Steeds meer medewerkers gebruiken ChatGPT, Copilot of Gemini in hun werk, vaak zonder dat er afspraken over bestaan. Een AI-beleid opstellen helpt je die wildgroei in goede banen te leiden: je legt vast welke tools zijn toegestaan, welke gegevens nooit in een AI-tool mogen en wie verantwoordelijk is voor de uitkomsten. In dit artikel lees je waarom een AI-beleid juist nu belangrijk is en hoe je er in zeven onderdelen zelf een maakt.
Wat is een AI-beleid en waarom nu?
Een AI-beleid is een set duidelijke afspraken over hoe jij en je medewerkers kunstmatige intelligentie inzetten in het werk. Je bundelt die afspraken in één document of maakt ze onderdeel van het personeelshandboek. Het gaat niet om ingewikkelde juridische taal, maar om praktische regels die iedereen begrijpt.
De urgentie zit in wat er ondertussen op de werkvloer gebeurt. Medewerkers grijpen zelf naar gratis AI-tools en plakken daar soms klantgegevens, offertes of interne plannen in, zonder te weten waar die informatie belandt. Dat verschijnsel — vaak "schaduw-AI" genoemd — brengt risico's mee op het gebied van privacy, aansprakelijkheid en het lekken van bedrijfsgeheimen. Met heldere afspraken haal je die risico's weg zonder de voordelen van AI te blokkeren.
Is een AI-beleid verplicht?
Een AI-beleid is op zichzelf niet wettelijk verplicht, maar het helpt je wél voldoen aan regels die dat wél zijn. In Europa geldt de EU AI Act (de AI-verordening) en in Nederland bepaalt de AVG hoe je met persoonsgegevens omgaat. Gaat er iets mis door verkeerd of onveilig gebruik van AI, dan biedt een vastgelegd beleid bovendien een juridisch handvat.
Belangrijk om te weten: sinds 2 februari 2025 verplicht artikel 4 van de AI Act organisaties tot voldoende AI-geletterdheid. Die plicht geldt voor elke organisatie die AI gebruikt, dus ook voor een bedrijf dat alleen tools als Microsoft Copilot of ChatGPT inzet. Volgens de Autoriteit Persoonsgegevens betekent dit dat iedereen die met AI-systemen werkt genoeg kennis moet hebben van de werking én van de sociale, ethische en praktische kanten ervan. Er is geen verplicht certificaat of vast aantal uren; je voldoet eraan door je AI-gebruik in kaart te brengen, per rol te bepalen welk kennisniveau nodig is en dat vast te leggen. Een AI-beleid is precies de plek om dat te doen. Sinds diezelfde datum is bovendien een aantal AI-toepassingen met een onaanvaardbaar risico volledig verboden.
Wat er op 2 augustus 2026 verandert
Op 2 augustus 2026 start de handhaving van de AI Act door de toezichthouders. Vanaf die datum krijgt de Europese Commissie ook haar handhavingsbevoegdheden tegenover aanbieders van AI-modellen voor algemene doeleinden (GPAI), met boetes die kunnen oplopen tot 15 miljoen euro of 3% van de wereldwijde jaaromzet. Ook de transparantieverplichtingen uit artikel 50 worden dan van kracht: gebruikers moeten bijvoorbeeld weten wanneer ze met een AI-systeem praten of wanneer content door AI is gegenereerd.
Tegelijk is de tijdlijn in beweging. In mei 2026 bereikten de EU-lidstaten en het Europees Parlement een politiek akkoord (de zogeheten Digital Omnibus) om een deel van de verplichtingen voor AI-systemen met een hoog risico uit te stellen — voor de meeste losstaande hoog-risicosystemen naar 2 december 2027. De transparantieregels en de handhaving rond GPAI blijven grotendeels op koers voor augustus 2026. Voor de meeste MKB'ers, die AI vooral als gebruiker inzetten, is de kern simpel: zorg dat je aantoonbaar verantwoord met AI omgaat. Meer context vind je in ons artikel over de EU AI Act voor het MKB.
AI-beleid opstellen in 7 onderdelen
Je hoeft het wiel niet opnieuw uit te vinden. Een werkbaar AI-beleid voor het MKB bevat de volgende onderdelen:
- Doel van het beleid. Beschrijf waarom je afspraken maakt: veilig AI-gebruik voor personeel én bedrijf, en voldoen aan wet- en regelgeving zoals de AI Act en de AVG.
