AI is in sneltreinvaart onderdeel geworden van onze dagelijkse manier van werken. Van slimme e-mailantwoorden tot Copilot in Microsoft 365 applicaties. Steeds meer werknemers passen het op hun eigen manier toe. Juist daarom worstelen veel organisaties met de vraag: hoe zorgen we voor verantwoord gebruik van AI, zonder innovatie in de weg te zitten?

Steevast krijg je daarop het antwoord: “We hebben een AI-beleid nodig.” Klopt. Maar dan komt de vervolgvraag: wat zet je daar dan precies in? Hoe ziet zo’n beleid eruit? We nemen je mee in wat er wel (en niet) thuishoort in een AI-beleid. Want uiteindelijk moet het op papier werken, maar in de praktijk genoeg houvast en dekking geven voor IT-risico’s die AI met zich meebrengt als het niet verantwoord wordt toegepast.

Eerst meer lezen over deze IT-risico’s met de toepassing van AI? Dat kan hier!

Wat moet er in een AI-beleid?

1. Start met een visie, daarna komen de regels

Een AI-beleid dat alleen bestaat uit verboden, blokkades en sancties, schiet zijn doel voorbij. Het is beter om te starten met een korte, duidelijke visie: waarom kiest de organisatie ervoor om AI verantwoord toe te passen? Wat zijn de kansen die je wíl benutten? En vooral: welke risico’s wil je beheersen met het gebruik van AI? Dit zorgt ook direct voor bewustzijn onder gebruikers en geeft houvast voor de regels die gaan volgen. Het helpt medewerkers snappen waarom bepaalde tools wel of niet zijn toegestaan. En het voorkomt dat AI als ‘eng’ of ‘verboden’ wordt gezien.

2. Benoem concrete toepassingen (en grenzen)

Een AI-beleid wordt pas praktisch bruikbaar als je beschrijft hoe AI binnen de organisatie gebruikt mag worden. Daarin benoem je concrete, praktische voorbeelden die dagdagelijks in je organisatie voorkomen om de kernactiviteiten uit te kunnen voeren. Denk aan zaken als:

• AI gebruiken voor samenvattingen van meetings? Ja
• AI gebruiken om klantmails automatisch op te stellen? Ja, maar altijd met menselijke controle
• AI gebruiken om beleidsdocumenten op te stellen? Alleen in samenwerking met een expert
• AI gebruiken voor personeelsbeoordelingen? Nee, vanwege ethische en juridische risico’s

Door dit soort relevante scenario’s op te nemen, help je medewerkers AI op een veilige manier te gebruiken. Het geeft praktische handvatten en een goed beeld van de hulp die AI kan bieden in de dagelijkse werkzaamheden. Maak hierin ook onderscheid tussen generatieve AI (zoals ChatGPT, Microsoft Copilot en Gemini) en meer traditionele vormen, zoals voorspellende modellen of procesautomatisering.

3. Wees helder over data

De meeste risico’s van AI ontstaan niet door de technologie zelf, maar door het onjuist gebruik van data. We schreven al regelmatig over het belang van data governance vóórdat je organisatie met AI aan de slag kan gaan. Een goed AI-beleid bevat daarom duidelijke afspraken over:

• Welke soorten informatie niet gedeeld mogen worden met AI-tools. Denk daarbij aan persoonsgegevens, bedrijfsgeheimen en data van klanten
• Wanneer gebruik van interne data wél mag, en maak dit concreet met voorbeelden (bijvoorbeeld geanonimiseerde datasets voor analyse)
• Hoe je voorkomt dat AI-tools ‘leren’ van gevoelige informatie

Tip: als er informatieclassificatie in je organisatie is opgesteld, kan je hiernaar verwijzen. Zo voorkom je dubbel beleid.

4. Richtlijnen voor externe AI-tools

Niet elke AI-toepassing komt van Microsoft of Google. Medewerkers zoeken zelf tools om hun werk te versnellen, helemaal omdat ze zo openbaar en makkelijk beschikbaar zijn. Denk aan AI-videotools, transcriptietools, code-assistenten of SEO-software.

Geef daarom richtlijnen voor het gebruik van externe AI-tools. Dit schetst ruimte, maar zorgt er toch voor dat je beheer houdt over welke tools worden toegepast. Denk aan richtlijnen als:

• Tools altijd vóór gebruik laten goedkeuren
• Controle op waar data naartoe gaat (denk aan AVG-compliant verwerking van gegevens)
• Vermijden van tools met onduidelijk eigenaarschap of geen transparantie over data-gebruik

5. Zorg dat de medewerker zich eindverantwoordelijk voelt

AI-tools kunnen in veel werkzaamheden ondersteunen, maar ze nemen geen beslissingen uit handen. Leg daarom in het beleid expliciet vast dat medewerkers altijd eindverantwoordelijk blijven voor wat AI produceert. Of het nu gaat om teksten, voorstellen of analyses: menselijke controle is in bijna alle gevallen essentieel. Neem niks klakkeloos over. Bijvoorbeeld controle over de juistheid van informatie, de relevantie van de content of controle op ethische zaken. Deze richtlijn helpt ook om juridische aansprakelijkheid af te kaderen, zeker bij het gebruik van generatieve AI.

6. Geef ruimte voor experiment, binnen kaders

Een AI-beleid moet niet alleen beschermen, maar natuurlijk ook stimuleren. AI kan namelijk veel inspiratie brengen, mensen op weg helpen en je werk makkelijker maken. Maak dus concreet welke ruimte er is voor experimenten, en wat daarin de grenzen zijn. Bijvoorbeeld:

• Gebruik van Copilot binnen afgebakende testgroepen
• Pilots met nieuwe tools onder begeleiding van IT of security
• Een laagdrempelig contactpersoon voor wie iets nieuws wil proberen en hierover wil sparren

Zo voorkom je dat innovatie plaatsvindt zonder dat je hier als organisatie inzicht in of grip op hebt. Dit kennen we namelijk als Shadow AI, terwijl je wil weten wat er speelt.

Wat moet er vooral niet in je AI-beleid?

Genoeg concrete voorbeelden en situaties die belangrijk zijn om op te nemen in je AI-beleid. Maar ook niet onbelangrijk: wat zijn valkuilen in AI-beleid? Wat kan je daar beter juist niét in opnemen?

• Een beleid dat alleen vanuit IT of Legal komt, mist draagvlak vanuit de business
• Gebruik geen technisch of wollig taalgebruik. Richt je op praktische duidelijkheid, het is geen academisch stuk. Je wil voorkomen dat informatie niet goed landt bij gebruikers of ze de moeite niet nemen het beleid volledig door te nemen
• Verlies jezelf niet in details. Je beleid is geen gebruiksaanwijzing van iedere tool, maar biedt overkoepelende richtlijnen met duidelijke voorbeelden
• Geen opvolging organiseren. Zorg dat het beleid leeft: via communicatie, herhaling, training én toezicht.

Conclusie

Een goed AI-beleid biedt richting, ruimte en verantwoordelijkheid. Het helpt medewerkers veilig en effectief werken met AI, zonder innovatie tegen te gaan. Dat lukt alleen als het beleid praktisch, begrijpelijk en gedragen is door de hele organisatie.

Wil je sparren over hoe jouw organisatie AI-beleid kan vertalen naar concrete werkafspraken? Neem gerust contact op met onze specialisten. We denken graag mee!