Omzendbrief KBBJ/ABB 2026/3 betreffende de wettelijke verplichtingen van de Vlaamse lokale en provinciale besturen bij geautomatiseerde besluitvorming in administratieve processen
- Documenttype
- Omzendbrief
- Publicatiedatum
- 16 mei 2026
- Status
- Geldig
- Trefwoorden
- geautomatiseerde besluitvorming lokale besturen provinciale besturen wettelijke verplichtingen administratieve processen gegevensverwerking
Hoofdstuk 1. Doel, toepassingsgebied en definities
Artikel 1. ( 01/09/2026 - Doel en draagwijdte )
Deze omzendbrief verduidelijkt de wettelijke en reglementaire verplichtingen voor de Vlaamse lokale en provinciale besturen bij het ontwerp, de aanschaf, de inrichting, het gebruik en de evaluatie van geautomatiseerde besluitvorming in administratieve processen. Zij beoogt uniforme uitvoering, rechtszekerheid en kwaliteitsborging bij beslissingen die geheel of gedeeltelijk tot stand komen door middel van geautomatiseerde verwerkingen van gegevens, met inbegrip van algoritmische en op modellen gebaseerde methoden.
Artikel 2. ( 01/09/2026 - Toepassingsgebied )
Deze omzendbrief is van toepassing op alle organisatorische entiteiten van de lokale en provinciale besturen, met inbegrip van intern verzelfstandigde agentschappen en publiekrechtelijke samenwerkingen, voor zover zij administratieve beslissingen voorbereiden of nemen met behulp van geautomatiseerde besluitvorming. Zij is niet van toepassing op loutere kantoorautomatisering zonder invloed op een individuele beslissing en op wetenschappelijk onderzoek zonder rechtstreeks bestuursrechtelijk gevolg. Wanneer uitbestede dienstverleners namens of ten behoeve van de besturen geautomatiseerde besluitvorming inzetten, zijn de bepalingen van deze omzendbrief contractueel en operationeel afdwingbaar op dezelfde wijze.
Artikel 3. ( 01/09/2026 - Definities )
Voor de toepassing van deze omzendbrief wordt verstaan onder:
- geautomatiseerde besluitvorming: een procedure waarbij een beslissing met rechtsgevolgen of vergelijkbare feitelijke gevolgen voor een natuurlijke of rechtspersoon geheel of gedeeltelijk wordt genomen op basis van geautomatiseerde gegevensverwerking;
- model: een algoritmische, statistische of regelgebaseerde configuratie die invoergegevens omzet in voorspellingen, classificaties, scores of aanbevelingen ter ondersteuning of totstandbrenging van een beslissing;
- hoog-risicotoepassing: geautomatiseerde besluitvorming waarvan de uitkomst aanzienlijke impact kan hebben op rechten, plichten, toegang tot voorzieningen of financiële positie van betrokkenen, gelet op schaal, onomkeerbaarheid of kwetsbaarheid van de doelgroep;
- menselijke tussenkomst: de effectieve, zinvolle en tijdige beoordeling door een bevoegde medewerker die de geautomatiseerd gegenereerde uitkomst kan betwisten, wijzigen of bevestigen op basis van relevante overwegingen;
- uitlegbaarheid: de mate waarin de gehanteerde logica, hoofdfactoren en beslisregels in begrijpelijke bewoordingen aan besluitvormers en betrokkenen kunnen worden toegelicht;
- register geautomatiseerde besluitvorming: een publiek toegankelijk overzicht met kerninformatie over de geautomatiseerde besluitvormingsprocessen die door het bestuur worden ingezet;
- incident: elke gebeurtenis met negatieve invloed op de juistheid, rechtmatigheid, beschikbaarheid, vertrouwelijkheid of onpartijdigheid van geautomatiseerde besluitvorming, inclusief datalekken en modelafwijkingen;
- Data Protection Impact Assessment (DPIA): een systematische beoordeling van verwerkingsrisico’s voor rechten en vrijheden van natuurlijke personen, inclusief de mitigerende maatregelen.
Hoofdstuk 2. Rechtsgrond, proportionaliteit en menselijke tussenkomst
Artikel 4. ( 01/09/2026 - Rechtsgrond en bevoegdheid )
Geautomatiseerde besluitvorming wordt enkel toegepast indien er een toereikende rechtsgrond bestaat voor de betrokken administratieve handeling en de gegevensverwerkingen die daarvoor noodzakelijk zijn. Het bevoegde orgaan bepaalt vooraf het normatieve kader, de delegaties en de interne bevoegdheidsregeling die de inzet van geautomatiseerde besluitvorming mogelijk maken, en documenteert deze in een besluit tot vaststelling van de proces- en beoordelingsregels.
Artikel 5. ( 01/09/2026 - Noodzakelijkheid en proportionaliteit )
De inzet van geautomatiseerde besluitvorming is noodzakelijk en proportioneel ten opzichte van het nagestreefde doel. Het bestuur toont aan dat geen minder ingrijpende middelen volstaan om hetzelfde resultaat te bereiken met vergelijkbare kwaliteit en efficiëntie. De regel van minimale gegevensverwerking wordt strikt toegepast, met beperking van persoonsgegevens en afgeleide kenmerken tot wat strikt noodzakelijk is per beslissingstaak.
