# AI-governancebeleid opstellen voor je organisatie

Een AI-governancebeleid opstellen is onmisbaar zodra je organisatie serieus met AI gaat werken. Zonder kaders ontstaat een wildgroei aan tools, belandt gevoelige data op onbekende plekken en weet niemand wie verantwoordelijk is als er iets misgaat. Een governancebeleid geeft heldere regels die verantwoord en veilig gebruik mogelijk maken zonder innovatie te smoren.

Goed beleid is geen dik document dat in een la verdwijnt, maar een werkbare set afspraken die mensen kennen en naleven. In dit artikel zie je welke onderdelen erin horen en hoe je het beleid in de praktijk laat werken.

[[TOC]]

## Onderdelen van een goed beleid

Een effectief AI-governancebeleid dekt een aantal kernonderdelen af. Houd het concreet en leesbaar.

:::howto title="Beleid opbouwen"
1. Leg vast welke AI-tools zijn **goedgekeurd** voor gebruik.
2. Bepaal welke data wel en niet in AI-tools mag worden ingevoerd.
3. Beleg rollen: wie keurt tools goed en wie houdt toezicht.
4. Beschrijf het verplichte menselijke toezicht op AI-output.
5. Regel transparantie: wanneer maak je AI-gebruik kenbaar.
6. Plan periodieke herziening van het beleid en de toolselectie.
:::

Begin met het belangrijkste: welke tools mogen worden gebruikt en welke data erin mag. Dat voorkomt het meest voorkomende risico, namelijk gevoelige gegevens die in een onveilige tool belanden.

:::info title="Sluit aan op bestaand beleid"
Een AI-governancebeleid staat niet op zichzelf. Sluit het aan op je informatiebeveiligingsbeleid, je privacybeleid en de geldende wetgeving zoals de AVG en de Europese AI-verordening. Zo voorkom je tegenstrijdige regels.
:::

## Data en privacy

Het grootste risico bij AI-gebruik is dat vertrouwelijke gegevens of persoonsgegevens in een verkeerde tool belanden. Hier liggen de scherpste regels.

:::danger
Stel een duidelijke datalijst op met gegevens die **nooit** in een AI-tool mogen, zoals persoonsgegevens, bedrijfsgeheimen, financiële data en klantgegevens zonder grondslag. Maak dit concreet met voorbeelden, want vage regels worden niet nageleefd. Koppel het aan de AVG en bepaal de verwerkingsgrondslag voordat data wordt verwerkt.
:::

Bepaal ook welke tools voldoen aan de eisen voor gegevensverwerking. Let daarbij op een verwerkersovereenkomst, duidelijkheid over waar data wordt opgeslagen en of die data wordt gebruikt voor training van het model.

## Rollen en toezicht

Beleid zonder eigenaarschap werkt niet. Beleg duidelijk wie waarvoor verantwoordelijk is. Een eenvoudige rolverdeling volstaat voor de meeste organisaties.

| Rol | Verantwoordelijkheden |
| --- | --- |
| Beheerder | Keurt tools goed, beheert toegang, houdt toezicht op naleving en actualiseert het beleid. Is aanspreekpunt bij twijfel of incidenten. |
| Gebruiker | Gebruikt alleen goedgekeurde tools, voert geen verboden data in, controleert AI-output en meldt twijfel of incidenten bij de beheerder. |

:::tip title="Maak menselijk toezicht een kernregel"
AI-output is een concept, geen eindbeslissing. Leg vast dat een mens elke AI-uitkomst controleert voordat die wordt gebruikt voor besluiten, communicatie of publicatie. Dit voorkomt fouten en houdt de verantwoordelijkheid bij mensen.
:::

## Aansluiten op de AI-verordening

De Europese AI-verordening (AI Act) is sinds 1 augustus 2024 van kracht en wordt gefaseerd toegepast. De verboden AI-praktijken gelden sinds februari 2025 en de verplichtingen voor AI-modellen voor algemene doeleinden sinds augustus 2025. Vanaf 2 augustus 2026 wordt het volledige kader voor hoog-risico systemen toegepast en gelden er transparantieverplichtingen, zoals het herkenbaar labelen van AI-gegenereerde inhoud.

