Naar hoofdinhoud
Handhaving AI-verordening: vanaf 2 augustus 2026 regel het op tijd voor je team →
AIAI-geletterdheidstraining
InloggenRegel het voor je team →
Regel het voor je team →Of begin zelf gratis
TrainingenAI-beleidKennisbankVoor werkgeversDe AI-wetCertificaatInloggen
Gratis template · AI-gebruiksbeleid

AI-gebruiksbeleid voor de accountancy (template)

AI zit al in je werk: scan-en-herken van bonnen, voorstellen voor grootboekrekeningen, fraudedetectie en conceptmails aan klanten. Dit AI-gebruiksbeleid legt vast hoe accountants, boekhouders, fiscalisten en salarisadministratie binnen dit kantoor verantwoord met AI omgaan. Zo blijven je geheimhoudingsplicht, je beroepsregels en de AVG overeind, en voldoe je aan de AI-geletterdheidsplicht uit artikel 4 van de EU AI-verordening.

Versie 1.0 · Juni 2026 · Aanpasbaar voorbeeld, geen juridisch advies. Vervang [organisatie] en [datum] door je eigen gegevens.

1. Doel en reikwijdte

Dit AI-gebruiksbeleid beschrijft hoe medewerkers van [organisatie] verantwoord, veilig en wettelijk omgaan met kunstmatige intelligentie (AI). Het beleid helpt [organisatie] te voldoen aan artikel 4 van de EU AI-verordening (de AI-geletterdheidsplicht) en aan de Algemene verordening gegevensbescherming (AVG).

Het beleid geldt voor iedereen die namens de organisatie met AI werkt: vaste medewerkers, tijdelijke krachten, stagiairs en ingehuurde externen. Het gaat over alle AI-systemen die in het werk worden gebruikt, of die nu zelf zijn aangeschaft, in bestaande software zitten of gratis online beschikbaar zijn (zoals algemene chatbots).

2. Definities

Om misverstanden te voorkomen, gebruiken we de volgende begrippen:

  • AI-systeem: software die op basis van data zelfstandig uitkomsten genereert, zoals tekst, beeld, voorspellingen, classificaties of aanbevelingen.
  • Generatieve AI: AI die nieuwe inhoud maakt, zoals tekst (ChatGPT, Copilot, Gemini), beeld of code.
  • Hallucinatie: een AI-uitkomst die overtuigend klinkt maar feitelijk onjuist of verzonnen is (bijvoorbeeld een niet-bestaande bron of een verkeerd getal).
  • Persoonsgegevens: alle gegevens over een herkenbaar persoon (naam, e-mail, klant- of patiëntgegevens, beeld, locatie).
  • Hoog-risico AI: AI-toepassingen die volgens de AI-verordening extra eisen kennen omdat ze mensen of hun rechten direct kunnen raken.
  • Schaduw-AI: AI-tools die medewerkers gebruiken zonder dat de organisatie ze heeft goedgekeurd.

3. Uitgangspunten

Bij alles wat we met AI doen, gelden deze vijf uitgangspunten:

  • Mens beslist. AI is een hulpmiddel; een medewerker controleert de uitkomst en neemt de eindbeslissing.
  • Veilig met gegevens. We delen geen vertrouwelijke of persoonsgegevens met AI-tools die daarvoor niet zijn goedgekeurd.
  • Eerlijk en transparant. Klanten, burgers of betrokkenen weten wanneer zij met AI te maken hebben.
  • Aantoonbaar bekwaam. Iedereen die met AI werkt, is voldoende AI-geletterd (artikel 4 AI-verordening).
  • Verantwoord en uitlegbaar. We kunnen uitleggen hoe een uitkomst tot stand kwam en waarom we erop vertrouwen.

