Naleving Praktijk 30 april 2026 6 min lezen

AI beleid opstellen: template en stappenplan voor de EU AI wet

AI beleid opstellen - ActCheck EU AI Act gids

De EU AI wet verplicht elk bedrijf dat AI gebruikt om een intern AI beleid te hebben. Hier leest u wat er minimaal in staat, hoe u het in één middag opstelt en welke template-structuur werkt voor het MKB.

Een intern AI beleid is één van de eerste documenten die de toezichthouder opvraagt bij een naleving-controle onder de AI wet. Toch ontbreekt het bij de meeste MKB-bedrijven - niet omdat ze het niet willen, maar omdat het onduidelijk is wat er precies in moet staan. Dit artikel neemt u in zes stappen mee door het opstellen van een AI beleid dat voldoet aan de EU AI wet.

Waarom is een AI beleid verplicht?

De EU AI wet - officieel de EU AI Act - verplicht deployers om intern beleid te voeren over het gebruik van AI-systemen. Dit vloeit voort uit twee principes in de wet:

Bovendien is een AI beleid de basis voor al uw andere naleving-documenten: het AI-register, de medewerkerstraining en de verwerkersovereenkomsten bouwen voort op de keuzes die u in het beleid vastlegt.

Wat moet er minimaal in een AI beleid staan?

Er is geen wettelijk voorgeschreven format, maar de AI wet stelt inhoudelijke eisen. Een conform AI beleid dat voldoet aan de eisen beantwoordt minimaal de volgende vragen:

  1. Welke AI-tools gebruikt uw organisatie en voor welk doel?
    Verwijs naar uw AI-register voor de volledige lijst. Het beleid geeft de kaders; het register de details.
  2. Wie mag welke tools gebruiken?
    Zijn alle medewerkers bevoegd, of alleen specifieke functies of afdelingen? Geldt er een goedkeuringsproces voor nieuwe tools?
  3. Welke data mag niet in AI-tools worden ingevoerd?
    Denk aan: persoonsgegevens van klanten of medewerkers (zonder DPA), bedrijfsgeheimen, financiële gegevens, medische informatie.
  4. Hoe controleert u AI-output?
    Wie is verantwoordelijk voor het controleren van AI-gegenereerde content voordat die extern gaat? Hoe gaat u om met fouten of hallucinaties?
  5. Hoe bent u transparant naar klanten?
    Wanneer en hoe informeert u klanten dat AI is ingezet in communicatie of besluitvorming?
  6. Wie is intern verantwoordelijk?
    Welke functie beheert het AI beleid, het AI-register en de naleving? Wie is het aanspreekpunt bij een incident?

Template-structuur voor een AI beleid (MKB)

Onderstaande structuur kunt u direct gebruiken als basis. Vul de vetgedrukte placeholders in voor uw eigen organisatie.

AI Beleid - [Naam organisatie]
Versie 1.0 · Vastgesteld op [datum] · Verantwoordelijke: [naam/functie]

1. Doel van dit beleid
Dit beleid beschrijft hoe [organisatienaam] omgaat met AI-systemen, conform de EU AI wet (Verordening 2024/1689). Het geldt voor alle medewerkers en ingehuurde krachten.

2. Toegestane AI-tools
Onze organisatie gebruikt de volgende AI-tools (zie AI-register voor volledig overzicht):
- [Tool 1]: [doel]
- [Tool 2]: [doel]
Nieuwe tools mogen pas worden ingezet na opname in het AI-register en goedkeuring door [verantwoordelijke].

3. Gebruiksregels
Medewerkers voeren het volgende NIET in AI-tools in:
- Persoonsgegevens van klanten of medewerkers (tenzij DPA is afgesloten)
- Vertrouwelijke bedrijfsinformatie
- Financiële gegevens van klanten
AI-output wordt altijd door een mens gecontroleerd voordat het extern wordt gebruikt.

4. Transparantie
Als AI wordt ingezet in communicatie met klanten, vermelden wij dit via: [beschrijf methode, bijv. footer-melding, clausule in offerte].

5. Training
Alle medewerkers die AI-tools gebruiken worden geïnformeerd over dit beleid en de risico's van AI-gebruik. Training vindt plaats via: [beschrijf, bijv. teambespreking, e-learning]. Deelname wordt geregistreerd door [verantwoordelijke].

6. Beheer en actualisatie
Dit beleid wordt jaarlijks herzien door [verantwoordelijke]. Bij nieuwe AI-tools of wijzigingen in de AI wet wordt het beleid direct geactualiseerd.

