Naar inhoud springen

Een AI-beleid opstellen voor je kmo: wat moet erin?

Je medewerkers gebruiken al AI, of je dat nu geregeld hebt of niet. Een AI-beleid hoeft daarom geen dik document te zijn: één pagina die vastlegt welke tools mogen, welke gegevens erin mogen en wie verantwoordelijk blijft voor het resultaat. Hieronder staat wat erin moet, plus een voorbeeld dat je meteen kan overnemen.

Waarom heeft je kmo een AI-beleid nodig?

Omdat het alternatief stilzwijgend gedogen is. Het veelbesproken (en op zijn methode bekritiseerde) MIT-rapport over AI in bedrijven stelde vast dat in ruim 90% van de onderzochte bedrijven werknemers persoonlijke AI-tools voor het werk gebruiken, ook waar officieel niets geregeld is. Het patroon herkent iedereen die er op de werkvloer naar vraagt. Dat betekent in de praktijk: klantgegevens in gratis chatbots, zonder verwerkersovereenkomst, buiten elk zicht. Eén duidelijke pagina lost meer op dan een verbod, want een verbod verplaatst het gebruik alleen naar de privételefoon.

Er is ook een wettelijke reden: de plicht om je personeel basiskennis over AI bij te brengen geldt al sinds februari 2025, zoals we uitlegden in ons artikel over de AI Act. Een beleid is daarvoor het natuurlijke startpunt.

Wat moet er minimaal in een AI-beleid staan?

Deze afspraken volstaan voor de meeste kmo’s:

  1. Welke tools toegelaten zijn, met naam. Een korte lijst die je aanvult, in plaats van een vage categorie.
  2. Welke gegevens erin mogen en welke nooit: persoonsgegevens van klanten en personeel, prijsafspraken en vertrouwelijke documenten blijven eruit, tenzij de tool onder een verwerkersovereenkomst valt.
  3. Dat een mens elke output controleert die het bedrijf verlaat: offertes, mails, rapporten, code.
  4. Wie eindverantwoordelijk is: degene die het resultaat verstuurt of gebruikt, nooit “de AI”.
  5. Wanneer je AI-gebruik meldt aan klanten, kandidaten of collega’s.
  6. Hoe een nieuw programma op de lijst geraakt: één aanspreekpunt, korte check, beslissing binnen de week.

Welke tools laat je toe en welke data mag erin?

De waterscheiding is de verwerkersovereenkomst. Zakelijke abonnementen (zoals ChatGPT Business of Copilot met een bedrijfslicentie) bieden contractuele garanties dat jouw gegevens niet als trainingsdata dienen; gratis consumentenversies bieden die meestal niet. Vuistregel voor het beleid: gratis tools alleen voor publieke of geanonimiseerde informatie, klant- en personeelsgegevens uitsluitend in tools waarmee een verwerkersovereenkomst bestaat. Wie twijfelt over een specifiek programma, vraagt het na in plaats van te gokken.

Wie is verantwoordelijk als AI een fout maakt?

De mens die de output gebruikte. Dat principe verdient een eigen lijn in je beleid, omdat het de hele dynamiek gezond houdt: wie weet dat hij zelf tekent voor de offerte, leest ze na. Het sluit ook aan bij hoe de AI Act naar werkgevers kijkt: jij blijft als bedrijf aanspreekbaar voor wat je systemen doen, dus organiseer je de controle aan jouw kant.

Hoe hou je het beleid levend?

Een AI-beleid veroudert sneller dan eender welk ander bedrijfsdocument, want het aanbod verschuift per kwartaal. Zo blijft het bruikbaar:

  • Herbekijk de toollijst elk kwartaal. Schrap wat niemand gebruikt, beoordeel wat het team aanvraagt.
  • Maak melden makkelijk. Eén bericht aan wie de lijst beheert volstaat om iets nieuws te laten toetsen. Hoe lager die drempel, hoe minder er buiten het zicht gebeurt.
  • Koppel er opleiding aan. Een halve dag per jaar houdt de basiskennis op peil en is subsidieerbaar via de kmo-portefeuille.

Voorbeeld: een AI-beleid in zeven zinnen

Kopieer, pas de namen aan en je bent vertrokken:

  1. Wij gebruiken AI als hulpmiddel; de eindverantwoordelijkheid ligt altijd bij de collega die het resultaat gebruikt.
  2. Toegelaten tools staan op de lijst in [locatie]; wat er niet op staat, gebruik je niet voor werk.
  3. Persoonsgegevens, prijsafspraken en vertrouwelijke documenten voer je alleen in bij tools van de lijst met het label “verwerkersovereenkomst”.
  4. Alles wat het bedrijf verlaat, wordt door een mens nagelezen.
  5. Waar AI rechtstreeks met klanten of kandidaten communiceert, vermelden we dat.
  6. Nieuwe tools meld je bij [naam]; je krijgt binnen de week antwoord.
  7. Elk kwartaal overlopen we de lijst en de afspraken in het teamoverleg.

Wil je naast de afspraken ook de technische kant geregeld zien, van veilige AI-tools tot een eigen oplossing waar je data binnenshuis blijft? Daar helpen we je graag bij.