Artificiële intelligentie (AI) ontwikkelt zich razendsnel en is inmiddels diep doorgedrongen in de dagelijkse bedrijfsvoering. Van generatieve AI-tools en chatbots tot systemen voor werving, klantanalyse en besluitvorming: steeds meer organisaties maken gebruik van AI-systemen, vaak zonder dat volledig duidelijk is welke juridische en organisatorische verplichtingen daarbij horen.
Met de komst van de Europese AI-verordening (AI Act) verandert dat fundamenteel. Organisaties worden verplicht om bewuste keuzes te maken over het gebruik van AI en om risico’s actief te beheersen. In dit artikel leest u hoe u een praktisch, werkbaar en juridisch solide AI-beleid opstelt, zodat uw organisatie voorbereid is op de AI-verordening én voldoet aan bestaande regels zoals de Algemene verordening gegevensbescherming (AVG).
Wat is een AI-beleid en waarom is het noodzakelijk?
Een AI-beleid is een interne set spelregels waarin wordt vastgelegd hoe, waarom en onder welke voorwaarden AI binnen de organisatie mag worden gebruikt. Het beleid geeft medewerkers houvast en helpt bestuurders en werkgevers om grip te houden op technologische ontwikkelingen.
AI is allang niet meer uitsluitend het domein van IT-afdelingen of grote technologiebedrijven. Veel AI-functionaliteiten zijn geïntegreerd in bestaande software, zoals CRM-systemen, HR-tools en marketingplatforms. Daarnaast experimenteren medewerkers vaak zelfstandig met publieke AI-tools. Zonder duidelijke kaders kan dat leiden tot privacy-schendingen, discriminatie, onvoldoende transparantie of onjuiste besluitvorming.
De AI-verordening en de AVG leggen organisaties duidelijke verantwoordelijkheden op. Denk aan verplichtingen rondom risicobeheer, datagebruik, menselijk toezicht en transparantie. Een goed AI-beleid helpt u om deze verplichtingen structureel te vertalen naar de dagelijkse praktijk.
Het juridisch kader: AI-verordening, AVG en arbeidsrecht
De AI-verordening hanteert een risicogebaseerde benadering. AI-systemen worden ingedeeld in verschillende categorieën, variërend van minimaal risico tot onaanvaardbaar risico. Voor AI-toepassingen met een hoog risico, zoals systemen voor werving en selectie, kredietbeoordeling of andere beslissingen met aanzienlijke gevolgen voor personen, gelden strenge eisen.
Deze eisen zien onder meer op risicobeheer en documentatie, de kwaliteit en herkomst van data, transparantie over werking en beperkingen, en menselijk toezicht met de mogelijkheid om in te grijpen. Bepaalde AI-toepassingen worden zelfs volledig verboden, zoals specifieke vormen van manipulatieve AI en social scoring.
Naast de AI-verordening blijft ook de AVG onverkort van toepassing. Bij AI-systemen die persoonsgegevens verwerken, spelen onder meer dataminimalisatie, rechtmatigheid, beveiliging en regels over geautomatiseerde besluitvorming een belangrijke rol. Ook arbeidsrechtelijke en consumentenrechtelijke normen blijven relevant, bijvoorbeeld bij HR-AI en klantinteractie. Een AI-beleid vormt de verbindende schakel tussen deze kaders en de dagelijkse bedrijfsvoering.
Doel en reikwijdte van een goed AI-beleid
Een effectief AI-beleid is geen theoretisch document, maar een praktisch kompas voor iedereen die met AI werkt. Het beleid maakt duidelijk waarom de organisatie AI inzet, welke doelen daarmee worden nagestreefd, welke risico’s daarbij horen en hoe medewerkers verantwoord met AI-tools omgaan.
Belangrijk is dat de reikwijdte helder wordt afgebakend. Het beleid moet aangeven welke afdelingen eronder vallen, zoals HR, marketing, klantenservice, finance, operations en onderzoek en ontwikkeling. Daarnaast hoort duidelijk te zijn welke typen systemen onder het beleid vallen, waaronder ingekochte AI-software, interne modellen, generatieve AI-tools, chatbots, scoring- en aanbevelingssystemen. Ook verdient het aandacht of en onder welke voorwaarden individuele experimenten van medewerkers met publieke AI-tools zijn toegestaan.
Kernonderdelen van een AI-beleid
Een AI-beleid begint met heldere definities, afgestemd op de brede definitie van AI in de AI-verordening, maar vertaald naar begrijpelijke taal. Medewerkers moeten eenvoudig kunnen herkennen wanneer zij met een AI-systeem werken dat onder het beleid valt. Praktische voorbeelden per domein, zoals HR, klantcontact en interne processen, maken dit concreet.
