AI-beleid Vraag en antwoord

Een AI-visie benoemt altijd het doel van AI (waarom je het inzet), de grenzen (wat je niet wilt), de kernwaarden (zoals veiligheid, transparantie en mens-in-the-loop) en het speelveld (bijvoorbeeld intern gebruik of klantprojecten).

Vertaal de kernwaarden naar concreet gedrag. Formuleer drie tot vijf eenvoudige regels in de stijl van “zo doen we het hier” en geef voorbeelden per rol, zoals marketing, development of support.

Ja. Formele goedkeuring door de directie borgt eigenaarschap en maakt naleving en audits een stuk eenvoudiger.

Voeg praktijkvoorbeelden toe. Werk met duidelijke use-cases en anti-voorbeelden (dit wél, dit niet) en koppel iedere kernwaarde aan een concrete maatregel.

Zet innovatie neer als een belangrijk doel, maar koppel dit aan duidelijke randvoorwaarden, zoals dataminimalisatie, logging en regelmatige reviews.

Herzie de AI-visie minimaal jaarlijks, en altijd wanneer er grote veranderingen zijn, zoals nieuwe tools, wetgeving of klantvereisten.

Plaats de AI-visie in een centraal managementsysteem, zoals een ISMS of QMS. Maak daarnaast een korte samenvatting beschikbaar op intranet en verwijs door naar de volledige versie.

Dat kan door een korte survey uit te zetten, een open “tooling show-and-tell” te organiseren en, waar toegestaan, IT-gegevens te analyseren om zicht te krijgen op het gebruik.

Een praktische indeling is: interne productiviteitstools, algemeen gebruik en onderzoek, en klantprojecten. Elke categorie heeft zijn eigen risico’s en regels.

Maak voor elke use-case een kaart of template met velden als doel, datatypen, gebruikte tool, risicoklasse, eigenaar en een evaluatiemoment.

Plaats zulke niche-tools op een “candidate list”, doe een lichte risicoscan en bepaal een tijdelijk beleid, bijvoorbeeld alleen intern gebruiken, een pilotstatus geven of verbieden.

Sta privéaccounts niet toe voor bedrijfs- of klantdata. Beperk het tot algemeen onderzoek en stimuleer het gebruik van bedrijfslicenties voor veiligheid en controle.

Ja. Richt een lichte registratie in, bijvoorbeeld een formulier van één pagina, zodat het gebruik overzichtelijk blijft en leerpunten worden vastgelegd.

Omdat een driedeling het gebruik van AI snel inzichtelijk maakt. Medewerkers begrijpen direct in welke klasse een toepassing valt en welke maatregelen daarbij horen.

Toepassingen waarbij je geen bedrijfs- of persoonsgegevens gebruikt. Bijvoorbeeld brainstormen met een chatbot, generieke prompts of werken met publieke informatie.

Het verwerken van interne gegevens in AI-tools die contractueel zijn afgedekt en voorzien van basismaatregelen. Denk aan Copilot binnen Microsoft 365.

Als klantdata, gevoelige bedrijfsinformatie of wettelijke verplichtingen in het spel zijn. In dat geval is expliciete toestemming nodig en moeten extra controles worden toegepast.

Bij laag risico volstaat een label “publiek” en een check op de output. Bij middel risico horen dataminimalisatie, mens-in-the-loop en logging. Bij hoog risico zijn een risicoscan of DPIA, klanttoestemming en uitgebreide logging en reviews vereist.

Door een dataclassificatiekaart te gebruiken met categorieën zoals publiek, intern, vertrouwelijk en persoonsgegevens, en deze te koppelen aan de risicoklassen.

Dat is de verantwoordelijkheid van de eigenaar van de tool, samen met security of compliance. Het besluit en de motivatie moeten altijd worden vastgelegd.

Ja. Zo weten medewerkers direct welke risico’s gelden en welke afspraken of beperkingen aan het gebruik verbonden zijn.

Vermeld altijd de naam van de tool, versie of licentie, risicoklasse, toegestane use-cases, verboden use-cases, gebruikte datatypen, de eigenaar en de geldigheidsduur.

