5 tekenen dat jouw organisatie AI-beleid nodig heeft

AI-tools zijn in stilte onderdeel geworden van het dagelijks werk in vrijwel elke organisatie. Vaak zonder dat de directie het weet, zonder beleid, en zonder duidelijke afspraken. Dat is geen verwijt — het is gegaan zoals technologie altijd gaat: sneller dan het beleid kan bijhouden.

Maar de EU AI Act is er nu. En niet "binnenkort" — de verplichting tot AI-geletterdheid (Artikel 4) geldt al sinds 2 februari 2025. Veel organisaties denken dat ze nog tijd hebben tot augustus 2026, maar dat is de deadline voor de strengere hoogrisico-eisen. De basisplicht om je medewerkers AI-geletterd te maken? Die is al van kracht. En de vraag is: heeft jouw organisatie de boel op orde? Hier zijn vijf signalen dat het antwoord waarschijnlijk "nee" is.

1. Je weet niet welke AI-tools je medewerkers gebruiken

Dit is het meest voorkomende probleem. Vraag tien medewerkers of ze AI gebruiken op het werk, en minstens de helft zegt "nee". Vraag vervolgens of ze weleens ChatGPT hebben gebruikt om een mail te formuleren, Copilot hebben laten meeschrijven aan een document, of een AI-samenvattingstool hebben ingezet voor vergadernotities. Dan wordt het plaatje anders.

AI-gebruik is vaak onzichtbaar omdat het verweven zit in bestaande tools. De spellingscontrole die zinnen herschrijft? AI. De zoekfunctie in je CRM die "slimme suggesties" doet? AI. De recruitmenttool die cv's rangschikt? AI.

Als je als organisatie niet weet welke AI-tools in gebruik zijn, kun je ook niet beoordelen of dat gebruik verantwoord en compliant is.

2. Er is geen onderscheid tussen "mag" en "mag niet"

In de meeste organisaties zonder AI-beleid geldt een onuitgesproken regel: als het werkt, mag het. Maar de EU AI Act maakt duidelijk onderscheid tussen wat wel en niet is toegestaan.

Emotieherkenning op de werkplek? Verboden. Social scoring van medewerkers? Verboden. AI inzetten bij werving zonder menselijk toezicht? Hoogrisico met strenge eisen. Een chatbot op je website zonder te melden dat het AI is? In strijd met de transparantieplicht.

Zonder beleid weet niemand waar de grens ligt. En als niemand de grens kent, wordt die onvermijdelijk overschreden.

3. Medewerkers delen gevoelige informatie met publieke AI-tools

Dit is het risico dat het snelst escaleert. Een medewerker plakt klantgegevens in ChatGPT om een antwoord te formuleren. Een HR-medewerker voert sollicitatiegegevens in om een beoordelingsmail te laten schrijven. Een IT'er deelt code met een publieke AI-assistent.

Al deze gegevens verlaten op dat moment je organisatie. Ze worden verwerkt op servers buiten je controle, mogelijk buiten de EU, en mogelijk gebruikt om AI-modellen te trainen. Dat is niet alleen een AI Act-probleem — het is ook een GDPR-probleem.

Een goed AI-beleid begint met een simpele regel: welke gegevens mag je wel en niet invoeren in welke tools? Dat hoeft geen dik document te zijn. Twee pagina's met heldere richtlijnen is al een wereld van verschil.

4. Niemand is verantwoordelijk voor AI in je organisatie

Bij de meeste MKB-bedrijven en lokale overheden is er geen AI-verantwoordelijke. IT beheert de systemen, maar voelt zich niet verantwoordelijk voor hoe medewerkers AI-tools gebruiken. HR ziet het als een IT-kwestie. De directie heeft er nog niet over nagedacht.

Het gevolg: niemand houdt overzicht, niemand signaleert risico's, en niemand neemt actie als het misgaat.

De EU AI Act verwacht dat organisaties die AI inzetten — ook als deployer — governance hebben ingericht. Dat hoeft geen afdeling te zijn. Het kan één persoon zijn die het mandaat heeft om AI-gebruik te inventariseren, beleid voor te stellen, en als aanspreekpunt te fungeren. Maar die persoon moet er zijn.

5. Je kunt bij een audit niet aantonen wat je hebt gedaan

Stel: er gaat iets mis. Een sollicitant klaagt over discriminatie door een AI-selectietool. Een burger stelt dat een AI-systeem oneerlijk heeft beslist over zijn uitkering. Een toezichthouder stelt vragen over het AI-gebruik in je organisatie.

De eerste vraag is dan: wat hebt u gedaan om dit te voorkomen? Hebt u uw medewerkers opgeleid? Hebt u een beleid? Hebt u risico's beoordeeld?

Als het antwoord is "we hebben er niet echt over nagedacht", dan heb je een probleem. Niet alleen juridisch, maar ook reputationeel. En in België speelt de Gegevensbeschermingsautoriteit (GBA) een steeds actievere rol — zeker wanneer datalekken via publieke AI-tools aan het licht komen.

Een certificaat per medewerker, een gedocumenteerd beleid, een inventarislijst van AI-systemen — dat is het bewijs dat je serieus bezig bent. Het hoeft niet perfect te zijn. Het moet aantoonbaar zijn.

Wat nu?

Als je jezelf herkent in één of meer van deze tekenen, is dat geen reden voor paniek. Het is een reden om te beginnen. De meeste organisaties staan op dit punt — je bent niet de enige.

Begin met het inventariseren van je AI-gebruik. Stel een verantwoordelijke aan. Laat je medewerkers een basistraining volgen. En documenteer wat je doet.

De EU AI Act is geen eindbestemming. Het is een startpunt voor verantwoord AI-gebruik. En het mooie is: organisaties die hier vroeg mee beginnen, hebben niet alleen hun compliance op orde — ze hebben ook medewerkers die AI beter, veiliger en effectiever inzetten.

Beleid wordt pas echt "audit-ready" als je medewerkers aantoonbaar getraind zijn met een certificaat dat de eindtermen van de EU AI Act dekt. Dat is het verschil tussen een voornemen en een bewijs.