Artikel 6. ( 01/09/2026 - Menselijke tussenkomst en controle )
Beslissingen met significante gevolgen voor betrokkenen worden niet uitsluitend door geautomatiseerde middelen genomen zonder zinvolle menselijke tussenkomst. Het bestuur bepaalt per proces de vorm, intensiteit en timing van de menselijke tussenkomst, en waarborgt dat de betrokken medewerker voldoende opleiding, context en bevoegdheid heeft om de uitkomst te herzien. In elk dossier wordt de identiteit van de eindverantwoordelijke dossierbehandelaar geregistreerd.
Artikel 7. ( 01/09/2026 - Uitzonderingen en documentatie )
Indien uitzonderlijk en op uitdrukkelijke wettelijke basis een beslissing geheel geautomatiseerd wordt genomen zonder menselijke tussenkomst, documenteert het bestuur vooraf de noodzakelijkheid, de risicobeoordeling, de voorziene waarborgen en de passende rechtsmiddelen. Dossiers die onder een uitzondering vallen worden periodiek steekproefsgewijs geëvalueerd om onbedoelde effecten te detecteren en te corrigeren.
Hoofdstuk 3. Transparantie en motivering
Artikel 8. ( 01/09/2026 - Informatie aan betrokkenen )
Bij de kennisgeving van een beslissing waarin geautomatiseerde besluitvorming een substantiële rol speelt, verstrekt het bestuur in duidelijke en begrijpelijke taal ten minste informatie over het gebruik van geautomatiseerde middelen, de hoofdcriteria en -factoren die de uitkomst hebben bepaald, de broncategorieën van de gebruikte gegevens en de beschikbare rechtsmiddelen. Deze informatie wordt afgestemd op de doelgroep en is kosteloos beschikbaar.
Artikel 9. ( 01/09/2026 - Motivering en uitlegbaarheid )
De motivering van beslissingen die (mede) tot stand komen door geautomatiseerde besluitvorming is specifiek, verifieerbaar en dossiergebonden. Het bestuur borgt dat voor elke individuele beslissing een beknopte toelichting kan worden gegenereerd waaruit blijkt welke bepalende regels, factoren of drempelwaarden tot de uitkomst hebben geleid, zonder vertrouwelijke bedrijfsinformatie of beveiligingsgevoelige details prijs te geven die de integriteit van het systeem zouden ondermijnen.
Artikel 10. ( 01/09/2026 - Register geautomatiseerde besluitvorming )
Elk bestuur publiceert en onderhoudt een register geautomatiseerde besluitvorming op zijn website. Het register bevat per toepassing ten minste de benaming, het doel, de rechtsgrond, de categorieën van gegevensbronnen, een beknopte beschrijving van de gebruikte logica of modelbenadering, de betrokken processen, het al dan niet bestaan van menselijke tussenkomst, de verantwoordelijke contactpunten en de datum van de laatste evaluatie.
Artikel 11. ( 01/09/2026 - Toegankelijkheid en taalvereisten )
Communicatie over geautomatiseerde besluitvorming voldoet aan de toegankelijkheidsnormen die op het bestuur van toepassing zijn en wordt minstens in het Nederlands verstrekt. Waar passend worden begrijpelijke samenvattingen voorzien naast meer technische toelichtingen, met bijzondere aandacht voor kwetsbare doelgroepen.
Hoofdstuk 4. Gegevensbescherming en kwaliteit
Artikel 12. ( 01/09/2026 - DPIA en risicobeoordeling )
Voor geautomatiseerde besluitvorming met hoog risico voert het bestuur voorafgaand en periodiek een DPIA uit, die ten minste de doeleinden, de noodzakelijkheid, de risico’s voor rechten en vrijheden, de mitigerende maatregelen, de rest-risico’s en de verantwoordelijken voor opvolging omvat. De uitkomsten worden vertaald naar concrete technische en organisatorische maatregelen en worden herzien bij significante systeemwijzigingen.
Artikel 13. ( 01/09/2026 - Datakwaliteit en non-discriminatie )
Het bestuur waarborgt dat de gebruikte gegevens accuraat, actueel, relevant en representatief zijn voor het beoogde doel. Voorafgaand aan inzet worden risico’s op systematische vooringenomenheid geïdentificeerd en beperkt. Evaluaties omvatten kwaliteitscontroles, foutenmarges, prestaties per subgroep en passende correctiemechanismen om ongerechtvaardigde verschillen in behandeling te vermijden.
Artikel 14. ( 01/09/2026 - Traceerbaarheid en dossiervorming )
Processen met geautomatiseerde besluitvorming zijn traceerbaar. Het bestuur registreert per beslissing de versies van regels of modellen, de gebruikte parameterinstellingen, de belangrijkste invoervariabelen en de datum en tijd van de verwerking. Deze registraties maken deel uit van het bestuursdossier en worden beheerd overeenkomstig de geldende archief- en openbaarheidseisen.
