AI is niet meer weg te denken uit de werkdag. Van slimme e-mailantwoorden tot tools zoals Microsoft 365 Copilot: medewerkers gebruiken AI steeds vaker om sneller en efficiënter te werken. Voor organisaties brengt dat een nieuwe uitdaging met zich mee: hoe zorg je voor verantwoord gebruik van AI, zonder innovatie te remmen? Veel organisaties komen uit op een AI-beleid, maar wat hoort daar eigenlijk in thuis en waar moet je vandaag de dag rekening mee houden?
Daarnaast speelt wetgeving een steeds grotere rol in hoe organisaties met AI omgaan. De Europese EU AI Act wordt gefaseerd ingevoerd en stelt eisen aan het gebruik van AI, afhankelijk van het risiconiveau van toepassingen. Denk aan verplichtingen rondom transparantie, menselijk toezicht en het beheersen van risico’s bij inzet van AI-systemen.
Dit maakt een AI-beleid niet alleen een praktische richtlijn, maar ook een belangrijk onderdeel van compliance en risicobeheersing binnen de organisatie.
Wat moet er in een AI-beleid?
1. Start met een visie, daarna komen de regels
Een AI-beleid dat alleen bestaat uit verboden, blokkades en sancties, schiet zijn doel voorbij. Het is beter om te starten met een korte, duidelijke visie: waarom kiest de organisatie ervoor om AI verantwoord toe te passen? Wat zijn de kansen die je wíl benutten? En vooral: welke risico's wil je beheersen met het gebruik van AI? Dit zorgt ook direct voor bewustzijn onder gebruikers en geeft houvast voor de regels die volgen. Het helpt medewerkers snappen waarom bepaalde tools wel of niet zijn toegestaan. En het voorkomt dat AI als 'eng' of 'verboden' wordt gezien.
2. Benoem concrete toepassingen (en grenzen)
Een AI-beleid wordt pas praktisch bruikbaar als je beschrijft hoe AI binnen de organisatie gebruikt mag worden. Daarin benoem je concrete, praktische voorbeelden die dagdagelijks in je organisatie voorkomen om de kernactiviteiten uit te kunnen voeren. Denk aan zaken als:
AI gebruiken voor samenvattingen van meetings? Ja
AI gebruiken om klant mails automatisch op te stellen? Ja, maar altijd met menselijke controle
AI gebruiken om beleidsdocumenten op te stellen? Alleen in samenwerking met een expert
AI gebruiken voor personeelsbeoordelingen? Nee, vanwege ethische en juridische risico's
Door dit soort relevante scenario’s op te nemen, help je medewerkers AI op een veilige manier te gebruiken. Het geeft praktische handvatten en een goed beeld van de hulp die AI kan bieden in de dagelijkse werkzaamheden. Maak hierin ook onderscheid tussen generatieve AI (zoals ChatGPT, Microsoft Copilot en Gemini) en meer traditionele vormen, zoals voorspellende modellen of procesautomatisering.
3. Wees helder over data
De meeste risico’s van AI ontstaan niet door de technologie zelf, maar door het onjuist gebruik van data. We schreven al regelmatig over het belang van data governance vóórdat je organisatie met AI aan de slag kan gaan. Een goed AI-beleid bevat daarom duidelijke afspraken over:
Welke soorten informatie niet gedeeld mogen worden met AI-tools. Denk daarbij aan persoonsgegevens, bedrijfsgeheimen en data van klanten
Wanneer gebruik van interne data wél mag, en maak dit concreet met voorbeelden (bijvoorbeeld geanonimiseerde datasets voor analyse)
Hoe je voorkomt dat AI-tools 'leren' van gevoelige informatie
Tip: als er informatieclassificatie in je organisatie is opgesteld, kan je hiernaar verwijzen. Zo voorkom je dubbel beleid.
4. Houd rekening met nieuwe cybersecuritywetgeving (NIS2)
Naast AI-specifieke wetgeving krijgen organisaties ook te maken met strengere eisen rondom cybersecurity. De NIS2-richtlijn (in Nederland vertaald naar de Cyberbeveiligingswet) treedt naar verwachting in 2026 in werking en stelt eisen aan risicomanagement, incidentmelding en ketenverantwoordelijkheid.
