Is een AI beleid verplicht onder de EU AI wet?

Ja. De EU AI wet verplicht deployers om intern beleid te voeren over het gebruik van AI-systemen. Dit vloeit voort uit de accountability-verplichtingen van de wet: u moet aantoonbaar kunnen laten zien dat uw organisatie bewust en verantwoord omgaat met AI. Een intern AI beleid is het centrale document daarvoor.

Hoe lang moet een AI beleid zijn?

Er is geen wettelijk minimumaantal pagina's. Voor de meeste MKB-bedrijven is één tot twee A4-pagina's voldoende. Het gaat niet om de lengte maar om de inhoud: het beleid moet de kernvragen beantwoorden over wie wat mag doen, welke data erin mag en hoe toezicht is geregeld.

AI beleid opstellen: template en stappenplan voor de EU AI wet, actcheck.nl

Q: Wat moet er minimaal in een AI beleid staan?

Een AI beleid bevat minimaal: welke AI-tools uw organisatie gebruikt en voor welk doel, wie welke tools mag gebruiken, welke data niet in AI-tools mag worden ingevoerd, hoe medewerkers AI-output controleren, hoe u transparant bent naar klanten bij AI-gebruik, en wie intern verantwoordelijk is voor AI-beheer en naleving.

Een intern AI beleid is één van de eerste documenten die de toezichthouder opvraagt bij een compliance-controle onder de AI wet. Toch ontbreekt het bij de meeste MKB-bedrijven — niet omdat ze het niet willen, maar omdat het onduidelijk is wat er precies in moet staan. Dit artikel neemt u in zes stappen mee door het opstellen van een AI beleid dat voldoet aan de EU AI wet.

Waarom is een AI beleid verplicht?

De EU AI wet — officieel de EU AI Act — verplicht deployers om intern beleid te voeren over het gebruik van AI-systemen. Dit vloeit voort uit twee principes in de wet:

Accountability: u moet aantoonbaar kunnen laten zien dat uw organisatie bewust en verantwoord omgaat met AI. Een beleid is het centrale bewijs daarvoor.
AI-geletterdheid (artikel 4): medewerkers moeten weten hoe ze verantwoord met AI-tools omgaan. Een AI beleid geeft die kaders.

Bovendien is een AI beleid de basis voor al uw andere compliance-documenten: het AI-register, de medewerkerstraining en de verwerkersovereenkomsten bouwen voort op de keuzes die u in het beleid vastlegt.

Wat moet er minimaal in een AI beleid staan?

Er is geen wettelijk voorgeschreven format, maar de AI wet stelt inhoudelijke eisen. Een compliant AI beleid beantwoordt minimaal de volgende vragen:

Welke AI-tools gebruikt uw organisatie en voor welk doel?
Verwijs naar uw AI-register voor de volledige lijst. Het beleid geeft de kaders; het register de details.
Wie mag welke tools gebruiken?
Zijn alle medewerkers bevoegd, of alleen specifieke functies of afdelingen? Geldt er een goedkeuringsproces voor nieuwe tools?
Welke data mag niet in AI-tools worden ingevoerd?
Denk aan: persoonsgegevens van klanten of medewerkers (zonder DPA), bedrijfsgeheimen, financiële gegevens, medische informatie.
Hoe controleert u AI-output?
Wie is verantwoordelijk voor het controleren van AI-gegenereerde content voordat die extern gaat? Hoe gaat u om met fouten of hallucinaties?
Hoe bent u transparant naar klanten?
Wanneer en hoe informeert u klanten dat AI is ingezet in communicatie of besluitvorming?
Wie is intern verantwoordelijk?
Welke functie beheert het AI beleid, het AI-register en de compliance? Wie is het aanspreekpunt bij een incident?

Template-structuur voor een AI beleid (MKB)

Onderstaande structuur kunt u direct gebruiken als basis. Vul de vetgedrukte placeholders in voor uw eigen organisatie.

AI Beleid — [Naam organisatie]

Versie 1.0 · Vastgesteld op [datum] · Verantwoordelijke: [naam/functie]

1. Doel van dit beleid

Dit beleid beschrijft hoe [organisatienaam] omgaat met AI-systemen, conform de EU AI wet (Verordening 2024/1689). Het geldt voor alle medewerkers en ingehuurde krachten.