Artikel 15. ( 01/09/2026 - Bewaartermijnen en archivering )
Gegevens, modelartefacten en logbestanden worden niet langer bewaard dan noodzakelijk voor het doel, de rechtsbescherming en de verantwoording. Het bestuur stelt bewaartermijnen vast per bestandscategorie en voorziet in veilige vernietiging of anonimisering na afloop. Archiefwaardige stukken worden duurzaam bewaard met behoud van integriteit en contextinformatie.
Artikel 16. ( 01/09/2026 - Beveiliging, continuïteit en incidentmelding )
Het bestuur past passende technische en organisatorische beveiligingsmaatregelen toe, waaronder toegangsbeheer, versleuteling, scheiding van omgevingen en toezicht op modelprestaties. Voor hoog-risicotoepassingen is een continuïteitsplan beschikbaar met omschakelprocedures naar handmatige verwerking. Incidenten worden zonder onredelijke vertraging geregistreerd, beoordeeld, gemeld volgens de toepasselijke meldingsplichten en opgevolgd tot afsluiting.
Hoofdstuk 5. Organisatie, inkoop en toezicht
Artikel 17. ( 01/09/2026 - Rollen en verantwoordelijkheden )
Elk bestuur wijst een centraal contactpunt voor geautomatiseerde besluitvorming aan dat instaat voor coördinatie, advies en kwaliteitsborging. De taken omvatten minstens het bijhouden van het register, het ondersteunen van DPIA’s, het afstemmen met de functionaris voor gegevensbescherming, het faciliteren van audits en het adviseren over opleiding en veranderingstrajecten.
Artikel 18. ( 01/09/2026 - Inkoop- en contractuele bepalingen )
Bij de verwerving van systemen of diensten voor geautomatiseerde besluitvorming neemt het bestuur contractuele bepalingen op die waarborgen voorzien voor gegevensbescherming, uitlegbaarheid, prestaties, beschikbaarheid, updates, beveiliging, auditrechten, incidentmelding en exit-regelingen. Leveranciers verstrekken voldoende documentatie over de werkingslogica, configuratiemogelijkheden en beperkingen, met respect voor legitieme vertrouwelijkheidsbelangen.
Artikel 19. ( 01/09/2026 - Testen, valideren en ingebruikname )
Voor ingebruikname van geautomatiseerde besluitvorming worden test- en validatieprocedures uitgevoerd op representatieve datasets, met vooraf vastgelegde acceptatiecriteria voor nauwkeurigheid, stabiliteit, uitlegbaarheid en non-discriminatie. Significante wijzigingen aan regels, parameters of modellen doorlopen dezelfde toetsing. Resultaten en goedkeuringen worden gedocumenteerd en bewaard.
Artikel 20. ( 01/09/2026 - Monitoring en onafhankelijke audit )
Het bestuur monitort doorlopend de prestaties en neveneffecten van geautomatiseerde besluitvorming en rapporteert minstens jaarlijks intern over bevindingen, incidenten en bijsturingen. Voor hoog-risicotoepassingen wordt ten minste om de twee jaar een onafhankelijke audit uitgevoerd door een daartoe bevoegde interne of externe auditor, met aanbevelingen en een opvolgplan.
Artikel 21. ( 01/09/2026 - Rechtsmiddelen en klachtenbehandeling )
Het bestuur informeert betrokkenen over de beschikbare rechtsmiddelen, inclusief het recht op menselijke tussenkomst, het recht op betwisting en het recht op inzage in dossiergebonden toelichtingen. Klachten over geautomatiseerde besluitvorming worden volgens een vastgelegde procedure geregistreerd, onderzocht en beantwoord binnen redelijke termijnen. Corrigerende maatregelen worden zonder uitstel geïmplementeerd waar nodig.
Hoofdstuk 6. Slotbepalingen
Artikel 22. ( 01/09/2026 - Overgangsmaatregelen )
Bestaande toepassingen van geautomatiseerde besluitvorming worden binnen negen maanden na de inwerkingtreding van deze omzendbrief beoordeeld op conformiteit met de bepalingen ervan. Waar aanpassingen vereist zijn, stelt het bestuur een tijds- en actieplan op met prioritering op basis van risico. Nieuwe of ingrijpend gewijzigde toepassingen voldoen bij ingebruikname volledig aan deze omzendbrief.
Artikel 23. ( 01/09/2026 - Ondersteuning en sjablonen )
Het Agentschap Binnenlands Bestuur stelt ondersteunend materiaal ter beschikking, waaronder richtsnoeren voor DPIA’s in de context van geautomatiseerde besluitvorming, sjablonen voor registers en motiveringen, en voorbeeldclausules voor inkoopdocumenten. Vragen over interpretatie of toepassing kunnen worden gericht aan het agentschap via de gebruikelijke contactkanalen.
Artikel 24. ( 01/09/2026 - Inwerkingtreding )
Deze omzendbrief treedt in werking op 1 september 2026. Zij vervangt tegenstrijdige bepalingen in eerdere richtlijnen voor zover zij betrekking hebben op geautomatiseerde besluitvorming in administratieve processen binnen de Vlaamse lokale en provinciale besturen.