Het beleid moet vervolgens expliciet onderscheid maken tussen toegestaan AI-gebruik, beperkt toegestaan gebruik onder voorwaarden en verboden toepassingen. Verboden toepassingen zijn in ieder geval de AI-systemen die door de AI-verordening als onaanvaardbaar risico worden aangemerkt. Voor toepassingen met beperkt risico kan het beleid aanvullende eisen stellen, zoals transparantie richting gebruikers of voorafgaande goedkeuring. Toegestaan gebruik kan worden gekoppeld aan voorwaarden zoals een risicoanalyse, een DPIA of extra technische en organisatorische maatregelen.
Een belangrijk onderdeel is de governance-structuur. Het moet duidelijk zijn wie eindverantwoordelijk is voor AI-compliance, wie nieuwe AI-toepassingen mag selecteren of implementeren en wie toezicht houdt op naleving en incidentafhandeling. Ook bij de selectie van leveranciers speelt dit een rol. Organisaties moeten toetsen of aanbieders van AI-systemen kunnen voldoen aan de eisen van de AI-verordening en of deze verplichtingen contractueel goed zijn vastgelegd.
Data, privacy, beveiliging en transparantie
Omdat AI draait op data, is het essentieel om vast te leggen welke gegevens wel en niet met AI-systemen mogen worden verwerkt. Het beleid moet aandacht besteden aan dataminimalisatie, anonimisering of pseudonimisering, bewaartermijnen en het scheiden van trainings- en productiedata. Bij hoog-risico-AI-systemen is vaak een gecombineerde beoordeling nodig waarin zowel de AI-verordening als de AVG worden meegenomen.
AI-systemen en de bijbehorende data moeten adequaat worden beveiligd. Het beleid beschrijft hoe toegangsrechten zijn ingericht, hoe gebruik wordt gelogd en gemonitord en hoe wordt omgegaan met incidenten en datalekken.
De AI-verordening verplicht tot transparantie wanneer personen met AI-systemen interageren of wanneer content door AI is gegenereerd. Het AI-beleid kan daarom voorschrijven dat medewerkers, klanten en andere betrokkenen altijd worden geïnformeerd over het gebruik van AI, inclusief de belangrijkste kenmerken en beperkingen.
Menselijk toezicht, bias en kwaliteit van beslissingen
Bij AI-systemen met een grote impact op mensen is menselijk toezicht essentieel. Het beleid moet vastleggen bij welke beslissingen menselijk toezicht of menselijke besluitvorming verplicht is en hoe dat toezicht praktisch wordt georganiseerd. Daarnaast is het verstandig om periodiek te toetsen of AI-systemen leiden tot bias, foutmarges of ongewenste neveneffecten, vooral in domeinen zoals HR en klantacceptatie.
Opleiding en AI-geletterdheid van medewerkers
De AI-verordening vereist dat organisaties investeren in AI-geletterdheid. Een AI-beleid moet daarom een opleidingskader bevatten met een basisniveau voor alle medewerkers en verdiepende trainingen voor specifieke functies, zoals HR, IT, data-teams en management. Regelmatige updates zijn noodzakelijk om bij te blijven bij technologische en juridische ontwikkelingen.
Stappenplan: van eerste inventarisatie naar volwassen AI-beleid
Een werkbaar AI-beleid ontstaat doorgaans in fases. Eerst wordt geïnventariseerd welke AI-toepassingen binnen de organisatie worden gebruikt, inclusief AI-functionaliteiten in bestaande software en tools die medewerkers zelf inzetten. Vervolgens worden deze toepassingen geclassificeerd op basis van risico. Daarna volgt een juridische en organisatorische risicoanalyse, waarna het AI-beleid wordt opgesteld en afgestemd op bestaande privacy-, informatiebeveiligings- en HR-kaders. Het beleid wordt vervolgens geïmplementeerd in processen, contracten en systemen. Tot slot wordt gezorgd voor opleiding, communicatie, monitoring en periodieke actualisering.
Tot slot
De AI-verordening maakt duidelijk dat vrijblijvend experimenteren met AI tot het verleden behoort. Organisaties die tijdig investeren in een doordacht AI-beleid, beperken juridische risico’s en creëren vertrouwen bij medewerkers, klanten en toezichthouders.
Wilt u weten of uw organisatie klaar is voor de AI-verordening of ondersteuning bij het opstellen of implementeren van een AI-beleid? Neem dan contact op met Law & More. Wij denken graag met u mee.
FAQ
Is een AI-beleid verplicht onder de AI-verordening?
De AI-verordening schrijft niet expliciet voor dat organisaties een document met de titel “AI-beleid” moeten hebben. In de praktijk is een AI-beleid echter vrijwel onmisbaar om te kunnen aantonen dat aan de verplichtingen uit de AI-verordening en de AVG wordt voldaan, zoals risicobeheersing, menselijk toezicht, transparantie en AI-geletterdheid.
Voor welke organisaties geldt de AI-verordening?
