EU AI Act-verplichtingen voor AI in het openbaar bestuur, rechtshandhaving, grenscontrole en het rechtssysteem. Behandelt Annex III-categorieën 5-8 en verplichte grondrechteneffectbeoordelingen.
De Publieke Sector en de AI Act — Waarom de Overheid de Hoogste-Risico Deployer Is
De EU AI Act (Verordening (EU) 2024/1689) is van horizontale toepassing in alle sectoren, maar de zwaarste concentratie van verplichte verplichtingen rust op overheidsinstanties. Overheidsorganen, rechtshandhavingsautoriteiten, justitiële instellingen en grensbeheersinstanties zijn zowel de grootste deployers van ingrijpende AI als de entiteiten wier gebruik van AI het grootste structurele risico voor grondrechten met zich meebrengt. De Act weerspiegelt deze asymmetrie op twee structurele manieren.
Ten eerste richten vier van de acht hoog-risicocategorieën van Annex III zich rechtstreeks op AI in de publieke sector — categorieën 5 tot en met 8 bestrijken essentiële publieke diensten, rechtshandhaving, migratie en grenscontrole en de rechtsbedeling. Deze categorieën zijn geen restcategorieën: zij sommen specifieke AI-toepassingen op die veelvuldig worden gebruikt in overheidsoperaties en die per definitie een classificatieniveau risico dragen.
Ten tweede legt Art. 27 een verplichte grondrechteneffectbeoordeling (FRIA) op aan overheidsinstanties voordat zij hoog-risico AI-systemen inzetten. Voor deployers in de private sector is de FRIA sterk aanbevolen; voor overheidsinstanties is zij een wettelijke verplichting. De beoordeling moet de impact van het AI-systeem op de rechten van individuen onder het EU Handvest van de grondrechten onderzoeken, waaronder het recht op waardigheid (Art. 1), de bescherming van persoonsgegevens (Art. 8), het recht op een doeltreffende voorziening in rechte (Art. 47) en het vermoeden van onschuld (Art. 48).
Het compliancelandschap voor overheidsinstanties wordt verder gecompliceerd door de gelaagdheid van AI Act-verplichtingen bovenop bestaande sectorspecifieke regimes: de Richtlijn Gegevensbescherming Opsporing en Vervolging 2016/680, de Schengeninformatiesysteemverordening, de Frontex-verordening 2019/1896, de Algemene Verordening Gegevensbescherming en de constitutionele vereisten van het Europees Verdrag voor de Rechten van de Mens zoals uitgelegd door het Europees Hof voor de Rechten van de Mens. Elk van deze kaders schept zelfstandige verplichtingen die parallel aan de EU AI Act-vereisten moeten worden nageleefd.
Hoog-Risico AI-Systemen — Categorieën 5 Tot en Met 8
Annex III, Categorie 5 — Essentiële Publieke Diensten en Beoordeling van Uitkeringsaanvragen
Annex III, punt 5(b) kwalificeert als hoog-risico elk AI-systeem dat wordt gebruikt om de geschiktheid van natuurlijke personen voor essentiële publieke uitkeringsvoorzieningen te beoordelen en beslissingen in die context te nemen. Deze categorie omvat het volledige spectrum van de verzorgingsstaats-AI:
- Geautomatiseerde beoordeling van werkloosheidsuitkeringen: AI-systemen die bepalen of een aanvrager voldoet aan de eligibiliteitscriteria op basis van arbeidsregistraties, sollicitatieactiviteiten of middelentoetsen.
- Beslissingen inzake huursubsidie en invaliditeitsuitkeringen: Algoritmische hulpmiddelen die aanvragen voor sociale huisvesting met voorrang, aanspraken op invaliditeitsuitkeringen of persoonlijke zorgbudgetten scoren.
- Fraudedetectie bij sociale bijstand: AI-profileringssystemen die risicoscores genereren voor vermoedelijke uitkeringsfraude, die mogelijk onderzoeken of opschorting van uitbetalingen teweegbrengen.
