AI beleid opstellen: gratis template + 7 onderdelen

Stel je voor: een medewerker plakt klantgegevens in ChatGPT om snel een offerte te maken. Een ander gebruikt een gratis AI-tool om sollicitatiebrieven te beoordelen. Een derde laat Claude een marktanalyse schrijven op basis van interne verkoopdata.

Herkenbaar? Dat dacht ik al. Bij Samsung lekte vertrouwelijke broncode nadat engineers ChatGPT gebruikten om code te debuggen. De schade was zo groot dat Samsung generatieve AI volledig verbood — en daarna weer moest toestaan omdat medewerkers het toch bleven gebruiken.

Je kunt AI niet verbieden. Maar je kunt wel kaders bieden. Dat begint met een AI-beleid.

Waarom je nú een AI-beleid nodig hebt

De cijfers uit het Beeckestijn Trendrapport 2026 zijn duidelijk:

• •50% van de Nederlandse organisaties heeft geen AI-beleid
• •78% van de medewerkers gebruikt eigen, niet-goedgekeurde AI-tools
• •50% uploadt bedrijfsdata naar publieke tools
• •67% controleert de output niet

Dit heet shadow AI — AI-gebruik buiten het zicht van management en IT. En het groeit explosief. Gartner voorspelt dat meer dan 40% van de bedrijven tegen 2030 beveiligings- of compliance-incidenten zal ervaren door ongecontroleerd AI-gebruik.

Ondertussen is de EU AI Act al deels van kracht. AI-geletterdheid is sinds februari 2025 verplicht. Op 2 augustus 2026 worden de regels voor hoog-risico AI-systemen actief. Een AI-beleid is niet langer optioneel — het is een zakelijke én juridische noodzaak.

De 7 onderdelen van een goed AI-beleid

Gebaseerd op frameworks van ISACA, KVK en het NIST AI Risk Management Framework. Dit zijn de zeven bouwstenen die elke organisatie nodig heeft.

1. Visie en doelstellingen

Begin niet met regels, maar met richting. Waarom wil je AI inzetten? Wat wil je ermee bereiken?

Dit klinkt als een open deur, maar het maakt een enorm verschil. Als je team weet dat AI wordt ingezet om repetitief werk te verminderen en meer tijd vrij te maken voor klantcontact, dan snappen ze ook waarom bepaalde regels bestaan.

Wat je opschrijft:

• •Wat de organisatie wil bereiken met AI (concreet, niet vaag)
• •Welke principes leidend zijn — denk aan transparantie, betrouwbaarheid, menselijk toezicht
• •Hoe AI-gebruik past bij de bredere bedrijfsstrategie

2. Goedgekeurde tools en platformen

De belangrijkste vraag die medewerkers hebben: welke tools mag ik gebruiken?

Maak dit heel concreet. Niet "gebruik alleen goedgekeurde tools" maar een daadwerkelijke lijst.

Wat je opschrijft:

• •Welke AI-tools zijn goedgekeurd (bijv. ChatGPT Team/Enterprise, Claude Pro, Microsoft Copilot)
• •Welke tools zijn expliciet niet toegestaan (bijv. gratis versies zonder zakelijke privacy-instellingen)
• •Het proces om een nieuwe tool aan te vragen en goed te keuren
• •Wie beslist over goedkeuring (IT, management, een AI-werkgroep)

3. Data- en privacyregels

Dit is het onderdeel waar het in de praktijk het vaakst misgaat. IBM's Cost of a Data Breach Report 2025 meldt een gemiddelde schade van $4,4 miljoen per datalek. En 50% van de medewerkers stopt al bedrijfsdata in publieke AI-tools.

Wat je opschrijft:

• •Welke data wel in AI-tools mag (publiek beschikbare informatie, geanonimiseerde data)
• •Welke data nooit mag (persoonsgegevens, klantdata, financiële gegevens, intellectueel eigendom, contracten)
• •Hoe om te gaan met AI-output die persoonsgegevens bevat
• •Relatie met bestaand AVG/GDPR-beleid en verwerkersovereenkomsten

4. Kwaliteitscontrole en menselijk toezicht

AI maakt fouten. LLM's hallucineren — ze verzinnen feiten die overtuigend klinken maar niet kloppen. McKinsey meldt dat slechts 27% van organisaties alle AI-output systematisch controleert.

Wat je opschrijft:

• •Welke output altijd door een mens gecontroleerd moet worden (extern klantcontact, juridische teksten, financiële rapportages)
• •Welke output een lichtere controle kan krijgen (interne notities, brainstormsessies)
• •Hoe je omgaat met AI-hallucinaties — wanneer en hoe verifieer je feiten
• •De regel: AI assisteert, de mens beslist. Geen enkele AI-beslissing die mensen direct raakt mag zonder menselijke tussenkomst

5. Rollen en verantwoordelijkheden

Als iedereen verantwoordelijk is, is niemand verantwoordelijk. Benoem expliciet wie wat doet.

Wat je opschrijft:

• •AI-eigenaar — wie is eindverantwoordelijk voor het AI-beleid (directie/management)
• •AI-werkgroep — wie evalueert tools, monitort gebruik en adviseert (IT + operations + legal)
• •Teamleiders — wie ziet toe op naleving binnen teams
• •Alle medewerkers — wat is ieders individuele verantwoordelijkheid
• •Meldprocedure bij twijfel of incidenten

6. Training en AI-geletterdheid

De EU AI Act verplicht AI-geletterdheid sinds februari 2025. Maar los van de verplichting: als je team niet weet hoe ze AI effectief en verantwoord inzetten, helpt geen enkel beleid.

