GovCompass
EN
AI governance
GuideAccountability

AI-beleid schrijven: een 8-sectie sjabloon

Door GovCompass.ai· Laatst gecontroleerd juni 2026· Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

Bijgewerkt: juni 2026

Inleiding: AI-beleid als governance-instrument

Een AI-beleid is geen wettelijke verplichting als zodanig, de EU AI Act schrijft geen "AI policy document" voor. Maar het is de meest effectieve manier om de talrijke Art. 26-verplichtingen te vertalen naar een werkbaar intern kader. Zonder schriftelijk beleid zijn compliance-vereisten diffuus, onbekend bij medewerkers en onbewijsbaar bij een audit door de toezichthouder.

Een goed AI-beleid dient drie doelen: (1) het geeft medewerkers duidelijkheid over wat wel en niet mag, (2) het documenteert uw compliance-aanpak voor toezichthouders, en (3) het maakt afwijkingen zichtbaar en bestuurbaar.

Stap 1: bepaal de scope van uw AI-beleid

Besluit vóór het schrijven wat uw AI-beleid dekt:

Optie A, Smal bereik: Alleen hoog-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → AI-systemen. Minimaal vereist voor EU AI Act-compliance. Risico: medewerkers weten niet hoe om te gaan met niet-hoog-risico AI (GPAI-gebruik, AI-tools, etc.).

Optie B, Breed bereik (aanbevolen): Alle AI-systemen die de organisatie inzet, inclusief GPAI-tools, AI-assistenten en experimenteel AI-gebruik. Geeft volledigere governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry → maar vereist meer schrijfwerk.

Voor de meeste organisaties is Optie B verstandiger: het voorkomt een "compliance arbitrage" waarbij medewerkers naar niet-hoog-risico AI-tools uitwijken om de hoog-risico regels te omzeilen.

Stap 2: verplichte secties voor een EU AI Act-conform beleid

Sectie 1, Scope en definities: Welke AI-systemen vallen onder het beleid? Definieer de sleutelbegrippen die in het beleid worden gebruikt (deployer, provider, hoog-risico AI, menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry →), verwijs naar de EU AI Act-definities maar vertaal ze naar uw organisatietaal.

Sectie 2, Verboden toepassingen (Art. 5): Beschrijf expliciet welke AI-toepassingen absoluut verboden zijn in uw organisatie, inclusief een vertaling van de acht Art. 5-verboden naar herkenbare voorbeelden voor uw sector. "Wij gebruiken geen AI die subliminale technieken inzet om medewerkers of klanten te beïnvloeden."

Sectie 3, AI-inkoop en leverancierseisen: Beschrijf het inkoop-proces voor AI-systemen inclusief de due diligence-vereisten (Art. 26.1). Welke documenten moet een leverancier aanleveren vóór contractondertekening? Wie heeft goedkeuringsrecht voor AI-aanschaf?

Sectie 4, Classificatie en risicoanalyse: Beschrijf het classificatieproces (Art. 6) en wie verantwoordelijk is voor classificatie. Leg vast welke methode of interne procedure u volgt om elk systeem te classificeren. Stel een drempel vast waarboven een DPIADPIAData Protection Impact Assessment, vereist vóór verwerking met waarschijnlijk hoog risico (systematische profilering met aanzienlijke gevolgen, grootschalige bijzondere categorieën, publieke monitoring); AI-ontwikkeling roept het voortdurend op. Zie impactassessment, profilering.Open full entry → of FRIAFRIAFundamental Rights Impact Assessment, vereist van publieke organen en bepaalde private gebruiksverantwoordelijken voordat ze sommige hoog-risico-AI-systemen onder de EU AI Act gebruiken. Zie grondrechten-impactassessment, gebruiksverantwoordelijke.Open full entry → verplicht is.

Sectie 5, Governance-rollen: Definieer de rollen en verantwoordelijkheden in uw AI-governance structuur:

  • AI Officer: eindverantwoordelijke voor AI-compliance in de organisatie
  • Systeemeigenaar: per AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → verantwoordelijk voor Art. 26-naleving
  • Toezichthouders: medewerkers aangewezen voor menselijk toezicht (Art. 26.2)
  • DPO: betrokken bij DPIA en AVG-aspecten van AI-gebruik

Sectie 6, Training en AI-geletterdheidAI-geletterdheidVoldoende begrip van de werking, mogelijkheden en risico's van AI voor de eigen rol, een expliciete verwachting voor medewerkers van aanbieders en gebruiksverantwoordelijken onder de EU AI Act. Zie aanbieder, gebruiksverantwoordelijke.Open full entry → (Art. 4): Beschrijf uw aanpak voor AI-geletterdheid: welke rollen vereisen welk niveau van training, hoe worden trainingen gedocumenteerd, en hoe vaak worden ze herhaald.