Hoewel deze wet niet specifiek over AI gaat, raakt deze direct aan het gebruik van AI binnen organisaties. Denk aan het gebruik van externe AI-tools, de verwerking van data en de afhankelijkheid van leveranciers. Een AI-beleid helpt om hier grip op te houden en sluit daarmee goed aan op bredere verplichtingen rondom informatiebeveiliging.
5. Richtlijnen voor externe AI-tools
Niet elke AI-toepassing komt van Microsoft of Google. Medewerkers zoeken zelf tools om hun werk te versnellen, helemaal omdat ze zo openbaar en makkelijk beschikbaar zijn. Denk aan AI-videotools, transcriptietools, code-assistenten of SEO-software.
Geef daarom richtlijnen voor het gebruik van externe AI-tools. Dit schetst ruimte, maar zorgt er toch voor dat je beheer houdt over welke tools worden toegepast. Denk aan richtlijnen als:
Tools altijd vóór gebruik laten goedkeuren
Controle op waar data naartoe gaat (denk aan AVG-compliant verwerking van gegevens)
Vermijden van tools met onduidelijk eigenaarschap of geen transparantie over data-gebruik
Inzicht in de herkomst en werking van AI-functionaliteit (transparantie over hoe output tot stand komt)
Beoordeling van leveranciers op security en compliance (inclusief ketenrisico’s, in lijn met NIS2)
6. Zorg dat de medewerker zich eindverantwoordelijk voelt
AI-tools kunnen in veel werkzaamheden ondersteunen, maar ze nemen geen beslissingen uit handen. Leg daarom in het beleid expliciet vast dat medewerkers altijd eindverantwoordelijk blijven voor wat AI produceert. Of het nu gaat om teksten, voorstellen of analyses: menselijke controle is in bijna alle gevallen essentieel. Neem niks klakkeloos over. Bijvoorbeeld controle over de juistheid van informatie, de relevantie van de content of controle op ethische zaken. Deze richtlijn helpt ook om juridische aansprakelijkheid af te kaderen, zeker bij het gebruik van generatieve AI.
7. Geef ruimte voor experiment, binnen kaders
Een AI-beleid moet niet alleen beschermen, maar natuurlijk ook stimuleren. AI kan namelijk veel inspiratie brengen, mensen op weg helpen en je werk makkelijker maken. Maak dus concreet welke ruimte er is voor experimenten, en wat daarin de grenzen zijn. Bijvoorbeeld:
Gebruik van Copilot binnen afgebakende testgroepen
Pilots met nieuwe tools onder begeleiding van IT of security
Een laagdrempelig contactpersoon voor wie iets nieuws wil proberen en hierover wil sparren
Zo voorkom je dat innovatie plaatsvindt zonder dat je hier als organisatie inzicht in of grip op hebt. Dit kennen we namelijk als Shadow AI, terwijl je wil weten wat er speelt.
Wat moet er vooral niet in je AI-beleid?
Genoeg concrete voorbeelden en situaties die belangrijk zijn om op te nemen in je AI-beleid. Maar ook niet onbelangrijk: wat zijn valkuilen in AI-beleid? Wat kan je daar beter juist niét in opnemen?
Een beleid dat alleen vanuit IT of Legal komt, mist draagvlak vanuit de business
Gebruik geen technisch of wollig taalgebruik. Richt je op praktische duidelijkheid, het is geen academisch stuk. Je wil voorkomen dat informatie niet goed landt bij gebruikers of ze de moeite niet nemen het beleid volledig door te nemen
Verlies jezelf niet in details. Je beleid is geen gebruiksaanwijzing van iedere tool, maar biedt overkoepelende richtlijnen met duidelijke voorbeelden
Geen opvolging organiseren. Zorg dat het beleid leeft: via communicatie, herhaling, training én toezicht.
Conclusie
Een goed AI-beleid biedt richting, ruimte en verantwoordelijkheid. Het helpt medewerkers veilig en effectief te werken met AI, zonder innovatie tegen te gaan. Dat lukt alleen als het beleid praktisch, begrijpelijk en gedragen is door de hele organisatie. Met de komst van wetgeving zoals de EU AI Act en de NIS2-richtlijn wordt dit niet alleen een best practice, maar ook steeds meer een noodzaak.
Wil je sparren over hoe jouw organisatie AI-beleid kan vertalen naar concrete werkafspraken? Neem gerust contact op met onze specialisten. We denken graag mee!
About the author
Famke is AI engineer en werkt met agents en AI om innovatieve ideeën om te zetten in praktische, werkende oplossingen.
