Een AI-beleid opstellen begint met één doel: op één plek vastleggen welke AI-tools uw mensen mogen gebruiken, met welke gegevens en wie waarvoor verantwoordelijk is. U hoeft daarvoor geen jurist te zijn en geen dik document te schrijven. Een AI-beleid is bovendien meer dan een interne afspraak: het is uw bewijsstuk dat u artikel 4 van de AI Act serieus neemt. Dat artikel verplicht u om te zorgen voor voldoende AI-geletterdheid bij uw personeel, en geldt al sinds 2 februari 2025. Met het stappenplan op deze pagina heeft u de basis op orde.
Wat is een AI-beleid en waarom heeft u er een nodig?
Een AI-beleid is een kort document met de afspraken over AI-gebruik in uw organisatie. Het beschrijft welke tools zijn toegestaan, welke gegevens er wel en niet in mogen, en wie waarvoor verantwoordelijk is. Geen losse mails of mondelinge afspraken, maar één plek waar uw mensen het kunnen nalezen.
De AI Act schrijft niet met zoveel woorden een "AI-beleid" voor. Wel verplicht artikel 4 u om naar beste vermogen te zorgen voor een voldoende niveau van AI-geletterdheid bij iedereen die namens uw organisatie met AI werkt. Een beleid is de praktische manier om die plicht in te vullen én zichtbaar te maken. Komt er een vraag van een toezichthouder, dan laat u met uw beleid zien wát u geregeld heeft.
Een AI-beleid is voor vrijwel elke werkgever relevant. Laat u personeel ChatGPT of Copilot gebruiken, dan bent u in de regel gebruiksverantwoordelijke en valt u onder artikel 4. In 2024 gebruikte 22,7% van de Nederlandse bedrijven met tien of meer werkzame personen al een of meer AI-technologieën, een flinke stijging ten opzichte van het jaar daarvoor. De kans is groot dat ook bij u al AI in omloop is, met of zonder afspraken.
Hoe stelt u een AI-beleid op? Het stappenplan in vijf stappen
Een AI-beleid opstellen hoeft geen project van maanden te zijn. Met de volgende vijf stappen komt u tot een werkbaar document.
- Breng uw AI-gebruik in kaart. Noteer welke AI-tools uw mensen gebruiken en voor welke taken. Vergeet het gebruik buiten uw zicht niet: een medewerker die op eigen account ChatGPT gebruikt, valt ook onder uw verantwoordelijkheid.
- Bepaal de risico's per gebruik. Een chatbot die teksten herschrijft, is iets anders dan AI die klantgegevens verwerkt of sollicitaties filtert. Hoe hoger het risico, hoe scherper uw afspraken moeten zijn.
- Schrijf de regels op. Leg vast welke tools zijn toegestaan, welke gegevens niet in een AI-tool mogen, en wie het beleid bewaakt. Houd het kort en in begrijpelijke taal, zodat mensen het echt lezen.
- Regel de AI-geletterdheid. Zorg dat medewerkers die met AI werken weten wat de tool wel en niet betrouwbaar doet en welke risico's eraan zitten. Leg vast wie welke uitleg of training kreeg.
- Houd het beleid actueel. AI verandert snel en de wet ook. Spreek af wie het beleid beheert en wanneer u het herziet, bijvoorbeeld elk halfjaar of bij een nieuwe tool.
Deze stappen lopen logisch in elkaar over: u kunt geen goede regels schrijven zonder eerst te weten wat er gebruikt wordt en waar de risico's zitten.
Welke onderdelen bevat een AI-beleid minimaal?
Een bruikbaar AI-beleid hoeft niet lang te zijn, maar een paar onderdelen mogen niet ontbreken. De onderstaande tabel zet ze op een rij.
| Onderdeel | Wat u vastlegt | Waarom het nodig is |
|---|---|---|
| Doel en reikwijdte | Voor wie het beleid geldt en welke AI het dekt | Maakt duidelijk dat ook ingehuurde krachten eronder vallen |
| Toegestane tools | Welke AI-tools mensen mogen gebruiken, met welk account | Voorkomt schaduwgebruik en wildgroei |
| Gegevensregels | Welke gegevens wel en niet in een AI-tool mogen | Beschermt klant-, persoons- en bedrijfsgegevens |
| Rollen | Wie verantwoordelijk is en bij wie men terecht kan | Belegt het beheer en de vragen |
| AI-geletterdheid | Hoe u zorgt voor kennis en hoe u dat vastlegt | Vult artikel 4 in en levert bewijs |
| Beheer | Wie het beleid actueel houdt en wanneer | Houdt het document levend |
Het onderdeel gegevensregels verdient extra aandacht. Maak concreet wat niet in een AI-tool mag: klantgegevens, persoonsgegevens en bedrijfsgeheimen. Bied waar het kan een veilig alternatief, zodat mensen geen omweg hoeven te zoeken. Hoe u dit toepast op ChatGPT en Copilot in de praktijk, leest u in valt ChatGPT of Copilot op de werkvloer onder de AI Act.
