AI-beleid opstellen voor je MKB-bedrijf (met template)
Kort antwoord: een AI-beleid opstellen voor je MKB hoeft geen juridisch project te zijn; één A4 met heldere afspraken volstaat. Daarin staat wie welke AI-tools mag gebruiken, welke data er wel en niet in mag, dat output altijd gecontroleerd wordt en wie het aanspreekpunt is. Dat is genoeg om grip te houden, je team houvast te geven en meteen aantoonbaar aan de AI Act en de AVG te voldoen. Hieronder lees je wat er precies in moet en vind je een voorbeeldtemplate die je direct kunt overnemen.
Waarom heb je een AI-beleid nodig?
Omdat je mensen AI al gebruiken, en zonder afspraken doen ze dat in het wilde weg. Meer dan de helft van de Nederlandse organisaties heeft nog geen AI-beleid, terwijl medewerkers massaal eigen tools inzetten en bijna de helft bedrijfsdata in publieke tools plakt (Beeckestijn Business School, onderzoek december 2025). Een beleid is de eenvoudigste manier om dat in goede banen te leiden.
Het is bovendien je bewijs richting de wet. De AI Act vraagt om AI-geletterdheid en de AVG om zorgvuldig omgaan met persoonsgegevens. Een kort beleid waarin die afspraken staan, laat zien dat je er bewust mee bezig bent, en dat verzwakt je risicopositie aanzienlijk als er ooit iets misgaat. De Autoriteit Persoonsgegevens dringt aan op precies die bewuste aanpak: "Generatieve AI is nog bestuurbaar. Maar alleen als we nu kiezen voor waarden als uitgangspunt, en niet voor snelheid als norm", aldus AP-voorzitter Aleid Wolfsen bij de AP-visie op generatieve AI (2026).
Wat moet er in een AI-beleid?
Zes onderdelen, niet meer. Houd elk onderdeel kort en concreet; het doel is dat je team het leest en onthoudt, niet dat het juridisch dichtgetimmerd is.
- Doel en scope. Eén zin: waarom dit beleid er is en voor wie het geldt.
- Goedgekeurde tools. Welke AI-tools mensen mogen gebruiken (bij voorkeur met zakelijke databescherming), en hoe ze een nieuwe tool kunnen voorstellen.
- Dataregels. Welke gegevens wel en niet in een AI-tool mogen. Dit is het belangrijkste onderdeel; de vuistregels staan in welke data in ChatGPT mag.
- Controleplicht. De afspraak dat een mens AI-output altijd controleert vóór die naar buiten gaat.
- Transparantie. Wanneer je klanten meldt dat er AI in het spel is (bijvoorbeeld bij een chatbot).
- Aanspreekpunt en evaluatie. Wie vragen beantwoordt en dat je het beleid elk kwartaal kort bijwerkt.
Neem dit over en vul de schuingedrukte delen in voor je eigen bedrijf:
1. Doel. Dit beleid helpt iedereen bij [bedrijfsnaam] om AI veilig en nuttig te gebruiken. Het geldt voor alle medewerkers.
2. Welke tools. Goedgekeurd zijn: [bijv. Microsoft 365 Copilot, ChatGPT Team]. Een andere tool gebruiken? Overleg eerst met [naam aanspreekpunt].
3. Welke data wel. Algemene, niet-vertrouwelijke informatie en teksten zonder persoonsgegevens.
4. Welke data niet. Persoonsgegevens van klanten of collega's, vertrouwelijke bedrijfsinformatie, wachtwoorden of inloggegevens, in een gratis of niet-goedgekeurde tool.
5. Controle. Je controleert AI-output altijd zelf voordat je die gebruikt of verstuurt. Jij blijft verantwoordelijk, niet de tool.
6. Transparantie. Wanneer een klant met AI communiceert (zoals onze chatbot), maken we dat duidelijk.
7. Vragen en updates. Vragen? Ga naar [naam]. We bekijken dit beleid elk kwartaal opnieuw.
Voorbeeldtemplate (één A4)
De template hierboven is bewust kort: zeven punten die op één A4 passen en die iedereen in vijf minuten leest. Dat is geen toeval. Een beleid dat te lang of te juridisch is, verdwijnt in een la en verandert niets aan het gedrag. De winst zit in afspraken die mensen daadwerkelijk kennen en kunnen navolgen.
Pas het aan op jouw situatie. Werk je met gevoelige klantdossiers of zet je AI in bij werving of kredietbeoordeling, dan horen daar strengere afspraken bij. Voor de meeste mkb-bedrijven die AI lichtvoetig gebruiken, is deze versie precies genoeg om mee te beginnen.
Hoe begin je?
Niet met schrijven, maar met kijken. Het beleid is pas nuttig als het aansluit op wat er echt gebeurt, dus begin met inventariseren welke tools je mensen al gebruiken. Drie stappen:
- Inventariseer via een open gesprek welke AI-tools rondgaan. Zie shadow AI aanpakken.
- Vul de template in op basis van wat je vindt, en kies je goedgekeurde tools.
- Deel en train. Loop het beleid één keer door met je team; dat telt meteen als AI-geletterdheid. Zie AI-training voor je team.
Daarmee heb je in een ochtend een werkbaar beleid staan dat een groot deel van je AI Act-huiswerk afdekt. Verfijnen kan altijd later.
Veelgestelde vragen
Hoe lang moet een AI-beleid zijn?
Eén A4 is genoeg voor de meeste mkb-bedrijven. Het is geen juridisch document maar een set werkbare afspraken. Te lang maken zorgt er vooral voor dat niemand het leest.
Moet ik een jurist inschakelen?
Meestal niet voor de basis; die stel je zelf op met een template. Een jurist is pas nodig bij hoog-risico-AI in werving of krediet, of bij twijfel over de AVG.
Is een AI-beleid verplicht?
Het document zelf niet, maar de onderliggende plichten wel: AI-geletterdheid onder de AI Act en zorgvuldig omgaan met persoonsgegevens onder de AVG. Een kort beleid is de eenvoudigste manier om aantoonbaar aan beide te voldoen.
Je AI-beleid in één sessie rond?
In een gratis kennismaking helpen we je de template invullen op jouw bedrijf en de juiste tools kiezen. Concreet, in de taal van de ondernemer, zonder verplichtingen.
Plan gratis kennismaking