Dienst

AI Audit & Governance

Voor gemeenten en publieke organisaties die grip willen op hun AI-gebruik. Eén verbonden beeld over systemen en afdelingen heen, aangesloten op het VNG AI-Governancekader — begrijpelijk voor bestuur én teams, zonder juridisch jargon.

De AI Act, nuchter gekalibreerd

De AI Act en de AVG stellen eisen aan hoe je AI inzet — maar niet alles is even urgent, en paniek is geen goede raadgever. Wat per 2 augustus 2026 handhaafbaar is, is afgebakend: AI-geletterdheid (artikel 4), verboden praktijken (artikel 5) en transparantie bij AI-contact (artikel 50). De zwaardere high-risk-verplichtingen zijn juist verschoven naar december 2027. Wij scheiden voor je wat nú moet van wat kan wachten — dat scheelt onnodige investeringen en houdt de aandacht bij wat telt. De aanbevelingen sluiten aan op het VNG AI-Governancekader, zodat je geen tweede kader naast het bestaande krijgt.

Wat onderzoeken we?

Risicoclassificatie

Welke toepassing valt onder welke categorie, en wat vraagt extra zorg?

Schaduw-AI

Wat draait er buiten IT om? "Geen incidenten" betekent vaak: niet gezien.

Data & privacy

Hoe worden gegevens van burgers, personeel en organisatie verwerkt?

Menselijk toezicht

Waar zit de mens aan het stuur — en is dat echt toezicht of een stempel?

Governance

Wie is waarvoor verantwoordelijk, en is dat belegd?

Leveranciers

Waar ben je afhankelijk van één tool of partij?

Hoe de audit verloopt

  1. Inventaris

    Alle AI-toepassingen in beeld — ook de schaduw-AI buiten IT om — met een risicoclassificatie per systeem.

    Eindigt in: een compleet overzicht.

  2. Toezicht & verklaarbaarheid

    Waar zit de mens aan het stuur, en is dat echt toezicht? We toetsen menselijk toezicht, data en uitlegbaarheid.

    Eindigt in: zicht op waar het knelt.

  3. Synthese

    Losse bevindingen verbonden tot dwarsverbanden en één tot drie hefboompunten die meerdere systemen tegelijk raken.

    Eindigt in: de rode draad, geen stapel oordelen.

  4. Besluit & eerste 90 dagen

    Prioriteiten, eigenaren en een concreet plan voor de eerste negentig dagen — aangesloten op het VNG-kader.

    Eindigt in: een beslismotor om mee te starten.

Eén verbonden beeld, geen stapel losse beoordelingen

De meeste audits leveren een stapel systeembeoordelingen op: systeem voor systeem een oordeel, en dan mag jij het verbinden. Wij doen het omgekeerde. De kern van ons rapport is de synthese — de dwarsverbanden over afdelingen heen (dezelfde blootstelling in het sociaal domein én bij belastingen), de spanningen, en de één tot drie hefboompunten die meerdere systemen tegelijk raken. Zo weet het bestuur niet alleen wat er mis kan gaan, maar waar één ingreep het meeste oplevert.

Governance als vrijheid binnen kaders

Goede governance timmert niet alles dicht — ze stelt mensen in staat te handelen. Wij formuleren heldere ja-tenzij-lijnen, zodat een medewerker weet wat mág zonder het telkens te hoeven vragen. Kaders die je team herkent als hulp, niet als rem, en die aansluiten op het VNG-kader in plaats van er een eigen jargon naast te zetten.

Wat krijg je terug?

  • een bestuurlijk leesbaar auditrapport — de kern in één blik
  • een AI-inventaris met risicoclassificatie per systeem
  • de synthese: dwarsverbanden en hefboompunten over afdelingen heen
  • governance-aanbevelingen als vrijheid binnen kaders, aangesloten op het VNG-kader
  • een beslismotor: prioriteiten en een eerste-90-dagen-plan
  • uitkomsten die bestuur én teams begrijpen

GVI adviseert governance en organisatie — geen recht. Waar advies juridisch wordt (aansprakelijkheid, rechtmatigheid, een DPIA-oordeel), verwijzen we je gericht naar gespecialiseerde partners: de juiste vraag aan de juiste tafel.

Nog niet toe aan een volledige audit? Begin met de AI Regie Scan.

Verantwoord en aantoonbaar op orde?