Sinds de inwerkingtreding van de AI-Verordening staat artificiële intelligentie niet langer in de coulissen van het bestuursrecht: zij treedt het publieke podium op met een strikt risicogestuurd regelgevend kader. Lokale besturen die vandaag met algoritmen experimenteren – of dat morgen willen doen – kunnen geen toeschouwer blijven. De wetgever verplicht immers tot een precieze classificatie van élk AI-systeem en legt, afhankelijk van het risico­niveau, een uiteenlopend maar dwingend pakket aan verplichtingen op. Wie deze nieuwe spelregels níet onder de knie heeft, riskeert niet alleen reputatieschade, maar ook sancties. Tijd dus om de AI-risicopiramide onder de loep te nemen en helder in kaart te brengen wat dit concreet betekent voor gemeenten, OCMW’s en intercommunales.

Een AI-systeem volgens de AI-Verordening

De eerste stap is verrassend eenvoudig, maar tegelijk fundamenteel: elk lokaal bestuur moet vooreerst bepalen of het wel degelijk met één of meerdere AI-systemen in de zin van artikel 3, 1° AI-Verordening werkt. De Europese wetgever omschrijft een AI-systeem als een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output -zoals voorspellingen, aanbevelingen of beslissingen- te genereren.

Traditionele software die louter vooraf gedefinieerde, door mensen vastgestelde regels uitvoert, valt buiten dit kader. Evenmin valt de AI-Verordening toe op toepassingen voor louter persoonlijk gebruik, wetenschappelijk onderzoek of defensie- en veiligheidsdoeleinden (artikel 2 AI-Verordening).

Voor lokale besturen zijn deze uitzonderingen doorgaans niet van tel: een gemeentelijke chatbot, een algoritme dat parkeerdruk voorspelt of een beslissingsondersteunend systeem voor sociale huisvesting of steuntoekenning – het zijn stuk voor stuk AI-systemen waarop het Europese normenkader van toepassing is.

De hamvraag luidt: tot welke trede van de AI-risicopiramide behoort het gebruikte AI-systeem?

De vier treden van de AI-risicopiramide

Het kloppend hart van de AI-Verordening bestaat uit een risicogebaseerde aanpak, gestructureerd als een piramide met vier treden. Hoe hoger op de piramide, hoe zwaarder de eraan verbonden (juridische) last, met aan de absolute top de onaanvaardbare risico-systemen die volledig verboden zijn.

Elk lokaal bestuur dat als ‘gebruiks­verantwoordelijke’ optreedt, moet de eigen AI-toepassingen nauwgezet op één van onderstaande treden plaatsen.

1. Onaanvaardbaar risicosystemen: de rode lijn

Artikel 5 van de AI-Verordening trekt een onwrikbare rode lijn: bepaalde AI-praktijken druisen in tegen de fundamentele waarden en rechten van de EU, en zijn daarom categorisch verboden. Denk bijvoorbeeld aan:

• sociale scoring die gedrags-, sociaaleconomische of persoonlijke data bundelt om gunsten te verlenen of te weigeren;
• systemen die subliminale of doelbewust manipulatieve technieken inzetten;
• real-time biometrische identificatie in de openbare ruimte voor handhaving, behoudens strikt omschreven uitzonderingen.

Voor een lokaal bestuur klinkt dit (vandaag) misschien ver-van-mijn-bed, maar de praktijk leert anders. Het voorbeeld van een punten-app die inwoners bonus- of strafpunten toekent voor “goed” of “slecht” gedrag – met gevolgen voor vergunningen of premies – illustreert hoe snel men in verboden vaarwater kan belanden.

Het verbod op onaanvaardbare AI-risicosystemen is in ieder geval absoluut: bestaande projecten moeten worden stopgezet, toekomstige plannen begraven.

2. Hoog risicosystemen: waar de lat écht hoog ligt

Een trede lager treffen we de hoog risicosystemen uit artikel 6 en Bijlage III van de AI-Verordening: met name AI-toepassingen die een significant gevaar kunnen vormen voor de gezondheid, veiligheid of de grondrechten van personen. Zij vormen voor lokale besturen de grootste uitdaging, omdat ze wél toegelaten zijn, maar anderzijds onderworpen worden aan de strengste regelsets onder de AI-Verordening.

Bijlage III somt acht gevoelige domeinen op: van onderwijs en tewerkstelling tot kritieke infrastructuur en – bijzonder relevant – “toegang tot essentiële publieke diensten en uitkeringen”. Vertaald naar de praktijk van een lokaal bestuur, zou dit bijvoorbeeld een AI-systeem kunnen zijn dat wordt ingezet voor het bepalen van prioriteit bij sociale woning- of steuntoekenning.

