Implementatie

AI beleid opstellen: gratis template + 7 onderdelen

De helft van de Nederlandse bedrijven heeft geen AI-beleid, terwijl medewerkers massaal hun eigen tools gebruiken. Met deze 7 onderdelen en gratis template stel je er vandaag nog een op.

Dennis ClaassenDennis Claassen12 min lezen
Zeven in elkaar grijpende gouden balken die samen een gesloten zevenhoek vormen op een zwarte sokkel, symbool voor de zeven onderdelen van een AI-beleid

AI implementeren in je team?

Van strategie tot dagelijkse toepassing — wij trainen je team hands-on.

Dennis Claassen

Dennis Claassen

AI-trainer · 35+ teams getraind

Bekijk AI als Teamsport

Key Takeaways

  • De helft van de Nederlandse organisaties heeft geen AI-beleid, terwijl 78% van de medewerkers al eigen AI-tools gebruikt. Dat is een tikkende tijdbom.
  • Een AI-beleid hoeft geen juridisch document te zijn. Het is een praktische set afspraken over welke tools je gebruikt, welke data erin mag, en wie de output controleert.
  • Zeven onderdelen vormen de basis: van visie en goedgekeurde tools tot incidentenprocedures en evaluatie.
  • De EU AI Act verplicht AI-geletterdheid sinds februari 2025. Een AI-beleid is de eerste stap om dat aantoonbaar te maken.
  • Onderaan vind je een compleet, invulbaar AI-beleid voorbeeld dat je kunt kopiëren, plus externe frameworks van ISACA, KVK en NIST als verdieping.

Stel je voor: een medewerker plakt klantgegevens in ChatGPT om snel een offerte te maken. Een ander gebruikt een gratis AI-tool om sollicitatiebrieven te beoordelen. Een derde laat Claude een marktanalyse schrijven op basis van interne verkoopdata.

Herkenbaar? Dat dacht ik al. Bij Samsung lekte vertrouwelijke broncode nadat engineers ChatGPT gebruikten om code te debuggen. De schade was zo groot dat Samsung generatieve AI volledig verbood — en daarna weer moest toestaan omdat medewerkers het toch bleven gebruiken.

Je kunt AI niet verbieden. Maar je kunt wel kaders bieden. Dat begint met een AI-beleid.

Waarom je nú een AI-beleid nodig hebt

De cijfers uit het Beeckestijn Trendrapport 2026 zijn duidelijk:

  • 50% van de Nederlandse organisaties heeft geen AI-beleid
  • 78% van de medewerkers gebruikt eigen, niet-goedgekeurde AI-tools
  • 50% uploadt bedrijfsdata naar publieke tools
  • 67% controleert de output niet

Dit heet shadow AI — AI-gebruik buiten het zicht van management en IT. En het groeit explosief. Gartner voorspelt dat meer dan 40% van de bedrijven tegen 2030 beveiligings- of compliance-incidenten zal ervaren door ongecontroleerd AI-gebruik.

Ondertussen is de EU AI Act al deels van kracht. AI-geletterdheid is sinds februari 2025 verplicht. Op 2 augustus 2026 worden de regels voor hoog-risico AI-systemen actief. Een AI-beleid is niet langer optioneel — het is een zakelijke én juridische noodzaak.

AI Training

Wil je AI leren inzetten?

In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.

De 7 onderdelen van een goed AI-beleid

Gebaseerd op frameworks van ISACA, KVK en het NIST AI Risk Management Framework. Dit zijn de zeven bouwstenen die elke organisatie nodig heeft.

1. Visie en doelstellingen

Begin niet met regels, maar met richting. Waarom wil je AI inzetten? Wat wil je ermee bereiken?

Dit klinkt als een open deur, maar het maakt een enorm verschil. Als je team weet dat AI wordt ingezet om repetitief werk te verminderen en meer tijd vrij te maken voor klantcontact, dan snappen ze ook waarom bepaalde regels bestaan.

Wat je opschrijft:

  • Wat de organisatie wil bereiken met AI (concreet, niet vaag)
  • Welke principes leidend zijn — denk aan transparantie, betrouwbaarheid, menselijk toezicht
  • Hoe AI-gebruik past bij de bredere bedrijfsstrategie

2. Goedgekeurde tools en platformen

De belangrijkste vraag die medewerkers hebben: welke tools mag ik gebruiken?