Wat dit voor jouw organisatie betekent, hangt af van het risiconiveau van het gebruik. Voor de meeste teams die AI inzetten voor dagelijks werk komt het neer op transparantie, menselijk toezicht en een goede datahuishouding. Raadpleeg bij twijfel of bij hoog-risico toepassingen juridisch advies, want de details kunnen per situatie verschillen.

## Beleid levend houden

AI ontwikkelt zich snel. Een beleid van vorig jaar kan al achterhaald zijn. Periodieke herziening is geen luxe maar noodzaak. Houd de cyclus eenvoudig:

1. **Wijs een eigenaar aan.** Maak iemand verantwoordelijk voor het beleid.
2. **Plan herziening.** Evalueer periodiek de tools, regels en wetgeving.
3. **Verzamel signalen.** Luister naar gebruikers en leer van incidenten.
4. **Communiceer updates.** Houd het team op de hoogte van wijzigingen.

:::warn
Een beleid dat niemand kent of naleeft is waardeloos. Communiceer het actief, maak het vindbaar, geef voorbeelden en herhaal de kernregels regelmatig. Naleving ontstaat door bekendheid en begrip, niet door een document op een gedeelde schijf.
:::

## Praktijkvoorbeeld

Stel dat je organisatie Gemini en andere AI-tools veilig wil invoeren. Stel dan een beknopt beleid op met een lijst van goedgekeurde tools, een heldere datalijst met wat nooit mag, de regel van verplicht menselijk toezicht en een aangewezen eigenaar. Sluit het aan op je AVG-beleid, communiceer het actief met concrete voorbeelden en plan een jaarlijkse herziening. Zo geef je medewerkers de ruimte om AI te gebruiken binnen veilige, duidelijke kaders.

Combineer dit met [[ai-ethiek-bedrijf|richtlijnen voor AI-ethiek]] voor de waardenkant en [[ai-adoptie-team|een adoptieaanpak]] zodat het beleid in de praktijk gaat leven.

:::faq
### Hoe uitgebreid moet een AI-governancebeleid zijn?
Zo kort als kan, zo lang als nodig. Een werkbaar beleid van enkele pagina's dat mensen kennen is effectiever dan een dik document dat niemand leest. Focus op tools, data, toezicht en rollen.

### Moet ik rekening houden met de Europese AI-verordening?
Ja. De AI-verordening stelt eisen aan AI-gebruik, afhankelijk van het risiconiveau. Vanaf 2 augustus 2026 gelden onder meer transparantieverplichtingen voor AI-gegenereerde inhoud. Sluit je beleid hierop aan en op de AVG, en raadpleeg zo nodig juridisch advies.

### Wie stelt het beleid op?
Idealiter een samenwerking tussen IT, security, privacy en de business. Eén eigenaar bewaakt het geheel, maar input vanuit verschillende disciplines maakt het beleid werkbaar en compleet.

### Hoe vaak herzie ik het beleid?
Minstens jaarlijks, en tussentijds bij grote veranderingen in tools of wetgeving of na een incident. AI ontwikkelt te snel voor een statisch document.

### Welke data mag ik nooit in een AI-tool invoeren?
Persoonsgegevens zonder grondslag, bedrijfsgeheimen, financiële data en vertrouwelijke klantgegevens. Maak een concrete datalijst met voorbeelden en koppel die aan je AVG-beleid en verwerkingsgrondslag.

### Hoe zorg ik dat medewerkers het beleid echt naleven?
Door bekendheid en begrip. Communiceer het beleid actief, maak het vindbaar, geef concrete voorbeelden en herhaal de kernregels. Naleving groeit als mensen snappen waarom een regel bestaat.
:::