4. Wat mag wel

  • Gebruik alleen door het kantoor goedgekeurde AI-tools waarvoor een verwerkersovereenkomst is afgesloten en die data binnen de EU verwerken.
  • Anonimiseer of pseudonimiseer klantgegevens voordat je iets in een AI-tool invoert, en verwijder namen, BSN's en bedragen die niet nodig zijn.
  • Controleer elk genoemd wetsartikel, elke uitspraak en elk cijfer altijd zelf in de bron voordat het in een advies of rapport gaat.
  • Beschouw een AI-voorstel voor een boeking, grootboekrekening of fraudesignaal als een suggestie, niet als een besluit.
  • Leg vast welke AI-tool je voor welke taak hebt gebruikt, zodat het werk reproduceerbaar en uitlegbaar blijft.
  • Laat een conceptmail of -tekst van AI altijd door een mens nalezen op toon, juistheid en vertrouwelijkheid voordat hij de deur uitgaat.
  • Meld een vermoedelijk datalek of een fout door AI direct bij de verantwoordelijke binnen het kantoor.
  • Volg de AI-geletterdheidstraining en houd je certificaat actueel (artikel 4 AI-verordening).

5. Wat mag niet

  • Plak nooit jaarrekeningen, loonstroken, bankafschriften, BSN's of andere klantdata in een gratis of openbare chatbot.
  • Neem nooit een wetsartikel, jurisprudentie of cijfer van AI over zonder het zelf in de bron te verifiëren.
  • Verstuur geen door AI gegenereerd advies of rapport zonder inhoudelijke controle door een bevoegde professional.
  • Gebruik geen privé-AI-accounts of niet-goedgekeurde tools (schaduw-AI) voor werk met klantgegevens.
  • Laat AI nooit zelfstandig een aangifte indienen, een boeking definitief maken of een fraudemelding doen.
  • Deel geen inloggegevens, API-sleutels of toegang tot het boekhoudsysteem met externe AI-diensten.
  • Vertrouw niet blind op een fraude- of uitschietersignaal zonder zelf de onderliggende stukken te beoordelen.
  • Gebruik geen klantdata om een AI-model te trainen, tenzij dit expliciet en schriftelijk is toegestaan.

6. Gegevens, privacy en geheimhouding

Persoons- en bedrijfsgegevens horen alleen in AI-tools die de organisatie zakelijk heeft goedgekeurd en die voldoen aan de AVG. In gratis, openbare AI-tools voer je nooit vertrouwelijke informatie in: gegevens kunnen worden bewaard en hergebruikt voor het trainen van het model.

  • Voer geen namen, klant-, patiënt- of dossiergegevens, contracten, broncode of bedrijfsgeheimen in een niet-goedgekeurde AI-tool in.
  • Anonimiseer gegevens waar mogelijk voordat je ze (in een goedgekeurde tool) gebruikt.
  • Verwerk je persoonsgegevens met AI? Zorg voor een grondslag, een verwerkersovereenkomst met de leverancier en, bij hoog risico, een DPIA (gegevensbeschermingseffectbeoordeling).
  • Twijfel je of iets mag? Vraag het de verantwoordelijke (zie Rollen) vóór je het invoert.

7. Transparantie

Mensen hebben recht om te weten wanneer zij met AI communiceren of wanneer AI een rol speelt in een uitkomst die hen raakt. We zijn hier open over.

  • Een chatbot of AI-assistent maakt duidelijk dat het geen mens is.
  • AI-gegenereerde teksten die naar buiten gaan, worden door een mens gecontroleerd en waar passend als zodanig herkenbaar gemaakt.
  • Bij beslissingen die mensen raken, kunnen we uitleggen welke rol AI speelde.

8. Menselijk toezicht en eindverantwoordelijkheid

AI levert een voorstel, geen oordeel. De medewerker beoordeelt elke AI-uitkomst kritisch op juistheid, volledigheid en redelijkheid, en blijft eindverantwoordelijk. Hoe groter de impact van een fout, hoe grondiger de controle.

  • Controleer feiten, cijfers, bronnen en wetsverwijzingen die AI noemt; ga uit van mogelijke hallucinaties.
  • Neem een AI-uitkomst nooit ongezien over in een advies, besluit, rapport of bericht aan een klant.
  • Kun je een uitkomst niet uitleggen of verantwoorden, gebruik hem dan niet.

