AI-beleid voor je organisatie: wat moet je nu regelen?

AI-beleid voor je organisatie: wat moet je nu regelen?

AI zit al in je organisatie. Ook als je denkt van niet.

Het zit in Outlook, Teams, je boekhoudsoftware, je spamfilter en slimme functies die je team elke dag gebruikt. Handig? Zeker. Risicovol? Ook, als je geen afspraken maakt.

Sinds 2024 is er bovendien de AI Act. Europese wetgeving die bepaalt hoe organisaties verantwoord met AI moeten omgaan. Dat vraagt niet om dikke beleidsmappen, maar om duidelijke keuzes. Want wie AI gebruikt, moet kunnen uitleggen wat er gebeurt, welke risico’s erbij horen en wie waarvoor verantwoordelijk is.

Daarvoor heb je drie dingen nodig:

  • Een AI-beleid, met duidelijke spelregels over wat wel en niet mag.
  • Een AI-register, waarin staat welke AI-tools je gebruikt, waarvoor, met welke data en welk risico.
  • AI-geletterde medewerkers, die snappen hoe AI werkt, waar de grenzen liggen en wanneer ze beter zelf moeten nadenken.

Dat laatste is geen vrijblijvende tip. AI-geletterdheid is sinds 2 februari 2025 verplicht voor organisaties die AI-systemen gebruiken of aanbieden.

In dit artikel nemen we je stap voor stap mee. Van de wet, naar beleid en register, naar je mensen. Zodat je niet blijft hangen in “we moeten hier iets mee”, maar weet wat je morgen kunt regelen.

 

AI is overal, ook bij jou

Vraag tien mensen in je organisatie of ze AI gebruiken, en de helft zegt nee. Maar dat klopt bijna nooit. AI zit allang in de tools die ze elke dag aanraken: De slimme suggesties in Excel, de samenvatting van een Teams-vergadering, het spamfilter in je mail. Dat is allemaal AI.

En dan heb je nog de AI waar je bewust voor kiest. ChatGPT voor teksten of analyses. Een tool die cv’s voorsorteert. Een chatbot op je website. Software die facturen automatisch verwerkt. Dat is het soort AI waar je echt iets mee moet, want die maakt zelf keuzes die mensen raken.

Precies daar wordt het interessant. Want hoe meer impact AI heeft op mensen, data of beslissingen, hoe belangrijker de spelregels worden.

Het risico zit meestal niet in AI zelf, maar in het gebrek aan afspraken. Iemand plakt klantgegevens in ChatGPT, en niemand weet waar die data dan blijft. Een afdeling gebruikt een tool die nooit door iemand is goedgekeurd. Dat gaat lang goed, tot het een keer misgaat.

Daarom heb je overzicht nodig. Welke AI gebruik je? Waarvoor? Met welke data? Wie is verantwoordelijk? En wanneer moet een mens verplicht meekijken?

 

De AI Act: wat verandert er en wanneer?

De Europese AI Act is de eerste grote wet ter wereld die AI reguleert. De wet is op 1 augustus 2024 ingegaan en wordt in fases ingevoerd, verspreid over een paar jaar. Het idee is simpel: hoe groter de impact van een AI-systeem op mensen, hoe strenger de regels.

De wet werkt met vier risiconiveaus:

  1. Onaanvaardbaar risico: Verboden. Denk aan sociale scoring, manipulatie of AI die emoties leest op de werkvloer. In Europa zeggen we daar gewoon nee tegen.
  2. Hoog risico: Strenge eisen. Bijvoorbeeld bij AI voor sollicitaties, kredietbeoordeling, onderwijs of medische toepassingen. Je moet kunnen aantonen dat het systeem eerlijk, veilig en controleerbaar werkt.
  3. Beperkt risico: Transparantie is hier het sleutelwoord. Praat iemand met een chatbot? Dan moet duidelijk zijn dat er geen mens aan de andere kant zit.
  4. Minimaal risico: Dit zijn de meeste dagelijkse AI-toepassingen, zoals spellingcontrole, spamfilters en zoeksuggesties. De regels zijn hier licht.

De tijdlijn

De belangrijkste deadlines:

  • 2 februari 2025: verboden AI-systemen zijn niet meer toegestaan en AI-geletterdheid is verplicht.
  • 2 augustus 2025: regels voor general-purpose AI, zoals grote taalmodellen, zijn van kracht.
  • 2 augustus 2026: veel verplichtingen voor hoog-risico AI-systemen en transparantie gaan gelden.
  • Augustus 2027: de volgende fase voor hoog-risico AI in producten, zoals medische apparaten en machines.

