en de volgorde is bewust: begin laag, schaal pas op als de governance staat. Laag-risico (geen Annex III, BIO2 + AVG volstaan): website-chatbots voor procedurele informatie, automatische vertaling naar eenvoudig Nederlands, samenvattingen van raadsvergaderingen en RPA voor gestandaardiseerde processen — in VNG-praktijkvoorbeelden lopen RPA-besparingen op tot 800 uur per maand. Middel-risico (BIO2 + AVG + IAMA, mogelijk Algoritmeregister categorie B): AI-ondersteuning bij Woo-verzoeken, documentverwerking bij vergunningintake en predictive maintenance op bruggen, wegen en riool; het risico zit hier in nauwkeurigheid en auditability, niet in besluitimpact. Hoog-risico (Annex III, volledige AI Act-compliance): WMO-triage, jeugdzorg-risicoscoring en fraudedetectie — met conformiteitsbeoordeling (art. 43), FRIA (art. 27), logging, human oversight en EU-database-registratie. Art. 22 AVG verbiedt besluiten die uitsluitend op automatische verwerking berusten. Over de hele linie geldt één principe: AI levert het voorstel, de ambtenaar met mandaat neemt het besluit — gemotiveerd conform art. 3:46 Awb en getoetst via een IAMA vóór ingebruikname.
Software voor de overheid moet landen in een gelaagde, deels verouderde stack — een AI-toepassing die daar niet op aansluit, is een dure shelfware-investering. Op gemeentelijk niveau domineren zaaksystemen van Centric en PinkRoccade, met Topdesk voor IT-beheer en Decos JOIN voor documentmanagement. Common Ground — data bij de bron, hergebruik via API's, ontkoppeling van data en applicaties — is de VNG-visie, met GEMMA als gemeentelijke en NORA als overheidsbrede referentiearchitectuur. Maar de praktijk draait vaak nog op StUF naast ZGW-API's, met DigiKoppeling voor beveiligde interbestuurlijke uitwisseling en landelijke bouwblokken als DigiD, eHerkenning en MijnOverheid. Een implementatie moet daarom beoordeeld worden op welke koppelingen feitelijk beschikbaar zijn, niet op wat theoretisch mogelijk is onder Common Ground. Bij provincies en waterschappen domineren GIS-omgevingen en sensorplatforms voor gemalen, sluizen en dijken — predictive maintenance op die sensordata valt buiten Annex III maar vereist wel BIO2- en AVG-aandacht. CleverTech toetst technische haalbaarheid vooraf met het IT-team: zonder die verificatie geen productie-integratie.
Dezelfde regelgeving, een fractie van de capaciteit: dat is de positie van gemeenten met 30.000 tot 80.000 inwoners. De G4 heeft dedicated data-science-teams, AI-ethiekraden en miljoenenbudgetten; de EU-digitaliseringswetten die gemeenten vóór eind 2026 raken, maken echter geen onderscheid naar omvang. Waar een G4-gemeente intern ontwikkelt, heeft een middelgrote gemeente een partner nodig die de complete keten beheerst — van IAMA tot Algoritmeregister, van BIO2-classificatie tot Common Ground-integratie. Onze implementaties zijn daarom modulair: begin met een chatbot en Woo-assistentie, bouw governance-ervaring op en schaal naar complexere toepassingen wanneer de organisatie er klaar voor is. De art. 4 AI-geletterdheidstraining leveren we als interactieve sessie met de medewerkers die dagelijks met het systeem werken, niet als e-learning-link. De kalender die elk overheidsorgaan nu moet vastpinnen: BIO2 v1.3 geldt al, de Cyberbeveiligingswet (Nederlandse NIS2-implementatie) wordt in de loop van 2026 verwacht en de hoog-risico-verplichtingen van de AI Act zijn per 2 augustus 2026 handhaafbaar. Wie nu begint met laag-risico-toepassingen, heeft de basis op orde wanneer de deadlines naderen.
| Periode | Kenmerk |
|---|---|
| Q1 (jan-mrt) | Uitvoering nieuw begrotingsjaar: vastgestelde budgetten komen vrij, terwijl de verantwoording over het vorige jaar loopt (jaarrekening, ENSIA-rapportage). In Q4 begrote software- en AI-projecten gaan in dit kwartaal doorgaans daadwerkelijk van start. |
| Q2 (apr-jun) | Kadernota/voorjaarsnota bepaalt de financiële ruimte voor het volgende begrotingsjaar; aanbestedings- en offertetrajecten worden vóór het zomerreces afgerond. Wie volgend jaar budget wil voor een AI- of softwareproject, agendeert dat in dit kwartaal. |
| Q3 (jul-sep) | Zomerreces: bestuurlijke besluitvorming ligt grotendeels stil en de ambtelijke organisatie bereidt de programmabegroting voor. Geschikt voor voorbereidend werk dat geen collegebesluit vraagt: IAMA-trajecten, marktverkenning en kleinschalige pilots. |
| Q4 (okt-dec) | Begrotingsbehandeling in de raad (november) en jaarafsluiting. Restbudgetten van het lopende jaar moeten vóór jaareinde besteed worden — een realistisch startmoment voor kleine, snel op te leveren projecten zoals een chatbot of RPA-pilot. |
Concrete resultaten die CleverTech levert aan gemeenten en overheden.
