artikelApril 2026· 6 min leestijd

AI-beleid in 2 pagina's: het sjabloon dat u vandaag kunt invullen

Het ontbreken van een AI-beleid is voor veel organisaties geen kwestie van onwil, maar van overweldiging. Waar moet je beginnen? Hoe lang moet het zijn? En wat moet er minimaal in staan? In dit artikel een praktisch sjabloon dat u vandaag al kunt invullen — twee pagina's, niet meer.

Waarom de meeste AI-beleidsstukken nooit geschreven worden

In bijna elke organisatie waar de vraag "hebben we eigenlijk een AI-beleid?" ter sprake komt, gebeurt steeds hetzelfde. Iemand neemt het op zich, opent een leeg Word-document, googelt "AI-beleid template", komt terecht op een sjabloon van 28 pagina's vol juridische taal — en sluit het document weer. Niet uit luiheid, maar uit gezond verstand: een organisatie van veertig mensen heeft geen 28-pagina's tellend AI-governance framework nodig. En dus blijft er helemaal niets staan.

Dat is jammer, want twee pagina's volstaan ruimschoots om te voldoen aan de basisvereisten van de EU AI Act, om uw medewerkers duidelijkheid te geven, en om bij een audit te kunnen laten zien dat u er serieus mee bezig bent. In dit artikel staat precies wat er in die twee pagina's hoort, in volgorde, met voor elke sectie een korte uitleg waarom en een voorbeeldformulering die u kunt overnemen.

Wat een goed AI-beleid niet is

Voordat we naar de inhoud gaan, drie dingen die een AI-beleid niet moet zijn:

Het is geen juridisch document. Het is een werkinstructie voor uw medewerkers. Als ze het niet kunnen lezen op een doordeweekse maandagochtend, mist het zijn doel.

Het is geen complete inventaris van alle AI-tools die uw organisatie gebruikt. Die inventaris hoort er los bij, en wordt regelmatig bijgewerkt. Het beleid zelf moet stabiel blijven — anders moet het bij elke nieuwe tool herschreven worden.

Het is geen verbod-document. Een beleid dat alleen zegt wat er niet mag, leidt tot shadow-AI — medewerkers gaan onder de radar werken. Een goed beleid maakt vooral helder wat er wel mag, en onder welke voorwaarden.

De zeven onderdelen die in elk AI-beleid horen

1. Doel en reikwijdte (3-4 zinnen)

Begin met waarom dit document bestaat en op wie het van toepassing is. Voorbeeldformulering:

"Dit beleid beschrijft hoe medewerkers van [organisatie] verantwoord met AI-tools werken. Het geldt voor alle medewerkers, vrijwilligers en externen die in opdracht van [organisatie] AI-tools inzetten, ongeacht of deze tools centraal beschikbaar zijn gesteld of door de medewerker zelf geïnstalleerd."

Die laatste toevoeging is cruciaal. Zonder die zin glipt al het shadow-AI-gebruik door de mazen.

2. Welke AI-tools zijn toegestaan en welke niet (kort, concreet)

Geen lange lijsten — drie categorieën volstaan: tools die centraal zijn goedgekeurd en aangeboden, tools die individueel toegestaan zijn mits voor eigen werk en zonder vertrouwelijke data, en tools die niet zijn toegestaan zonder voorafgaande toestemming. Voorbeeldformulering:

"Goedgekeurde tools: [Microsoft Copilot, ChatGPT Enterprise]. Voorwaardelijk toegestaan: andere openbare AI-tools voor eigen tekst- en denkwerk, mits er geen vertrouwelijke informatie wordt ingevoerd. Niet toegestaan zonder toestemming: tools die persoonsgegevens, klantdata, financiële informatie of strategische documenten verwerken."

3. Wat mag wel, wat mag niet — de kernregels (5-7 bullets)

Het hart van het beleid. Houd het simpel en gedragsgericht. Voorbeeldformulering:

•U mag AI gebruiken om uw eigen werk te verbeteren, te herformuleren of te vertalen.

•U mag AI gebruiken om uzelf iets uit te leggen of te brainstormen.

•U mag geen persoonsgegevens , klantdata, patiëntgegevens of financiële cijfers in een publieke AI-tool invoeren.

•U mag geen AI-output gebruiken als definitief klantgericht resultaat zonder zelf de eindcontrole te doen.

