GovCompass
Kennisbank
Guide

AI-beleid schrijven: een 8-sectie sjabloon

Bijgewerkt: juni 2026 — volledige herziening naar Validai-kwaliteitsstandaard

Inleiding: AI-beleid als governance-instrument

Een AI-beleid is geen wettelijke verplichting als zodanig — de EU AI Act schrijft geen "AI policy document" voor. Maar het is de meest effectieve manier om de talrijke Art. 26-verplichtingen te vertalen naar een werkbaar intern kader. Zonder schriftelijk beleid zijn compliance-vereisten diffuus, onbekend bij medewerkers en onbewijsbaar bij een ACM-audit.

Een goed AI-beleid dient drie doelen: (1) het geeft medewerkers duidelijkheid over wat wel en niet mag, (2) het documenteert uw compliance-aanpak voor toezichthouders, en (3) het maakt afwijkingen zichtbaar en bestuurbaar.

Stap 1: Bepaal de scope van uw AI-beleid

Besluit vóór het schrijven wat uw AI-beleid dekt:

Optie A — Smal bereik: Alleen hoog-risico AI-systemen. Minimaal vereist voor EU AI Act-compliance. Risico: medewerkers weten niet hoe om te gaan met niet-hoog-risico AI (GPAI-gebruik, AI-tools, etc.).

Optie B — Breed bereik (aanbevolen): Alle AI-systemen die de organisatie inzet, inclusief GPAI-tools, AI-assistenten en experimenteel AI-gebruik. Geeft volledigere governance maar vereist meer schrijfwerk.

Voor de meeste organisaties is Optie B verstandiger: het voorkomt een "compliance arbitrage" waarbij medewerkers naar niet-hoog-risico AI-tools uitwijken om de hoog-risico regels te omzeilen.

Stap 2: Verplichte secties voor een EU AI Act-conform beleid

Sectie 1 — Scope en definities: Welke AI-systemen vallen onder het beleid? Definieer de sleutelbegrippen die in het beleid worden gebruikt (deployer, provider, hoog-risico AI, menselijk toezicht) — verwijs naar de EU AI Act-definities maar vertaal ze naar uw organisatietaal.

Sectie 2 — Verboden toepassingen (Art. 5): Beschrijf expliciet welke AI-toepassingen absoluut verboden zijn in uw organisatie, inclusief een vertaling van de acht Art. 5-verboden naar herkenbare voorbeelden voor uw sector. "Wij gebruiken geen AI die subliminale technieken inzet om medewerkers of klanten te beïnvloeden."

Sectie 3 — AI-inkoop en leverancierseisen: Beschrijf het inkoop-proces voor AI-systemen inclusief de due diligence-vereisten (Art. 26.1). Welke documenten moet een leverancier aanleveren vóór contractondertekening? Wie heeft goedkeuringsrecht voor AI-aanschaf?

Sectie 4 — Classificatie en risicoanalyse: Beschrijf het classificatieproces (Art. 6) en wie verantwoordelijk is voor classificatie. Verwijs naar de Validai classificatiewizard of uw interne classificatie-procedure. Stel een drempel vast waarboven een DPIA of FRIA verplicht is.

Sectie 5 — Governance-rollen: Definieer de rollen en verantwoordelijkheden in uw AI-governance structuur:

  • AI Officer: eindverantwoordelijke voor AI-compliance in de organisatie
  • Systeemeigenaar: per AI-systeem verantwoordelijk voor Art. 26-naleving
  • Toezichthouders: medewerkers aangewezen voor menselijk toezicht (Art. 26.2)
  • DPO: betrokken bij DPIA en AVG-aspecten van AI-gebruik

Sectie 6 — Training en AI-geletterdheid (Art. 4): Beschrijf uw aanpak voor AI-geletterdheid: welke rollen vereisen welk niveau van training, hoe worden trainingen gedocumenteerd, en hoe vaak worden ze herhaald.

Sectie 7 — Menselijk toezicht (Art. 26.2): Beschrijf de minimumeisen voor menselijk toezicht bij hoog-risico AI: wie, hoe, hoe te documenteren, wanneer te escaleren. Verwijs naar de toezichtprotocollen per systeem.

Sectie 8 — Monitoring en logretentie (Art. 26.5 + 26.6): Beschrijf de monitoringverplichting en hoe die wordt ingevuld. Beschrijf de retentiepolicies per type log. Verwijs naar het retentiebeleid of bewaartermijnen-register.

Sectie 9 — Transparantie jegens betrokkenen (Art. 26.7): Beschrijf hoe en wanneer betrokkenen worden geïnformeerd over AI-gebruik. Verwijs naar de privacyverklaring en eventuele aanvullende AI-transparantiecommunicatie.

Sectie 10 — Incidentrespons (Art. 73): Beschrijf het incidentresponse-process: drempelwaarden, escalatieprocedure, meldingstermijnen aan ACM en AP, en communicatie aan betrokkenen.

Sectie 11 — Afwijkingen en uitzonderingen: Beschrijf hoe medewerkers een afwijkingsverzoek indienen als ze van beleid willen afwijken (bijv. testen met een nieuw AI-tool). Wie keurt af?

Sectie 12 — Handhaving en gevolgen: Wat zijn de gevolgen van niet-naleving van het AI-beleid? Intern: disciplinaire maatregelen. Extern: beschrijf de wettelijke sancties (Art. 99) zonder overdrijving.

Stap 3: Maak het beleid werkbaar

Een AI-beleid van 40 pagina's dat niemand leest is nutteloos. Bouw werkbaarheid in:

Bondig schrijven: Gebruik duidelijke, korte zinnen. Vermijd juridisch jargon waar dat niet nodig is. Een medewerker in een HR-afdeling moet het beleid begrijpen zonder juridische achtergrond.

Samenvatting op één pagina: Voeg een "AI-gedragscode op één pagina" toe die de kernregels bevat voor dagelijks gebruik. Dit is wat medewerkers onthouden.

Verwijzingen naar protocollen: Verwijs voor operationele details naar afzonderlijke protocollen per systeem (toezichtprotocol, incidentprotocol). Het AI-beleid stelt het kader; de protocollen beschrijven de uitvoering.

Stap 4: Stel een review-cyclus in

AI-regelgeving evolueert. Plan een jaarlijkse review van het AI-beleid, met extra reviews bij:

  • Nieuwe hoog-risico AI-systemen in de organisatie
  • Wijzigingen in de EU AI Act of gerelateerde regelgeving (bijv. ACM-guidance)
  • Ernstige AI-incidenten intern of branchewijd

Stap 5: Implementeer het beleid effectief

Beleid dat niet wordt gecommuniceerd, bestaat niet. Implementatiestappen:

  1. Formele goedkeuring door bestuur of directie
  2. Communicatie aan alle relevante medewerkers met leesbevestiging
  3. Opname in het onboarding-programma voor nieuwe medewerkers
  4. Jaarlijkse refresh-training voor AI-gebruikers
  5. Beschikbaar op het intranet met zoekfunctionaliteit

Samenvatting

Een effectief AI-beleid is bondig, begrijpelijk en operationeel — geen juridisch document maar een bestuursinstrument. Start met de twaalf verplichte secties hierboven, maak het toegankelijk voor alle medewerkers, en plan een jaarlijkse review. Het schrijven kost een dag; de compliance-waarde is meerjaarlijks.