Maak dit heel concreet. Niet "gebruik alleen goedgekeurde tools" maar een daadwerkelijke lijst.

Wat je opschrijft:

  • Welke AI-tools zijn goedgekeurd (bijv. ChatGPT Team/Enterprise, Claude Pro, Microsoft Copilot)
  • Welke tools zijn expliciet niet toegestaan (bijv. gratis versies zonder zakelijke privacy-instellingen)
  • Het proces om een nieuwe tool aan te vragen en goed te keuren
  • Wie beslist over goedkeuring (IT, management, een AI-werkgroep)

Tip

Tip: kies voor zakelijke versies van AI-tools. ChatGPT Team en Claude Pro trainen niet op je data en bieden betere privacy-instellingen dan de gratis varianten. Dat scheelt veel regels in je beleid.

3. Data- en privacyregels

Dit is het onderdeel waar het in de praktijk het vaakst misgaat. IBM's Cost of a Data Breach Report 2025 meldt een gemiddelde schade van $4,4 miljoen per datalek. En 50% van de medewerkers stopt al bedrijfsdata in publieke AI-tools.

Wat je opschrijft:

  • Welke data wel in AI-tools mag (publiek beschikbare informatie, geanonimiseerde data)
  • Welke data nooit mag (persoonsgegevens, klantdata, financiële gegevens, intellectueel eigendom, contracten)
  • Hoe om te gaan met AI-output die persoonsgegevens bevat
  • Relatie met bestaand AVG/GDPR-beleid en verwerkersovereenkomsten

4. Kwaliteitscontrole en menselijk toezicht

AI maakt fouten. LLM's hallucineren — ze verzinnen feiten die overtuigend klinken maar niet kloppen. McKinsey meldt dat slechts 27% van organisaties alle AI-output systematisch controleert.

Wat je opschrijft:

  • Welke output altijd door een mens gecontroleerd moet worden (extern klantcontact, juridische teksten, financiële rapportages)
  • Welke output een lichtere controle kan krijgen (interne notities, brainstormsessies)
  • Hoe je omgaat met AI-hallucinaties — wanneer en hoe verifieer je feiten
  • De regel: AI assisteert, de mens beslist. Geen enkele AI-beslissing die mensen direct raakt mag zonder menselijke tussenkomst

5. Rollen en verantwoordelijkheden

Als iedereen verantwoordelijk is, is niemand verantwoordelijk. Benoem expliciet wie wat doet.

Wat je opschrijft:

  • AI-eigenaar — wie is eindverantwoordelijk voor het AI-beleid (directie/management)
  • AI-werkgroep — wie evalueert tools, monitort gebruik en adviseert (IT + operations + legal)
  • Teamleiders — wie ziet toe op naleving binnen teams
  • Alle medewerkers — wat is ieders individuele verantwoordelijkheid
  • Meldprocedure bij twijfel of incidenten

6. Training en AI-geletterdheid

De EU AI Act verplicht AI-geletterdheid sinds februari 2025. Maar los van de verplichting: als je team niet weet hoe ze AI effectief en verantwoord inzetten, helpt geen enkel beleid.

PwC beschrijft drie niveaus:

  1. Kennis — weten wat AI is en wat de beperkingen zijn
  2. Begrip — die kennis toepassen in nieuwe situaties
  3. Vaardigheden — het herhaaldelijk inzetten in de dagelijkse praktijk

Wat je opschrijft:

  • Hoe je nieuwe medewerkers onboardt op AI-gebruik
  • Welke training verplicht is en hoe vaak (jaarlijkse bijscholing is aan te raden — AI ontwikkelt zich te snel voor eenmalige training)
  • Hoe je aantoonbaar maakt dat medewerkers voldoende AI-geletterd zijn (certificaten, documentatie)
  • Specifieke trainingsniveaus per rol — een directeur heeft andere kennis nodig dan een marketeer

In onze ChatGPT, Claude & Gemini Masterclass trainen we teams hands-on in alle drie de grote AI-platformen. Na afloop heeft je team aantoonbare AI-geletterdheid — inclusief documentatie die je kunt gebruiken voor je compliance-dossier.

Persoonlijk advies

Hulp nodig bij AI implementatie?

Plan een vrijblijvend adviesgesprek en ontdek wat AI voor jouw organisatie kan betekenen.

