Ben ik wettelijk verplicht om een AI-beleid te hebben?

Er is geen specifieke wettelijke verplichting voor een apart AI-beleid. Maar de GDPR (AVG) vereist dat je verwerkingsactiviteiten documenteert, passende beveiligingsmaatregelen neemt en zorgt dat medewerkers verantwoord omgaan met persoonsgegevens. Een AI-gebruiksbeleid is de meest praktische manier om aan deze verplichtingen te voldoen wanneer je team AI-tools gebruikt.

Welke AI-tools moet ik opnemen in het beleid?

Elke tool die kunstmatige intelligentie of machine learning gebruikt en die je medewerkers mogelijk voor werk gebruiken - ChatGPT, Microsoft Copilot, Google Gemini, Midjourney, AI-functies in je CRM, AI-transcriptiediensten, en vergelijkbare services. Inclusief zowel losse AI-tools als AI-functies in bestaande software.

Hoe vaak moet ik het AI-beleid bijwerken?

Minimaal een keer per jaar. Maar werk het ook bij wanneer je nieuwe AI-tools gaat gebruiken, wanneer regelgeving verandert (zoals de EU AI Act), of wanneer een incident een hiaat blootlegt. Het AI-landschap verandert snel, dus een vaste jaarlijkse review is mogelijk niet genoeg.

Wat als een medewerker per ongeluk persoonsgegevens invoert in ChatGPT?

Behandel het als een mogelijk datalek. Documenteer wat er is gebeurd, beoordeel het risico voor de betrokkenen en volg je incidentprocedure. Afhankelijk van de ernst moet je mogelijk je toezichthouder binnen 72 uur informeren en de betrokken personen op de hoogte stellen.

AI Acceptable Use Policy - Praktische GDPR Handleiding voor Bedrijven

Je medewerkers gebruiken al AI-tools. Een intern AI-gebruiksbeleid schept duidelijke regels voor verantwoord gebruik, beschermt persoonsgegevens en houdt je bedrijf GDPR-compliant. Hier is een praktische handleiding.

Je team gebruikt al AI - de vraag is of jij het weet

Dit is de realiteit: je medewerkers gebruiken AI-tools. Ze plakken klant-e-mails in ChatGPT om antwoorden op te stellen. Ze gebruiken Copilot om vergadernotities samen te vatten. Ze voeren gegevens in AI-tools in om sneller te werken. De meesten bedoelen het goed - ze willen productief zijn.

Het probleem is niet dat ze AI gebruiken. Het probleem is dat ze zonder duidelijke richtlijnen geen idee hebben wat veilig is om in te voeren en wat niet. Een verkeerde plakactie - een klantklacht met persoonlijke details, een cv, een intern document met financiele gegevens - en je hebt een GDPR-probleem.

Een AI acceptable use policy (AI-gebruiksbeleid) lost dit op. Het vertelt je team wat mag, wat niet mag, en wat te doen als er iets misgaat. Het hoeft geen juridisch meesterwerk te zijn. Het moet duidelijk, praktisch en handhaafbaar zijn.

Voordat we de beleidsstructuur bespreken, is het belangrijk te begrijpen wat de GDPR (in Nederland en Belgie ook AVG genoemd) daadwerkelijk vereist:

Documentatie. Elke AI-tool die persoonsgegevens verwerkt, moet worden opgenomen in je verwerkingsregister. Welke gegevens gaan erin? Met welk doel? Wat is de rechtsgrondslag?
Verwerkersovereenkomsten. Als een AI-provider namens jou persoonsgegevens verwerkt, heb je een verwerkersovereenkomst (DPA) nodig. De meeste enterprise-versies van ChatGPT, Copilot en Claude bieden deze aan - gratis versies doorgaans niet.
Transparantie. Als je AI gebruikt om persoonsgegevens van klanten, medewerkers of andere personen te verwerken, moet je hen informeren. Je privacyverklaring moet dit vermelden.
Dataminimalisatie. Voer alleen de persoonsgegevens in die strikt noodzakelijk zijn. Nog beter: anonimiseer gegevens voordat je ze in een AI-tool invoert.
Doorgifte-waarborgen. De meeste AI-providers verwerken data op servers in de VS. Dat is een doorgifte naar een derde land onder de GDPR, waarvoor passende waarborgen nodig zijn.

Ons begeleidend artikel over AI-tools en privacy behandelt de juridische achtergrond uitgebreider. Dit artikel richt zich op het praktische beleid dat je intern nodig hebt.

