In 2026 gebruikt 75 % van de Nederlandse werknemers AI-tools op het werk — maar slechts 23 % van de organisaties heeft een formeel AI-beleid (PwC Nederland, 2025). Het gevolg: medewerkers nemen zelf beslissingen over welke tools ze gebruiken, welke gegevens ze invoeren en hoe ze de output toepassen. Zonder kaders ontstaat wat we schaduw-AI noemen: onbeheerd gebruik dat juridische, operationele en reputatierisico’s creëert.
Een AI-beleid is geen bureaucratisch document dat in een la verdwijnt. Het is een praktisch kader dat drie dingen doet: het beschermt uw organisatie tegen risico’s, het helpt medewerkers AI effectief te gebruiken en het zorgt voor compliance met de Europese AI-Verordening. Dit artikel legt uit hoe u zo’n beleid opstelt — inclusief de acht essentiële onderdelen en een sjabloon dat u direct kunt aanpassen.
À retenir
- Slechts 23% van de Nederlandse organisaties heeft een formeel AI-beleid, terwijl 75% van de werknemers AI-tools gebruikt
- De AI-Verordening (Artikel 4) verplicht organisaties sinds augustus 2025 om medewerkers aantoonbaar te trainen in AI-gebruik
- Een effectief AI-beleid bevat acht onderdelen: van doel en scope tot monitoring en sancties
- Begin met een eenvoudig beleid dat u kunt bijwerken — perfectie is de vijand van compliance
Waarom u nu een AI-beleid nodig heeft
Juridische verplichting
Sinds 2 augustus 2025 is Artikel 4 van de AI-Verordening van kracht. Het verplicht alle aanbieders en gebruikers van AI-systemen om te zorgen voor “een toereikend niveau van AI-geletterdheid” bij hun personeel. Dit geldt voor elke organisatie die AI-tools gebruikt — van een accountantskantoor dat ChatGPT inzet tot een zorginstelling met AI-ondersteunde diagnostiek.
Een AI-beleid is het document waarin u vastlegt hóe u aan deze verplichting voldoet. Zonder beleid kunt u bij een toezichtscontrole niet aantonen dat u de wet naleeft. De maximale boete bedraagt 15 miljoen euro of 3 % van de wereldwijde jaaromzet.
Operationeel risico
Zonder beleid nemen medewerkers individuele beslissingen die de organisatie binden. Een medewerker die vertrouwelijke klantgegevens in ChatGPT invoert, creëert een datalek. Een manager die AI-gegenereerde analyses gebruikt zonder verificatie, neemt beslissingen op basis van mogelijk onjuiste informatie. Een HR-medewerker die een AI-tool voor sollicitantenselectie gebruikt, brengt de organisatie in de hoogrisico-categorie van de AI-Verordening.
Concurrentievoordeel
Organisaties met een helder AI-beleid presteren beter. Ze vermijden dubbel werk (medewerkers hoeven niet zelf uit te zoeken wat mag), ze beheersen risico’s proactief en ze bouwen vertrouwen op bij klanten en partners. In aanbestedingen en tenders wordt AI-governance steeds vaker als criterium opgenomen.
23%
van de Nederlandse organisaties heeft een formeel AI-beleid — 77% opereert zonder kaders
Source : PwC Nederland, AI Survey 2025
De acht onderdelen van een effectief AI-beleid
1. Doel en reikwijdte
Begin met waarom het beleid bestaat en voor wie het geldt.
Doel: vastleggen hoe de organisatie AI-tools verantwoord, veilig en productief inzet, in overeenstemming met de AI-Verordening, de AVG en andere relevante wetgeving.
Reikwijdte: alle medewerkers, contractors en stagiairs die namens de organisatie AI-tools gebruiken — ongeacht of het gaat om door de organisatie aangeboden tools of eigen tools die voor werkdoeleinden worden ingezet.
2. Goedgekeurde tools en aanvraagproces
Maak een lijst van goedgekeurde AI-tools, inclusief:
- Welke tools mogen worden gebruikt
- Voor welke doeleinden (per tool)
- Welk abonnement of welke versie (let op: de gratis versie van ChatGPT biedt minder databescherming dan de Team/Enterprise-versie)
- Het proces om nieuwe tools aan te vragen
Maak expliciet onderscheid tussen AI-tools met een zakelijk abonnement (waar u een verwerkersovereenkomst heeft) en gratis versies of persoonlijke accounts. Bij de meeste gratis AI-tools worden ingevoerde gegevens gebruikt voor modeltraining — een direct AVG-risico bij verwerking van persoonsgegevens of bedrijfsvertrouwelijke informatie.
