A.I. Beleid Gemeente Meierijstad

Geldend van 13-08-2025 t/m heden

Intitulé

A.I. Beleid Gemeente Meierijstad

1. Inleiding

1.1 Inleiding

In een tijdperk waarin digitalisering en technologische ontwikkelingen steeds sneller gaan, staat onze gemeente voor de uitdaging om kunstmatige intelligentie (AI) op een verantwoorde en effectieve wijze in te zetten. AI biedt ongekende mogelijkheden om onze dienstverlening te verbeteren, werkprocessen te optimaliseren en maatschappelijke uitdagingen aan te pakken. Van het efficiënter afhandelen van vergunningaanvragen tot het voorspellen van onderhoudsbehoefte in de openbare ruimte.

AI kan een waardevolle bijdrage leveren aan het realiseren van onze gemeentelijke doelstellingen. Tegelijkertijd brengt de inzet van AI belangrijke vraagstukken met zich mee op het gebied van privacy, transparantie, ethiek en inclusiviteit. Als gemeente hebben wij een bijzondere verantwoordelijkheid om zorgvuldig om te gaan met besluitvorming en gegevens van onze inwoners, ook wanneer we hier AI-toepassingen voor gebruiken. Dit beleidskader geeft richting aan de wijze waarop onze gemeente omgaat met AI-toepassingen en invulling aan hoe we de gewenste zorgvuldigheid borgen.

1.2 Doelstelling en reikwijdte

Dit beleid verwoordt de visie van Meierijstad als het gaat om de inzet en toepassing van AI. En schetst de kaders waarbinnen we AI gebruiken en ontwikkelen.

Dit beleid is van toepassing op alle gemeentelijke taken en processen, ook wanneer deze door externe partijen worden uitgevoerd.

Waar in dit beleid gesproken wordt over AI en AI-toepassingen, wordt dit als overkoepelende term bedoeld voor alle technieken en methoden om machines taken te laten uitvoeren die menselijke intelligentie vereisen. Daaronder vallen in ieder geval, maar niet uitsluitend, de volgende technieken:

  • Generatieve AI

  • Machine learning

  • Robotic Process Automation

Deze en andere technieken worden verder toegelicht in bijlage 1.

1.3 Eigenaarschap en evaluatie

Dit beleid is vastgesteld door het College van B&W. De directie stuurt op de naleving van dit beleid. Namens hen is de Strategisch adviseur IV&P verantwoordelijk voor de periodieke herziening van dit beleid.

De ontwikkelingen rondom AI volgen elkaar in hoog tempo op. Dit beleid is daarom een levend document en wordt regelmatig, maar tenminste halfjaarlijks, geëvalueerd en waar nodig bijgesteld. Zodat dit beleid niet achterblijft bij nieuwe inzichten, ervaringen en ontwikkelingen in wet- en regelgeving, het vakgebied of de organisatie.

2. Visie en aanpak

2.1 Visie op AI

De inzet van AI kent vele mogelijkheden en kan daarmee een waardevolle bijdrage leveren aan onze gemeentelijke doelstellingen. Daarbij zien we AI als een middel dat onze processen en dienstverlening kan optimaliseren, maar nooit als een doel op zich. Een middel dat we alleen gebruiken wanneer we dit veilig en verantwoord kunnen toepassen, binnen de toepasselijke wet- en regelgeving, voorschriften en professionele normen rondom veiligheid, privacy en ethiek. Dit omvat in ieder geval:

  • De AI-Verordening

  • De Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet algemene verordening gegevensbescherming (UAVG)

  • Voorschriften voor informatiebeveiliging zoals de Baseline Informatiebeveiliging Overheid (BIO) en de NIS2-richtlijn

  • (Inter)nationale mensenrechtennormen

  • Sectorale wet- en regelgeving

  • Interne voorschriften zoals het Privacybeleid en het Informatiebeveiligingsbeleid

Zoals elk proces en elke techniek, brengt ook AI risico’s met zich mee. In Meierijstad kijken we naast de inhoudelijke meerwaarde die de inzet van AI met zich meebrengt, altijd naar de eventueel bijkomende risico’s. Het wel of niet inzetten van AI is altijd een risico gebaseerde afweging.