9. Hoog-risico AI

Sommige AI-toepassingen gelden onder de AI-verordening als hoog risico, bijvoorbeeld omdat ze meebeslissen over werk, geld, gezondheid, onderwijs of rechten van mensen. Daarvoor gelden strengere eisen aan kwaliteit, toezicht, documentatie en menselijke controle. Twijfel je of een toepassing hoog risico is, behandel hem dan alsof dat zo is en overleg met de verantwoordelijke.

10. Incidenten en datalekken melden

Ging er iets mis met AI? Meld het direct, zodat we schade kunnen beperken. Een datalek kan ontstaan doordat vertrouwelijke informatie in een verkeerde tool belandt.

  • Meld een (vermoedelijk) datalek of AI-incident meteen bij de verantwoordelijke/FG (functionaris gegevensbescherming).
  • Een datalek met risico voor betrokkenen melden we binnen 72 uur bij de Autoriteit Persoonsgegevens.
  • Voorbeelden om te melden: gevoelige gegevens in een openbare chatbot geplakt, een AI-fout die naar buiten ging, of een misleidende AI-uitkomst die schade veroorzaakte.
  • Melden leidt niet tot straf; niet-melden wel. Fouten gebruiken we om te leren.

11. Toegestane tools en schaduw-AI

We werken alleen met AI-tools die de organisatie heeft goedgekeurd en die in een actueel overzicht (AI-toolregister) staan. Wil je een nieuwe tool gebruiken, vraag dan eerst goedkeuring. Zo voorkomen we schaduw-AI: ongecontroleerde tools waarmee ongemerkt gegevens kunnen weglekken.

  • Gebruik voor werk alleen goedgekeurde, zakelijke AI-tools en accounts.
  • Nieuwe tool nodig? Vraag goedkeuring aan de verantwoordelijke vóór gebruik.
  • Het AI-toolregister vermeldt per tool: doel, leverancier, soort gegevens en wie verantwoordelijk is.

12. Rollen en verantwoordelijkheden

  • Directie/bestuur: stelt dit beleid vast, stelt middelen beschikbaar en draagt eindverantwoordelijkheid.
  • AI-verantwoordelijke / aandachtsfunctionaris: beheert het toolregister, beoordeelt nieuwe tools en is aanspreekpunt bij twijfel.
  • Functionaris gegevensbescherming (FG) / privacy: bewaakt AVG, DPIA's en datalekprocedure.
  • Leidinggevenden: zorgen dat hun team het beleid kent en naleeft.
  • Medewerkers: passen het beleid toe, blijven AI-geletterd en melden incidenten.

13. AI-geletterdheid (artikel 4)

Artikel 4 van de EU AI-verordening verplicht organisaties om iedereen die met AI werkt aantoonbaar AI-geletterd te maken. De plicht geldt sinds 2 februari 2025; handhaving start vanaf 2 augustus 2026. Iedere medewerker die met AI werkt, volgt daarom een passende AI-geletterdheidstraining en houdt zijn kennis actueel. De organisatie legt vast wie de training heeft gevolgd (bijvoorbeeld met een certificaat met verificatiecode).

14. Naleving, evaluatie en ingangsdatum

Dit beleid is onderdeel van de afspraken binnen [organisatie]. Bij twijfel geldt: eerst vragen, dan doen. We evalueren dit beleid minstens één keer per jaar en passen het aan op nieuwe tools, ervaringen en regelgeving.

  • Ingangsdatum: [datum]. Vastgesteld door: [naam/functie] namens [organisatie].
  • Versie: 1.0. Eerstvolgende evaluatie: [datum + 1 jaar].

