Werkvloer & Beleid 5 mei 2026 7 min lezen

Generatieve AI op de werkvloer: regels en richtlijnen voor bedrijven

Generatieve AI op de werkvloer - ActCheck EU AI Act gids

Uw medewerkers gebruiken al ChatGPT, Copilot en Claude, al dan niet met uw toestemming. Wat moet u als werkgever regelen om grip te houden?

Onderzoek na onderzoek wijst uit: een ruime meerderheid van Nederlandse kantoormedewerkers gebruikt generatieve AI inmiddels minimaal wékelijks, ook in bedrijven die er geen beleid op hebben. Dat fenomeen heeft een naam: shadow AI. Medewerkers gebruiken AI op privé-accounts, op hun eigen telefoon of via gratis tools, omdat de werkgever niets faciliteert.

Voor de werkgever is dat een dubbel risico: data-uitstroom én geen idee waar AI welk werk beïnvloedt. De EU AI Act, de AVG en het arbeidsrecht stellen drie aparte sets eisen. Hier vindt u de samenvatting plus een werkbare aanpak.

Het wettelijk kader op één A4

Vanuit de EU AI Act

Vanuit de AVG

Vanuit het arbeidsrecht

Vier praktische scenario's

Scenario 1: medewerker schrijft klantmail met ChatGPT

Op zich toegestaan, mits de mail geen vertrouwelijke klantdata bevat én de medewerker de output controleert vóór verzending. Als de mail wel gevoelige data bevat, alleen via een zakelijke versie met DPA (ChatGPT Enterprise, Copilot for Microsoft 365).

Scenario 2: HR test AI voor cv-screening

Hoog-risico onder de AI Act, volledige verplichtingen gelden. AI mag pas worden ingezet na FRIA en DPIA. Lees onze gids voor AI in recruitment.

Scenario 3: ontwikkelaar gebruikt GitHub Copilot

Grotendeels prima, mits broncode geen klantgevoelige data bevat. Belangrijk: open source, en propriëtaire code-licenties komen via Copilot soms ongewild in uw codebase. Beleid en review-proces nodig.

Scenario 4: marketingafdeling produceert AI-beelden voor advertenties

Toegestaan, mits transparantie bij eventuele deepfakes/echt-lijkende personen, mits geen schending van auteursrechten en mits afgesproken in marketingbeleid.

Do's en don'ts voor AI-beleid op de werkvloer

Wel doen

  • Stel een whitelist op van toegestane tools (en faciliteer ze)
  • Geef heldere instructie wanneer AI wél/niet mag (klantdata, juridische analyse, prestatiebeoordeling)
  • Verplicht een mens-controle voor AI-output naar buiten
  • Zet AI-geletterdheid op in onboarding en jaartraining
  • Betrek de OR vroeg bij beleidvorming
  • Documenteer datalekken en escalatieroutes

Niet doen

  • Een totaal verbod zonder alternatief, dat creates shadow AI
  • AI gebruiken voor emotie- of stress-detectie van medewerkers
  • AI-output ongezien doorsturen naar klanten
  • Klantdata zonder DPA in een publieke chatbot zetten
  • Beoordelingsbeslissingen volledig automatiseren
  • Beleid alleen op papier hebben zonder training of monitoring
Shadow AI is een AVG-tijdbom

Als medewerkers privacygevoelige data via een privé-account in ChatGPT plakken, is dat formeel een datalek waar uw bedrijf eindverantwoordelijk voor is. Een goede whitelist met faciliteerde tools is de enige manier om dit risico structureel te beperken.

Vier-stappen-aanpak voor uw AI-beleid

  1. Inventariseer, welke AI gebruiken medewerkers feitelijk? Vraag het rond. Wees verrast.
  2. Faciliteer, bied zakelijke alternatieven (ChatGPT Team/Enterprise, Copilot) zodat privé-accounts niet meer nodig zijn.
  3. Document, AI-beleid opstellen, OR-traject lopen, training plannen.
  4. Train & monitor, AI-geletterdheid voor alle medewerkers; monitoring via reguliere tooling, niet via verboden surveillance-AI.

Hoe AI-Act-proof is uw werkvloer?

De gratis ActCheck-scan signaleert risico's rond medewerkergebruik van AI en geeft u een concrete actielijst.

Start de gratis check

Meer lezen

Artikel 4

AI-geletterdheid: verplichte training
Beleid

AI-beleid opstellen: stappenplan
HR

AI Act en personeelsbeleid

Volledige kennisbank: alle artikelen

Wetsartikelen
Artikel 2: reikwijdte Artikel 3: definities Artikel 4: AI-geletterdheid Artikel 5: verboden AI Artikel 6: classificatie Artikel 9: risicobeheer Artikel 10: data governance Artikel 14: menselijk toezicht Artikel 26: deployers Artikel 27: FRIA Artikel 50: transparantie Artikel 57: sandbox Artikel 73: incidenten Artikel 86: recht op uitleg GPAI & foundation models GPAI Code of Practice
Verboden AI
Verbod emotieherkenning Verbod social scoring Verbod gezichtsherkenning
Sectoren
MKB ZZP Startups & scale-ups MKB vereenvoudigde docs Recruitment HR & personeelsbeleid Financiele sector Verzekeringen Accountancy Advocaten Zorg Onderwijs Gemeenten & overheid Publieke aanbesteding Marketing Media & uitgevers Retail & e-commerce Logistiek & transport Productie & industrie Bouw Vastgoed & makelaars IT-dienstverleners Callcenter & klantcontact Camera & CCTV
AI-tools
ChatGPT Claude (Anthropic) Microsoft Copilot Google Gemini DeepSeek Perplexity Midjourney & DALL-E ElevenLabs & stem-AI Notion AI Open source AI AI agents
Naleving & governance
EU AI Act naleving Naleving checklist Naleving & toezichthouder Deadlines 2026 AI Act vs AVG AI Act vs NIS2 AI Act vs VS Extraterritorialiteit AI wet boetes High-risk AI systemen AI-register opstellen AI beleid opstellen Conformiteitsbeoordeling ISO 42001 Bias & discriminatie Kosten naleving DPIA + FRIA combineren Audit voorbereiden Vendor due diligence
Actualiteit & Nederland
Digital Omnibus uitstel Uitvoeringswet NL NL toezichthouders Algoritmeregister NL EU AI Office