← Terug naar blog
5 min leestijd

AI-beleid schrijven voor je organisatie — een praktijkgids

Uncategorized

AI-beleid. Het klinkt als iets voor grote corporates met compliance-afdelingen en juridische teams. Maar de realiteit is anders: elke organisatie die AI gebruikt — of waar medewerkers AI gebruiken, gevraagd of ongevraagd — heeft beleid nodig. En hoe eerder je dat regelt, hoe minder brandjes je later hoeft te blussen.

Waarom AI-beleid nodig is

De kans is groot dat er in jouw organisatie al mensen met AI werken. Ze gebruiken ChatGPT om e-mails te formuleren, laten Claude een rapport samenvatten, of voeren klantgegevens in bij een AI-tool om sneller te werken. Dat is niet erg — maar zonder kaders is het risicovol.

Wat als iemand vertrouwelijke klantdata invoert bij een extern AI-model? Wat als een AI-gegenereerd advies fout blijkt en je organisatie aansprakelijk is? Wat als de ondernemingsraad vraagt welke data er naar AI-systemen gaat en je geen antwoord hebt?

AI-beleid geeft antwoord op die vragen voordat ze problemen worden.

Stap 1: De nulmeting

Je kunt geen beleid schrijven zonder te weten waar je staat. De eerste stap is altijd een nulmeting: wat gebeurt er al? We hebben dit onlangs gedaan bij een middelgrote organisatie in de dienstensector. Het proces zag er zo uit:

Inventarisatie van huidig AI-gebruik

We brachten in kaart welke AI-tools al in gebruik waren — formeel en informeel. Dat laatste is cruciaal. In vrijwel elke organisatie is er shadow AI: tools die medewerkers op eigen initiatief gebruiken zonder dat de organisatie het weet. Dat is geen kwaadwillendheid — het is pragmatisme. Maar het moet wel in kaart.

Risicoanalyse

Per tool en per toepassing beoordeelden we de risico’s. Welke data gaat erin? Hoe gevoelig is die data? Wat zijn de voorwaarden van de tool? Waar wordt de data opgeslagen en verwerkt?

Kansen identificeren

Een nulmeting gaat niet alleen over risico’s. We identificeerden ook processen waar AI waarde kan toevoegen maar nog niet wordt ingezet. Dat geeft richting aan de strategie.

Stap 2: Interviews en draagvlak

Beleid dat van bovenaf wordt opgelegd, werkt niet. Punt. Als medewerkers het gevoel hebben dat AI-beleid bedoeld is om hen te beperken, zullen ze het omzeilen of negeren.

Daarom voeren we altijd interviews met medewerkers uit verschillende lagen en afdelingen. We willen weten:

  • Waar lopen ze tegenaan in hun dagelijks werk?
  • Welke AI-tools gebruiken ze al en waarom?
  • Wat zijn hun zorgen over AI?
  • Wat zouden ze willen dat er beter geregeld was?

Die input is goud waard. Het zorgt ervoor dat het beleid aansluit bij de praktijk. En het creëert draagvlak: mensen die gehoord zijn, zijn eerder bereid om beleid te volgen.

Stap 3: Het beleid schrijven

Op basis van de nulmeting en de interviews schrijven we het AI-beleid. Geen document van honderd pagina’s dat niemand leest, maar een helder, praktisch kader dat antwoord geeft op de kernvragen:

  • Welke AI-tools zijn goedgekeurd? — En welke expliciet niet. Met een proces voor het aanvragen van nieuwe tools.
  • Welke data mag naar AI-systemen? — Classificatie van data in categorieën (openbaar, intern, vertrouwelijk, gevoelig) met per categorie heldere regels.
  • Wie is verantwoordelijk? — Eigenaarschap per toepassing. Wie beslist, wie controleert, wie escaleert.
  • Hoe ga je om met AI-output? — Regels voor verificatie, menselijke controle en het labelen van AI-gegenereerde content.
  • Hoe evalueer je? — Frequentie en methode van evaluatie. Wanneer herijk je het beleid?

Stap 4: Adoptie

Een beleidsdocument is niets waard als het in een SharePoint-map verdwijnt. Adoptie is waar het echte werk begint:

Training en bewustwording

Elke medewerker die met AI werkt, moet weten wat het beleid inhoudt. Niet door een droog document te lezen, maar door een interactieve sessie waarin we het beleid toelichten, vragen beantwoorden en praktijkvoorbeelden bespreken.

Champions aanwijzen

In elke afdeling of team wijs je een AI-champion aan: iemand die het beleid kent, collega’s helpt, en signalen opvangt. Dat hoeft geen manager te zijn — vaak is de meest enthousiaste gebruiker de beste champion.

Laagdrempelig melden

Maak het makkelijk om vragen te stellen of incidenten te melden. Als mensen bang zijn voor repercussies, melden ze niets en weet je niet wat er speelt.

De praktijk: wat we leerden

Bij de organisatie in de dienstensector waar we dit traject doorliepen, leverde het proces verrassende inzichten op. Zo bleek dat één afdeling al maanden een AI-tool gebruikte om klantcommunicatie te genereren — met persoonsgegevens in de prompts. Geen kwade opzet, gewoon onwetendheid over de risico’s.

Het beleid dat we samen schreven, loste dat direct op: heldere regels over dataclassificatie, goedgekeurde tools met passende dataverwerkingsovereenkomsten, en een alternatief werkproces dat even efficiënt was maar zonder privacyrisico.

Drie maanden later was de adoptie hoog, het aantal shadow-AI-tools gedaald, en het vertrouwen van zowel management als medewerkers in AI-gebruik gestegen. Dat is wat goed beleid doet: het maakt AI niet moeilijker, maar veiliger.

Begin vandaag

AI-beleid hoeft niet perfect te zijn om waardevol te zijn. Een eerste versie die de belangrijkste risico’s adresseert, is oneindig beter dan geen beleid. En het mooie is: beleid groeit mee. Met de PDCA-cyclus uit ons ABC-framework evalueer je regelmatig en scherp je aan.

Wil je hulp bij het opzetten van AI-beleid voor jouw organisatie? Begin met een innovatie quick scan om te zien waar je staat, of neem direct contact op. We begeleiden je van nulmeting tot adoptie.

Wil je meer weten?

Neem contact op voor een vrijblijvend gesprek over hoe AI jouw organisatie kan versterken.

Laten we bouwen