Een laag-risico chatbot beantwoordt procedurele vragen — openingstijden, paspoortafspraken, afvalkalender, WOZ-waarde — zonder dat er een Annex III-classificatie nodig is. Escalatie naar de balie bij complexe zaken, merkbaar minder telefonische druk op het KCC. CleverTech levert de chatbot inclusief Algoritmeregister-formulier en art. 4 AI-geletterdheidstraining.
AI-ondersteuning bij documentdoorzoeking en lakken van persoonsgegevens (art. 5.1 Woo) — altijd onder menselijk eindtoezicht. De wettelijke beslistermijn van vier weken is krap bij omvangrijke verzoeken; AI-assistentie verkort de doorlooptijd en vergroot de consistentie in weigeringsgronden. Het menselijk oordeel blijft leidend bij grenssituaties.
AI-toepassingen draaien in private cloud binnen de EU met BIO2 v1.3-beheersmaatregelen: classificatie (5.12), cryptografie (8.24), logging en monitoring (8.15-8.17), veilige ontwikkelcyclus (8.25-8.29) en leveranciersbeheer (5.19-5.23). Geen na-ijlende compliance-exercitie, maar security by design als standaard deliverable.
Robotic Process Automation voor gestandaardiseerde processen zoals vergunningintake-volledigheidscontrole, gegevensoverdracht tussen basisregistraties en bulk-correspondentie. In VNG-praktijkvoorbeelden rapporteren gemeenten met volwassen RPA-implementaties besparingen die oplopen tot 800 uur per maand — zonder dat er een AI Act-classificatie aan te pas komt.
Elke AI-implementatie krijgt automatisch een Algoritmeregister-formulier (categorie A/B/C) zodra deze burgers raakt. Door DPIA, IAMA en AI Act-classificatie geïntegreerd uit te voeren wordt publicatie een bijproduct van het implementatieproces — geen losse compliance-actie achteraf. Dat voorkomt de registratie-achterstand waar veel gemeenten nu mee kampen.
Antwoorden op veelgestelde vragen over AI en digitalisering in de publieke sector
Ja — alle CleverTech-implementaties voor overheden volgen BIO2 v1.3 als beveiligingsbaseline, met de relevante beheersmaatregelen per risicoclassificatie als standaard deliverable. Concreet: informatieclassificatie (5.12), cryptografie (8.24), logging en monitoring (8.15-8.17), veilige ontwikkelcyclus (8.25-8.29) en leveranciersbeheer (5.19-5.23). BIO2 is volledig ISO 27001-aligned met geïntegreerde NIS2-vereisten; voor provincies, waterschappen en het Rijk verplichte zelfregulering, voor gemeenten richtinggevend tot de Cyberbeveiligingswet in werking treedt. Alle systemen draaien binnen de EU met data-residency-garantie, zonder dataretentie voor modeltraining.
Ja — de AI Act geldt onverkort voor gemeenten: art. 4 AI-geletterdheid is sinds 2 februari 2025 van toepassing op elke organisatie die AI inzet. Per 2 augustus 2026 worden de hoog-risico-regels handhaafbaar. Annex III is voor gemeenten zeer relevant: AI voor beoordeling van uitkeringsrecht, dienstverlening en vergunningen valt automatisch onder hoog-risico met conformiteitsverplichtingen. De Uitvoeringswet is in consultatie tot 1 juni 2026. CleverTech levert de art. 4-geletterdheidstraining als vast onderdeel en voert de AI Act-classificatie uit als eerste stap — vóór technische keuzes.
Registratie is momenteel formeel vrijwillig maar wordt juridisch steeds dwingender. De Uitvoeringswet AI Act beweegt richting verplichte registratie. In de praktijk is publicatie van hoog-risico (categorie A) en impactvolle algoritmen (categorie B) nu al de verwachte norm onder art. 3:2 Awb en art. 13 AI Act. Niet-registreren bij een AI die burgers raakt is een direct risico. CleverTech genereert het Algoritmeregister-formulier als standaard deliverable, gekoppeld aan DPIA, IAMA en AI Act-classificatie.
Door vier harde designprincipes contractueel vast te leggen vóór implementatie. Eén: elke AI-output die een burger raakt is een voorstel aan een mens, nooit een besluit (art. 22 AVG + art. 14 AI Act). Twee: IAMA vóór implementatie, niet achteraf. Drie: bias-testing op demografische subgroepen vóór productie én periodiek daarna, met uitsluiting van verboden selectiecriteria (nationaliteit, etniciteit, postcode-als-proxy). Vier: publicatie in het Algoritmeregister met begrijpelijke beschrijving van werking, beperkingen en bezwaarprocedure. Het SyRI-arrest en de toeslagenaffaire zijn voor ons referentiedocumenten — elke ontwerpkeuze wordt getoetst aan wat daar misging.