7. Incidentenprocedure en evaluatie

Wat doe je als het misgaat? En hoe houd je het beleid actueel?

Wat je opschrijft:

  • Wat is een AI-incident (datalek via AI-tool, foutieve AI-output die extern is gecommuniceerd, bias in AI-beslissingen)
  • Wie wordt geïnformeerd en hoe snel
  • Hoe je incidenten documenteert en evalueert
  • Hoe vaak je het beleid herziet (minimaal halfjaarlijks — de technologie verandert te snel voor een jaarlijkse cyclus)
  • Hoe je nieuwe AI-ontwikkelingen opneemt in het beleid

AI-beleid voorbeeld: het complete template (kopieer en pas aan)

Hieronder staat een ingevuld voorbeeld dat de zeven onderdelen hierboven één-op-één volgt. Kopieer het, vervang de tekst tussen [vierkante haken] door je eigen gegevens en houd het op twee tot drie pagina's. Het is een startpunt — geen juridisch eindproduct.

AI-BELEID — [BEDRIJFSNAAM]

Versie: 1.0
Ingangsdatum: [INGANGSDATUM]
Eigenaar: [NAAM AI-EIGENAAR / DIRECTIELID]
Eerstvolgende evaluatie: [EVALUATIEDATUM]
Voor wie geldt dit: alle medewerkers, stagiairs en ingehuurde
krachten van [BEDRIJFSNAAM] die AI-tools gebruiken voor hun werk.


1. VISIE EN DOELSTELLINGEN

[BEDRIJFSNAAM] zet AI in om [DOEL, bijv. repetitief werk te
verminderen en meer tijd vrij te maken voor klantcontact]. We
gebruiken AI als hulpmiddel, niet als vervanging van het oordeel
van onze mensen.

Onze leidende principes:
- Transparantie: we zijn open over waar en hoe we AI inzetten.
- Menselijk toezicht: een mens blijft altijd eindverantwoordelijk
  voor wat met AI-output gebeurt.
- Betrouwbaarheid: we controleren AI-output voordat we erop
  vertrouwen of het delen.


2. GOEDGEKEURDE TOOLS EN PLATFORMEN

Toegestaan voor zakelijk gebruik:
[GOEDGEKEURDE TOOLS, bijv. ChatGPT Team, Claude Pro,
Microsoft Copilot] — dit zijn zakelijke versies die je invoer
standaard niet gebruiken om hun modellen te trainen.

Niet toegestaan:
- Gratis of persoonlijke versies van AI-tools voor werk waarin
  bedrijfs- of klantgegevens voorkomen.
- Tools die niet op deze lijst staan, totdat ze zijn goedgekeurd.

Een nieuwe tool aanvragen:
Mail [NAAM AI-EIGENAAR] met de naam van de tool, het doel en de
leverancier. [NAAM/TEAM AI-WERKGROEP] beoordeelt de aanvraag
voordat de tool in gebruik wordt genomen.


3. DATA- EN PRIVACYREGELS

Wat mag wél in een goedgekeurde AI-tool:
- Publiek beschikbare informatie.
- Geanonimiseerde of verzonnen voorbeelden.

Wat mag nooit:
- Persoonsgegevens (namen, adressen, BSN, gezondheidsgegevens).
- Klantdata, contracten en financiële gegevens.
- Vertrouwelijke bedrijfsinformatie en intellectueel eigendom.

Twijfel je of iets gevoelig is? Dan voer je het niet in en vraag
je het na bij [NAAM AI-EIGENAAR]. Dit beleid sluit aan op ons
bestaande AVG-/privacybeleid.


4. KWALITEITSCONTROLE EN MENSELIJK TOEZICHT

AI kan overtuigend klinkende fouten maken. Daarom geldt:
- Output die naar buiten gaat of impact heeft op mensen (klant-
  mails, juridische teksten, financiële rapportages, beslissingen
  over personen) wordt altijd door een mens gecontroleerd.
- Interne concepten en brainstorms mogen een lichtere controle
  krijgen.
- Feiten, cijfers en bronnen uit AI-output controleer je voordat
  je ze gebruikt.

De regel in één zin: AI assisteert, de mens beslist.


