Generatieve AI is software die op basis van input teksten, beelden of video maakt. Denk aan tools als ChatGPT en Claude. Overheidsorganisaties zetten het steeds vaker in: voor het opstellen van brieven, samenvatten van vergaderingen of beantwoorden van vragen. Tegelijkertijd groeit de vraag: mag dit zomaar? En zo ja, onder welke voorwaarden?
De Autoriteit Persoonsgegevens (AP) geeft in haar visiedocument 'Verantwoord vooruit' (februari 2026) antwoord op precies die vragen. In dit artikel zetten we de belangrijkste punten voor jou op een rij, toegespitst op de overheidspraktijk.
Drie risico's die de AP benoemt voor overheidsorganisaties
De publieke sector experimenteert met generatieve AI, maar het is nog niet duidelijk hoe je goed omgaat met AI. De AP benoemt drie risico's die voor overheidsorganisaties relevant zijn.
Datalekken via AI-tools
De AP ziet het aantal datalekken door AI-gebruik stijgen. Dat komt deels doordat medewerkers schaduw-AI gebruiken. Dat zijn AI-tools die medewerkers op eigen initiatief gebruiken, zonder dat de organisatie dit heeft goedgekeurd of er afspraken over heeft gemaakt. Een ambtenaar die even snel AI gebruikt voor een brief of samenvatting, voert daarmee mogelijk namen, adressen of andere persoonsgegevens in externe servers. Zonder dat de organisatie weet dat dit gebeurt.
Dat is een probleem, want zodra persoonsgegevens de organisatie verlaten via een niet-goedgekeurde tool, verlies je als organisatie de controle over wat er met die gegevens gebeurt. Een externe partij kan ze opslaan, gebruiken voor modeltraining of onderscheppen. De CLOUD Act is daar een voorbeeld van: op basis van deze Amerikaanse wet kan de Amerikaanse overheid onder voorwaarden gebruikersdata opvragen bij Amerikaanse bedrijven. Maar ook zonder een overheidsverzoek geldt: wie niet weet welke tools medewerkers gebruiken, kan niet garanderen dat persoonsgegevens veilig zijn.
Europa wordt steeds afhankelijker
Als overheidsorganisaties volledig leunen op Amerikaanse of Chinese AI-aanbieders, verliest Europa de regie over haar eigen digitale infrastructuur. Deze digitale afhankelijkheid kan tegen je gebruikt worden. Dit is geen toekomstbeeld, maar de huidige realiteit, zoals deze twee voorbeelden laten zien:
- Het Amerikaanse bedrijf Starlink had de macht om tijdens de oorlog in Oekraïne kritieke communicatie stil te leggen; en deed dat.
- Microsoft blokkeerde het e-mailaccount van de hoofdaanklager van het Internationaal Strafhof in Den Haag na een bevel van de Amerikaanse president. Van de ene op de andere dag had hij geen toegang meer tot zijn eigen digitale werkomgeving.
Grondrechten komen onder druk
Generatieve AI kan discrimineren als het getraind is op onvolledige of verkeerde data. Gebruikt een overheidsorganisatie zo'n AI-systeem bij de besluitvorming over vergunningen of uitkeringen, dan kunnen burgers ongelijk behandeld worden. Juist de overheid, die burgers gelijkwaardig en transparant moet behandelen, heeft hier een bijzondere verantwoordelijkheid.
Overheidsorganisaties die AI gebruiken voor het beoordelen van aanvragen, het toekennen van vergunningen of andere besluiten die burgers raken, krijgen met de nieuwe fase van de AI Act te maken met strengere verplichtingen. In onze blog vertellen we je welke verplichtingen en hoe je hieraan kan voldoen.
Vier toekomstscenario's voor 2030
De AP schetst vier mogelijke toekomstscenario's, afhankelijk van twee factoren: hoe streng en effectief is de Europese regelgeving en hoe breed wordt AI ingezet?