DPIA, IAMA en FRIA zijn drie beoordelingsinstrumenten met overlap maar een verschillende scope. Een DPIA (art. 35 AVG) beoordeelt privacyrisico’s en is verplicht bij hoog risico. De IAMA beoordeelt alle grondrechtenimpact van een algoritme — breder dan privacy — en is verplicht voor overheidsalgoritmen. De FRIA (art. 27 AI Act) is per 2 augustus 2026 verplicht voor hoog-risico AI bij publieke organen. De IAMA 2026-versie is aligned met de FRIA, waardoor een zorgvuldig ingevulde IAMA circa 90% van de FRIA-input oplevert. CleverTech voert DPIA en IAMA geïntegreerd uit.
Ja — we volgen voor gemeenten de GEMMA-referentiearchitectuur en de Common Ground-realisatieprincipes: data bij de bron, hergebruik via API, ontkoppeling van data en applicaties. We certificeren tegen zaaksystemen van Centric en PinkRoccade, Decos JOIN, Topdesk en basisregistraties (BRP, BAG, WOZ, HR). Voor interbestuurlijke uitwisseling gebruiken we DigiKoppeling en ZGW-API’s. Technische haalbaarheid toetsen we vooraf met uw IT-team — zonder verificatie geen productie-integratie.
Van 4-8 weken voor een laag-risico-toepassing tot 9-18 maanden voor hoog-risico, afhankelijk van risicoclassificatie en systeemintegratie. Laag-risico (chatbot, RPA): 4-8 weken inclusief art. 4-training, Algoritmeregister-publicatie en gebruikersacceptatie. Middel-risico (Woo-assistentie, vergunningintake met zaaksysteemkoppeling): 3-6 maanden inclusief DPIA + IAMA, integratie met Centric/PinkRoccade/Decos en pilot-evaluatie met echte dossiers. Hoog-risico (WMO-triage, fraude-indicatie): 9-18 maanden inclusief conformiteitsbeoordeling (art. 43 AI Act), FRIA, bias-testing en bestuurlijke besluitvorming. CleverTech levert nooit hoog-risico zonder formeel bestuurlijk besluit — tempo is ondergeschikt aan zorgvuldigheid.
Nee — burgergegevens horen niet in publieke AI-tools. Een bijstandsdossier, BRP-uittreksel of conceptbesluit dat een ambtenaar in ChatGPT plakt, verlaat de beveiligde gemeentelijke omgeving en komt terecht bij een verwerker waarmee geen verwerkersovereenkomst bestaat — de Autoriteit Persoonsgegevens beschouwt dat als een datalek. Daarbovenop spelen twee typisch bestuurlijke risico’s. Ten eerste de openbaarheid: prompts en AI-uitvoer kunnen documenten in de zin van de Woo zijn en dus opvraagbaar, terwijl ze buiten de Archiefwet om bij de leverancier staan. Ten tweede de inkoopkant: de IT-inkoopvoorwaarden van Rijk en gemeenten (ARBIT respectievelijk GIBIT) eisen garanties over dataverwerking, aansprakelijkheid en exit die consumententools niet bieden. CleverTech richt daarom tenant-gebonden of private AI-omgevingen binnen de EU in, met uitgeschakelde modeltraining, BIO2-conforme logging en contractuele afspraken die in een aanbesteding standhouden.
Vraag niet beantwoord?
Neem contact met ons opGidsen, artikelen en verwante sectoren voor de publieke sector
AI Act compliance voor het MKB: praktische checklist met deadlines en concrete stappen. 70-80% overlapt met AVG, boetes zijn proportioneel.
Lees artikelAI & AutomatiseringPraktisch stappenplan voor AI implementatie in het MKB. Van procesanalyse tot werkende oplossing, met kosten per fase en de fouten die je wilt vermijden.
Lees artikelAI & AutomatiseringEen AI-strategie hoeft geen 50 paginas te zijn. Met dit framework maak je een werkbaar plan op 1 A4 -- inclusief doelen, prioritering en budget.
Lees artikelCleverTech bouwt zorgsoftware op maat en koppelt die veilig aan uw EPD — van ChipSoft HiX tot Medicom. NEN 7510:2024-, AI Act Annex III- en WEGIZ-proof, zodat de 31% werktijd die nu naar administratie gaat terugvloeit naar patiëntenzorg.
Accountantskantoren, fiscaal adviseurs en administratiekantoren: AI onder VGBA, NV COS, Wta/AQI, Wwft en EU AI Act zonder tuchtrisico of kwaliteitsgevolgen.
Metaal, machinebouw, kunststof, food en high-tech systemen: AI onder NIS2-Cbw, Cyber Resilience Act, de nieuwe Machineverordening, EU AI Act Annex III, CSRD en CBAM — zonder MES-SCADA-keten te raken.
Plan een gratis intake waarin we uw situatie in de publieke sector bekijken. We vertellen eerlijk welke AI-oplossing past — en welke niet.
Vrijblijvend · binnen 24u reactie
