AI-beleid opstellen voor je bedrijf: zo ben je klaar vóór augustus 2026.

De deadline: 2 augustus 2026

De EU AI Act is sinds 1 augustus 2024 van kracht en wordt gefaseerd ingevoerd. De eerste verboden gelden al sinds februari 2025. Maar de datum die voor de meeste bedrijven ertoe doet, is 2 augustus 2026: dan start de handhaving op transparantieverplichtingen en de verplichting rondom AI-geletterdheid. In Nederland houden de Autoriteit Persoonsgegevens en de ACM toezicht op naleving.

Dit raakt niet alleen bedrijven die AI-software bouwen. Het raakt ieder bedrijf dat AI-tools gebruikt — en dat is inmiddels bijna iedereen. Gebruik je ChatGPT voor conceptteksten? Claude voor het samenvatten van contracten? Copilot voor code-assistentie? Dan val je als gebruiksverantwoordelijke (deployer) onder de AI Act.

Wat moet je als MKB-bedrijf regelen?

De AI Act klinkt omvangrijk, maar voor de meeste MKB-bedrijven komt het neer op drie concrete zaken:

1. AI-register — inventariseer welke AI-tools je organisatie gebruikt
2. AI-beleid — leg vast hoe je organisatie met AI omgaat
3. AI-geletterdheid — zorg dat medewerkers weten wat ze doen als ze AI inzetten

Dat klinkt minder zwaar dan het is. Volgens de KVK kost het een gemiddeld MKB-bedrijf met 5 tot 20 medewerkers zo'n 4 tot 8 uur om dit op te zetten. Daarna is het 1 tot 2 uur per kwartaal onderhoud.

Stap 1: het AI-register — weet wat je gebruikt

Begin met een inventarisatie. Maak een lijst van alle AI-tools die binnen je organisatie worden ingezet. Niet alleen de tools die IT heeft goedgekeurd, maar ook de tools die medewerkers op eigen initiatief gebruiken — het zogenaamde shadow AI. Volgens Gartner gebruikt 68% van de medewerkers AI-tools zonder dat IT ervan weet.

Per tool documenteer je minimaal:

• Naam en leverancier — bijvoorbeeld ChatGPT (OpenAI), Claude (Anthropic), Copilot (Microsoft)
• Doel — waarvoor wordt het gebruikt? Teksten schrijven, data analyseren, code genereren?
• Data-input — welke gegevens gaan erin? Persoonsgegevens? Bedrijfsvertrouwelijke informatie?
• Risiconiveau — is het minimaal, beperkt of hoog risico volgens de AI Act-categorieën?
• Verantwoordelijke — wie in de organisatie is eigenaar van deze tool?
• AVG-status — is er een verwerkersovereenkomst? Waar wordt data opgeslagen?

Een spreadsheet volstaat. Eén rij per tool, zes kolommen. Geen duur GRC-platform nodig.

Stap 2: het AI-beleid — maak afspraken

Een AI-beleid is een intern document dat beschrijft hoe je organisatie met AI omgaat. Wie mag welke tools gebruiken, welke data mag erin, en wie is verantwoordelijk als er iets misgaat. De KVK biedt hiervoor een praktische structuur die je als basis kunt gebruiken.

Een goed AI-beleid bevat minimaal deze onderdelen:

Scope en doel

Beschrijf kort waarom je organisatie een AI-beleid heeft en voor wie het geldt. Dit hoeft geen juridische tekst te zijn — een helder statement van drie zinnen is genoeg.

Goedgekeurde en verboden tools

Maak expliciet welke AI-tools goedgekeurd zijn voor zakelijk gebruik. Beschrijf ook wat niet mag. Denk aan: geen persoonsgegevens in gratis chatinterfaces, geen klantdata in tools zonder verwerkersovereenkomst, geen AI-gegenereerde besluiten zonder menselijke controle.

Dataclassificatie

Niet alle data is gelijk. Maak onderscheid tussen openbare informatie (mag in vrijwel elke tool), interne informatie (alleen in goedgekeurde tools met zakelijk account) en vertrouwelijke of persoonsgegevens (alleen in AVG-compliant omgevingen met EU-dataresidentie).

Verantwoordelijkheden

Wijs een AI-verantwoordelijke aan. Bij kleine bedrijven is dat vaak de directeur of de IT-coördinator. Deze persoon houdt het AI-register bij, beoordeelt nieuwe tools en is het aanspreekpunt bij incidenten.

Controle op output

AI hallucineert. Dat is geen bug, het is een eigenschap van de technologie. Leg vast dat AI-output altijd door een mens wordt gecontroleerd voordat het naar klanten, in rapporten of in besluitvorming wordt gebruikt. De AI Act noemt dit human oversight — menselijk toezicht.

