GovCompass
Kennisbank
GuideAccountability

AI-beleid schrijven: een 8-sectie sjabloon

Door Michel Venniker· · Afgestemd op de geconsolideerde EU AI Act, inclusief de Omnibus-wijzigingen van 2026.

Een AI-beleid vertaalt de Art. 26-verplichtingen van de EU AI Act naar een werkbaar intern kader. Een EU AI Act-conform beleid bevat ten minste de scope, het Art. 5-verbod, de governance-rollen, het classificatieproces, menselijk toezicht, monitoring en logretentie, transparantie en incidentrespons.

Bijgewerkt: juni 2026

Inleiding: AI-beleid als governance-instrument

Een AI-beleid is geen wettelijke verplichting als zodanig, de EU AI Act schrijft geen "AI policy document" voor. Maar het is de meest effectieve manier om de talrijke Art. 26-verplichtingen te vertalen naar een werkbaar intern kader. Zonder schriftelijk beleid zijn compliance-vereisten diffuus, onbekend bij medewerkers en onbewijsbaar bij een audit door de toezichthouder.

Een goed AI-beleid dient drie doelen: (1) het geeft medewerkers duidelijkheid over wat wel en niet mag, (2) het documenteert uw compliance-aanpak voor toezichthouders, en (3) het maakt afwijkingen zichtbaar en bestuurbaar.

Stap 1: bepaal de scope van uw AI-beleid

Besluit vóór het schrijven wat uw AI-beleid dekt:

Optie A, Smal bereik: Alleen hoog-risico AI-systemen. Minimaal vereist voor EU AI Act-compliance. Risico: medewerkers weten niet hoe om te gaan met niet-hoog-risico AI (GPAI-gebruik, AI-tools, etc.).

Optie B, Breed bereik (aanbevolen): Alle AI-systemen die de organisatie inzet, inclusief GPAI-tools, AI-assistenten en experimenteel AI-gebruik. Geeft volledigere governance maar vereist meer schrijfwerk.

Voor de meeste organisaties is Optie B verstandiger: het voorkomt een "compliance arbitrage" waarbij medewerkers naar niet-hoog-risico AI-tools uitwijken om de hoog-risico regels te omzeilen.

Stap 2: verplichte secties voor een EU AI Act-conform beleid

Sectie 1, Scope en definities: Welke AI-systemen vallen onder het beleid? Definieer de sleutelbegrippen die in het beleid worden gebruikt (deployerdeployerAn organization using an AI system under its own authority in its activities — carrying operator duties: use per instructions, oversight, input relevance, monitoring, notices.Open full entry →, providerproviderThe actor who develops an AI system (or has it developed) and places it on the market or into service under its own name — carrying manufacturer-style duties: design controls, documentation, conformity.Open full entry →, hoog-risico AI, menselijk toezicht), verwijs naar de EU AI Act-definities maar vertaal ze naar uw organisatietaal.

Sectie 2, Verboden toepassingen (Art. 5): Beschrijf expliciet welke AI-toepassingen absoluut verboden zijn in uw organisatie, inclusief een vertaling van de acht Art. 5-verboden naar herkenbare voorbeelden voor uw sector. "Wij gebruiken geen AI die subliminale technieken inzet om medewerkers of klanten te beïnvloeden."

Sectie 3, AI-inkoop en leverancierseisen: Beschrijf het inkoop-proces voor AI-systemen inclusief de due diligence-vereisten (Art. 26.1). Welke documenten moet een leverancier aanleveren vóór contractondertekening? Wie heeft goedkeuringsrecht voor AI-aanschaf?

Sectie 4, Classificatie en risicoanalyse: Beschrijf het classificatieproces (Art. 6) en wie verantwoordelijk is voor classificatie. Leg vast welke methode of interne procedure u volgt om elk systeem te classificeren. Stel een drempel vast waarboven een DPIADPIAData Protection Impact Assessment — required before likely-high-risk processing (systematic profiling with significant effects, large-scale special categories, public monitoring); AI development triggers it constantly.Open full entry → of FRIAFRIAFundamental Rights Impact Assessment — required of public bodies and certain private deployers before using some high-risk AI systems under the EU AI Act.Open full entry → verplicht is.

Sectie 5, Governance-rollen: Definieer de rollen en verantwoordelijkheden in uw AI-governance structuur:

  • AI Officer: eindverantwoordelijke voor AI-compliance in de organisatie
  • Systeemeigenaar: per AI-systeem verantwoordelijk voor Art. 26-naleving
  • Toezichthouders: medewerkers aangewezen voor menselijk toezicht (Art. 26.2)
  • DPO: betrokken bij DPIA en AVG-aspecten van AI-gebruik

Sectie 6, Training en AI-geletterdheid (Art. 4): Beschrijf uw aanpak voor AI-geletterdheid: welke rollen vereisen welk niveau van training, hoe worden trainingen gedocumenteerd, en hoe vaak worden ze herhaald.

Sectie 7, Menselijk toezicht (Art. 26.2): Beschrijf de minimumeisen voor menselijk toezicht bij hoog-risico AI: wie, hoe, hoe te documenteren, wanneer te escaleren. Verwijs naar de toezichtprotocollen per systeem.

Sectie 8, Monitoring en logretentie (Art. 26.5 + 26.6): Beschrijf de monitoringverplichting en hoe die wordt ingevuld. Beschrijf de retentiepolicies per type log. Verwijs naar het retentiebeleid of bewaartermijnen-register.