Punt 5(b) omvat ook AI voor kredietwaardigheid en verzekeringen ten aanzien van natuurlijke personen, hoewel de primaire blootstelling voor de publieke sector ligt bij geschiktheid voor uitkeringen en diensten. In alle gevallen treedt de classificatie in werking wanneer het AI-systeem een materiële invloed heeft op de toegang tot een publieke dienst — ongeacht of de definitieve beslissing wordt genomen door een menselijke ambtenaar.
Annex III, Categorie 6 — Rechtshandhaving
Categorie 6 bestrijkt AI die door rechtshandhavingsautoriteiten wordt ingezet op drie terreinen:
Risicobeoordeling en profilering: AI-systemen die de kans beoordelen dat een persoon een strafbaar feit pleegt, recidiveert of een veiligheidsrisico vormt — waaronder recidivescoringstools die worden gebruikt bij voorarrestzittingen, beslissingen over voorwaardelijke invrijheidstelling en strafadvies. Deze systemen zijn hoog-risico onder Annex III, punt 6(a).
Detectie en analyse tijdens onderzoeken: AI voor het detecteren van emotionele toestanden, persoonlijkheidskenmerken of misleidend gedrag op basis van gezichtsuitdrukkingen, stem of fysiologische indicatoren bij strafrechtelijk onderzoek. Art. 5(1)(f) verbiedt afzonderlijk AI-systemen die emoties van personen afleiden in contexten van rechtshandhaving en grensbeheer, behalve voor specifieke veiligheidsdoeleinden, en stelt daarmee een harde buitengrens aan dit gebruik.
Detectie van deepfakes en documenten: AI die wordt gebruikt om gemanipuleerde digitale inhoud te detecteren of de authenticiteit van documenten in strafrechtelijke procedures te beoordelen — geclassificeerd als hoog-risico onder Annex III, punt 6(c).
Annex III, Categorie 7 — Migratie, Asiel en Grenscontrole
Categorie 7 is van toepassing op AI die wordt ingezet in de context van migratie- en grensbeheer:
Risicobeoordeling aan grenzen: AI-systemen die het risico op irreguliere migratie beoordelen of dreigingsscores genereren voor personen die grenzen oversteken — waaronder in het SIS geïntegreerde profileringsinstrumenten en Frontex-risicoanalysesystemen die opereren onder Verordening 2019/1896.
Verificatie van documenten en identiteit: AI-systemen die de authenticiteit beoordelen van reisdocumenten, visa, verblijfsvergunningen of identiteitsdocumenten voor grensoverschrijding of immigratiedoeleinden.
Verwerking van asielaanvragen: AI die asielaanvragen onderzoekt, de geloofwaardigheid van individuele verklaringen beoordeelt of aanvragers profileert voor versnelde of verkorte procedures.
Alle systemen van categorie 7 moeten worden beoordeeld op naleving niet alleen van de AI Act, maar ook van het Vluchtelingenverdrag (1951), Art. 18 van het EU Handvest (recht op asiel) en het non-refoulement-beginsel zoals uitgelegd in de EHRM-rechtspraak — een constitutionele beperking die de FRIA op grond van Art. 27 uitdrukkelijk moet behandelen.
Annex III, Categorie 8 — Rechtsbedeling en Democratische Processen
Categorie 8 betreft AI die wordt ingezet binnen het rechtsstelsel zelf:
AI ter ondersteuning van de rechtspraak: Systemen die helpen bij het opzoeken van jurisprudentie, het identificeren van toepasselijke rechtsnormen of het structureren van juridische redenering voor rechters, officieren van justitie of griffiers — hoog-risico onder Annex III, punt 8(a).
Voorspellende rechtspraaktools: AI-systemen die de waarschijnlijke uitkomst van geschillen, strafmaten of rechterlijke beslissingen voorspellen op basis van historische zaakgegevens. Deze systemen wekken ernstige bezorgdheid op grond van Art. 47 van het EU Handvest inzake het recht op een eerlijk proces, omdat hun gebruik bij rechterlijke besluitvorming structureel nadelig kan zijn voor partijen wier profiel afwijkt van historische normen.
