Beleid opstellen rondom AI binnen jouw organisatie kan best een spannende klus zijn. Want iedereen heeft er een mening over: de één wil AI zo snel mogelijk overal voor gaan gebruiken, de ander ziet juist vooral de risico’s van AI. Het opstellen van organisatie-breed gedragen beleid kan daarom aardig wat tijd in beslag nemen, en in de tussentijd wil je je medewerkers wel wat richtlijnen meegeven. Het kan dan slim zijn om aan te sluiten bij de aanwijzingen die de wet al geeft. De AI Act, maar ook de AVG (Algemene Verordening Gegevensbescherming) en diverse richtlijnen rondom auteursrecht, informatiebeveiliging, en veilig werken geven namelijk al aardig wat handvaten die je kan meegeven aan je medewerkers. Dat, in combinatie met gezond verstand, kan een goede tijdelijke basis vormen voor het gebruik van AI terwijl je werkt aan een meer gedegen AI-strategie voor jouw organisatie.

Wat mag in ieder geval niet?

De Europese AI Act (artikel 5) heeft een aantal toepassingen van AI als zó risicovol bestempeld dat zij in het geheel verboden zijn. Het gaat dan met name om toepassingen die schadelijk zijn voor burgers of consumenten. Bijvoorbeeld aan een AI-algoritme dat op basis van jouw persoonlijke kenmerken jou zo stiekem manipuleert dat je een veel te dure verzekering wordt aangesmeerd. Of AI dat in populaire games verstopt zit, en het gedrag van haar jonge gebruikers zo kan beïnvloeden dat kinderen er volledig verslaafd aan raken. Daarnaast heeft de Europese Unie goed afgekeken bij landen die al verder zijn met de ontwikkeling en inzet van AI, en de grootste uitwassen bij voorbaat verboden. Zo is ‘social scoring’, waarbij bijvoorbeeld jouw gedrag in het verkeer van invloed is op je leenvoorwaarden (bekend uit China), in Europa verboden. Aan de andere kant van de oceaan zetten politie- en veiligheidsdiensten in de Verenigde Staten vol in op ‘predictive policing’, waarbij een AI-analyse op basis van data uit allerlei verschillende bronnen bepaalt wie de grootste kans heeft een misdrijf te gaan plegen. Onder de AI Act mag je dergelijke systemen in Europa alleen gebruiken als er een mens tussen zit die de aanbevelingen van het algoritme controleert.

Wanneer moet je opletten?

Bepaalde toepassingen van AI zijn bestempeld als ‘hoog-risico’ (artikel 6 AI Act). Dat betekent dat ze gebruikt mogen worden zolang jouw organisatie extra maatregelen heeft genomen. Er gelden bijvoorbeeld diverse documentatieplichten, en je moet ervoor zorgen dat je AI van voldoende kwaliteit is. Je kan deze AI-toepassingen samenvatten in vier kerngebieden:

Processen die belangrijk zijn voor een persoon: bijvoorbeeld geautomatiseerd de prestaties van medewerkers beoordelen, toetsen en tentamens van leerlingen en studenten beoordelen, of premies voor een levensverzekering vaststellen.
Processen die belangrijk zijn voor de maatschappij: bijvoorbeeld AI dat gebruikt wordt als veiligheidscomponent bij kritieke (digitale) infrastructuur. Denk bijvoorbeeld aan een monitoringssysteem binnen een kerncentrale, die op basis van AI bepaalt of de centrale mogelijk gaat oververhitten en daarmee geautomatiseerd op- of afschaalt.
Processen die belangrijk zijn voor de overheid: bijvoorbeeld geautomatiseerd bepalen of iemand recht heeft op een uitkering, bepalen welke 112-meldingen prioriteit krijgen, of AI die wordt gebruikt binnen de asiel- en migratieketen (bijvoorbeeld als leugendetector of ter beoordeling van bewijsmateriaal).
Processen die belangrijk zijn voor de rechtsstaat: bijvoorbeeld AI die wordt gebruikt door politie en justitie (bijvoorbeeld als leugendetector of ter beoordeling van bewijsmateriaal) of AI die bedoeld is om stemgedrag te beïnvloeden.

En wat zegt andere wet- en regelgeving?

