Steeds meer medewerkers gebruiken AI in hun dagelijks werk, vaak zonder dat er duidelijke afspraken zijn. Dat brengt risico's met zich mee: gevoelige gegevens die in een chatbot belanden, onjuiste output die ongecontroleerd wordt overgenomen, of tools die eigenlijk niet door de beugel kunnen. Een AI-beleid geeft hier richting aan. Het is een intern document dat vastlegt hoe jouw organisatie verantwoord met AI omgaat, en het sluit naadloos aan op de eisen van de EU AI Act.

Waarom een AI-beleid?

Een AI-beleid is geen papieren verplichting om af te vinken, maar een praktisch instrument. Het:

  • geeft medewerkers heldere kaders voor wat wel en niet mag;
  • vermindert risico's rond privacy, beveiliging en onjuiste output;
  • ondersteunt je AI-geletterdheid (Artikel 4), omdat het de afspraken expliciet maakt;
  • maakt je aanpak aantoonbaar richting klanten, toezichthouders en je eigen directie.

Het beleid is daarmee de plek waar je losse maatregelen, zoals een register, training en classificatie, samenkomen tot één samenhangend verhaal.

Welke onderdelen horen erin?

Een werkbaar AI-beleid hoeft niet lijvig te zijn. Deze onderdelen vormen een goede basis:

  1. Doel en reikwijdte: waarom dit beleid er is, en op wie en welke systemen het van toepassing is.
  2. Toegestaan gebruik: voor welke taken AI wel en niet mag worden ingezet, en welke tools zijn goedgekeurd.
  3. Omgaan met gegevens: welke (persoons)gegevens je wel en niet in AI-tools mag invoeren, om privacy en bedrijfsgeheimen te beschermen.
  4. Menselijke controle: wanneer AI-output altijd door een mens moet worden gecontroleerd voordat er iets mee gebeurt.
  5. Rollen en verantwoordelijkheden: wie het beleid beheert, nieuwe tools beoordeelt en vragen beantwoordt.
  6. Transparantie: afspraken over het melden van AI-gebruik richting klanten, in lijn met Artikel 50.
  7. Naleving en evaluatie: hoe je toeziet op naleving en wanneer je het beleid herziet.

Van leeg document naar werkbaar beleid

Het beste AI-beleid is er een dat aansluit op hoe jouw organisatie echt werkt. Begin daarom niet met een dik standaarddocument, maar met een paar concrete stappen:

  • Breng je AI-gebruik in kaart. Een AI-register laat zien welke tools er zijn en waarvoor ze worden gebruikt; dat is je vertrekpunt.
  • Betrek je mensen. Vraag medewerkers waar ze AI voor inzetten en waar ze tegenaan lopen. Beleid dat losstaat van de praktijk wordt niet nageleefd.
  • Houd het concreet. Vermijd vage termen en geef voorbeelden van wat wel en niet mag.
  • Communiceer en herhaal. Een beleid dat in een la verdwijnt heeft geen waarde. Deel het, licht het toe en kom er periodiek op terug.

Op het UMW-platform genereer je een AI-beleid dat is toegespitst op jouw organisatie en je geregistreerde systemen, inclusief de juiste verwijzingen naar de AI Act. Je past het vervolgens aan naar je eigen situatie, zodat je niet vanaf nul hoeft te beginnen.

Een levend document

Net als je AI-register is je beleid geen eenmalig project. AI ontwikkelt zich snel, en de regelgeving evolueert mee, onder meer via de aangekondigde Digital Omnibus. Plan daarom een vast moment, bijvoorbeeld jaarlijks of bij elke grote verandering, om je beleid tegen het licht te houden. Zo blijft het actueel en blijven je afspraken aansluiten op de praktijk en de wet. Dit artikel is voorlichting en geen juridisch advies; voor een waterdicht beleid in complexe situaties is een juridische toets verstandig.