Stappenplan: AI beleid opstellen in één middag

  1. 1
    Doe de gratis check (30 min)

    Start op actcheck.nl. De checker inventariseert uw AI-tools en geeft een risicoklassificatie. Dit levert direct de input voor sectie 2 van uw AI beleid (welke tools, welk doel).

  2. 2
    Kopieer de template en vul de placeholders in (45 min)

    Gebruik de structuur hierboven. Vul uw organisatienaam, tools, verantwoordelijke en datum in. Pas de gebruiksregels aan op uw specifieke situatie.

  3. 3
    Laat het accorderen door directie of management (15 min)

    Een AI beleid is pas geldig als het is vastgesteld door een bevoegde persoon in uw organisatie. Stuur het ter accordering en zorg dat de datum van vaststelling erin staat.

  4. 4
    Communiceer het naar medewerkers (15 min)

    Stuur het AI beleid naar alle medewerkers die AI-tools gebruiken. Bewaar het bewijs van verzending (e-mail met ontvangstbevestiging of leesbevestiging). Dit is uw bewijs van artikel 4-naleving.

  5. 5
    Sla het op in uw naleving-map

    Bewaar het AI beleid samen met uw AI-register, DPA's en trainingsbewijzen in één centrale map. Dit is uw naleving-dossier dat u bij een AP-audit kunt tonen.

Tip: Wijs in het AI beleid expliciet één persoon aan als verantwoordelijke. Dat hoeft geen juridisch expert te zijn - een HR-manager, operations-directeur of IT-beheerder kan deze rol vervullen. Zonder aangewezen verantwoordelijke is het beleid lastig te onderhouden en minder geloofwaardig bij een audit.

Hoe houd u het AI beleid actueel?

Een AI beleid dat twee jaar geleden is opgesteld maar nooit is bijgewerkt, werkt tegen u bij een naleving-controle. Het laat zien dat naleving geen levend proces is. Voorkom dit met:

Meest gemaakte fout

Bedrijven stellen een AI beleid op maar communiceren het niet naar medewerkers. Zonder bewijs van communicatie - een e-mail, presentatie of ondertekende verklaring - kunt u bij een audit niet aantonen dat medewerkers het beleid kennen. De communicatie is even belangrijk als het document zelf.

Start met de gratis check voor uw AI beleid

De gratis checker geeft u een overzicht van al uw AI-tools en hun risiconiveau. De perfecte basis voor sectie 2 van uw AI beleid. In 10 minuten klaar.

Start de gratis check

Meer lezen

AI Register

AI-register opstellen voor de EU AI Act: stappenplan met voorbeeldtabel
Naleving Checklist

AI Act naleving checklist: 8 punten die elk bedrijf moet afvinken
AI Act Naleving

EU AI Act naleving voor bedrijven: wat betekent het en wat moet u doen?

Volledige kennisbank: alle artikelen

Wetsartikelen
Artikel 2: reikwijdte Artikel 3: definities Artikel 4: AI-geletterdheid Artikel 5: verboden AI Artikel 6: classificatie Artikel 9: risicobeheer Artikel 10: data governance Artikel 14: menselijk toezicht Artikel 26: deployers Artikel 27: FRIA Artikel 50: transparantie Artikel 57: sandbox Artikel 73: incidenten Artikel 86: recht op uitleg GPAI & foundation models GPAI Code of Practice
Verboden AI
Verbod emotieherkenning Verbod social scoring Verbod gezichtsherkenning
Sectoren
MKB ZZP Startups & scale-ups MKB vereenvoudigde docs Recruitment HR & personeelsbeleid Financiele sector Verzekeringen Accountancy Advocaten Zorg Onderwijs Gemeenten & overheid Publieke aanbesteding Marketing Media & uitgevers Retail & e-commerce Logistiek & transport Productie & industrie Bouw Vastgoed & makelaars IT-dienstverleners Callcenter & klantcontact Camera & CCTV
AI-tools
ChatGPT Claude (Anthropic) Microsoft Copilot Google Gemini DeepSeek Perplexity Midjourney & DALL-E ElevenLabs & stem-AI Notion AI Open source AI Generatieve AI op werkvloer AI agents
Naleving & governance
EU AI Act naleving Naleving checklist Naleving & toezichthouder Deadlines 2026 AI Act vs AVG AI Act vs NIS2 AI Act vs VS Extraterritorialiteit AI wet boetes High-risk AI systemen AI-register opstellen Conformiteitsbeoordeling ISO 42001 Bias & discriminatie Kosten naleving DPIA + FRIA combineren Audit voorbereiden Vendor due diligence
Actualiteit & Nederland
Digital Omnibus uitstel Uitvoeringswet NL NL toezichthouders Algoritmeregister NL EU AI Office