Hoe koppelt u uw AI-beleid aan de artikel 4-plicht?
Hier komen beleid en wet samen. Artikel 4 vraagt om "voldoende" AI-geletterdheid, maar schrijft geen vast aantal uren, geen verplichte cursus en geen certificaat voor. Wat genoeg is, hangt af van de rol van de medewerker, de risico's van het systeem en de context waarin het wordt gebruikt. De maatregelen moeten dus op maat zijn.
Uw AI-beleid is precies de plek waar u die maatwerk-aanpak vastlegt. U beschrijft welke kennis bij welke rol hoort, hoe u die kennis bijbrengt en hoe u controleert dat het geland is. Een certificaat is niet nodig, maar de Europese Commissie adviseert wel om een interne administratie bij te houden van trainingen en andere maatregelen. Koppel die administratie aan uw beleid, dan vormen ze samen uw bewijs.
Let op: de plicht geldt niet alleen voor uw vaste werknemers. Artikel 4 geldt voor iedereen die namens uw organisatie met het AI-systeem werkt, ook ingehuurde krachten en dienstverleners. Neem hen dus mee in de reikwijdte van uw beleid.
Wanneer moet uw AI-beleid klaar zijn?
De plicht uit artikel 4 geldt al sinds 2 februari 2025. Er is dus geen nieuwe deadline om op te wachten: de verplichting bestaat nu. Wat wel verandert, is de handhaving.
| Datum | Wat er geldt |
|---|---|
| 2 februari 2025 | Artikel 4 (AI-geletterdheid) is van toepassing |
| 2 augustus 2026 | Toezicht en handhaving door Nederlandse toezichthouders start |
Vanaf 2 augustus 2026 start in Nederland het toezicht en de handhaving op de onderdelen die dan gelden. Vanaf dat moment kan een toezichthouder daadwerkelijk vragen hoe u artikel 4 invult. De tijd tot die datum is uw ruimte om beleid en vastlegging op orde te brengen. De Autoriteit Persoonsgegevens waarschuwt bovendien in haar Rapportage AI & Algoritmes Nederland van maart 2026 dat de voorbereiding op de AI-verordening achterloopt en dat versnelling nodig is.
Welke rol speelt uw AI-beleid bij handhaving en boetes?
Goed om te weten: voor te weinig AI-geletterdheid kan géén directe boete worden opgelegd via de AI Act. Artikel 4 staat in geen enkele boetecategorie van artikel 99. De handhaving loopt via het nationale recht.
In de Nederlandse concept-Uitvoeringswet is gekozen om schending van artikel 4 te handhaven met een herstelsanctie, met name een last onder dwangsom. Een toezichthouder kan u dan een termijn geven om de AI-geletterdheid op orde te brengen, op straffe van een dwangsom. Let op: dit komt uit de concept-tekst; de wet was op het moment van schrijven nog niet definitief, dus de exacte sanctiekeuze kan nog wijzigen.
Juist daarom is een AI-beleid waardevol. Komt er een verzoek van een toezichthouder, dan laat u met uw beleid en uw administratie meteen zien dat u maatregelen heeft genomen. Wie niets heeft vastgelegd, staat met lege handen. Wilt u alle losse plichten overzichtelijk afvinken, gebruik dan de AI Act-checklist voor het mkb.
Wat moet u nu doen?
- Breng uw AI-gebruik in kaart. Noteer welke tools uw mensen gebruiken en voor welke taken, ook het gebruik buiten uw zicht.
- Schrijf een kort AI-beleid. Leg minimaal vast: toegestane tools, gegevensregels, rollen en hoe u zorgt voor AI-geletterdheid. Houd het kort en concreet.
- Leg uw maatregelen vast. Maak een eenvoudig register van wie welke uitleg of training kreeg, zodat u artikel 4 kunt aantonen. Neem ook ingehuurde krachten mee.
- Maak een nulmeting. Doe de gratis AI-kennistest en zie in een paar minuten waar uw organisatie staat voordat de handhaving op 2 augustus 2026 begint.
Wilt u het hele plaatje voor uw organisatie? Lees de pillarpagina wat de AI Act betekent voor Nederlandse werkgevers.