Wanneer er gegevens van personen gebruikt worden is ook de AVG van toepassing. Volgens die wet moet je voorzichtig omgaan met persoonsgegevens, kan je die niet zomaar delen met andere personen of organisaties tenzij je daar een goed doel voor hebt, én goede afspraken hebt gemaakt. Wees je ervan bewust dat veel AI-tools, zeker de gratis versies, standaard alle input die jij erin stopt gebruiken om hun algoritme verder te trainen. Als je persoonsgegevens van collega’s of inwoners in een AI-prompt gebruikt, deel je die met het bedrijf achter de AI-tool en kan het zomaar zijn dat die gegevens ook verder door dat bedrijf gebruikt gaan worden, voor hun eigen doeleinden. Het is daarom verstandig om het gebruik van persoonsgegevens binnen AI te vermijden zolang jouw organisatie nog geen vastgesteld AI-beleid heeft.

Hetzelfde geldt uiteraard voor bedrijfsgevoelige gegevens. Ook hier geldt namelijk dat de ontwikkelaar van het AI-systeem regelmatig jouw input gebruikt om hun algoritme te trainen. In sommige gevallen kan die informatie vervolgens aan andere gebruikers worden doorgegeven: het is immers onderdeel van de totale ‘kennis’ waar de AI uit put. Het is daarom verstandig om goed te onderzoeken hoe het zit met de privacy-instellingen van de tool die je gebruikt. Niet elke tool is hetzelfde: met het instellen van de juiste privacy-settings gebruikt de chatbot van Claude jouw input niet om hun algoritme te trainen, Microsoft Copilot en Chat-GPT hebben betaalde versies van hun product waarmee je dit contractueel kan uitsluiten (gebruikers met een gratis account moeten dat echter zelf instellen), en Google Gemini gebruikt standaard alle input voor hun eigen doeleinden.

Via de link vind je een compleet overzicht van alle eisen waar je aan moet denken bij de inzet van AI: 2026 Checklist AI-toepassingen.

Conclusie

Goed AI-beleid is belangrijk voor elke organisatie. Hierin leg je namelijk niet alleen vast wat je wel en niet ‘mag’ doen met AI, maar vooral ook wat je met AI wíl. Hoe kan jouw organisatie verbeteren door AI te gebruiken? En zijn er ook taken die je juist niet aan een machine over wil laten, of waar je altijd een mens wil laten meelezen? Dat gezegd hebbende is het echter niet zo dat er helemaal geen richtlijnen zijn wanneer AI-beleid in jouw organisatie ontbreekt. Het is verstandig om die aandachtspunten alvast mee te geven aan jouw medewerkers, zodat je de grootste risico’s vermijdt en iedereen vast went aan de nieuwe realiteit.

Meer weten?

Heb je hulp nodig bij het opstellen van AI-beleid, of heb je andere vragen naar aanleiding van dit artikel? Neem gerust contact op met Daphne Slob via de contactpagina om met haar in gesprek te gaan.

Partner en verbinder van de publieke zaak

Gemeente Geertruidenberg

Gemeente Hengelo

Gemeente Veenendaal

Gemeente Oosterhout/Equalit

Gemeente Voorst

Gemeente Meierijstad

Land van Cuijk

Gemeente Boxtel/MijnGemeenteDichtbij

Werkorganisatie Duivenvoorde

Gemeente Uitgeest/BUCH

Gemeente Maasgouw/MER

Liemers

Gemeente Almelo

Gemeente Alphen aan den Rijn

Gemeente Apeldoorn

Gemeente Arnhem

Gemeente Best

Gemeente Beuningen

Gemeente Borsele

Gemeente Breda

Gemeente Brummen

Gemeente Brunssum

Gemeente 's-Hertogenbosch

Gemeente Den Haag/VNG Realisatie

Gemeente Doesburg

Gemeente Dordrecht/Drechtsteden

Gemeente Drimmelen

Gemeente Eemsdelta i.o.

Gemeente Eindhoven

Gemeente Goirle

Gemeente Groningen

Gemeente Hoeksche Waard

Gemeente Hulst

Dijk en Waard

Gemeente Leiden/VRHM

Gemeente Moerdijk/ICTWBW

Gemeente Montferland

Gemeente Oisterwijk

Gemeente Overbetuwe

Gemeente Reimerswaal

Gemeente Roerdalen

Gemeente Rotterdam

Gemeente Sittard- Geleen

Gemeente Uden

Gemeente Utrechtse Heuvelrug

Gemeente Waddinxveen

Gemeente Westland

Gemeente Wijchen

Gemeente Zeist

Zwolle/GBLT

Wat mag in ieder geval niet?

Wanneer moet je opletten?

En wat zegt andere wet- en regelgeving?

Conclusie

Meer weten?

Over Daphne Slob

Andere publicaties van Daphne Slob