We zetten AI-toepassingen enkel op een eerlijke manier in. Dit betekent dat we risico’s als discriminatie en vooroordelen voorkomen en dat we open zijn over welke technieken we wanneer gebruiken. Daarnaast proberen we in lijn met onze Duurzaamheidsvisie om A.I. zo CO2-neutraal mogelijk in te zetten. Uiteraard worden AI-toepassingen nooit ingezet voor ongeoorloofde doelen, zoals:

  • Om inbreuk te maken op de rechten van anderen (zoals het auteursrecht, privacyrecht of portretrecht);

  • Om besluiten te nemen zonder menselijke tussenkomst;

  • Om ongeautoriseerd gegevens te raadplegen;

  • Om schadelijke, beledigende, discriminerende of illegale inhoud te ondersteunen, versterken of verspreiden;

  • Voor persoonlijke doeleinden.

We zijn transparant over welke AI-toepassingen we waarvoor inzetten. De rol die een AI-toepassing heeft gespeeld in een proces en waarom deze toepassing is ingezet, is vastgelegd en inzichtelijk. AI-toepassingen die gebruik maken van algoritmes, worden door de gemeente opgenomen in het Algoritmeregister van de Nederlandse Overheid.

Daarnaast zetten we nooit AI-toepassingen in om zelfstandig formele besluiten te nemen. De uiteindelijke verantwoordelijkheid voor besluiten blijft (al dan niet gedelegeerd) bij het College van B&W. AI kan wel ingezet worden om te ondersteunen in het proces om te komen tot besluitvorming, maar vervangt nooit het professioneel oordeel van onze medewerkers.

2.2 Besluitvorming

De inzet van AI kan grote impact hebben op zowel de organisatie als de samenleving. Daarom volgt de inzet van AI-toepassingen altijd de volgende besluitvorming:

  • AI-toepassingen voor bedrijfsvoeringsdoeleinden of zonder direct effect op de samenleving worden enkel in gebruik genomen na goedkeuring door de directie.

  • AI-toepassingen met direct effect op de samenleving of rechten en vrijheden van natuurlijke personen, worden enkel in gebruik genomen na instemming van het College van B&W.

2.3 Experimenteren en leren

De ontwikkelingen rondom AI gaan snel, bijna dagelijks ontstaan er nieuwe kansen en mogelijkheden. In Meierijstad willen we de juiste kansen benutten. We organiseren experimenten of pilots om de werking van bepaalde AI-toepassingen te testen, ervaring op te doen en de risico’s goed in beeld te krijgen. De lessen die we hieruit leren, dragen bij aan een verantwoorde en veilige inzet van structurele AI-toepassingen. Bij de organisatie van experimenten of pilots houden we rekening met de uitgangspunten in dit beleid.

Zodra de inzet van een AI-toepassing structureel onderdeel wordt van onze (productie)werkzaamheden, spreken we niet meer van een experiment of pilot. De keuze voor deze structurele inzet volgt altijd hierboven genoemde besluitvorming.

3. Uitgangspunten

3.1 Inzet van AI-toepassingen

Elke inzet van AI-toepassingen binnen gemeente Meierijstad voldoet altijd aan de geldende wet- en regelgeving. Daarnaast volgen we bij de toepassing van AI minimaal de volgende uitgangspunten:

  • AI-toepassingen kunnen door iedereen worden voorgesteld. De uitwerking, ontwikkeling en route naar besluitvorming gaat altijd in samenspraak- en werking met team I&A. Van ieder voorstel voor een AI-toepassing wordt eerst de noodzakelijkheid en de meerwaarde onderzocht voordat verdere stappen worden gezet.

  • AI-toepassingen die met of namens de gemeente worden ontwikkeld, volgen altijd de principes van privacy & security by design en by default.

  • AI-toepassingen moeten beschikken over voldoende mogelijkheden voor logging en monitoring, zodat altijd inzichtelijk is wanneer, hoe en door wie de AI-toepassing is gebruikt. Medewerkers krijgen inzicht in hoe hun acties gelogd of gemonitord worden via het Personeelshandboek.

  • Voordat een AI-toepassingen in gebruik wordt genomen, worden altijd de volgende waarborgen uitgevoerd:

    • De AI-toepassing wordt getest. Binnen het testproces valt tenminste een of meerdere concrete use cases. Er wordt echter nooit getest met persoonsgegevens.

    • Er wordt een analyse uitgevoerd naar de werking, het gebruik van de toepassing en het waarborgen van mensenrechten (bijvoorbeeld een Impact Assessment Mensenrechten en Algoritmes).

    • Er wordt een risico analyse uitgevoerd. Hierbij kunnen we gebruik maken van een of meerdere methoden zoals een BBN-analyse, DRA, DPIA, TPR of een BIA. De methode die we hiervoor gebruiken worden per AI-toepassing bepaald.