Categorie 8 verbiedt AI-ondersteund juridisch werk niet; zij onderwerpt het aan het hoog-risico complianceregime en vereist dat rechtbanken en ministeries van Justitie ervoor zorgen dat AI-uitvoer altijd onderworpen is aan substantiële menselijke toetsing — de rechter of beslisser moet in staat zijn, en moet in de praktijk ook, de uitvoer van de AI terzijde te schuiven wanneer deze niet passend is.
Verplichte Verplichtingen voor Deployers in de Publieke Sector
Overheidsinstanties die optreden als deployers van hoog-risico AI-systemen onder de AI Act dragen een vastomlijnd, niet-overdraagbaar geheel van verplichtingen op grond van Art. 26 en Art. 27.
Grondrechteneffectbeoordeling (Art. 27)
De FRIA is de meest kenmerkende verplichting voor publieke deployers. Zij moet worden uitgevoerd vóór ingebruikname en moet betrekking hebben op: de specifieke rechtsgevolgen van het systeem; de categorieën personen wier rechten kunnen worden geraakt; de voorzienbare risico's op schade en de waarschijnlijkheid en ernst van die risico's; in welke mate bestaande juridische waarborgen die risico's beperken; en de maatregelen die worden genomen om het systeem na ingebruikname te monitoren. De voltooide FRIA moet op verzoek worden verstrekt aan de nationale AI-toezichthoudende autoriteit en moet worden bijgewerkt wanneer het systeem wordt gewijzigd of in een nieuwe context wordt ingezet.
Menselijk Toezicht en Aangewezen Verantwoordelijkheid
Art. 26(1) verplicht deployers om menselijk toezicht op hoog-risico AI-systemen toe te wijzen aan natuurlijke personen met de nodige competentie, bevoegdheid en middelen om in te grijpen. In het openbaar bestuur betekent dit dat elk geautomatiseerd proces dat personen raakt — of het nu gaat om uitkeringsgeschiktheid, risicoscoring aan grenzen of uitvoer van juridische ondersteuning — een aangewezen ambtenaar moet hebben die de uitvoer van het systeem kan overrulen en die structureel niet wordt gestimuleerd daarnaar te handelen.
Transparantie naar Betrokken Personen
Art. 13 verplicht deployers ervoor te zorgen dat personen die onderworpen zijn aan AI-ondersteunde beslissingen duidelijk worden geïnformeerd dat een AI-systeem wordt gebruikt. In het openbaar bestuur vereist deze verplichting doorgaans dat AI-gebruiksmeldingen worden opgenomen in beslissingsbrieven, bestuurlijke communicatie en hoorzittingsprocedures. Art. 86 beschermt de vertrouwelijkheid van gegevens die aan toezichthoudende autoriteiten worden verstrekt in het kader van compliancemonitoring, en biedt een route voor gevoelige interne documentatie om openbaar te worden gemaakt zonder publieke blootstelling.
Logboekbeheer, Administratie en Incidentrapportage
Deployers moeten operationele logboeken van AI-systeemactiviteit bewaren gedurende een minimumperiode — ten minste zes maanden voor de meeste hoog-risicosystemen, met verlengde bewaring waar het rechtskader dat het onderliggende bestuurlijk proces regelt dit vereist. Ernstige incidenten — incidenten die leiden tot overlijden, ernstig letsel, aanzienlijke materiële schade of schendingen van grondrechten — moeten zonder onnodige vertraging worden gemeld aan de bevoegde nationale AI-toezichthoudende autoriteit.
Verboden Praktijken in het Openbaar Bestuur
Bepaalde AI-praktijken zijn absoluut verboden op grond van Art. 5 van de EU AI Act. Voor overheidsinstanties zijn drie verboden van directe operationele relevantie.