De AI Act staat niet alleen. Zodra je persoonsgegevens verwerkt, komt de AVG om de hoek kijken. Zet je AI in om medewerkers te volgen, beoordelen of selecteren? Dan speelt de WOR mee en moet je de ondernemingsraad betrekken. En voor organisaties in belangrijke sectoren kan ook NIS2, de cybersecuritywet, relevant zijn.

Kort gezegd: AI leeft niet in een juridisch vacuüm. Gebruik je AI serieus, dan moet je dit serieus regelen.

 

Wat is AI-beleid en waarom heb je het nodig?

Een AI-beleid is het huishoudelijk reglement voor hoe je organisatie met AI omgaat. Niks meer, niks minder. Het geeft je medewerkers duidelijkheid over wat mag, wat niet mag, en wie waarvoor verantwoordelijk is.

Een goed beleid hoeft geen boekwerk te zijn. Liever acht heldere pagina's dan twintig pagina's vol jargon die niemand leest.

Dit hoort erin:

  • Scope en definities: Welke tools en systemen vallen onder het beleid? Wat ziet jouw organisatie als AI? Zo voorkom je discussie over elke slimme knop in Excel.
  • Rollen en verantwoordelijkheden: Wie keurt een nieuwe AI-tool goed? Wie beheert het register? Wie controleert of een systeem blijft doen wat het moet doen?
  • Toegestaan gebruik: Mag klantenservice ChatGPT gebruiken voor e-mails? Mag marketing AI inzetten voor beeldgeneratie? Mag HR een tool gebruiken om cv’s te screenen? Hier leg je de grenzen vast, in gewone taal.
  • Data en privacy: Welke data mag wel en niet in een AI-tool? Waar wordt die data verwerkt? Wie heeft toegang tot de uitkomst? Dit raakt direct aan de AVG.
  • Menselijk toezicht: AI mag ondersteunen, versnellen en adviseren. Maar bij beslissingen die mensen raken, blijft een mens verantwoordelijk. De machine rekent, vat samen of voorspelt. De mens beslist.

Wat levert dat op? Rust, duidelijkheid en controle. Medewerkers weten wat kan, managers weten waar de risico’s zitten en je organisatie kan aantonen dat AI niet zomaar op goed geluk wordt ingezet.

En minstens zo belangrijk: goed beleid maakt AI bruikbaarder. Want mensen durven meer als ze weten waar de grenzen liggen.

 

Het AI-register: weten wat je in huis hebt

Je kunt geen afspraken maken over tools die je niet kent. Daarom hoort bij elk AI-beleid een AI-register.

Dat is een overzicht van de AI-systemen die je organisatie gebruikt. Niet alleen de naam van de tool, maar ook waarvoor je hem inzet, welke afdeling ermee werkt, welke data erin gaat, waar die data wordt verwerkt en welk risico eraan hangt.

De grote vraag is altijd: wat zet je erin?

Want als je elke spamfilter, spellingcheck en slimme knop moet registreren, ben je voorlopig wel even zoet. De vuistregel is daarom:

Bewuste keuze + impact op mensen = registreren.

Een paar voorbeelden:

  • ChatGPT voor klantmails of analyses? In het register.
  • Een tool die sollicitanten voorsorteert? Zeker in het register, want die raakt mensen direct.
  • Een chatbot op je website? In het register, inclusief transparantie: bezoekers moeten weten dat ze met AI praten.
  • Automatische spellingcheck in Word? Die kun je meestal laten zitten. Standaardfunctie, laag risico, weinig impact.

Een AI-register is geen eenmalige schoonmaakactie. Tools komen en gaan. Afdelingen testen nieuwe software. Leveranciers veranderen voorwaarden. Dus je houdt het register bij.

Het mooie is dat een goed register dubbel werkt. Het helpt je voldoen aan de AI Act, en het is meteen de basis voor je AI-geletterdheidsplan, want je weet nu precies welke systemen je medewerkers gebruiken en dus welke kennis ze nodig hebben.

 

AI-geletterdheid: de mens achter de tool

Beleid en register zijn belangrijk. Maar als je mensen niet snappen waar ze mee werken, blijft het papierwerk.

Daarom is AI-geletterdheid zo belangrijk. En niet alleen belangrijk, ook verplicht. Artikel 4 van de AI Act schrijft voor dat organisaties moeten zorgen dat medewerkers die met AI werken voldoende AI-geletterd zijn. Die plicht geldt sinds 2 februari 2025.

Dat betekent niet dat iedereen prompt engineer, data scientist of jurist moet worden. Gelukkig maar. Het gaat om praktisch begrip: weten hoe AI werkt, wat het kan, wat het niet kan, en wanneer je er beter niet op vertrouwt.