5. ROLLEN EN VERANTWOORDELIJKHEDEN

- AI-eigenaar ([NAAM AI-EIGENAAR / DIRECTIELID]): eindverant-
  woordelijk voor dit beleid en de uitvoering ervan.
- AI-werkgroep ([NAAM/TEAM AI-WERKGROEP]): beoordeelt nieuwe
  tools, houdt het AI-register bij en adviseert.
- Teamleiders: zien toe op naleving binnen hun team.
- Alle medewerkers: gebruiken alleen goedgekeurde tools, houden
  zich aan de dataregels en melden twijfel of incidenten.

Melden doe je bij [NAAM AI-EIGENAAR] of je teamleider.


6. TRAINING EN AI-GELETTERDHEID

Iedereen die met AI werkt, krijgt training die past bij zijn rol
— een directielid heeft andere kennis nodig dan een marketeer.
We werken toe naar drie niveaus: kennis (weten wat AI is en wat
de beperkingen zijn), begrip (die kennis toepassen) en
vaardigheden (AI dagelijks verantwoord inzetten).

- Nieuwe medewerkers krijgen bij hun onboarding uitleg over dit
  beleid en veilig AI-gebruik.
- We plannen regelmatige bijscholing, omdat AI snel verandert.
- We leggen vast wie welke training heeft gevolgd, zodat we onze
  AI-geletterdheid kunnen aantonen.

Verantwoordelijke voor training: [NAAM AI-EIGENAAR / VERANT-
WOORDELIJKE].


7. INCIDENTENPROCEDURE EN EVALUATIE

Een AI-incident is bijvoorbeeld: een datalek via een AI-tool,
foutieve AI-output die extern is gedeeld, of een AI-beslissing
die iemand benadeelt.

Wat je doet bij een incident:
1. Stop direct met de betrokken tool of actie.
2. Meld het binnen [TERMIJN, bijv. 24 uur] bij [NAAM
   AI-EIGENAAR].
3. [BEDRIJFSNAAM] legt het incident vast en bekijkt hoe het in de
   toekomst voorkomen kan worden.

Evaluatie:
We herzien dit beleid minimaal halfjaarlijks en direct wanneer er
nieuwe tools of nieuwe regels bijkomen. [NAAM AI-EIGENAAR] houdt
dit bij.


Vastgesteld door: [NAAM / DIRECTIE]
Datum: [INGANGSDATUM]

Gratis templates en voorbeelden

Je hoeft het wiel niet opnieuw uit te vinden. Deze organisaties bieden gratis frameworks:

Info

Het template hierboven is je startpunt. Deze frameworks zijn verdieping voor wie meer detail of een sectorspecifieke aanpak wil. Geen van deze externe templates is plug-and-play — pas ze aan op jouw organisatie, sector en risiconiveau.

Veelgemaakte fouten

Na tientallen gesprekken met bedrijven over hun AI-aanpak, zie ik steeds dezelfde valkuilen:

  • Te streng beginnen. Een beleid dat alles verbiedt, wordt genegeerd. Start met duidelijke kaders en ruimte om te experimenteren.
  • Geen onderscheid maken per rol. Een ontwikkelaar heeft andere AI-rechten nodig dan een receptionist. Maak het beleid rolspecifiek.
  • Eenmalig opstellen en vergeten. AI verandert maandelijks. Een beleid van zes maanden geleden is achterhaald. Plan evaluatiemomenten in.
  • Alleen focussen op risico's. Als je beleid alleen gaat over wat niet mag, mist het de kans om AI-adoptie te versnellen. Benadruk ook de mogelijkheden.
  • IT alleen laten doen. Een AI-beleid raakt de hele organisatie. Betrek management, HR, legal én de mensen die dagelijks met AI werken.

Het verband met de EU AI Act

Een AI-beleid is niet alleen verstandig beleid — het is steeds vaker een wettelijke verplichting. De EU AI Act stelt concrete eisen:

  • AI-geletterdheid (Artikel 4) — al verplicht sinds februari 2025
  • Transparantie (Artikel 50) — gebruikers moeten weten dat ze met AI communiceren
  • Documentatie voor hoog-risico systemen — logging, risicobeoordeling, menselijk toezicht
  • Boetes tot €35 miljoen of 7% van je wereldwijde omzet bij overtredingen

Een goed AI-beleid dekt de eerste twee punten al grotendeels af. Het is de meest praktische manier om compliant te worden zonder dat het een juridisch project van maanden wordt.

Hoe je morgen begint

Een AI-beleid hoeft niet perfect te zijn. Het moet bestaan. Begin klein, breid uit op basis van ervaring, en betrek je team erbij.