Art. 5(1)(c) — Sociale scoring door overheidsinstanties: AI-systemen die individuen beoordelen of classificeren op basis van hun sociale gedrag of persoonlijkheidskenmerken om een score te genereren die wordt gebruikt om de toegang tot publieke diensten, uitkeringen of rechtsbescherming te bepalen, zijn verboden. Dit verbod is specifiek gericht op overheidsinstanties en treft zogenoemde sociale kredietmechanismen, ongeacht hoe zij worden benoemd of gestructureerd.
Art. 5(1)(d) — Real-time biometrische identificatie op afstand in openbare ruimten: Het gebruik van real-time AI-gestuurde systemen voor biometrische identificatie op afstand (gezichtsherkenning, looppatroonanalyse of andere biometrische hulpmiddelen) in openbaar toegankelijke ruimten door rechtshandhavingsautoriteiten is verboden, met uitzondering van drie nauwkeurig omschreven gevallen: gericht zoeken naar vermiste kinderen; preventie van specifieke, op handen zijnde terroristische dreigingen; en identificatie van verdachten bij ernstige misdrijven waarbij voorafgaande rechterlijke of onafhankelijke administratieve toestemming is verkregen. Deze uitzonderingen zijn limitatief; geen enkel algemeen surveillanceprogramma komt hiervoor in aanmerking.
Art. 5(1)(e) — Subliminale en manipulatieve technieken: AI-systemen die technieken inzetten die werken onder de drempel van het bewuste bewustzijn om individueel gedrag te manipuleren, of die kwetsbaarheden van specifieke groepen misbruiken, zijn verboden voor alle deployers, waaronder overheidsinstanties.
Handhaving — Toezichthoudende Autoriteiten en Toezichtsmechanismen
De handhavingsarchitectuur van de AI Act in de publieke sector omvat meerdere lagen van bevoegde autoriteiten.
Nationale AI-toezichthoudende autoriteiten die zijn aangewezen op grond van Art. 70 zijn de primaire handhavingsorganen voor de Act in elke lidstaat. In de meeste rechtsgebieden zijn of worden deze geïntegreerd met of nauw afgestemd op bestaande gegevensbeschermingsautoriteiten. Zij hebben de bevoegdheid om audits uit te voeren, technische documentatie en FRIA-resultaten op te vragen, corrigerende bevelen uit te vaardigen en bestuurlijke boetes op te leggen.
Boetes voor overheidsinstanties vallen onder de discretie van lidstaten op grond van Art. 99(6): lidstaten kunnen bepalen dat overheidsinstanties niet onderworpen zijn aan geldelijke sancties, maar moeten ervoor zorgen dat alternatieve toezichts- en correctiemechanismen — waaronder verplichte audits, publicatie van bevindingen van niet-naleving en opschorting van het gebruik van AI-systemen — beschikbaar zijn. Deze discretie strekt zich niet uit tot het toestaan van niet-naleving; zij betreft uitsluitend het mechanisme van financiële sancties.
Gegevensbeschermingsautoriteiten (DPA's) en de EDPB behouden parallelle bevoegdheid over de persoonsgegevensverwerkingsdimensies van AI in de publieke sector op grond van GDPR en de LED. Niet-naleving van GDPR- of LED-verplichtingen in de context van AI-systeemexploitatie valt onder DPA-handhaving, onafhankelijk van de AI Act-toezichthoudende autoriteit.
Het Europees Hof voor de Rechten van de Mens vormt een externe constitutionele beperking: beslissingen die worden genomen op basis van algoritmische processen — in het bijzonder in de strafrechtspraak en immigratie — moeten voldoen aan de EVRM-normen voor Art. 6 (eerlijk proces) en Art. 8 (privéleven) zoals uitgelegd in de zich ontwikkelende rechtspraak van het EHRM inzake geautomatiseerde besluitvorming.