De 10 onderdelen van je AI-beleid

1. Toepassingsgebied - voor wie geldt dit?

Maak het expliciet: het beleid geldt voor iedereen die werkzaamheden verricht voor je organisatie. Medewerkers, freelancers, stagiairs, uitzendkrachten, aannemers. Als ze AI-tools gebruiken voor welke werktaak dan ook, geldt het beleid voor hen.

Wees specifiek over wat een “AI-tool” is - niet alleen ChatGPT, maar ook AI-functies in bestaande software zoals slimme aanvullingen in e-mail, AI-samenvattingen in je CRM, of AI-transcriptiediensten.

2. Goedgekeurde vs. niet-goedgekeurde tools

Onderhoud een duidelijke lijst van goedgekeurde AI-tools. Documenteer per tool:

De naam van de tool en de aanbieder
Welk abonnementsniveau is goedgekeurd (enterprise vs. gratis maakt uit voor GDPR-compliance)
Of er een verwerkersovereenkomst is
Waarvoor de tool gebruikt mag worden
Eventuele beperkingen op invoergegevens

Elke AI-tool die niet op de goedgekeurde lijst staat, is verboden voor werkdoeleinden. Dit gaat niet om restrictief zijn - het gaat erom te weten welke tools je data verwerken en onder welke voorwaarden.

Evalueer deze lijst elk kwartaal. Er verschijnen voortdurend nieuwe AI-tools, en medewerkers zullen vragen of ze die mogen gebruiken.

3. Verboden gegevens - wat mag NOOIT in AI-tools

Dit is het meest kritieke onderdeel. Wees heel specifiek over wat medewerkers nooit in een AI-tool mogen invoeren:

Gevoelige persoonsgegevens (Artikel 9 GDPR): ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap, genetische gegevens, gezondheidsgegevens, seksuele orientatie
Vertrouwelijke bedrijfsgegevens: jaarrekeningen, strategische plannen, fusie- of overnamedetails, investeerderscommunicatie
NDA-beschermde materialen: alles dat valt onder geheimhoudingsovereenkomsten met klanten of partners
Intellectueel eigendom: bedrijfseigen code, bedrijfsgeheimen, ongepubliceerde patenten, productontwerpen
HR-dossiers: beoordelingsgesprekken, disciplinaire dossiers, salarisgegevens, arbeidsongevallenrapporten, geschillendocumentatie

Maak het makkelijk te onthouden: als de gegevens persoonlijk, vertrouwelijk of gevoelig zijn, horen ze niet in een AI-tool.

4. Toegestaan gebruik - wat MAG wel

Balanceer de beperkingen met duidelijke voorbeelden van wat medewerkers wel mogen doen. Dit voorkomt dat het beleid aanvoelt als een totaalverbod:

Generieke teksten opstellen (marketingcopy, blogstructuren, e-mailtemplates) zonder persoonsgegevens
Brainstormen over ideeen, argumenten structureren of schrijffeedback krijgen
Niet-vertrouwelijke, niet-persoonlijke content vertalen
Publiek beschikbare informatie samenvatten
Codesnippets genereren voor niet-gevoelige interne tools
Presentatieopzetten maken op basis van publieke informatie

Het kernprincipe: als de invoer geen persoonsgegevens en geen vertrouwelijke bedrijfsinformatie bevat, zijn de meeste goedgekeurde AI-tools prima te gebruiken.

5. Menselijke beoordeling vereist

Alle AI-gegenereerde content moet door een mens worden beoordeeld voordat het wordt gebruikt, verzonden of gepubliceerd. Geen uitzonderingen.

AI-tools maken fouten. Ze produceren onjuiste informatie met overtuiging. Ze kunnen bevooroordeelde content genereren. Ze reproduceren soms auteursrechtelijk beschermd materiaal. Je medewerkers moeten AI-output controleren op juistheid, vooringenomenheid en geschiktheid voordat het hun bureau verlaat.

Dit is vooral kritiek voor externe communicatie, klantgerichte content en beslissingen die personen raken.

6. Regels voor geautomatiseerde besluitvorming

Wanneer AI wordt gebruikt om beslissingen over mensen te nemen of te ondersteunen - sollicitanten screenen, werknemersprestaties beoordelen, kredietscore berekenen, klantprofilering - is Artikel 22 van de GDPR van toepassing.

Je beleid moet duidelijk stellen: elk gebruik van AI voor geautomatiseerde besluitvorming over personen vereist voorafgaande goedkeuring van het management en, indien nodig, je privacycoordinator of juridisch adviseur. Een Data Protection Impact Assessment (DPIA) kan vereist zijn. Menselijke tussenkomst moet altijd gegarandeerd zijn.