3. Dataclassificatie en gegevensbescherming
Dit is het kritieke onderdeel. Definieer welke gegevens wel en niet in AI-tools mogen worden ingevoerd:
| Categorie | Omschrijving | In AI-tool? |
|---|---|---|
| Openbaar | Gepubliceerde informatie, marketingmateriaal | Ja |
| Intern | Interne processen, algemene bedrijfsinformatie | Ja, met goedgekeurd tool |
| Vertrouwelijk | Financiële gegevens, strategische plannen, contracten | Alleen met Enterprise-tool + goedkeuring |
| Strikt vertrouwelijk | Persoonsgegevens, medische gegevens, juridische dossiers | Nee |
Verwijs naar uw bestaande dataclassificatiebeleid. Als dat er niet is, stel het gelijktijdig op.
4. Kwaliteitscontrole en verificatie
Leg vast dat AI-output altijd door een mens wordt gecontroleerd vóór gebruik. Specifiek:
- Feitelijke claims moeten worden geverifieerd tegen betrouwbare bronnen
- Cijfers en berekeningen moeten worden gecontroleerd
- Juridische en medische informatie mag nooit zonder deskundige review worden gebruikt
- AI-gegenereerde content die extern wordt gepubliceerd, moet door een verantwoordelijke worden goedgekeurd
Dit is niet alleen best practice — de AI-Verordening vereist “menselijk toezicht” als kernprincipe.
5. Transparantie en labeling
Bepaal wanneer en hoe u communiceert dat AI is gebruikt:
- Intern: is het verplicht om te melden dat een document met AI is opgesteld? (Aanbeveling: ja, via een standaardzin in de voettekst)
- Extern: moet AI-gebruik worden vermeld bij klantcommunicatie? (De AI-Verordening vereist dit bij chatbots en bepaalde AI-gegenereerde content)
- Intellectueel eigendom: wie is eigenaar van AI-gegenereerde output? Leg dit vast.
6. Opleidingseisen
De AI-Verordening Artikel 4 vereist aantoonbare AI-geletterdheid. Uw beleid moet specificeren:
- Welke opleiding verplicht is voor alle medewerkers (basismodule)
- Welke aanvullende opleiding per rol of functie vereist is
- Hoe vaak opleiding wordt herhaald (aanbeveling: jaarlijks, plus bij belangrijke toolwijzigingen)
- Hoe deelname wordt geregistreerd en gerapporteerd
Documentatie van opleidingsdeelname is uw primaire bewijsmateriaal bij een toezichtscontrole.
€15 miljoen
maximale boete voor het niet naleven van de AI-geletterdheidsplicht (Artikel 4) — of 3% van de wereldwijde jaaromzet
Source : AI-Verordening, Artikel 99
7. Risicobeoordeling en governance
Beschrijf het proces voor het beoordelen van AI-gerelateerde risico’s:
- Wie beoordeelt nieuwe AI-toepassingen vóór ingebruikname?
- Welke criteria worden gehanteerd? (privacy-impact, veiligheid, nauwkeurigheid, bias)
- Hoe worden incidenten (foutieve output, datalekken, bias-gevallen) gemeld en afgehandeld?
- Wie is eindverantwoordelijk voor AI-governance? (Functioneel: vaak de DPO, CISO of een aangewezen AI-coördinator)
Voor een uitgebreider kader verwijzen wij naar de AI-gids voor Nederlandse bedrijven.
8. Sancties en handhaving
Een beleid zonder handhaving is een suggestie. Leg vast:
- Wat de consequenties zijn van beleidsovertreding (waarschuwing, gesprek, disciplinaire maatregel)
- Hoe overtredingen worden gesignaleerd (monitoring, steekproeven, incidentmelding)
- Dat het beleid onderdeel is van de arbeidsvoorwaarden of het personeelshandboek
Maak het beleid kort, leesbaar en praktisch. Een document van 5-8 pagina’s is effectiever dan een juridisch handboek van 40 pagina’s. Medewerkers moeten het daadwerkelijk lezen en begrijpen. Voeg concrete voorbeelden toe: “U mag ChatGPT gebruiken om een eerste concept van een offerte te schrijven. U mag geen klantgegevens of namen invoeren.”