Sectie 9, Transparantie jegens betrokkenen (Art. 26.7): Beschrijf hoe en wanneer betrokkenen worden geïnformeerd over AI-gebruik. Verwijs naar de privacyverklaring en eventuele aanvullende AI-transparantiecommunicatie.

Sectie 10, Incidentrespons (Art. 73): Beschrijf het incidentresponse-proces: drempelwaarden, escalatieprocedure, meldingstermijnen aan de bevoegde toezichthouder, en communicatie aan betrokkenen.

Sectie 11, Afwijkingen en uitzonderingen: Beschrijf hoe medewerkers een afwijkingsverzoek indienen als ze van beleid willen afwijken (bijv. testen met een nieuw AI-tool). Wie keurt af?

Sectie 12, Handhaving en gevolgen: Wat zijn de gevolgen van niet-naleving van het AI-beleid? Intern: disciplinaire maatregelen. Extern: beschrijf de wettelijke sancties (Art. 99) zonder overdrijving.

Stap 3: maak het beleid werkbaar

Een AI-beleid van 40 pagina's dat niemand leest is nutteloos. Bouw werkbaarheid in:

Bondig schrijven: Gebruik duidelijke, korte zinnen. Vermijd juridisch jargon waar dat niet nodig is. Een medewerker in een HR-afdeling moet het beleid begrijpen zonder juridische achtergrond.

Samenvatting op één pagina: Voeg een "AI-gedragscode op één pagina" toe die de kernregels bevat voor dagelijks gebruik. Dit is wat medewerkers onthouden.

Verwijzingen naar protocollen: Verwijs voor operationele details naar afzonderlijke protocollen per systeem (toezichtprotocol, incidentprotocol). Het AI-beleid stelt het kader; de protocollen beschrijven de uitvoering.

Stap 4: stel een review-cyclus in

AI-regelgeving evolueert. Plan een jaarlijkse review van het AI-beleid, met extra reviews bij:

  • Nieuwe hoog-risico AI-systemen in de organisatie
  • Wijzigingen in de EU AI Act of gerelateerde regelgeving (bijv. guidance van de toezichthouder)
  • Ernstige AI-incidenten intern of branchewijd

Stap 5: implementeer het beleid effectief

Beleid dat niet wordt gecommuniceerd, bestaat niet. Implementatiestappen:

  1. Formele goedkeuring door bestuur of directie
  2. Communicatie aan alle relevante medewerkers met leesbevestiging
  3. Opname in het onboarding-programma voor nieuwe medewerkers
  4. Jaarlijkse refresh-training voor AI-gebruikers
  5. Beschikbaar op het intranet met zoekfunctionaliteit

Samenvatting

Een effectief AI-beleid is bondig, begrijpelijk en operationeel, geen juridisch document maar een bestuursinstrument. Start met de twaalf verplichte secties hierboven, maak het toegankelijk voor alle medewerkers, en plan een jaarlijkse review. Het schrijven kost een dag; de compliance-waarde is meerjaarlijks.

WetsverwijzingenArt. 26Art. 5Art. 6Art. 4Art. 73

Meer over Accountability

Art. 10 EU AI Act: data en datagovernance voor hoog-risico AI

Reference

Art. 10 vereist dat de trainings-, validatie- en testdata voor hoog-risico AI-systemen voldoet aan kwaliteitscriteria: relevant, voldoende representatief, en zo foutloos en volledig mogelijk voor het beoogde doel. Het vereist ook gedocumenteerde datagovernance over verzameling, voorbereiding, bias-onderzoek en het mitigeren van lacunes, en het staat de beperkte verwerking van bijzondere persoonsgegevens toe waar strikt noodzakelijk om bias te detecteren en corrigeren, onder waarborgen.

Art. 12 EU AI Act: registratie en logging voor hoog-risico AI

Reference

Art. 12 vereist dat hoog-risico AI-systemen technisch de automatische registratie van gebeurtenissen (logs) over hun levensduur mogelijk maken. De logging moet de traceerbaarheid van het functioneren van het systeem mogelijk maken op een niveau passend bij het beoogde doel, post-market monitoring ondersteunen, en helpen situaties te identificeren die tot risico of een substantiële wijziging kunnen leiden. Het is een ontwerpverplichting voor de provider die het systeem door constructie auditeerbaar maakt.

Art. 19 EU AI Act: het bewaren van de automatisch gegenereerde logs

Reference

Art. 19 verplicht providers van hoog-risico AI-systemen om de logs die het systeem automatisch genereert (onder Art. 12) te bewaren zolang ze die onder controle hebben, voor een periode passend bij het beoogde doel en minimaal zes maanden, tenzij andere wetgeving een langere termijn vereist. Het is de bewaar-tegenhanger van de Art. 12-logging-capaciteit, en werkt naast de deployer-bewaarplicht in Art. 26.6.

Art. 26.1, gebruik AI volgens de instructies van de aanbieder

Reference

Art. 26.1 EU AI Act verplicht deployers om hoog-risico AI-systemen uitsluitend in te zetten conform de gebruiksinstructies van de provider. De verplichting omvat drie componenten: het beschikken over de instructies (conform Art. 13.3), het actief naleven ervan, en het documenteren van dat naleven. Inzet buiten de instructies kan de aansprakelijkheid volledig naar de deployer verschuiven.