truck8.ai

AI-beleid opstellen: praktische gids + template

Een AI-gebruiksbeleid hoeft geen juridisch document te zijn. Het is gewoon duidelijkheid — voor je medewerkers, je klanten en jezelf.

7 min leestijdTom Mekenkamp

Waarom je nu een AI-beleid moet opstellen

Ik spreek regelmatig directeuren en managers die zeggen: 'Bij ons gebruiken mensen AI al volop, maar we hebben er nooit iets over vastgelegd.' Dat herken ik. De adoptie gaat snel. Beleid loopt altijd achter. Maar op een gegeven moment is de achterstand te groot.

Een AI-beleid opstellen klinkt als iets voor grote corporates met juridische afdelingen. Dat klopt niet. Juist voor MKB-bedrijven is een eenvoudig, helder beleid waardevol — niet omdat de wet het (al) verplicht, maar omdat je medewerkers weten waar ze aan toe zijn, je minder kans hebt op datalekken of vergissingen, en je klanten kunnen zien dat je serieus omgaat met AI.

De Europese AI Act treedt gefaseerd in werking (de eerste verplichtingen golden al per februari 2025). De meeste MKB'ers vallen in de categorie 'beperkt risico' of gebruiken AI-systemen die door aanbieders al worden gecertificeerd. Maar de AI Act introduceert wel een verplichting tot AI-geletterdheid voor medewerkers die met AI werken — en dat is precies waarom intern beleid nu zinvol is.

Disclaimer: dit artikel geeft geen juridisch advies. Voor binding aan de AI Act, AVG of sectorspecifieke regelgeving raadpleeg je een jurist of compliance-specialist.

Wat een goed AI-beleid bevat: het template

Hieronder vind je de bouwstenen voor een AI-gebruiksbeleid dat werkt in de praktijk. Je hoeft niet alles in één keer perfect te maken — begin met de onderdelen die het meest relevant zijn voor jullie situatie en breid daarna uit.

1. Doel en scope

Leg in één of twee zinnen vast waarom dit beleid bestaat en voor wie het geldt. Bijvoorbeeld: 'Dit beleid beschrijft hoe medewerkers van [bedrijfsnaam] AI-tools mogen gebruiken in hun werk. Het geldt voor alle medewerkers, freelancers en partners die met bedrijfssystemen of -data werken.'

Scope: geldt het alleen voor generatieve AI (ChatGPT, Copilot, Claude) of ook voor geautomatiseerde besluitvorming, aanbevelingssystemen en datascreening? Wees specifiek.

2. Toegestane en verboden toepassingen

Dit is de kern van het beleid en het meest gelezen onderdeel. Geef concrete voorbeelden — abstracte regels worden niet nageleefd.

  • Toegestaan: tekst verbeteren, samenvattingen maken van interne documenten, code schrijven en reviewen, ideeën genereren voor campagnes of producten.
  • Toegestaan mits goedkeuring: geautomatiseerde klantcommunicatie, AI-gegenereerde offertes of rapporten die klanten ontvangen.
  • Verboden: klantgegevens, financiële data of persoonsgegevens invoeren in publieke AI-tools (ChatGPT gratis, Claude.ai gratis) zonder verwerkersovereenkomst.
  • Verboden: AI-output zonder menselijke controle publiceren of sturen naar klanten.
  • Verboden: AI gebruiken voor beslissingen over medewerkers (selectie, beoordeling) zonder expliciete goedkeuring van HR en directie.

3. Datagebruik, privacy en de AVG

Dit onderdeel beschermt je bedrijf het meest. De AVG geldt ook als je persoonsgegevens invoert in een AI-tool — de AI-aanbieder wordt dan verwerker en je hebt een verwerkersovereenkomst nodig.

  • Gebruik alleen AI-tools waarmee een verwerkersovereenkomst (DPA) is afgesloten als je persoonsgegevens verwerkt.
  • Controleer of de AI-aanbieder data gebruikt voor training — zet dit uit in de instellingen of kies een zakelijk abonnement dat dit uitsluit.
  • Noem in je AI-register (zie ook de AI Act) welke tools worden gebruikt en voor welke categorie verwerking.
  • Bij twijfel: anonimiseer of pseudonimiseer data voordat je het invoert.

4. Menselijke controle en verantwoordelijkheid

AI maakt fouten. Taalmodellen hallucineren feiten, genereren plausibel klinkende onwaarheden en missen context. Leg vast wie verantwoordelijk is voor AI-output en hoe controle is georganiseerd.

  • AI-output die naar klanten gaat, wordt altijd gecontroleerd door een medewerker met vakkennis.
  • De medewerker die AI-output gebruikt of publiceert is eindverantwoordelijk — niet de tool.
  • Voor risicovollere toepassingen (juridische teksten, medische informatie, financiële adviezen) geldt een vier-ogenprincipe.

5. Transparantie naar klanten

Wanneer vertel je klanten dat AI is ingezet? Er is geen universele wettelijke plicht voor elke toepassing, maar transparantie bouwt vertrouwen.

  • Leg vast in welke situaties je klanten informeert dat AI is gebruikt (bv. geautomatiseerde antwoorden, AI-gegenereerde rapporten).
  • Overweeg een standaardzin in je e-mailhandtekening of aanbiedingen: 'Delen van dit document zijn opgesteld met AI-ondersteuning en zijn door ons inhoudelijk gecontroleerd.'
  • Gebruik nooit AI om een menselijke medewerker voor te spiegelen als dat niet het geval is.