    • De toegangsrechten van gebruikers zijn afdoende ingeregeld, zodat zowel de gebruiker als de AI-toepassing slechts toegang hebben tot de minimaal noodzakelijke gegevens.

    • In het geval de AI-toepassing persoonsgegevens verwerkt, wordt voor ingebruikname een DPIA uitgevoerd. Deze wordt ter advies aan de FG voorgelegd. Livegang van de AI-toepassing kan pas plaatsvinden nadat de FG in de gelegenheid is geweest hierover te adviseren.

    • Training van AI-toepassingen met data van de gemeente, kan risico gebaseerd worden toegestaan. In het geval van training van AI-toepassingen met persoonsgegevens, wordt vooraf advies gevraagd aan de FG.

3.2 Gebruik van AI-toepassingen

Veilige en verantwoorde inzet van AI valt of staat met het juiste gebruik van AI door medewerkers. Het trainen van medewerkers en bevorderen van bewustwording is dan ook cruciaal. Wanneer we een nieuwe AI-toepassing in gebruik nemen, zorgen we altijd voor voldoende training, uitleg en ondersteuning voor de gebruikers.

Daarnaast organiseren we doorlopende ondersteuning en bewustwordingscampagnes om medewerkers de juiste digitale vaardigheden mee te geven en voldoende weerbaar te maken tegen digitale risico’s en bedreigingen. Ook het werken met AI is hier onderdeel van, zowel vanuit technisch als ethisch perspectief. Wanneer het gebruik van AI toeneemt in de organisatie, zal ook de inzet op AI-geletterdheid voor alle medewerkers hierin meegroeien.

3.3 Richtlijnen openbare AI-tools

Naast specifieke AI-toepassingen die we als gemeente bewust en beheerst inzetten in het vormgeven van onze werkprocessen en dienstverlening, zijn er veel openbare AI-tools die via het publieke internet gebruikt kunnen worden. In sommige gevallen zijn de risico’s hiervan zo groot, dat de gemeente het gebruik van specifieke AI-tools verbiedt. Hierbij wordt onder andere gekeken naar:

  • Land van herkomst van de toepassing

  • Rechtsstatelijkheid en politieke stabiliteit

  • Toepasselijke wetgeving & compliance

  • De aard en opzet van cybersecurityprogramma’s

  • De staat van de digitale infrastructuur

  • De mate van inrichting en toegang tot essentiële beveiligingsmaatregelen

Wanneer een AI-tool te veel risico met zich meebrengt, wordt de toegang hiertoe geblokkeerd op het gemeentelijk netwerk en op gemeentelijke apparaten. Daarnaast wordt via het intranet een lijst met geblokkeerde AI-tools gecommuniceerd naar medewerkers.

Andere openbare AI-tools kunnen, mits juist gebruikt, wel degelijk meerwaarde bieden. Deze worden niet verboden of geblokkeerd. Wel sturen we op verantwoord gebruik hiervan door bovengenoemde training en bewustwording. Daarnaast geven we medewerkers de volgende concrete richtlijnen mee als het gaat om het gebruik van openbare AI-tools:

  • Gebruik je gezond verstand. Zou je diezelfde vraag ook aan een collega stellen? Of aan een cliënt voorleggen? Zo niet, dan hoef je het ook niet aan een openbare AI-tool te vragen.

  • Gebruik het als een hulpmiddel. De gegeven antwoorden zijn niet altijd correct en de meeste openbare AI-tools refereren niet aan de gebruikte bronnen. Je kunt deze dus niet controleren. Controleer en bewerk de uitvoer altijd voordat je deze deelt. Uiteindelijk blijf jij verantwoordelijk voor wat er met de uitvoer gebeurt.

  • Gebruik het niet als zoekmachine. Openbare AI-tools hebben niet altijd alle actuele informatie. Zo is ChatGPT getraind op bronnen t/m september 2021 en kan daardoor geen antwoord geven op vragen naar recente gebeurtenissen, artikelen of inzichten. Gebruik daarom openbare AI-tools niet voor het opvragen of controleren van feiten.

  • Gebruik het als een redacteur. Gebruik openbare AI-tools voor het opzetten of structureren van teksten of ter inspiratie bij het schrijven van eigen werk. Hele lappen tekst letterlijk gebruiken is niet alleen saai, maar kan ook plagiaat opleveren. Vergeet daarom niet het gebruik van de openbare AI-tool op te nemen in je bronvermelding.

  • Gebruik en deel zelf informatie. Als je een vraag stelt, neem dan zelf achtergrondinformatie of voorbeelden op zodat de openbare AI-tool daarop kan inhaken. Verifieer altijd de antwoorden met behulp van betrouwbare bronnen en raadpleeg collega's of deskundigen op het betreffende gebied wanneer je twijfelt over de juistheid van de informatie.