7. Governance en verantwoordelijkheid

Specificeer wie eigenaar is van het beleid:

Het management is eindverantwoordelijk voor naleving
Een aangewezen privacycoordinator (of DPO als je die hebt) houdt toezicht op implementatie en beantwoordt vragen
Teamleiders zorgen ervoor dat hun teams het beleid in de praktijk volgen
Elke medewerker is persoonlijk verantwoordelijk voor het naleven van de regels

Verduidelijk ook de consequenties: overtredingen van het AI-beleid worden behandeld als elke andere overtreding van het bedrijfsbeleid en kunnen leiden tot disciplinaire maatregelen.

8. Training en bewustwording

Een beleid dat niemand leest, is nutteloos. Neem op in je beleid:

Alle nieuwe medewerkers krijgen AI-beleidstraining tijdens de onboarding
Jaarlijkse opfristraining voor alle medewerkers
Updates worden gecommuniceerd wanneer het beleid of de lijst met goedgekeurde tools verandert
Een duidelijk aanspreekpunt voor vragen (“twijfel je of je een tool mag gebruiken? Vraag het je privacycoordinator voordat je begint”)

Training hoeft niet uitgebreid te zijn. Een sessie van 30 minuten met praktische voorbeelden en een vragenronde is effectiever dan een college van twee uur.

9. Incidentafhandeling

Wat gebeurt er als iemand per ongeluk persoonsgegevens invoert in een AI-tool? Je beleid heeft een duidelijke incidentprocedure nodig:

Stop onmiddellijk met het gebruik van de tool voor die gegevens
Meld het incident bij de privacycoordinator (binnen 24 uur)
Documenteer welke gegevens zijn ingevoerd, welke tool is gebruikt, en wanneer het is gebeurd
Beoordeel het risico - kunnen de gegevens worden verwijderd? Was trainingsdata ingeschakeld? Wat is de mogelijke impact op de betrokkenen?
Volg je datalekprocedure indien nodig (melding bij de toezichthouder binnen 72 uur, melding aan betrokkenen bij hoog risico)

Maak melden gemakkelijk en vrij van schuld. Als medewerkers bang zijn voor straf, verbergen ze fouten in plaats van ze te melden - wat de situatie erger maakt.

10. Herzieningscyclus

Het AI-landschap verandert snel. Je beleid moet worden herzien:

Minimaal jaarlijks
Wanneer een nieuwe AI-tool wordt geadopteerd
Na elk incident dat een lacune blootlegt
Wanneer relevante regelgeving verandert (zoals de implementatie van de EU AI Act)

Wijs een specifiek persoon of team aan dat verantwoordelijk is voor de herziening en documenteer de herzieningsdatum in het beleid zelf.

Praktische tips: aan de slag

Begin eenvoudig. Een duidelijk document van twee pagina’s is beter dan een uitgebreid beleid van 20 pagina’s dat niemand leest. Je kunt later uitbreiden.

Betrek je team. Vraag medewerkers welke AI-tools ze al gebruiken. Je zult verrast zijn. Samen het beleid opbouwen creert draagvlak.

Gebruik echte voorbeelden. “Voer geen gevoelige gegevens in” is vaag. “Plak geen klantklacht-e-mail in ChatGPT” is concreet.

Maak het toegankelijk. Publiceer het beleid waar medewerkers het kunnen vinden - je intranet, gedeelde schijf of personeelshandboek. Niet verstopt in een SharePoint-map die niemand opent.

Blijf verbeteren. Je eerste versie zal niet perfect zijn. Evalueer na drie maanden, verzamel feedback en pas aan.

Hoe GDPRWise helpt

GDPRWise maakt het makkelijker om AI-toolgebruik te integreren in je bredere GDPR-compliance:

Verwerkingsregister: Leg elke AI-tool vast als verwerker, documenteer welke gegevens worden verwerkt, de rechtsgrondslag en of er een verwerkersovereenkomst is
Personeelsprivacybeleid: Verwijs naar je AI acceptable use policy binnen de personeelsprivacydocumentatie die GDPRWise helpt genereren
Website-scan: Detecteer AI-diensten van derden op je website die je mogelijk nog niet hebt gedocumenteerd

Een AI-beleid is een puzzelstukje. Zorgen dat het aansluit op je verwerkingsregister, je privacyverklaringen en je volledige GDPR-dossier is wat het in de praktijk laat werken.

auto_awesome Je GDPR-dossier op orde brengen?

GDPRWise scant je website, detecteert verwerkingen en derde partijen, en helpt je om je volledige GDPR-dossier op te bouwen - inclusief je verwerkingsregister met alle AI-tools gedocumenteerd.

Start je gratis scan