Ergens in je organisatie plakt iemand op dit moment klantdata in een gratis AI-tool. Geen verwijt: 44 procent van het Nederlandse mkb doet het, blijkt uit het Shadow AI MKB Onderzoek 2026 van TheAIDaily. Maar bij driekwart van die bedrijven heeft niemand ooit afgesproken hoe medewerkers met AI omgaan. Het goede nieuws: een werkend AI-beleid hoeft geen juridisch document van dertig pagina’s te zijn. Twee tot vier A4’tjes met vijf concrete afspraken zijn genoeg, en je kunt vanmiddag klaar zijn.
Een werkend AI-beleid bevat vijf afspraken: welke tools zijn goedgekeurd, welke data niet in AI mag, wie de output controleert, wanneer je transparant bent over AI-gebruik, en wie de AI-eigenaar is. Twee tot vier pagina’s zijn genoeg.
Waarom heb je die spelregels eigenlijk nodig?
4,6 miljoen Nederlanders gebruiken AI op de werkvloer, blijkt uit de Newcom AI Monitor 2026. Tegelijk heeft 74 procent van de Nederlandse organisaties geen AI-eigenaar aangesteld, aldus onderzoek van Vision Compliance. Denk aan een bedrijf waar iedereen een zakelijke creditcard heeft, maar niemand ooit de afschriften bekijkt. Dat is ongeveer waar de meeste mkb-bedrijven nu staan met AI.
Overigens is dit niet alleen een risicoverhaal. Uit onderzoek van Capgemini blijkt dat bedrijven die meer dan 10 procent van hun AI-budget aan governance besteden, 30 procent hogere winstgroei rapporteren en 22 procent hogere klanttevredenheid scoren. Governance is geen rem op innovatie, maar een investering die zichzelf terugbetaalt.
En dan is er de wet. De AI Act verplicht sinds februari 2025 dat organisaties zorgen voor AI-geletterdheid bij medewerkers. Per 2 augustus 2026 gelden de transparantie-eisen van artikel 50: als je AI inzet bij directe klantinteracties, moeten die klanten dat weten. 78 procent van de Europese organisaties is daar nog niet klaar voor. Een AI-beleid is de eerste stap om dat gat te dichten.
Er is ook een derde reden die minder zichtbaar is maar minstens zo zwaar weegt. Zonder spelregels vindt elk team het wiel opnieuw uit. De ene afdeling betaalt voor ChatGPT Plus, de andere voor Claude Pro, een derde voor Copilot. Niemand deelt wat werkt. Volgens data van TheAIDaily zetten Nederlandse bedrijven AI nauwelijks gecoördineerd in: van elke tien bedrijven die AI gebruiken, doen slechts drie dat effectief. Een beleid dat duidelijk maakt welke tools beschikbaar zijn en hoe je ze gebruikt, voorkomt die verspilling.
De vijf afspraken die in elk AI-beleid thuishoren
Een AI-beleid voor een mkb-bedrijf hoeft niet complexer te zijn dan een paar pagina’s. De kern bestaat uit vijf afspraken die samen een document vormen dat medewerkers daadwerkelijk lezen. Hieronder staan ze uitgewerkt.
1. Goedgekeurde tools. Welke AI-tools mag je team gebruiken? Maak een korte lijst van maximaal vijf goedgekeurde platforms. Denk aan ChatGPT Team, Claude Pro of Copilot for Microsoft 365. Alles wat niet op de lijst staat, is niet goedgekeurd. Een kortere lijst is een duidelijkere lijst.
2. Data die niet in AI mag. Welke informatie mag nooit in een AI-tool worden geplakt? Formuleer drie categorieën: klantpersoonsgegevens, financiële rapportages en bedrijfsgeheimen. Hoe concreter, hoe beter. Niet “gevoelige data” maar “namen, adressen en BSN-nummers van klanten”.
3. Outputcontrole. AI-output wordt altijd gecontroleerd door een mens voordat het naar een klant of het publiek gaat. Dat klinkt vanzelfsprekend, maar in de praktijk gaan AI-gegenereerde e-mails, rapporten en offertes regelrecht de deur uit zonder dat iemand meeleest.
