Hoe classificeer je AI-risico's?

Een eenvoudige indeling werkt vaak het best: Laag risico (gebruik zonder vertrouwelijke data), Middel risico (interne data met contractuele afspraken), en Hoog risico (klantgegevens of gevoelige bedrijfsinformatie, alleen met schriftelijke toestemming).

Hoe verhoudt AI-beleid zich tot ISO 27001 en NEN 7510?

Een AI-beleid raakt direct aan bestaande kaders voor informatiebeveiliging en kwaliteit zoals ISO 27001, ISO 9001 en NEN 7510. Beschrijf hoe je nieuwe AI-tools beoordeelt, hoe je gebruik classificeert en hoe je menselijk toezicht organiseert. Integreer het AI-beleid in het bestaande managementsysteem.

Home Kennisdeling Grip op AI: zo stel je een praktisch AI-beleid op

Zo stel je een praktisch AI-beleid op Grip op AI:

AI is niet meer weg te denken uit organisaties. Medewerkers zetten tools als ChatGPT en Copilot dagelijks in om sneller te werken, ideeën te genereren en ingewikkelde taken eenvoudiger te maken. Dat biedt volop kansen. Tegelijkertijd schuilen er risico’s: datalekken, onduidelijkheid richting klanten en onzekerheid bij medewerkers over wat nu wel en niet mag.

Een helder AI-beleid geeft houvast. Het maakt duidelijk welke toepassingen zijn toegestaan, hoe je veilig met data omgaat en hoe je verantwoord ruimte geeft aan experimenten. Zo voorkom je willekeur en creëer je vertrouwen, binnen je organisatie én daarbuiten. In dit blog nemen we je mee in waarom zo’n beleid onmisbaar is, welke keuzes je als organisatie kunt maken en hoe je hierin een visie ontwikkelt.

Sep 30, 2025 ⋅ 1 min read

AI-beleid

Visie en beleid formuleren

Een goed AI-beleid begint met een visie. Zonder visie blijft het bij losse afspraken die weinig samenhang hebben. Stel jezelf daarom de vraag: wat is de rol van AI in onze organisatie? Zie je AI vooral als hulpmiddel om medewerkers efficiënter te laten werken, of wil je het ook actief inzetten in klantprojecten?

Schrijf op hoe je als organisatie naar AI kijkt, welke waarden je belangrijk vindt (bijvoorbeeld veiligheid, transparantie, innovatie) en hoe je daar concreet naar handelt. Maak het niet te abstract, medewerkers moeten begrijpen waarom AI wordt omarmd en waar de grenzen liggen.

Leg de visie vast in een beleidsdocument. Hierin beschrijf je niet alleen de kansen, maar ook de risico’s die je wilt beheersen. Denk aan het gebruik van bedrijfsdata, de rol van klanten en de vraag hoe je menselijk toezicht borgt. Met zo’n document creëer je duidelijkheid voor werknemers én een stevig kader richting klanten en toezichthouders.

AI-tools en activiteiten in kaart brengen

Na de visie volgt de praktijk: welke AI-tools worden er eigenlijk al gebruikt binnen je organisatie? Vaak blijkt dat medewerkers AI tools gebruiken zonder dat het formeel bekend is. Denk aan een marketeer die ChatGPT gebruikt voor een concepttekst, een developer die Copilot inzet bij programmeren of een recruiter die AI-tools test om cv’s te screenen.

Breng deze toepassingen in kaart en categoriseer ze. Een mogelijke indeling is:

Interne productiviteit
Tools die medewerkers ondersteunen bij hun dagelijkse werk, zoals Copilot of Notion AI.
Algemeen gebruik en onderzoek
Chatbots of zoekoplossingen waarbij geen bedrijfs- of klantdata wordt ingevoerd.
Klantprojecten
Toepassingen waar direct klantgegevens of eindproducten mee worden verwerkt.

Risico’s classificeren

Niet iedere AI-toepassing is even risicovol. Een collega die ChatGPT vraagt om een titelvoorstel is iets heel anders dan een project waarbij klantdata door een AI-model wordt verwerkt.

Een eenvoudige indeling werkt vaak het best:

Laag risico
Gebruik waarbij geen vertrouwelijke of persoonlijke data wordt gedeeld. Bijvoorbeeld brainstormen of algemene research.
Middel risico
Interne data gebruiken in tools met contractuele afspraken, zoals Copilot binnen Microsoft 365.
Hoog risico
Toepassingen waarbij klantgegevens of gevoelige bedrijfsinformatie worden verwerkt. Dit mag alleen met schriftelijke toestemming en aanvullende waarborgen.