Twee dingen zijn belangrijk:

  1. Het is een inspanningsverplichting
    Je hoeft niet te bewijzen dat elke medewerker een examen heeft gehaald. Je moet wel kunnen aantonen dat je serieus werk maakt van bewustwording, training en verantwoord gebruik.
  2. Het niveau hangt af van de rol
    Een standaardtraining voor iedereen is te kort door de bocht. Iemand die de hele dag met een AI-tool werkt heeft meer kennis nodig dan iemand die hem af en toe gebruikt. Je stemt de training dus af op wat mensen in hun functie tegenkomen.

De handhaving wordt vanaf 2 augustus 2026 serieuzer, maar de verplichting geldt nu al. Dat betekent dus niet dat je kunt wachten. Wie nu nog niets doet, loopt dus nu al achter.

Hoe maak je je mensen AI-geletterd?

Hier komen onze workshops in beeld.

We geven praktische workshops AI-geletterdheid die aansluiten op de AI Act én op de rollen binnen je organisatie. Geen droge e-learning waar iedereen doorheen klikt met koffie in de hand, maar sessies waarin je team leert hoe AI werkt, waar de risico’s zitten en hoe je AI slim, veilig en verantwoord gebruikt in het dagelijkse werk.

Na afloop ontvangen deelnemers een persoonlijk certificaat. Verifieerbaar en direct toe te voegen aan je LinkedIn.

Dat is handig voor je medewerkers, maar ook voor je organisatie. Je laat zien dat je actief werkt aan AI-geletterdheid en dat je mensen niet zomaar met AI laat experimenteren. Daarmee bouw je aan bewustwording, vertrouwen én aantoonbaarheid.

Precies wat je nodig hebt als AI volwassen onderdeel wordt van je organisatie.

 

Hoe begin je: een praktisch stappenplan

Genoeg theorie. Tijd om te kijken wat je morgen kunt doen.

Stap 1: Breng je AI-tools in kaart
Vraag rond in je organisatie welke AI-tools mensen gebruiken. Niet alleen de bekende namen zoals ChatGPT of Copilot, maar ook tools met ingebouwde AI-functies. Grote kans dat er meer bovenkomt dan je dacht. Dit is de start van je AI-register.

Stap 2: Bepaal per tool het risico
Gebruik de vuistregel: bewuste keuze + impact op mensen = registreren en beoordelen. Kijk vooral naar tools die persoonsgegevens verwerken, beslissingen beïnvloeden of direct impact hebben op klanten, medewerkers of sollicitanten.

Stap 3: Maak een praktisch AI-beleid
Begin met de basis: scope, rollen, toegestaan gebruik, data en menselijk toezicht. Hou het kort, duidelijk en bruikbaar. Een beleid dat niemand leest, is geen beleid. Dat is PDF-behang.

Stap 4: Train je medewerkers rolgericht
Maak je mensen AI-geletterd. Niet iedereen heeft dezelfde kennis nodig, dus stem training af op de rol. Een marketeer, HR-medewerker, leidinggevende en AI-verantwoordelijke komen andere risico’s tegen. Dit is verplicht, dus laat het niet liggen.

Stap 5: Houd je register en beleid levend
AI verandert snel. Tools krijgen nieuwe functies, leveranciers passen voorwaarden aan en teams gaan experimenteren. Plan daarom vaste momenten om je register, beleid en trainingen te controleren en bij te werken.

Je hoeft dit niet in één week perfect te regelen. Maar niets doen is geen optie. Elke deadline die voorbijgaat, maakt het lastiger om straks aan te tonen dat je AI serieus en verantwoord inzet.

 

Van losse tools naar grip op AI

AI in je organisatie is geen vraag meer van óf, maar van hoe.

De wet vraagt in de basis drie dingen van je: weten wat je gebruikt, afspreken wat mag en zorgen dat je mensen snappen waar ze mee werken. Oftewel: een AI-register, een AI-beleid en AI-geletterde medewerkers.

Dat klinkt als veel. Maar met een slimme aanpak is het prima te overzien. Begin met inventariseren, maak duidelijke keuzes en train je mensen op wat ze echt nodig hebben in hun werk.

Wil je daar hulp bij? Wij helpen organisaties om AI verantwoord en praktisch in te zetten. Met AI-beleid, een werkbaar AI-register en workshops AI-geletterdheid inclusief persoonlijk certificaat voor je medewerkers.

Zo regel je niet alleen wat moet, maar bouw je ook aan vertrouwen, kennis en controle.

Klaar om grip te krijgen op AI? Neem contact met ons op, dan kijken we samen waar je staat en wat de slimste eerste stap is.

Vraag jouw AI workshop aan