- Wilde westen: Misbruik, desinformatie en datadiefstal. Grote techbedrijven bepalen de regels. Toezichthouders hebben onvoldoende middelen.
- Waarden aan het werk: Het ideaalbeeld: AI werkt breed én veilig. Europese waarden staan centraal. Verantwoorde toepassingen zijn de norm.
- Kansen gemist: Europa loopt achter. Wantrouwen groeit. Innovatiekansen gaan verloren.
- In de bunker: Veilig, maar stilstaand. Strenge regels remmen innovatie. Europa verliest terrein.
Wat kan jouw organisatie doen?
De AP beschrijft vijf kenmerken waaraan verantwoorde AI-inzet moet voldoen. Voor overheidsorganisaties zijn dit geen vinkjes op een checklist, maar inhoudelijke vereisten met praktische consequenties.
Wees transparant naar burgers
Burgers hebben het recht te weten wanneer ze te maken hebben met AI-gegenereerde inhoud. Zorg dat dit duidelijk herkenbaar is en dat burgers meer informatie kunnen opvragen over hoe het systeem werkt. Dit geldt ook in digitale dienstverlening: een geautomatiseerd antwoord op een bezwaarschrift, een AI-gegenereerde brief over een uitkering of een chatbot in het klantcontactcentrum.
Weeg risico's af vóórdat je begint
Voer een gedegen risicoafweging uit voordat je een AI-toepassing inzet. Breng juridische en ethische risico's in kaart en documenteer ze. Betrek verschillende perspectieven bij die afweging en zorg dat de toepassing geen onacceptabele risico's met zich meebrengt.
Omschrijf het doel scherp
Leg vast waarvoor je de tool gebruikt en richt de toepassing zo in dat het gebruik binnen die kaders blijft. Monitor dit na de livegang. Zorg dat medewerkers begrijpen hoe het systeem werkt en welke risico's eraan kleven.
Houd controle over systemen en data
Hoe meer je uitbesteedt aan externe partijen, hoe minder controle je hebt over waar jouw data naartoe gaat en wie deze kan inzien. De AP noemt het gebruik van open-weight modellen op eigen hardware een manier om de controle te behouden. Open-weight modellen zijn AI-modellen die je zelf kunt downloaden en draaien op eigen servers, zodat persoonsgegevens je organisatie niet verlaten. Een private cloudoplossing is een alternatief: een afgeschermde cloudomgeving die niet gedeeld wordt met andere organisaties.
Voldoe aan de wet
Zowel de Algemene verordening gegevensbescherming (AVG) als de AI-verordening zijn van toepassing op het hele proces, van dataverzameling tot inzet. Betrek de functionaris gegevensbescherming vanaf het begin in plaats van achteraf te informeren. De AP publiceert in 2026 een juridische handreiking over AVG-aspecten van generatieve AI. Deze is op het publicatiemoment van deze blog nog niet beschikbaar.
Aan de slag
De AP-visie maakt duidelijk dat verantwoord AI-gebruik voor overheidsorganisaties niet optioneel is. De vraag is niet óf je ermee aan de slag gaat, maar hoe. Begin met het in kaart brengen welke AI-tools al worden gebruikt binnen jouw organisatie, inclusief het gebruik dat buiten de radar van IT valt. Maak afspraken met leveranciers. Betrek de functionaris gegevensbescherming (FG). Zorg dat medewerkers weten wat ze wel en niet mogen gebruiken.
Kom je er niet uit? De AP organiseert regelmatig evenementen over AI waar organisaties in gesprek kunnen gaan met toezichthouders, kennis kunnen opdoen over de AI-verordening en ervaringen kunnen uitwisselen met andere organisaties. Bekijk de evenementenkalender op de website van de Autoriteit Persoonsgegevens.
Meer weten over de wet- en regelgeving rondom AI? Lees onze AI Act blogseries.
Het visiedocument Verantwoord vooruit is beschikbaar via de website van de Autoriteit Persoonsgegevens.