Sectie 7, Menselijk toezicht (Art. 26.2): Beschrijf de minimumeisen voor menselijk toezicht bij hoog-risico AI: wie, hoe, hoe te documenteren, wanneer te escaleren. Verwijs naar de toezichtprotocollen per systeem.

Sectie 8, Monitoring en logretentie (Art. 26.5 + 26.6): Beschrijf de monitoringverplichting en hoe die wordt ingevuld. Beschrijf de retentiepolicies per type log. Verwijs naar het retentiebeleid of bewaartermijnen-register.

Sectie 9, TransparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → jegens betrokkenenbetrokkenenDe individuen of groepen die onderworpen zijn aan of geraakt worden door de uitkomsten of beslissingen van een AI-systeem, en wier rechten het governance-regime beoogt te beschermen. Zie schade, belanghebbendenanalyse.Open full entry → (Art. 26.7): Beschrijf hoe en wanneer betrokkenen worden geïnformeerd over AI-gebruik. Verwijs naar de privacyverklaring en eventuele aanvullende AI-transparantiecommunicatie.

Sectie 10, Incidentrespons (Art. 73): Beschrijf het incidentresponse-proces: drempelwaarden, escalatieprocedure, meldingstermijnen aan de bevoegde toezichthouder, en communicatie aan betrokkenen.

Sectie 11, Afwijkingen en uitzonderingen: Beschrijf hoe medewerkers een afwijkingsverzoek indienen als ze van beleid willen afwijken (bijv. testen met een nieuw AI-tool). Wie keurt af?

Sectie 12, Handhaving en gevolgen: Wat zijn de gevolgen van niet-naleving van het AI-beleid? Intern: disciplinaire maatregelen. Extern: beschrijf de wettelijke sancties (Art. 99) zonder overdrijving.

Stap 3: maak het beleid werkbaar

Een AI-beleid van 40 pagina's dat niemand leest is nutteloos. Bouw werkbaarheid in:

Bondig schrijven: Gebruik duidelijke, korte zinnen. Vermijd juridisch jargon waar dat niet nodig is. Een medewerker in een HR-afdeling moet het beleid begrijpen zonder juridische achtergrond.

Samenvatting op één pagina: Voeg een "AI-gedragscode op één pagina" toe die de kernregels bevat voor dagelijks gebruik. Dit is wat medewerkers onthouden.

Verwijzingen naar protocollen: Verwijs voor operationele details naar afzonderlijke protocollen per systeem (toezichtprotocol, incidentprotocol). Het AI-beleid stelt het kader; de protocollen beschrijven de uitvoering.

Stap 4: stel een review-cyclus in

AI-regelgeving evolueert. Plan een jaarlijkse review van het AI-beleid, met extra reviews bij:

  • Nieuwe hoog-risico AI-systemen in de organisatie
  • Wijzigingen in de EU AI Act of gerelateerde regelgeving (bijv. guidance van de toezichthouder)
  • Ernstige AI-incidenten intern of branchewijd

Stap 5: implementeer het beleid effectief

Beleid dat niet wordt gecommuniceerd, bestaat niet. Implementatiestappen:

  1. Formele goedkeuring door bestuur of directie
  2. Communicatie aan alle relevante medewerkers met leesbevestiging
  3. Opname in het onboarding-programma voor nieuwe medewerkers
  4. Jaarlijkse refresh-training voor AI-gebruikers
  5. Beschikbaar op het intranet met zoekfunctionaliteit

Samenvatting

Een effectief AI-beleid is bondig, begrijpelijk en operationeel, geen juridisch document maar een bestuursinstrument. Start met de twaalf verplichte secties hierboven, maak het toegankelijk voor alle medewerkers, en plan een jaarlijkse review. Het schrijven kost een dag; de compliance-waarde is meerjaarlijks.

WetsverwijzingenArt. 26Art. 4Art. 5Art. 6Art. 73
Delen Deel op LinkedIn

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.