4. Transparantie. Wanneer vertel je dat AI is gebruikt? De AI Act verplicht dit bij directe klantinteracties zoals chatbots. Een goed startpunt: als de inhoud grotendeels door AI is gegenereerd en naar buiten gaat, vermeld dat.
5. Een eigenaar. Wijs één persoon aan die verantwoordelijk is voor het AI-beleid. Bij een bedrijf van twintig medewerkers is het vaak de operationeel directeur of de IT-verantwoordelijke. Vier uur per maand is genoeg. Maar iemand moet het zijn.
Wat mogen je medewerkers wel en niet in een AI-tool stoppen?
Van alle vijf afspraken is deze het lastigst om na te leven. Uit het Shadow AI MKB Onderzoek 2026 van TheAIDaily blijkt dat 44 procent van de mkb-respondenten bedrijfsdata deelde met een gratis AI-tool. Gemiddeld 3,1 keer per week. De meesten deden dat niet uit kwade wil, maar omdat niemand had verteld waar de grens lag.
Een werkbare indeling gebruikt drie kleuren:
- Groen: openbare informatie, marketingteksten, blogconcepten, samenvattingen van publiek beschikbare rapporten. Alles wat je ook op LinkedIn zou zetten.
- Oranje: interne notities, vergaderverslagen, procesomschrijvingen. Alleen in een goedgekeurde tool met zakelijke licentie, waar de data niet wordt gebruikt voor modeltraining.
- Rood: persoonsgegevens van klanten, financiële resultaten, contracten, intellectueel eigendom. Nooit in een AI-tool, ongeacht de licentie.
Wacht even. “Maar ChatGPT Team bewaart toch geen data?” Dat klopt formeel: OpenAI zegt dat zakelijke data niet voor training wordt gebruikt. Maar de AVG vereist meer dan een belofte van een leverancier. Je hebt een verwerkersovereenkomst nodig. En je medewerkers moeten weten dat de gratis versie van ChatGPT die bescherming niet biedt. Slechts 28 procent van de mkb-respondenten in het Shadow AI-onderzoek wist dat gratis AI-tools hun invoer mogen hergebruiken voor training. Dat onderscheid hoort in je beleid, zwart op wit.
Een praktische tip: zet de drie kleuren op een half A4 en hang het naast het koffiezetapparaat. Mensen lezen geen beleidsdocumenten van acht pagina’s. Ze lezen wel een poster naast de koffie.
Wie controleert wat de AI oplevert?
AI-modellen hallucineren. Ze verzinnen bronnen, halen cijfers door elkaar en presenteren fouten met het zelfvertrouwen van een senior partner. Voor intern gebruik is dat vervelend. Voor extern gebruik is het een reputatierisico: een offerte met een verzonnen referentie, een rapport met een fout cijfer, een e-mail met een verkeerde klachttermijn.
De vuistregel die werkt: alles wat naar buiten gaat is door een mens gecontroleerd. Dat hoeft geen uitgebreid reviewproces te zijn. Een collega die dertig seconden meeleest is vaak genoeg. Maar het moet een bewuste stap zijn.
Spreek ook af hoe je team omgaat met AI voor beslissingen. Een samenvatting van een intern rapport? Prima. Een aanbeveling voor een strategische keuze? Dan wil je dat iemand de onderliggende data checkt voordat die aanbeveling op de directietafel belandt. AI is een assistent, geen beslisser. Dat onderscheid voorkomt discussies achteraf.
Even voor de beeldvorming: 70 procent van de marketeers die AI inzetten meldt minstens één incident met AI per jaar, aldus het Interactive Advertising Bureau. Een controlestap van 30 seconden per document is goedkoper dan een rectificatie.
Hoe voorkom je dat het beleid in een la verdwijnt?
De meeste beleidsdocumenten sterven op de dag dat ze worden goedgekeurd. Dat is het verschil tussen een beleid dat iemand heeft geschreven en een beleid dat iemand onderhoudt.
Drie dingen helpen:
- Maak het kort. Twee tot vier pagina’s, maximaal. Elk woord boven de vier pagina’s halveert de kans dat iemand het leest.