Implementatieroadmap voor Overheidsinstanties
Fase 1 — Inventarisatie en Classificatie van AI-Systemen (Maanden 1-3)
Overheidsinstanties moeten eerst een uitgebreide inventarisatie opstellen van alle AI-systemen die momenteel in gebruik zijn of in aanbesteding zijn. Elk systeem moet worden beoordeeld aan de hand van Annex III-categorieën 5-8 en de verbodsbepalingen van Art. 5. Systemen waarbij persoonsgegevens worden verwerkt, moeten gelijktijdig worden beoordeeld aan de hand van GDPR- en LED-vereisten. Het resultaat van deze fase is een geclassificeerde inventarisatie — verboden, hoog-risico, beperkt risico of minimaal risico — die het complianceprogramma aanstuurt.
Fase 2 — Grondrechteneffectbeoordelingen (Maanden 3-6)
Voor elk geïdentificeerd hoog-risicosysteem moeten overheidsinstanties een FRIA op grond van Art. 27 laten uitvoeren en voltooien. Dit vereist juridische, technische en beleidsmatige input: juridische analyse van de betrokken rechten; technische documentatie van de werking van het systeem, trainingsdata en bekende faalwijzen; en een beleidsmatige beoordeling van de beschikbare mitigerende maatregelen. FRIA's moeten worden gedocumenteerd en gereed zijn voor indiening bij toezichthoudende autoriteiten.
Fase 3 — Verificatie van Aanbieders en Hervorming van Aanbesteding (Maanden 3-9)
Overheidsinkoopprocedures moeten worden bijgewerkt om van AI-aanbieders te verlangen dat zij naleving van de EU AI Act aantonen als voorwaarde voor contractverlening. Deployers moeten CE-markering, conformiteitsverklaring, technische documentatie en post-market monitoringverplichtingen verifiëren vóór ingebruikname. Overheidsinstanties die optreden als gezamenlijke exploitanten of mede-ontwikkelaars met technologieleveranciers, moeten de verantwoordelijkheidsverdeling voor conformiteitsbeoordelingsverplichtingen contractueel vastleggen.
Fase 4 — Operationele Waarborgen en Personeelstraining (Maanden 6-12)
Aangewezen menselijke toezichthouders moeten worden geïdentificeerd voor elk hoog-risico AI-systeem, worden getraind in de mogelijkheden en beperkingen van het systeem en worden uitgerust met overschrijdingsprocedures. Transparantiemeldingen voor betrokken personen moeten worden opgesteld en worden ingebed in bestaande bestuurlijke procedures. De logboekinfrastructuur moet worden geverifieerd of tot stand worden gebracht. Incidentrapportageprotocollen moeten worden geïntegreerd in bestaande bestuurlijke en gegevensbeschermingsincidentbeheerprocessen.
Fase 5 — Continu Toezicht en Jaarlijkse Evaluatie
Naleving van hoog-risico AI-systemen is geen eenmalige certificeringsoefening. Post-market monitoringverplichtingen vereisen dat overheidsinstanties de systeemprestaties actief volgen, eventuele wijzigingen in nauwkeurigheid, vooringenomenheid of gedrag documenteren en FRIA's bijwerken wanneer materiële wijzigingen optreden. Jaarlijkse rapportage aan de toezichthoudende autoriteit, waar vereist op grond van nationaal recht, moet worden ondersteund door de documentatie die wordt gegenereerd via het monitoringprogramma.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Ja. AI-systemen die worden gebruikt om de geschiktheid van personen voor essentiële publieke voorzieningen te bepalen — waaronder werkloosheidsuitkeringen, huisvestingsondersteuning, invaliditeitsuitkeringen en sociale bijstand — zijn uitdrukkelijk aangemerkt als hoog-risico onder **Annex III, punt 5(b)** van de EU AI Act. Overheidsinstanties die dergelijke systemen inzetten, moeten voldoen aan de volledige set deployer-verplichtingen voor hoog-risicosystemen onder **Art. 26** en moeten vóór ingebruikname een **verplichte grondrechteneffectbeoordeling (FRIA)** uitvoeren op grond van **Art. 27**. Personen die onderworpen zijn aan geautomatiseerde eligibiliteitsbeslissingen behouden het recht op toelichting en menselijke herbeoordeling.