De AI-verordening geldt voor vrijwel alle organisaties die AI-systemen ontwikkelen, aanbieden of gebruiken binnen de Europese Unie. Dat geldt dus niet alleen voor technologiebedrijven, maar ook voor werkgevers, dienstverleners en instellingen die AI inzetten in HR, marketing, klantcontact, finance of besluitvorming.
Geldt de AI-verordening ook als wij alleen standaardsoftware gebruiken?
Ja. Ook wanneer AI-functionaliteiten onderdeel zijn van ingekochte software, blijft de organisatie verantwoordelijk voor het gebruik ervan. Het feit dat een systeem door een leverancier is ontwikkeld, ontslaat de gebruiker niet van verplichtingen onder de AI-verordening en de AVG.
Wat is het verschil tussen laag-, beperkt- en hoog-risico-AI?
De AI-verordening maakt onderscheid op basis van het risico voor fundamentele rechten en belangen van personen. Hoog-risico-AI betreft onder meer systemen die worden gebruikt voor werving en selectie, beoordeling van werknemers, kredietwaardigheid of toegang tot essentiële diensten. Voor deze systemen gelden aanzienlijk strengere eisen dan voor laag- of beperkt-risico-toepassingen.
Moet elke AI-toepassing vooraf worden beoordeeld?
In de praktijk wel. Organisaties doen er verstandig aan om nieuwe AI-toepassingen vooraf te inventariseren en te classificeren op basis van risico. Bij hoog-risico-AI is een uitgebreide beoordeling noodzakelijk, vaak in combinatie met een DPIA onder de AVG.
Hoe verhoudt een AI-beleid zich tot de AVG?
De AI-verordening en de AVG vullen elkaar aan. Waar de AI-verordening zich richt op de werking, risico’s en governance van AI-systemen, regelt de AVG het gebruik van persoonsgegevens. Een goed AI-beleid verbindt beide kaders en voorkomt tegenstrijdige of incomplete compliance-maatregelen.
Is een DPIA altijd verplicht bij AI-gebruik?
Niet altijd, maar wel vaak. Wanneer AI-systemen persoonsgegevens verwerken en een hoog risico opleveren voor betrokkenen, is een DPIA verplicht op grond van de AVG. Bij hoog-risico-AI onder de AI-verordening is een DPIA in de praktijk vrijwel altijd noodzakelijk.
Mag AI zelfstandig beslissingen nemen over werknemers of klanten?
Alleen onder strikte voorwaarden. De AVG stelt grenzen aan volledig geautomatiseerde besluitvorming en de AI-verordening vereist menselijk toezicht bij hoog-risico-AI. In veel gevallen moet een mens kunnen ingrijpen, beslissingen heroverwegen of corrigeren.
Kan een AI-beleid het gebruik van publieke AI-tools door medewerkers beperken?
Ja. Een AI-beleid is juist bedoeld om duidelijk te maken of en onder welke voorwaarden medewerkers gebruik mogen maken van publieke AI-tools. Denk aan regels over het invoeren van vertrouwelijke informatie, persoonsgegevens of bedrijfsgevoelige data.
Wie is verantwoordelijk voor naleving van het AI-beleid?
Het AI-beleid moet duidelijk vastleggen wie eindverantwoordelijk is voor AI-compliance. Vaak ligt deze verantwoordelijkheid bij het bestuur of de directie, met een belangrijke rol voor legal, compliance, IT en HR. Zonder duidelijke governance ontstaat het risico dat niemand daadwerkelijk toezicht houdt.
Wat zijn de gevolgen als een organisatie geen AI-beleid heeft?
Het ontbreken van een AI-beleid vergroot het risico op overtredingen van de AI-verordening en de AVG. Dat kan leiden tot hoge boetes, handhavingsmaatregelen, reputatieschade en civiele aansprakelijkheid. Daarnaast wordt het lastig om aan toezichthouders uit te leggen hoe risico’s worden beheerst.
Hoe vaak moet een AI-beleid worden herzien?
Een AI-beleid is geen statisch document. Regelmatige herziening is noodzakelijk, bijvoorbeeld bij nieuwe AI-toepassingen, gewijzigde wetgeving, nieuwe richtsnoeren of relevante incidenten. In de praktijk is een jaarlijkse evaluatie vaak het minimum.
Is AI-geletterdheid verplicht voor alle medewerkers?
De AI-verordening verlangt dat organisaties maatregelen nemen om AI-geletterdheid te bevorderen. Dat betekent niet dat iedereen technisch expert moet zijn, maar wel dat medewerkers begrijpen wat AI is, hoe het binnen de organisatie wordt gebruikt en welke risico’s daarbij horen.
Wanneer is het verstandig juridisch advies in te winnen?
Juridisch advies is met name raadzaam bij het gebruik van hoog-risico-AI, bij twijfel over de toelaatbaarheid van bepaalde toepassingen, bij conflicten tussen afdelingen of bij vragen over handhaving en aansprakelijkheid. Vroegtijdige toetsing voorkomt kostbare correcties achteraf.