Wanneer een lokaal bestuur zo’n hoog risicosysteem -als gebruiksverantwoordelijke- zou inzetten binnen de eigen werking en diensterlening, moet het vóór ingebruikname:

1. een gedocumenteerde fundamentele-rechten- en impactanalyse (FRIA) uitvoeren;
2. technische en organisatorische maatregelen implementeren om (o.a.) de gegevens­kwaliteit en -bescherming te garanderen;
3. menselijk toezicht (“human in the loop”) organiseren zodat het AI-systeem geen eindbeslissing op zichzelf neemt.

Niettegenstaande deze verplichtingen formeel (pas) in werking treden op 2 augustus 2026, is de voorbereidingstermijn kort. Nieuwe aanbestedingen of lopende contracten bevatten -idealiter- vandaag immers al de nodige bepalingen om aan toekomstige conformiteitseisen te voldoen.

3. Beperkt risicosystemen: transparantie staat voorop

Niet elk AI-systeem heeft een directe impact op de veiligheid of snijdt diep in grondrechten en/of fundamentele EU-waarden. Voor de AI-systemen op de derde trede van de AI-risicopiramide (nl. AI-systemen met een beperkt risico) volstond de Europese regelgever -in grote mate- daarom met enkele, specifieke transparantieverplichtingen.

Typische voorbeelden van enkele AI-systemen met een beperkt risico:

• Een intelligente chatbot op de gemeentewebsite die (24/7) eerstelijnsvragen beantwoordt, bijvoorbeeld over de openingstijden van het gemeentehuis, de procedure voor het aanvragen van een identiteitskaart, …
• Een AI-tool die automatisch teksten of afbeeldingen (deepfakes) genereert voor sociale media;
• …

In deze risicocategorie moet ieder bestuur de burger ondubbelzinnig informeren dat hij/zij met AI communiceert, tenzij dit “overduidelijk” is. Denk aan visuele meldingen (“U praat met een AI-assistent”), disclaimers op websites of duidelijke watermerken op gegenereerde beelden.

Transparantie is in dit verband overigens meer dan louter een formaliteit: het creëert vertrouwen, beperkt aansprakelijkheidsrisico’s en bevordert intern bewustzijn over de rol van AI.

4. Minimaal risicosystemen: de witte vlag wappert

De brede basis van de AI-risicopiramide wordt gevormd door AI-systemen met een minimaal of geen risico. Het gaat hier in essentie om een restcategorie: elke AI-toepassing die niet als onaanvaardbaar, hoog of beperkt risico wordt geclassificeerd, valt in deze onderste laag (resp. lagen).

Specifieke verplichtingen legt de AI-Verordening hier niet op.

Desalniettemin verdient het aanbeveling om -ook voor deze AI-systemen- vrijwillige gedragscodes en interne richtlijnen te hanteren. Een pragmatische governance-cultuur voorkomt dat ogenschijnlijk “onschuldige” projecten onbedoeld opschuiven naar een hogere risicocategorie, bijvoorbeeld door datakoppeling of functiewijzigingen.

Het register van AI-systemen als sleutel

De risicopiramide van de AI Verordening bepaalt de juridische marsroute voor elk lokaal bestuur: van een absoluut verbod voor onaanvaardbare risico’s, via strenge regels voor hoog-risicosystemen en transparantieverplichtingen bij beperkte risico’s, tot principiële vrijheid bij minimale risico’s.

Om het overzicht te bewaren in dit gelaagde AI-landschap alsook te kunnen zorgen voor een performante governance is een intern AI-register voor ieder lokaal bestuur essentieel – zelfs voor beperkt of minimaal risico.

Zo’n AI-register documenteert voor elke AI-toepassing die wordt gebruikt:

• naam, doel en leverancier van het systeem;
• operatorrol van het lokaal bestuur (bv. aanbieder, gebruiksverantwoordelijke, …);
• risicoclassificatie volgens de AI-risicopiramide;

Een degelijk register fungeert als kompas bij audits, vragen van gemeenteraad of burgers, en laat een lokaal bestuur in ieder geval toe snel te schakelen bij wetswijzigingen. Bovendien stimuleert het intern bewustzijn: beleidsmedewerkers weten exact welk project in welke juridische comfortzone zit – of eruit dreigt te vallen.

De AI-risicopiramide als strategisch kompas voor het lokaal bestuur

De AI-risicopiramide is geen academische oefening maar een bestuursrechtelijk kompas dat de komende jaren zal bepalen hoe lokale besturen artificiële intelligentie rechtmatig én maatschappelijk verantwoord (kunnen) inzetten.

“Prudentia est rerum gubernatrix” – voorzichtigheid bestuurt de zaken.

Door vandaag te investeren in correcte classificatie, transparantie en een robuust AI-register, kunnen besturen zich wapenen tegen (toekomstige) juridische valkuilen en bouwen ze mee aan een innovatief, mensgericht en vertrouwenwekkend dienstverleningsmodel.

Bij GD&A Advocaten begrijpen we als geen ander het belang van deze materie.

Wij staan dan ook klaar om u bij deze complexe oefening te begeleiden en klaar te stomen voor een toekomst waarin AI en goed bestuur hand-in-hand gaan.