Het sjabloon: direct aanpasbaar
Hieronder een beknopt sjabloon dat u als startpunt kunt gebruiken. Pas de specifieke details aan voor uw organisatie.
AI-BELEID [ORGANISATIENAAM]
Versie: 1.0 | Datum: [datum] | Eigenaar: [functie]
1. DOEL
Dit beleid regelt het gebruik van AI-tools binnen [organisatienaam],
in overeenstemming met de Europese AI-Verordening en de AVG.
2. REIKWIJDTE
Geldt voor alle medewerkers, contractors en stagiairs.
3. GOEDGEKEURDE TOOLS
- [Tool 1] — [doeleinden] — [versie/abonnement]
- [Tool 2] — [doeleinden] — [versie/abonnement]
Nieuwe tools aanvragen via: [proces/formulier]
4. DATAREGELS
- Openbare en interne gegevens: toegestaan in goedgekeurde tools
- Vertrouwelijke gegevens: alleen met [Enterprise-versie] na goedkeuring [functie]
- Persoonsgegevens en strikt vertrouwelijke informatie: NIET toegestaan
5. KWALITEITSCONTROLE
Alle AI-output moet door een mens worden geverifieerd vóór gebruik.
6. TRANSPARANTIE
AI-gebruik wordt vermeld bij [specificeer: externe communicatie / alle documenten].
7. OPLEIDING
Basisopleiding AI-geletterdheid is verplicht voor alle medewerkers.
Deelname wordt geregistreerd via [systeem].
8. GOVERNANCE
AI-risicobeoordeling voor nieuwe toepassingen via [proces].
Incidenten melden bij [contactpersoon/kanaal].
9. SANCTIES
Overtreding van dit beleid wordt behandeld conform [personeelshandboek/sectie].Veelgemaakte fouten
Te restrictief beginnen. Een beleid dat alles verbiedt, wordt omzeild. Begin met duidelijke kaders en goedgekeurde tools — medewerkers willen AI gebruiken, en dat is goed. Geef ze een veilige manier om het te doen.
Geen opleiding koppelen. Een beleid zonder opleiding is waardeloos. Medewerkers moeten niet alleen weten wát de regels zijn, maar begrijpen waarom ze bestaan en hoe ze in de praktijk werken. Zie onze gids over AI-opleiding voor bedrijven.
Niet bijwerken. AI-tools veranderen snel. Een beleid van januari 2026 is in december 2026 verouderd. Plan halfjaarlijkse reviews en wijs een eigenaar aan die verantwoordelijk is voor actualisering.
Geen risicobeoordeling. Een beleid zonder voorafgaande risicobeoordeling mist de basis. Breng eerst in kaart welke AI-tools in gebruik zijn, welke gegevens erin worden verwerkt en welke risico’s dat oplevert. De gids voor het MKB biedt een praktisch kader voor kleinere organisaties.
Geen betrokkenheid van medewerkers. Betrek sleutelgebruikers bij het opstellen van het beleid. Zij weten welke tools ze gebruiken, voor welke taken, en welke kaders werkbaar zijn. Een beleid dat van bovenaf wordt opgelegd zonder input van de werkvloer wordt genegeerd.
Aan de slag met AI-beleid en opleiding
Een AI-beleid is de eerste stap. De volgende stap is uw team de vaardigheden geven om AI verantwoord en effectief te gebruiken. Brain biedt gestructureerde AI-opleiding die aansluit bij uw beleid — van basismodule AI-geletterdheid (vereist door de AI-Verordening) tot rolspecifieke verdieping. Met een dashboard dat opleidingsdeelname documenteert voor compliance-doeleinden. Bekijk onze abonnementen en ontdek welk plan bij uw organisatie past.
Gerelateerde artikelen
AI-beleid voor bedrijven: hoe u een effectief beleid opstelt
Stel een AI-beleid op met tien essentiële onderdelen, handhaving en AI-Verordening compliance. Inclusief praktisch sjabloon.
AI-governance: stappenplan voor Nederlandse organisaties
Stel een AI-governance framework op dat voldoet aan de AI-Verordening. Praktische stappen, rollen en verantwoordelijkheden.
AI Act: verplichtingen + stappenplan voor NL
AI-Verordening voor Nederlandse bedrijven: risicoklassen, Artikel 4, AP-handhaving, boetes en concreet stappenplan voor compliance.