Geef bij iedere categorie aan wat wel en niet is toegestaan. Beschrijf bijvoorbeeld welke soorten data wél of juist niet ingevoerd mogen worden, welke tools gebruikt mogen worden en welke extra controles nodig zijn. Denk aan menselijk toezicht of het bijhouden van gebruikslogs.

Toegestane tools vastleggen

Om het concreet te maken voor je medewerkers is een lijst met toegestane AI-tools onmisbaar. Daarmee geef je direct duidelijkheid over de grenzen.

Maak onderscheid per type gebruik:

Algemeen gebruik: laag risico
ChatGPT (betaald, zonder bedrijfs- of klantdata).
Interne data: middel risico
Copilot binnen Microsoft 365, waarbij contracten en beveiliging geregeld zijn.
Klantdata: hoog risico
Alleen met schriftelijke toestemming en in overleg met de klant, bijvoorbeeld via een beveiligde maatwerkoplossing.

Deze lijst hoeft niet in beton gegoten te zijn. Nieuwe tools verschijnen continu, dus leg ook vast hoe je de lijst bijwerkt en wie daarvoor verantwoordelijk is. Zo weten medewerkers waar ze aan toe zijn, en kan de organisatie toch flexibel inspelen op innovatie.

Makkelijk maken voor medewerkers

Een AI-beleid werkt alleen als medewerkers het snappen én toepassen. Maak daarom een cheat sheet: een kort overzicht met de toegestane tools en heldere do’s en don’ts die iedereen kan volgen.

Een voorbeeld:

Do’s

Gebruik alleen goedgekeurde AI-tools.
Houd vertrouwelijke informatie binnen de afgesproken omgeving.
Check altijd de uitkomst van AI voordat je die gebruikt.

Don’ts

Plak nooit klantdata of bedrijfsgeheimen in openbare AI-tools.
Ga niet zelf experimenteren met tools die niet op de lijst staan.
Vertrouw AI-antwoorden niet blind, maar toets ze altijd.

Zo’n overzicht past op één A4 of in een interne wiki. Combineer dit met korte trainingen.

AI-beleid en compliance

Een AI-beleid staat niet op zichzelf. Het raakt direct aan bestaande kaders voor informatiebeveiliging en kwaliteit. Denk aan normen als ISO 27001, ISO 9001 en in de zorg ook NEN 7510. Deze eisen dat je risico’s beheerst, verantwoordelijkheden vastlegt en kunt aantonen dat je maatregelen neemt.

Vertaal dit dan naar AI. Beschrijf bijvoorbeeld hoe je nieuwe AI-tools beoordeelt en meeneemt in je onboarding, hoe je gebruik classificeert (laag, middel, hoog risico) en hoe je menselijk toezicht organiseert. Neem ook maatregelen op zoals: logging van AI-gebruik, periodieke evaluaties en het trainen van medewerkers in verantwoord gebruik.

Integreer je AI-beleid in het bestaande managementsysteem. Zo voorkom je dat AI een eiland wordt en sluit je direct aan op processen die er al zijn, zoals risicoanalyses en de interne audits. Dit maakt het beheer overzichtelijk en zorgt dat je beleid meegroeit met de organisatie.

Tot slot

Een intern AI-beleid klinkt misschien formeel, toch geeft het in de praktijk juist ruimte. Medewerkers weten precies wat ze mogen doen, welke tools beschikbaar zijn en waar ze op moeten letten. Klanten zien dat je zorgvuldig met hun data en projecten omgaat. En als organisatie houd je grip, terwijl je toch volop ruimte laat voor innovatie.

Het belangrijkste is om gewoon te beginnen. Start met een visie, maak een eerste lijst met toegestane tools en vertaal dit naar een eenvoudige cheat sheet. Vanuit daar kun je het beleid stap voor stap uitbreiden en verfijnen.

“Een intern AI-beleid klinkt misschien formeel, maar in de praktijk geeft het juist ruimte: medewerkers weten precies wat ze mogen doen en klanten zien dat je zorgvuldig met hun data omgaat. Zo houd je grip én stimuleer je innovatie.”

Michiel Geurts Business Consultant AI Innovatie

Copied!

Grip op AI

Wil jij ook werk maken van een duidelijk AI-beleid?

Plan vrijblijvend een kennismaking met Michiel Geurts, Business Consultant AI Innovatie.

Contact

Geïnteresseerd?

Wil jij ook werk maken van een duidelijk AI-beleid? We denken graag met je mee. Kom gerust langs voor een kop koffie: dan verkennen we samen welke kansen AI biedt en hoe je risico’s slim kunt beperken.

Neem contact op