- Bespreek het per kwartaal. Niet als agendapunt van twintig minuten, maar als check van vijf minuten in een bestaand teamoverleg. Welke tools gebruiken jullie nu? Zijn er nieuwe situaties die niet in het beleid staan? Moet er iets veranderen?
- Geef het aan nieuwe medewerkers in de eerste week. Niet op dag één tussen de zes andere documenten, maar apart, met een korte toelichting van de AI-eigenaar.
Organisaties die investeren in AI-governance presteren meetbaar beter. Capgemini rapporteert 22 procent hogere klanttevredenheid en 19 procent hogere adoptie bij organisaties met een volwassen governance-structuur. Governance geeft het team het vertrouwen om AI te gebruiken, juist omdat de grenzen duidelijk zijn.
Wie eerder al las hoe je een team in dertig dagen AI-vaardig maakt, vindt hier de volgende stap: vaardigheden zonder spelregels leiden tot schaduw-AI, en spelregels zonder vaardigheden leiden tot ongebruikte tools.
Wat kun je hier morgen mee?
Plan morgenochtend een uur in je agenda. Pak een leeg document en werk de vijf afspraken uit die hierboven staan. Drie pagina’s zijn genoeg.
Stap 1: maak een lijst van de AI-tools die je team nu al gebruikt. Vraag het rond. Je zult verrast zijn hoeveel tools er al in omloop zijn.
Stap 2: kies welke daarvan goedgekeurd zijn en welke niet. Controleer of de goedgekeurde tools een zakelijke licentie hebben met een verwerkersovereenkomst.
Stap 3: schrijf de drie kleuren (groen, oranje, rood) op voor dataclassificatie. Maak het concreet met voorbeelden uit je eigen bedrijf.
Stap 4: spreek af dat AI-output altijd wordt gecontroleerd voordat het naar buiten gaat.
Stap 5: wijs een AI-eigenaar aan. Geef die persoon vier uur per maand om het beleid actueel te houden en vragen te beantwoorden.
Stuur het document rond, bespreek het in het eerstvolgende teamoverleg en plan over drie maanden een herziening in. Klaar.
De AI-adoptiecijfers van TheAIDaily laten zien dat de kloof tussen gebruik en governance elk kwartaal groeit. Hoe langer je wacht, hoe groter die kloof wordt en hoe duurder het is om hem te dichten. Een middag investeren is goedkoper dan een datalek oplossen. Wil je daarna je AI-projecten ook echt opschalen? Een beleid op orde is de basis.
Veelgestelde vragen
Is een AI-beleid wettelijk verplicht?
De AI Act verplicht sinds februari 2025 dat organisaties zorgen voor AI-geletterdheid bij medewerkers (artikel 4). Per 2 augustus 2026 gelden de transparantie-eisen van artikel 50. Een schriftelijk AI-beleid is niet letterlijk verplicht, maar het is de meest praktische manier om aan deze verplichtingen te voldoen.
Hoeveel pagina’s moet een AI-beleid zijn?
Twee tot vier A4-pagina’s zijn voldoende voor de meeste mkb-bedrijven. Het beleid bevat vijf kernafspraken: goedgekeurde tools, dataclassificatie, outputcontrole, transparantieregels en een AI-eigenaar. Korter is beter: hoe langer het document, hoe kleiner de kans dat medewerkers het lezen.
Welke AI-tools kan ik voor zakelijk gebruik goedkeuren?
Kies tools met een zakelijke licentie die een verwerkersovereenkomst bieden en garanderen dat data niet voor modeltraining wordt gebruikt. Voorbeelden zijn ChatGPT Team of Enterprise, Claude Pro of Team, en Copilot for Microsoft 365. Gratis versies van AI-tools bieden deze garanties doorgaans niet.
Hoe vaak moet je een AI-beleid bijwerken?
Herzie het beleid minstens elk kwartaal in een kort teamoverleg van vijf minuten. Bekijk welke tools het team gebruikt, of er nieuwe situaties zijn die niet in het beleid staan, en of er regelgeving is veranderd. De AI-markt beweegt snel, dus een beleid dat je een jaar niet aanraakt is vrijwel zeker verouderd.