Overheidsinstanties die hoog-risico AI-systemen inzetten, moeten: verifiëren dat het systeem een CE-markering draagt en vergezeld gaat van een EU-conformiteitsverklaring; een verplichte **grondrechteneffectbeoordeling (FRIA)** uitvoeren op grond van **Art. 27**, die waar vereist moet worden voorgelegd aan de bevoegde nationale AI-toezichthoudende autoriteit; de gebruiksaanwijzingen van de aanbieder implementeren en gekwalificeerd personeel aanwijzen dat verantwoordelijk is voor menselijk toezicht op grond van **Art. 26(1)**; operationele logboeken gedurende ten minste zes maanden bewaren; personen ervan in kennis stellen dat een AI-systeem wordt gebruikt bij beslissingen die hen raken, zoals vereist door **Art. 13**; en de ingebruikname registreren in de **EU-database voor hoog-risico AI (EUAI DB)** waar van toepassing op grond van **Art. 49(2)**.
AI voor voorspellende politieanalyse — systemen die risicoscores of profielen genereren voor individuen op basis van eerder gedrag, sociale kenmerken of geografische gegevens — wordt ingedeeld als hoog-risico onder **Annex III, punt 6(a)**. Gebruik is niet zonder meer verboden, maar het activiteert het volledige hoog-risico complianceregime, inclusief verplichte conformiteitsbeoordeling, FRIA op grond van **Art. 27**, verplichtingen inzake menselijk toezicht en technische documentatie. Afzonderlijk verbiedt **Art. 5(1)(c)** AI-gebaseerde sociale scoring door overheidsinstanties voor algemene doeleinden die geen verband houden met rechtshandhaving. Bovendien verbiedt **Art. 5(1)(d)** real-time biometrische identificatie op afstand in openbaar toegankelijke ruimten voor rechtshandhavingsdoeleinden, behalve in drie nauwkeurig omschreven omstandigheden met voorafgaande rechterlijke of onafhankelijke administratieve toestemming.
Nee, maar zij is streng gereguleerd. AI-systemen die worden gebruikt voor feitenonderzoek, interpretatie van het toepasselijke recht of voorspelling van rechterlijke uitkomsten worden ingedeeld als hoog-risico onder **Annex III, punt 8**. Ze mogen alleen door rechtbanken en justitiële autoriteiten worden ingezet als zij conformiteitsbeoordeling doorstaan, vergezeld gaan van volledige technische documentatie, robuuste mechanismen voor menselijk toezicht bevatten en onderworpen zijn aan een FRIA op grond van **Art. 27**. AI-systemen mogen geen vonnissen zelfstandig uitvaardigen; elke uitvoer moet onderworpen zijn aan zinvolle rechterlijke toetsing. **Art. 47 van het EU Handvest van de grondrechten** (recht op een eerlijk proces) en de rechtspraak van het Europees Hof voor de Rechten van de Mens leggen aanvullende constitutionele beperkingen op aan algoritmische rechtspraak.
De Richtlijn Gegevensbescherming Opsporing en Vervolging (LED) 2016/680 regelt de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten. Zij werkt parallel aan — en wordt niet verdrongen door — de EU AI Act. Wanneer rechtshandhavingsinstanties hoog-risico AI-systemen inzetten waarbij persoonsgegevens worden verwerkt (profilering, risicoscoring, biometrische analyse), zijn beide kaders gelijktijdig van toepassing. De LED vereist een rechtsgrondslag en doelbinding voor gegevensverwerking; de AI Act legt aanvullende verplichtingen op aan het AI-systeem zelf — gegevensbeheer, technische documentatie, post-market monitoring, transparantie naar betrokken personen. Naleving van de LED vervult geen AI Act-verplichtingen, en omgekeerd evenmin. Deployers moeten een juridische analyse bijhouden die de dubbele naleving aantoont.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.