Wijs een verantwoordelijke eigenaar aan, plan kwartaalreviews en houd een wijzigingslog bij met datum en reden van aanpassingen.

Sta de betaalde variant toe voor algemeen gebruik, maar verbied het invoeren van bedrijfs- of klantdata, tenzij er expliciete borging en afspraken aanwezig zijn.

Sta gebruik toe voor interne data, mits er contractuele en technische borging is. Voeg maatregelen toe zoals mens-in-the-loop en logging.

Blokkeer niet-goedgekeurde tools waar mogelijk, bied medewerkers een veilig alternatief en zorg voor een aanvraagproces voor herbeoordeling.

Geef alleen een tijdelijke ontheffing, voeg extra controles toe en plan een verplichte evaluatie van het gebruik.

Ja. Beoordeel zorgvuldig het publiceren of gebruiken van prompts met voorbeelddata en voorkom dat gevoelige informatie in prompts terechtkomt.

Alleen als er schriftelijke toestemming van de klant is, vastgelegd per use-case en per tool.

Door data te maskeren of te synthetiseren, uitsluitend een veilige omgeving te gebruiken en de invoer te beperken tot strikt noodzakelijke velden.

Deel nooit klant- of bedrijfsgeheimen in publieke AI-tools en werk alleen in goedgekeurde omgevingen.

Voer alleen in wat echt nodig is voor het beoogde antwoord, en niets meer.

Ja. Controleer of de output herleidbare persoonsgegevens bevat en verwijder of anonimiseer deze waar nodig.

Door beleid te tonen, een lijst met toegestane tools en risicoklassen, de toestemmingsprocedures en de processen voor logging en review.

Respecteer het verzoek, markeer het project als “AI-vrij” en blokkeer AI-functies in de workflow.

Vermeld de toegestane tools per risicoklasse, een korte lijst met vijf do’s en don’ts, regels voor het gebruik van data, een link naar het volledige beleid en een meldpunt voor vragen.

Integreer de sheet in onboarding, hang hem op als poster, pin hem in Teams of Slack en verwijs er actief naar in teamreviews en overleggen.

Organiseer een sessie van 45 minuten met drie praktijksituaties: een juist gebruik, een twijfelgeval en een verboden gebruik. Laat medewerkers zelf beslissen en bespreek daarna de uitkomsten.

Geef in de eerste werkweek een “AI-startpakket” mee: de cheat sheet, de toollijst, een korte e-learning en een akkoordverklaring.

Gebruik een korte quiz of een “policy check” per kwartaal. Bij lage scores organiseer je een herhaalsessie.

Richt één centraal kanaal in, zoals een speciaal e-mailadres of een Teams-kanaal, met een afgesproken reactietijd en een duidelijk escalatiepad.

Door AI-regels te verankeren als formele beheersmaatregelen in je ISMS- en QMS-procedures, en deze op te nemen in de auditcriteria.

Een auditor vraagt doorgaans om een actueel beleidsdocument, de lijst met toegestane tools, uitgevoerde risicoscans, toestemmingsregistraties, logging, trainingsregistraties en een overzicht van verbeteracties.

Door in tickets of pull requests vast te leggen wie de AI-output heeft beoordeeld, wanneer dit is gebeurd en op basis van welke controlepunten.

Door een jaarplan op te stellen met vaste reviewmomenten, notulen van de besprekingen en een beslislog waarin staat welke regels blijven, welke zijn aangescherpt en welke zijn gestopt.

Registreer dit als een non-conformiteit, voer een oorzaakanalyse uit en verbeter het beleid, de training of de tooling.

Ja. Voer due diligence uit op aspecten als security, datastromen en het gebruik van sub-processors, en leg de resultaten vast in de toollijst.

Het eigenaarschap ligt idealiter bij een AI- of complianceverantwoordelijke, met ondersteuning van IT en HR. De directie bekrachtigt het beleid formeel.

Richt “snelle paden” in: kleine pilots met duidelijke randvoorwaarden en vaste evaluatiedata, zodat experimenten gecontroleerd verlopen.

Als de risico’s niet langer verdedigbaar zijn, er betere alternatieven beschikbaar komen of het gebruik structureel wegvalt. Leg altijd de reden en de vervanger vast.