- Reikwijdte en updates. Voor wie geldt het beleid — alle medewerkers, of ook externen en zzp'ers? En hoe houd je het actueel nu tools en regels snel veranderen?
- Toegestane doelen en tools. Beschrijf zo precies mogelijk waarvoor AI is toegestaan en houd een lijst bij van goedgekeurde software. Een vergelijking als ChatGPT, Copilot en Gemini naast elkaar helpt bij die keuze.
- Wat niet mag. Leg vast welke gegevens nooit in een AI-tool mogen, zoals persoonsgegevens, bedrijfsgeheimen of gevoelige klantinformatie in tools die niet AVG-proof zijn. Zie hiervoor ook onze uitleg over AI veilig gebruiken met bedrijfsgegevens.
- Controle van de output. Spreek af dat een mens AI-resultaten altijd controleert voordat ze naar buiten gaan. AI kan hallucineren, verouderde informatie geven of vooroordelen bevatten.
- Verantwoordelijkheden. Wie is aanspreekpunt voor vragen en goedkeuringen, wie is verantwoordelijk bij fouten, en wat gebeurt er bij overtreding van het beleid?
- Training en bewustwording. Bied instructies of trainingen aan zodat medewerkers AI veilig én effectief gebruiken. Zo werk je meteen aan de verplichte AI-geletterdheid en weet iedereen waar het beleid te vinden is.
Zo voer je het beleid in de praktijk in
Een beleid dat in een la belandt, verandert niets. Begin daarom klein en concreet: een AI-beleid is bij een gemiddeld MKB-bedrijf vaak in een dagdeel op papier te zetten. Betrek een paar medewerkers die AI al gebruiken, want zij weten waar de praktijk schuurt. Communiceer het beleid actief in plaats van het alleen rond te mailen — een korte teamsessie waarin je uitlegt waaróm de afspraken er zijn, werkt beter dan een dik document.
Kies vervolgens bewust je gereedschap. Voor gevoelige informatie zijn zakelijke versies met betere gegevensbescherming vaak een betere keuze dan gratis consumententools. Wie bijvoorbeeld vergaderingen laat samenvatten, kan het beste kijken naar veilig notuleren met AI en de vraag waar opnames en transcripten belanden. Evalueer je beleid daarna elk half jaar, want de tools en de regels ontwikkelen zich snel. Aan de AI-Tafel horen we regelmatig dat juist dat vaste evaluatiemoment het verschil maakt tussen een levend beleid en een dode letter.
Veelgestelde vragen
Is een AI-beleid wettelijk verplicht?
Nee, een AI-beleid zelf is niet verplicht. Wel gelden er verplichtingen die er nauw mee samenhangen: sinds 2 februari 2025 vraagt de AI Act om AI-geletterdheid, en de AVG stelt eisen aan het gebruik van persoonsgegevens. Een beleid helpt je aantoonbaar aan die regels te voldoen en biedt een juridisch handvat als er iets misgaat.
Wat moet er minimaal in een AI-beleid staan?
Minimaal het doel, voor wie het geldt, welke tools en doeleinden zijn toegestaan, welke gegevens verboden zijn, hoe output wordt gecontroleerd, wie verantwoordelijk is en hoe je medewerkers traint. Met die zeven onderdelen dek je de belangrijkste risico's af.
Mag ik bedrijfsgegevens of klantgegevens in ChatGPT invoeren?
Dat hangt af van de tool en de versie. Zet persoonsgegevens, bedrijfsgeheimen of gevoelige klantinformatie niet in tools die niet AVG-proof zijn. Zakelijke abonnementen met afspraken over gegevensbescherming en dataopslag zijn veiliger; leg in je beleid vast wat wel en niet mag.
Wat verandert er op 2 augustus 2026 concreet?
Vanaf die datum start de handhaving van de AI Act en gelden de transparantieverplichtingen uit artikel 50. De Europese Commissie krijgt handhavingsbevoegdheden richting aanbieders van AI voor algemene doeleinden. Een deel van de eisen voor hoog-risicosystemen is via de Digital Omnibus uitgesteld naar later, maar de transparantie- en GPAI-regels blijven grotendeels op koers.