6. AI-geletterdheid en training

De AI Act verplicht organisaties per 2025 om te zorgen dat medewerkers die met AI-systemen werken, voldoende AI-geletterd zijn. Dit hoeft geen formeel certificaat te zijn — maar sturing en bewustwording zijn noodzakelijk.

  • Nieuwe medewerkers krijgen een introductie in dit beleid en de AI-tools die jullie gebruiken.
  • Er is een aanspreekpunt (AI-coördinator of manager) voor vragen over AI-gebruik.
  • Minimaal één keer per jaar wordt het beleid besproken in het team en worden nieuwe tools geëvalueerd.

7. Beveiliging

  • Gebruik alleen goedgekeurde AI-tools die op de interne lijst staan — geen eigen accounts met bedrijfsdata.
  • Wachtwoordbeheer en MFA gelden ook voor AI-toolaccounts.
  • Meld beveiligingsincidenten met AI-tools via het bestaande incidentproces.

8. Naleving en evaluatie

Een beleid dat niet wordt gehandhaafd, bestaat niet echt. Maak het beheerbaar door een eenvoudige evaluatiecyclus.

  • Het beleid wordt minimaal elk halfjaar gereviewed, of direct bij een relevante wetswijziging of een nieuw AI-incident.
  • Overtredingen worden behandeld zoals andere gedragsregels — proportioneel en conform het personeelsreglement.
  • Versie en datum van de laatste wijziging staan bovenaan het document.

Hoe stel je het beleid op: vijf stappen

Een AI-beleid opstellen hoeft niet maanden te duren. Hier is een aanpak die ik in de praktijk zie werken bij MKB-bedrijven.

  • Stap 1 — Inventariseer het huidige gebruik: vraag medewerkers welke AI-tools ze al gebruiken. Je wordt verrast door de diversiteit. Dit geeft meteen je scope.
  • Stap 2 — Bepaal je risiconiveau: verwerk je bijzondere persoonsgegevens of werk je in een gereguleerde sector? Dan is de lat hoger. Zo niet, dan is een compacte handleiding voldoende.
  • Stap 3 — Schrijf een concept met dit template: gebruik de acht onderdelen hierboven als skelet. Houd het beknopt — twee tot vier A4 is genoeg voor de meeste MKB'ers.
  • Stap 4 — Bespreek het met je team: het beleid werkt alleen als medewerkers zich erin herkennen. Vraag feedback, verwerk het en leg het vast.
  • Stap 5 — Communiceer en borgen: stuur het beleid rond, voeg het toe aan je onboardingmateriaal en plan een eerste evaluatiemoment over zes maanden.

Veelgemaakte fouten bij AI-beleid

  • Te vaag: 'gebruik AI verantwoordelijk' zegt niets. Geef concrete voorbeelden van wat wel en niet mag.
  • Alleen verboden, geen handvatten: medewerkers stoppen dan met rapporteren wat ze doen, niet met doen. Beleid werkt beter als je ook laat zien hoe het goed kan.
  • Eenmalig opgesteld en nooit bijgewerkt: AI-tools veranderen snel. Een beleid van twee jaar oud is al achterhaald.
  • Alleen juridisch, niet praktisch: als je medewerkers het niet begrijpen, leven ze het niet na. Schrijf in gewone taal.
  • Privacy en AI los behandelen: de AVG en je AI-beleid hangen direct samen. Combineer ze of maak ze expliciet consistent.

Het beleid levend houden

Een AI-beleid is geen document dat je opstelt en vergeet. De snelheid waarmee AI-tools zich ontwikkelen, betekent dat je beleid een levend document moet zijn.

Wijs een eigenaar aan — dat hoeft geen fulltime functie te zijn, maar iemand moet de halfjaarsreview op de agenda zetten. In grotere organisaties groeit dit naar een AI-coördinator of verantwoordelijke binnen IT of compliance.

Houd een simpele lijst bij van goedgekeurde tools, inclusief waarvoor ze zijn goedgekeurd en welke verwerkersovereenkomsten zijn afgesloten. Dat is ook meteen je 'AI-register' zoals de AI Act impliciet verwacht.

En onthoud: het doel is niet een perfect document. Het doel is een team dat bewust en veilig met AI werkt — en dat vertrouwen uitstraalt naar klanten.

Belangrijkste inzichten

  • Een AI-beleid hoeft niet lang te zijn — twee tot vier A4 met heldere regels is voor MKB voldoende.
  • Het verbod op persoonsgegevens in publieke AI-tools is de meest risicovolle lacune in de meeste bedrijven.
  • De AI Act verplicht al tot AI-geletterdheid; intern beleid is de praktische invulling daarvan.
  • Betrek medewerkers bij het schrijven — beleid dat van bovenaf wordt opgelegd, wordt niet nageleefd.
  • Plan een evaluatie na zes maanden: AI-tools veranderen snel en je beleid moet mee.
TM

Geschreven door

Tom Mekenkamp

AI-consultant & oprichter van truck8.ai

15+ jaar transformaties geleid bij o.a. AB-InBev en Royal BAM — nu bouwt hij AI-producten en helpt hij het MKB met AI.

Over Tom LinkedIn

AI-strategie en -beleid samen aanpakken?

In de directie-workshop werk je in één dag aan een concrete AI-strategie voor jouw organisatie — inclusief de randvoorwaarden, verantwoordelijkheden en eerste stappen voor een werkend AI-gebruiksbeleid.

Bekijk de directie-workshop