2. Toegestane AI-tools

Onze organisatie gebruikt de volgende AI-tools (zie AI-register voor volledig overzicht):
— [Tool 1]: [doel]
— [Tool 2]: [doel]
Nieuwe tools mogen pas worden ingezet na opname in het AI-register en goedkeuring door [verantwoordelijke].

3. Gebruiksregels

Medewerkers voeren het volgende NIET in AI-tools in:
— Persoonsgegevens van klanten of medewerkers (tenzij DPA is afgesloten)
— Vertrouwelijke bedrijfsinformatie
— Financiële gegevens van klanten
AI-output wordt altijd door een mens gecontroleerd voordat het extern wordt gebruikt.

4. Transparantie

Als AI wordt ingezet in communicatie met klanten, vermelden wij dit via: [beschrijf methode, bijv. footer-melding, clausule in offerte].

5. Training

Alle medewerkers die AI-tools gebruiken worden geïnformeerd over dit beleid en de risico's van AI-gebruik. Training vindt plaats via: [beschrijf, bijv. teambespreking, e-learning]. Deelname wordt geregistreerd door [verantwoordelijke].

6. Beheer en actualisatie

Dit beleid wordt jaarlijks herzien door [verantwoordelijke]. Bij nieuwe AI-tools of wijzigingen in de AI wet wordt het beleid direct geactualiseerd.

Stappenplan: AI beleid opstellen in één middag

1

Doe de gratis check (30 min)
Start op actcheck.nl. De checker inventariseert uw AI-tools en geeft een risicoklassificatie. Dit levert direct de input voor sectie 2 van uw AI beleid (welke tools, welk doel).
2

Kopieer de template en vul de placeholders in (45 min)
Gebruik de structuur hierboven. Vul uw organisatienaam, tools, verantwoordelijke en datum in. Pas de gebruiksregels aan op uw specifieke situatie.
3

Laat het accorderen door directie of management (15 min)
Een AI beleid is pas geldig als het is vastgesteld door een bevoegde persoon in uw organisatie. Stuur het ter accordering en zorg dat de datum van vaststelling erin staat.
4

Communiceer het naar medewerkers (15 min)
Stuur het AI beleid naar alle medewerkers die AI-tools gebruiken. Bewaar het bewijs van verzending (e-mail met ontvangstbevestiging of leesbevestiging). Dit is uw bewijs van artikel 4-naleving.
5

Sla het op in uw compliance-map
Bewaar het AI beleid samen met uw AI-register, DPA's en trainingsbewijzen in één centrale map. Dit is uw compliance-dossier dat u bij een AP-audit kunt tonen.

Tip: Wijs in het AI beleid expliciet één persoon aan als verantwoordelijke. Dat hoeft geen juridisch expert te zijn — een HR-manager, operations-directeur of IT-beheerder kan deze rol vervullen. Zonder aangewezen verantwoordelijke is het beleid lastig te onderhouden en minder geloofwaardig bij een audit.

Hoe houd u het AI beleid actueel?

Een AI beleid dat twee jaar geleden is opgesteld maar nooit is bijgewerkt, werkt tegen u bij een compliance-controle. Het laat zien dat compliance geen levend proces is. Voorkom dit met:

Een jaarlijkse reviewdatum in de kalender van de verantwoordelijke
Een proces waarbij nieuwe AI-tools pas in gebruik mogen worden genomen na aanpassing van het register én het beleid
Aandacht voor wetswijzigingen in de AI wet — de AP en de EU AI Office publiceren guidance die beleid kan raken

Meest gemaakte fout

Bedrijven stellen een AI beleid op maar communiceren het niet naar medewerkers. Zonder bewijs van communicatie — een e-mail, presentatie of ondertekende verklaring — kunt u bij een audit niet aantonen dat medewerkers het beleid kennen. De communicatie is even belangrijk als het document zelf.

Start met de gratis check voor uw AI beleid

De gratis checker geeft u een overzicht van al uw AI-tools en hun risiconiveau. De perfecte basis voor sectie 2 van uw AI beleid. In 10 minuten klaar.

Start de gratis check

AI beleid opstellen: template en stappenplan voor de EU AI wet

Waarom is een AI beleid verplicht?

Wat moet er minimaal in een AI beleid staan?

Template-structuur voor een AI beleid (MKB)

Stappenplan: AI beleid opstellen in één middag

Hoe houd u het AI beleid actueel?

Start met de gratis check voor uw AI beleid

Meer lezen

AI-register opstellen: stappenplan met voorbeeldtabel

AI Act compliance checklist: 8 punten die elk bedrijf moet afvinken