Drie stappen om deze week te zetten:

  1. Inventariseer welke AI-tools er nu al worden gebruikt in je organisatie — inclusief de onofficiële. Stuur een korte enquête of organiseer een teamlunch waar je het bespreekt.
  2. Schrijf versie 1 op basis van de 7 onderdelen hierboven. Houd het op twee tot drie pagina's. Het hoeft geen juridisch document te zijn — duidelijke afspraken in normaal Nederlands werken beter.
  3. Train je team zodat iedereen weet hoe ze AI effectief en verantwoord inzetten. Dat is niet alleen verstandig, het is wettelijk verplicht.

Wil je je team in één sessie hands-on trainen in AI-tools én verantwoord gebruik? Bekijk onze ChatGPT, Claude & Gemini Masterclass of plan een vrijblijvend adviesgesprek.

AI Training

Wil je AI leren inzetten?

In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.

Bronnen

Veelgestelde vragen

Hoe stel je een AI-beleid op?

Een AI-beleid bestaat uit 7 onderdelen: visie en doelstellingen, goedgekeurde tools en platformen, data- en privacyregels, kwaliteitscontrole en menselijk toezicht, rollen en verantwoordelijkheden, training en AI-geletterdheid, en een incidentenprocedure met evaluatie. Begin met twee tot drie pagina's in normaal Nederlands — het hoeft geen juridisch document te zijn.

Is een AI-beleid verplicht?

De EU AI Act verplicht sinds februari 2025 dat organisaties AI-geletterdheid borgen. Een AI-beleid is de meest praktische manier om dat aantoonbaar te maken. Hoewel de wet geen specifiek "AI-beleid" voorschrijft, verwacht de toezichthouder wel documentatie over hoe je AI inzet, welke data erin mag, en wie verantwoordelijk is.

Wat is shadow AI?

Shadow AI is AI-gebruik door medewerkers buiten het zicht van management en IT. Denk aan medewerkers die klantgegevens in de gratis versie van ChatGPT plakken of ongoedgekeurde AI-tools gebruiken. Onderzoek toont dat 78% van de medewerkers eigen AI-tools gebruikt en 50% bedrijfsdata uploadt naar publieke tools. Een AI-beleid met goedgekeurde tools en duidelijke regels voorkomt dit.

Welke AI-tools mag je op het werk gebruiken?

Dat bepaalt je organisatie in het AI-beleid. Zakelijke versies van ChatGPT (Team/Enterprise), Claude Pro en Microsoft Copilot trainen niet op je data en bieden betere privacy-instellingen. Gratis versies gebruiken je invoer standaard voor modeltraining. Maak een concrete lijst van goedgekeurde tools en communiceer die naar je team.

Hoe ziet een AI-beleid voorbeeld eruit?

Een goed AI-beleid voorbeeld volgt zeven onderdelen: visie en doelstellingen, goedgekeurde tools en platformen, data- en privacyregels, kwaliteitscontrole en menselijk toezicht, rollen en verantwoordelijkheden, training en AI-geletterdheid, en een incidentenprocedure met evaluatie. In dit artikel staat een compleet ingevuld voorbeeld dat je kunt kopiëren en aanpassen — vervang de placeholders zoals [bedrijfsnaam] en [goedgekeurde tools] door je eigen gegevens en houd het op twee tot drie pagina's.

Waar vind ik een gratis template voor AI-beleid?

In dit artikel staat een compleet, invulbaar AI-beleid voorbeeld dat je direct kunt kopiëren en aanpassen. Wil je verdieping, dan bieden ISACA (governance-gids en audit-toolkit), de KVK (advies voor het Nederlandse MKB) en het NIST AI Risk Management Framework aanvullende frameworks. Geen enkel extern template is plug-and-play — pas alles aan op je organisatie, sector en risiconiveau.

Tags
ai-beleidai-governanceai-policyeu-ai-actshadow-aiai-voor-bedrijven
Dennis Claassen
Geschreven door

Dennis Claassen

Founder & AI Trainer

Dennis is de oprichter van Project Impact en traint Nederlandse bedrijven in het effectief gebruiken van AI. Met jarenlange ervaring in tech en onderwijs helpt hij teams om AI praktisch toe te passen.

AI leren toepassen in je bedrijf?

Ontdek onze praktische AI trainingen voor teams.