  • Gebruik geen privacygevoelige informatie. Openbare AI-tools doen niet aan privacy. Noem geen persoonlijke informatie van jou of anderen in een vraag aan een openbare AI-tool. En controleer persoonlijke informatie die eruit komt altijd nog een keer extra.

  • Gebruik geen gevoelige en/of bedrijfsvertrouwelijk informatie. Openbare AI-tools doen niet aan geheimhouding. Alles wat je invoert, gebruikt het bedrijf achter de openbare AI-tool voor eigen doeleinden. Klantnamen, stappenplannen, financiële gegevens of andere bedrijfsvertrouwelijke gegevens mogen niet in een openbare AI-tool worden gezet.

4. Ondertekening

Ondertekening

Aldus vastgesteld door het directieteam van de gemeente Meierijstad

Gemeentesecretaris,

M. Meertens,

Directeur Bedrijfsvoering,

W. van den Heuvel

Bijlage 1 – Aanvullende informatie

AI is de overkoepelende term voor alle technieken en methoden om machines taken te laten uitvoeren die menselijke intelligentie vereisen. Er zijn verschillende vormen van deze technologieën te onderscheiden, zoals Algoritmes, Kunstmatige Intelligentie, Machine Learning, Deep Learning en Large Language Models (LLMs). Hieronder worden deze verschillende vormen en enkele andere begrippen uit het document verder uitgelegd.

Wat zijn Algoritmen?

Een reeks instructies of regels om een taak te voltooien of een probleem op te lossen. Zelfs het bereiden van een maaltijd volgens een recept is bijvoorbeeld al een algoritme. Binnen de computerwetenschap vormen algoritmen de basis van alle soorten software, inclusief AI-systemen: ze worden gebruikt om gegevens te manipuleren, berekeningen te maken, of geautomatiseerde redeneringen uit te voeren.

Wat is Kunstmatige Intelligentie (AI)?

Kunstmatige Intelligentie of Artifical Intelligence (AI) is de wetenschap die zich bezighoudt met systemen die taken kunnen uitvoeren die normaal gesproken menselijke intelligentie vereisen, zoals leren, redeneren, problemen oplossen, perceptie, en taalbegrip. AI kent heel veel toepassingsgebieden, van spraakherkenning en beeldanalyse tot autonome voertuigen en gepersonaliseerde aanbevelingssystemen.

Wat is Machine Learning?

Machine Learning is een tak van Kunstmatige Intelligentie en is gebaseerd op het idee dat systemen kunnen leren van data, dat ze patronen kunnen herkennen en dat ze beslissingen kunnen maken zonder tussenkomst van mensen. Machine Learning leunt sterk op statistische wetenschap.

Wat is Deep Learning?

Deep Learning is een onderdeel van Machine Learning, gebaseerd op meerdere lagen neurale netwerken. Het combineert de vooruitgang in rekenkracht en de speciale soorten neurale netwerken om gecompliceerde patronen in grote hoeveelheden data te leren herkennen. Deep Learning technieken worden bijvoorbeeld gebruikt om objecten in afbeeldingen en woorden in geluiden te kunnen herkennen.

Wat zijn Large Language Models (LLMs)?

Dit is een specifiek type van Machine Learning, dat getraind wordt met grote hoeveelheden data en in staat is om menselijke taal te begrijpen en te genereren. LLMs gebruiken Machine Learning technieken - met name Deep Learning - om patronen in gegevens te leren.

Voorbeelden zijn GPT-3 en GPT-4, die zijn getraind op grote hoeveelheden tekst van het internet en in staat zijn om menselijke taal te genereren.

Generatieve AI

Generatieve AI is kunstmatige intelligentie die nieuwe content kan maken, zoals teksten, afbeeldingen of code. Deze technologie leert van voorbeelden en kan dan zelf iets nieuws creëren dat lijkt op wat het heeft geleerd. Bekende voorbeelden zijn ChatGPT voor teksten en DALL-E voor afbeeldingen. Generatieve AI wordt steeds vaker gebruikt om taken te automatiseren en mensen te helpen bij creatief werk.

Wat is RPA?

RPA staat voor Robotic Process Automation en betekent dat computers taken overnemen die mensen normaal doen. Deze computerprogramma's kunnen bijvoorbeeld automatisch gegevens invullen, bestanden verplaatsen of e-mails versturen. RPA werkt samen met de computersystemen die een organisatie al heeft, dus er hoeven geen nieuwe systemen te komen. Het voordeel is dat het werk sneller gaat, er minder fouten worden gemaakt en medewerkers tijd hebben voor belangrijkere taken.