PwC beschrijft drie niveaus:

1. •Kennis — weten wat AI is en wat de beperkingen zijn
2. •Begrip — die kennis toepassen in nieuwe situaties
3. •Vaardigheden — het herhaaldelijk inzetten in de dagelijkse praktijk

Wat je opschrijft:

• •Hoe je nieuwe medewerkers onboardt op AI-gebruik
• •Welke training verplicht is en hoe vaak (jaarlijkse bijscholing is aan te raden — AI ontwikkelt zich te snel voor eenmalige training)
• •Hoe je aantoonbaar maakt dat medewerkers voldoende AI-geletterd zijn (certificaten, documentatie)
• •Specifieke trainingsniveaus per rol — een directeur heeft andere kennis nodig dan een marketeer

In onze ChatGPT, Claude & Gemini Masterclass trainen we teams hands-on in alle drie de grote AI-platformen. Na afloop heeft je team aantoonbare AI-geletterdheid — inclusief documentatie die je kunt gebruiken voor je compliance-dossier.

7. Incidentenprocedure en evaluatie

Wat doe je als het misgaat? En hoe houd je het beleid actueel?

Wat je opschrijft:

• •Wat is een AI-incident (datalek via AI-tool, foutieve AI-output die extern is gecommuniceerd, bias in AI-beslissingen)
• •Wie wordt geïnformeerd en hoe snel
• •Hoe je incidenten documenteert en evalueert
• •Hoe vaak je het beleid herziet (minimaal halfjaarlijks — de technologie verandert te snel voor een jaarlijkse cyclus)
• •Hoe je nieuwe AI-ontwikkelingen opneemt in het beleid

Gratis templates en voorbeelden

Je hoeft het wiel niet opnieuw uit te vinden. Deze organisaties bieden gratis frameworks:

• •ISACA — AI Training en Resources — uitgebreid framework met audit-toolkit, governance-gids en e-books over AI-beleid
• •KVK — Onderzoek AI-wetgeving voor ondernemers — praktisch onderzoek en advies specifiek voor het Nederlandse MKB
• •NIST AI Risk Management Framework — de internationale standaard voor AI-risicobeheer, met playbook en implementatiegids
• •EU AI Act — Volledige tekst en uitleg — directe bron voor alle wettelijke vereisten

Veelgemaakte fouten

Na tientallen gesprekken met bedrijven over hun AI-aanpak, zie ik steeds dezelfde valkuilen:

• •Te streng beginnen. Een beleid dat alles verbiedt, wordt genegeerd. Start met duidelijke kaders en ruimte om te experimenteren.
• •Geen onderscheid maken per rol. Een ontwikkelaar heeft andere AI-rechten nodig dan een receptionist. Maak het beleid rolspecifiek.
• •Eenmalig opstellen en vergeten. AI verandert maandelijks. Een beleid van zes maanden geleden is achterhaald. Plan evaluatiemomenten in.
• •Alleen focussen op risico's. Als je beleid alleen gaat over wat niet mag, mist het de kans om AI-adoptie te versnellen. Benadruk ook de mogelijkheden.
• •IT alleen laten doen. Een AI-beleid raakt de hele organisatie. Betrek management, HR, legal én de mensen die dagelijks met AI werken.

Het verband met de EU AI Act

Een AI-beleid is niet alleen verstandig beleid — het is steeds vaker een wettelijke verplichting. De EU AI Act stelt concrete eisen:

• •AI-geletterdheid (Artikel 4) — al verplicht sinds februari 2025
• •Transparantie (Artikel 50) — gebruikers moeten weten dat ze met AI communiceren
• •Documentatie voor hoog-risico systemen — logging, risicobeoordeling, menselijk toezicht
• •Boetes tot €35 miljoen of 7% van je wereldwijde omzet bij overtredingen

Een goed AI-beleid dekt de eerste twee punten al grotendeels af. Het is de meest praktische manier om compliant te worden zonder dat het een juridisch project van maanden wordt.

Hoe je morgen begint

Een AI-beleid hoeft niet perfect te zijn. Het moet bestaan. Begin klein, breid uit op basis van ervaring, en betrek je team erbij.

Drie stappen om deze week te zetten:

1. •Inventariseer welke AI-tools er nu al worden gebruikt in je organisatie — inclusief de onofficiële. Stuur een korte enquête of organiseer een teamlunch waar je het bespreekt.
2. •Schrijf versie 1 op basis van de 7 onderdelen hierboven. Houd het op twee tot drie pagina's. Het hoeft geen juridisch document te zijn — duidelijke afspraken in normaal Nederlands werken beter.
3. •Train je team zodat iedereen weet hoe ze AI effectief en verantwoord inzetten. Dat is niet alleen verstandig, het is wettelijk verplicht.

Wil je je team in één sessie hands-on trainen in AI-tools én verantwoord gebruik? Bekijk onze ChatGPT, Claude & Gemini Masterclass of plan een vrijblijvend adviesgesprek.

Bronnen

• •Beeckestijn — Helft Nederlandse organisaties heeft geen AI-beleid
• •Gartner — Top Predictions for IT Organizations 2026
• •McKinsey — The State of AI 2025
• •IBM — Cost of a Data Breach Report 2025
• •PwC — AI Literacy under the EU AI Act
• •EU AI Act — Volledige tekst en uitleg
• •EU AI Act — Artikel 4: AI-geletterdheid
• •ISACA — AI Training en Resources
• •KVK — Onderzoek: ondernemers nauwelijks voorbereid op AI-wetgeving
• •NIST — AI Risk Management Framework
• •Autoriteit Persoonsgegevens — De AVG in het kort
• •TechRadar — Samsung workers leaked company secrets by using ChatGPT
• •ING — Kickstart AI in Nederland