•U bent zelf verantwoordelijk voor wat u onder uw naam naar buiten stuurt — een AI-fout is uw fout.

•Bij twijfel: vraag het uw leidinggevende of de aangewezen AI-verantwoordelijke voordat u typt.

4. Verantwoordelijkheid en aanspreekpunt (2-3 zinnen)

Eén naam, één rol. Voorbeeldformulering:

"De verantwoordelijke voor het AI-beleid binnen [organisatie] is [naam, functie]. Bij vragen, twijfels of incidenten neemt u rechtstreeks met deze persoon contact op via [e-mailadres]. Voor technische vragen over de toegestane tools kunt u terecht bij [IT-aanspreekpunt]."

5. Verplichte training en certificering (2-3 zinnen)

Dit is de plek waar u Artikel 4 van de EU AI Act adresseert. Voorbeeldformulering:

"Alle medewerkers volgen vóór [datum] de verplichte AI-geletterdheidstraining. Voor medewerkers in functies met verhoogd risico (HR, IT, klantcontact) geldt een verdiepende training. Het certificaat is één jaar geldig. Nieuwe medewerkers volgen de training binnen drie maanden na indiensttreding."

6. Wat te doen bij incidenten (3-4 zinnen)

Een kort, concreet pad. Voorbeeldformulering:

"Vermoedt u dat er per ongeluk vertrouwelijke informatie in een AI-tool is ingevoerd, of heeft u twijfels over de uitkomst van een AI-systeem? Meld dit binnen 24 uur bij de AI-verantwoordelijke. Kleine incidenten worden geregistreerd en intern besproken. Grote incidenten (datalekken, foutieve klantgerichte beslissingen) worden conform de bestaande procedures voor datalekken en kwaliteitsincidenten afgehandeld."

7. Geldigheid en herziening (1 zin)

"Dit beleid wordt minstens eenmaal per jaar herzien door [verantwoordelijke] en bij elke significante wijziging in de wetgeving of het AI-landschap tussentijds bijgewerkt."

Twee pagina's. Klaar.

Als u de bovenstaande zeven onderdelen invult met antwoorden die passen bij uw organisatie, heeft u twee pagina's tekst die voldoen aan de basisvereisten van de EU AI Act, die uw medewerkers concrete houvast geven, en die u bij een audit op tafel kunt leggen. Niet perfect — maar wel echt. En dat is meer dan 90 procent van de organisaties op dit moment heeft.

Wat dit beleid niet vervangt

Een AI-beleid van twee pagina's vervangt drie dingen niet, en dat moet u weten voordat u er trots op bent:

Het vervangt geen inventaris van uw AI-systemen. Die houdt u apart bij, met per systeem het risiconiveau, de leverancier, en wie de menselijke toezichthouder is. Voor hoogrisico-systemen onder de EU AI Act is die inventaris geen optie maar verplichting.

Het vervangt geen opleiding van uw medewerkers. Een document op de gedeelde schijf is geen training. Artikel 4 vereist aantoonbare kennis, met certificaat, gedifferentieerd per rol. Een beleid alléén voldoet niet.

Het vervangt geen leverancierscheck van uw bestaande contracten. Wie uw AI-tools levert, en of die leverancier zelf compliant is, blijft uw verantwoordelijkheid als deployer. Het beleid noemt het bestaan van die check, maar de check zelf moet ook echt gebeuren.

Tot slot

Een AI-beleid hoort niet het sluitstuk te zijn van uw AI-aanpak — het hoort het beginpunt te zijn. Iets om vandaag op te schrijven, volgende week met uw team te bespreken, en over een maand te toetsen aan de praktijk. Wachten tot u "alles weet" voordat u iets opschrijft, is wachten tot u nooit meer hoeft te beginnen. En augustus 2026 wacht niet.

Bij AIAdopt helpen we organisaties niet alleen met de training (Basispakket + sectoruitbreidingen), maar ook met de praktische stappen eromheen — inclusief het opzetten van een beleid dat werkt voor uw organisatie. Onze microtrainingen sluiten af met een getoetst certificaat dat aantoont dat u voldoet aan Artikel 4 van de EU AI Act.

👉 Bekijk het Basispakket of stel uw pakket samen op maat van uw organisatie.

Wil je weten waar jouw organisatie staat?

Download onze gratis EU AI Act Compliance Checklist of bekijk onze AI-geletterdheidstrainingen.

Download checklist →Bekijk trainingen