Use cases

Use cases zijn praktische voorbeelden of situaties waarin een systeem, technologie of proces wordt gebruikt. Ze beschrijven stap voor stap hoe iets in de praktijk werkt en wat het resultaat is. Use cases helpen om te begrijpen waarvoor iets dient en hoe het toegepast kan worden. Ze worden vaak gebruikt bij het ontwikkelen van nieuwe systemen of bij het uitleggen van technologie aan anderen.

BBN-Analyse

Een BBN-analyse is een Baseline Beveiliging Nederlandse overheid analyse die controleert of overheidssystemen veilig genoeg zijn. Deze analyse bekijkt of computersystemen voldoen aan de minimale beveiligingseisen die de Nederlandse overheid heeft vastgesteld. Het doel is om ervoor te zorgen dat overheidsinformatie goed beschermd is tegen hackers en andere bedreigingen. Alle overheidsinstellingen moeten regelmatig een BBN-analyse laten uitvoeren.

DRA (Diepgaande Risico Analyse)

Een DRA is een uitgebreid onderzoek naar alle mogelijke risico's van een systeem, proces of project. Bij deze analyse wordt grondig gekeken naar wat er mis kan gaan en hoe groot de kans en gevolgen daarvan zijn. Het doel is om de grootste risico's te vinden en maatregelen te nemen om deze te verkleinen. Een DRA wordt vaak gedaan bij belangrijke projecten of systemen waar veel van afhangt.

DPIA (Data Protection Impact Assessment)

Een DPIA is een onderzoek dat moet worden gedaan voordat je een nieuw systeem gebruikt dat persoonlijke gegevens verwerkt. Dit onderzoek bekijkt of het systeem risico's heeft voor de privacy van mensen en hoe je deze risico's kunt voorkomen. Een DPIA is verplicht volgens de AVG bij systemen die een hoog privacyrisico hebben. Het doel is om de privacy van mensen te beschermen voordat problemen ontstaan

BIA (Business Impact Analyse)

Een BIA onderzoekt wat er gebeurt als belangrijke bedrijfsprocessen of systemen uitvallen. Deze analyse bekijkt hoe lang een organisatie kan functioneren zonder bepaalde systemen en wat de gevolgen zijn van een storing. Het doel is om te bepalen welke processen het belangrijkst zijn en hoeveel tijd je hebt om problemen op te lossen. Een BIA helpt organisaties om goede plannen te maken voor noodsituaties.

FG (Functionaris Gegevensbescherming)

Een FG is een persoon in een organisatie die toeziet op de bescherming van persoonlijke gegevens. Deze functionaris zorgt ervoor dat de organisatie zich houdt aan de privacywetten zoals de AVG. De FG geeft advies over gegevensbescherming, doet onderzoek naar privacyrisico's en is het aanspreekpunt voor mensen met privacyvragen. Veel organisaties zijn verplicht om een FG aan te stellen.

Privacy & security by design

Privacy en security by design betekent dat privacy en beveiliging vanaf het begin worden ingebouwd in nieuwe systemen of processen. In plaats van achteraf problemen oplossen, denk je van tevoren na over bescherming van persoonlijke gegevens en beveiliging. Dit principe zorgt ervoor dat systemen vanaf de start veilig zijn en de privacy van gebruikers respecteren. Het is een verplichte aanpak volgens de Algemene Verordening Gegevensbescherming (AVG).

AI-Verordening

De EU AI-verordening is een Europese wet die regelt hoe kunstmatige intelligentie gebruikt mag worden. Deze wet zorgt ervoor dat AI-systemen veilig zijn en geen schade aanrichten aan mensen of de samenleving. De wet deelt AI-systemen in verschillende risicogroepen in, waarbij systemen met een hoger risico aan strengere regels moeten voldoen. Organisaties die AI gebruiken moeten vanaf 2025 aan deze regels voldoen.

NIS 2 Richtlijn

De NIS2 richtlijn is een Europese regel over cyberveiligheid voor belangrijke organisaties zoals ziekenhuizen, energiebedrijven en overheden. Deze regel zorgt ervoor dat organisaties hun computersystemen beter beschermen tegen hackers en cyberaanvallen. Organisaties moeten bijvoorbeeld beveiligingsmaatregelen nemen en cyberincidenten melden aan de autoriteiten. De NIS2 richtlijn geldt vanaf oktober 2024 in alle EU-landen.