EU Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Wegwijzer

AI-gebruiksbeleid: kant-en-klaar sjabloon om over te nemen

Vastgesteld 2026-06-28 · ≈ 2 min lezen · Dirk Baaijen

Een direct bruikbaar sjabloon voor een intern AI-gebruiksbeleid — wat mag wel en niet, welke data wel/niet in AI-tools, goedkeuring van nieuwe tools, en de koppeling met AI-geletterdheid (art. 4). Neem het over en pas het aan op je organisatie.

Kort antwoord: Bijna elke organisatie heeft inmiddels medewerkers die AI-tools gebruiken — vaak zónder afspraken. Een kort, helder AI-gebruiksbeleid vangt dat risico af en is tegelijk een bouwsteen voor je AI-geletterdheidsdossier (art. 4). Hieronder een kant-en-klaar sjabloon: neem het over, vul de haakjes in en pas het aan.

Sjabloon — AI-gebruiksbeleid [organisatie]

1. Doel. Dit beleid beschrijft hoe medewerkers van [organisatie] AI-tools verantwoord gebruiken, zodat we de voordelen benutten zonder onnodige risico's voor data, privacy en kwaliteit.

2. Toepassingsgebied. Geldt voor alle medewerkers, inhuur en stagiairs die AI-tools gebruiken voor werk, op alle apparaten.

3. Toegestane tools. Alleen door [IT/security] goedgekeurde tools mogen met werkdata worden gebruikt. De actuele lijst staat op [locatie]. Een nieuwe tool meld je vooraf via [proces] voor goedkeuring.

4. Wat mag wel. AI gebruiken voor concepten, samenvattingen, code, analyse en ideeën — mits je de uitkomst zelf controleert en verantwoordelijk blijft voor het resultaat.

5. Wat mag niet. Geen vertrouwelijke, persoons- of bedrijfsgevoelige gegevens invoeren in niet-goedgekeurde of openbare AI-tools. Geen AI-uitkomst ongecontroleerd extern gebruiken. Geen AI inzetten voor besluiten over mensen (werving, beoordeling) buiten [aangewezen, getoetste processen].

6. Data en privacy. Behandel invoer alsof die de organisatie verlaat. Bij persoonsgegevens gelden de AVG-beginselen; gebruik alleen tools met een verwerkersovereenkomst en zonder hergebruik voor modeltraining.

7. Transparantie. Maak kenbaar wanneer een tekst, beeld of besluit met AI tot stand kwam waar dat de ontvanger raakt (sluit aan op art. 50).

8. Verantwoordelijkheid. Je blijft zelf verantwoordelijk voor wat je met AI maakt en deelt. Bij twijfel: vraag [eigenaar/AI-aanspreekpunt].

9. Incidenten. Vermoedelijk datalek of misbruik meld je direct via [meldproces].

10. Geletterdheid. Iedereen die AI gebruikt volgt de [AI-geletterdheidstraining]; dit beleid + de training vormen samen je art. 4-bewijs.

Vastgesteld door [verantwoordelijke], [datum]. Herzien: jaarlijks of bij belangrijke wijzigingen.

Zo gebruik je het

Vul de haakjes in, leg het kort voor aan [IT/security/HR/OR] en stel het vast. Houd het één pagina — een beleid dat niemand leest, werkt niet. Koppel het aan je bredere AI-governance-raamwerk zodra dat er is.

Lees ook: AI-gebruiksbeleid voor medewerkers en AI-agent governance-checklist.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act), artikel 4 — AI-geletterdheid; transparantie (art. 50).
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG) — beginselen voor verwerking van persoonsgegevens.

Deel op LinkedIn

Lees ook

W

Een AI-gebruiksbeleid voor medewerkers: generatieve AI op het werk

Medewerkers gebruiken allang generatieve AI — vaak zonder regels. Een gebruiksbeleid begrenst de risico's: lekken van vertrouwelijke of persoonsgegevens, onbetrouwbare output, IE-vragen en transparantie. De AI-geletterdheidsplicht (art. 4) maakt zulk beleid bovendien onderdeel van naleving.

W

Bestuurlijke AI Act-briefing: sjabloon voor directie en MT

Een beknopt sjabloon om de AI Act en het AI-gebruik op de bestuurstafel te krijgen: wat speelt er, welke risico's en deadlines, welke besluiten zijn nodig, en welke toezichtvragen het bestuur moet stellen. Neem het over voor je eerstvolgende MT/RvC.

U

AI-agents en security: welke risico's en hoe beheers je ze?

AI-agents met tool-toegang vergroten het aanvalsoppervlak: prompt-injectie, misbruik van bevoegdheden en datalekken. Beheersing vraagt minimale rechten, isolatie, monitoring en menselijke bevestiging bij gevoelige acties — raakvlak met NIS2 en de Cyber Resilience Act.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.