Reviewcyclus

Plan een kwartaalreview van het beleid en het register. AI-tooling verandert snel: nieuwe tools verschijnen, bestaande tools wijzigen hun voorwaarden, en het gebruik binnen je organisatie evolueert. Een beleid dat je één keer opstelt en nooit meer aanraakt, verliest snel zijn waarde.

Stap 3: AI-geletterdheid — train je team

Artikel 4 van de AI Act verplicht organisaties om AI-geletterdheid te borgen bij iedereen die AI-systemen bedient. In de woorden van de verordening: medewerkers moeten over voldoende vaardigheden, kennis en begrip beschikken om AI-systemen geïnformeerd in te zetten en zich bewust te worden van de kansen én risico's.

In de praktijk betekent dit voor de meeste MKB-bedrijven:

• Een korte interne training (30 tot 60 minuten) waarin je uitlegt welke tools de organisatie gebruikt, wat de regels zijn, en waar de risico's zitten
• Documentatie dat die training heeft plaatsgevonden — wie, wanneer, wat behandeld
• Periodieke updates wanneer er nieuwe tools worden geïntroduceerd of het beleid wijzigt

Het hoeft geen uitgebreid opleidingsprogramma te zijn. Een teamoverleg van een uur waarin je het AI-beleid doorneemt, een paar voorbeelden geeft van do's en don'ts, en vragen beantwoordt, is voor de meeste organisaties voldoende. Leg vast dát je het hebt gedaan.

Veelgemaakte fouten

Bij het opstellen van een AI-beleid zien we in de praktijk een aantal terugkerende fouten:

AI verbieden in plaats van reguleren

Een verbod op AI-gebruik is niet realistisch. Medewerkers gebruiken het toch — alleen dan zonder toezicht, zonder kaders en zonder dat je het weet. Dat is precies het shadow AI-probleem. Een goed beleid omarmt AI-gebruik maar stelt grenzen.

Alleen de techniek regelen, niet de organisatie

Een AVG-compliant API-koppeling is een goed begin, maar als medewerkers daarnaast hun privé-ChatGPT gebruiken om klantdata te analyseren, schiet het niet op. Technische maatregelen en organisatorisch beleid moeten samen opgaan.

Het beleid te complex maken

Een AI-beleid van twintig pagina's leest niemand. Houd het kort, concreet en leesbaar. Een A4-document met duidelijke afspraken werkt beter dan een juridisch handboek dat in een bureaula verdwijnt.

Eenmalig opstellen en vergeten

AI-tooling verandert snel. Wat vandaag een verantwoorde keuze is, kan over zes maanden verouderd zijn — nieuwe providers, gewijzigde voorwaarden, andere risico's. Plan kwartaalreviews in.

Wat Coding Agency voor je kan doen

Wij bouwen AI-integraties die standaard compliance-ready zijn. Dat betekent:

• Europese hosting — AI-modellen aanroepen via AWS Bedrock in Frankfurt of OpenAI's EU-endpoint, zodat data binnen de EU blijft
• Verwerkersovereenkomsten — bij elke koppeling met AI-modellen waarbij persoonsgegevens verwerkt worden
• Geen training op klantdata — wij zetten API's in, geen chatinterfaces, dus jouw data wordt niet gebruikt om modellen te verbeteren
• Technische guardrails — prompt injection bescherming, output-validatie en audit logging

Daarnaast kunnen we bij het inventariseren van AI-gebruik in je bestaande software helpen. Welke componenten gebruiken AI? Via welke providers? Met welke data? Die inventarisatie is het fundament onder je AI-register.

Checklist: klaar voor 2 augustus 2026

Gebruik deze checklist om te controleren of je organisatie voorbereid is:

• AI-register aangelegd met alle gebruikte AI-tools
• Risiconiveau per tool vastgesteld (minimaal, beperkt of hoog)
• AI-beleid geschreven en intern gedeeld
• Goedgekeurde tools en verboden gebruik beschreven
• Dataclassificatie toegepast (wat mag in welke tool)
• AI-verantwoordelijke aangewezen
• Medewerkers getraind en training gedocumenteerd
• Verwerkersovereenkomsten gecontroleerd voor tools met persoonsgegevens
• Kwartaalreview ingepland voor beleid en register

Negen punten. Geen maanden werk, geen duur adviesbureau. Maar wél noodzakelijk om niet met lege handen te staan wanneer de toezichthouder aanklopt. En dat moment komt: de Autoriteit Persoonsgegevens heeft aangekondigd actief te gaan handhaven.