15. Sectorspecifieke risico's

⚠️ Verzonnen wetsartikelen en jurisprudentie
Een AI-chatbot verwijst overtuigend naar een artikel in de Wet IB of een uitspraak die niet bestaat (een hallucinatie). Komt zo'n verzonnen bron in een fiscaal advies, dan is het advies onjuist en loop je een aansprakelijkheids- en tuchtrisico.
⚠️ Klantgegevens in openbare AI-tools
Wie een jaarrekening, loonstrook of bankafschrift in een gratis chatbot plakt om het 'even te laten samenvatten', deelt vertrouwelijke klantdata met een externe partij. Dat schendt de geheimhoudingsplicht en kan een datalek onder de AVG opleveren.
⚠️ Verzonnen of foutieve cijfers in rapportages
Generatieve AI kan getallen, totalen en verhoudingen 'invullen' die plausibel ogen maar niet kloppen. In een rapport, prognose of belastingaangifte leidt dat tot materiële fouten die de klant en je beroepsverantwoordelijkheid raken.
⚠️ Bias in fraude- en uitschietersdetectie
AI die transacties of klanten op risico beoordeelt, kan bepaalde groepen of patronen stelselmatig anders behandelen. Wie de signalen klakkeloos overneemt, neemt die vooringenomenheid mee in het oordeel.
⚠️ Onterecht vertrouwen op AI-voorstellen
Een voorgestelde boeking of grootboekrekening lijkt logisch, maar de software begrijpt de context van de klant niet. Zonder controle sluipen onjuiste coderingen en daarmee fouten in de administratie.

16. Regels en toezicht voor deze sector

AVG
Klant- en persoonsgegevens mogen alleen worden verwerkt met een grondslag en passende beveiliging. Persoonsgegevens horen niet in openbare AI-tools; gebruik alleen oplossingen met een verwerkersovereenkomst en verwerking binnen de EU.
NBA/SRA beroepsregels en verordeningen
De beroepsregels (waaronder de VGBA en de geldende verordeningen) vragen om vakbekwaamheid, objectiviteit en zorgvuldigheid. AI is een hulpmiddel; de professional blijft eindverantwoordelijk voor elk advies en elke rapportage.
Geheimhoudingsplicht
Voor accountants en fiscaal adviseurs geldt een geheimhoudingsplicht. Informatie van of over een klant deel je niet met externe AI-diensten zonder dat de vertrouwelijkheid contractueel en technisch is geborgd.
Artikel 4 AI-verordening (AI-geletterdheid)
Sinds 2 februari 2025 moet je kantoor medewerkers die met AI werken aantoonbaar AI-geletterd maken. De handhaving van de bredere AI-verordening start vanaf 2 augustus 2026.

Mail mij dit beleid + de compliance-checklist

Ontvang het volledige AI-gebruiksbeleid voor accountancy- en administratiekantoren als bestand, plus een 7-stappen compliance-checklist voor artikel 4. Geen spam.

Voorbeelden uit de praktijk

📎 Een fiscalist vraagt ChatGPT naar de aftrekbaarheid van een kostenpost en krijgt een antwoord met een verwijzing naar een specifiek wetsartikel.
Aanpak: Gebruik het antwoord alleen als startpunt. Zoek het genoemde artikel op in de actuele wettekst of een betrouwbare fiscale bron en controleer of het bestaat en klopt. Pas daarna verwerk je het in het advies, met de geverifieerde bron erbij.
📎 Een boekhouder wil een stapel facturen sneller verwerken en overweegt ze in een online AI-tool te uploaden voor samenvatting en codering.
Aanpak: Doe dit alleen met een door het kantoor goedgekeurde tool met verwerkersovereenkomst. In een openbare tool deel je vertrouwelijke klantdata; dat schendt de geheimhoudingsplicht en kan een datalek onder de AVG opleveren. Controleer bovendien elke voorgestelde codering zelf.
📎 De fraudedetectie markeert bij een klant een reeks transacties als verdacht en stelt voor er melding van te maken.
Aanpak: Behandel de markering als een signaal, niet als een conclusie. Beoordeel de onderliggende stukken zelf, betrek de context van de klant en laat de eindbeoordeling over aan een bevoegde professional. Documenteer waarom je het signaal wel of niet opvolgt.

Veelgestelde vragen over AI-beleid in accountancy- en administratiekantoren

Moet een accountantskantoor een AI-beleid hebben?

Een AI-gebruiksbeleid is niet letterlijk bij wet verplicht, maar het is de meest praktische manier om aan de AI-geletterdheidsplicht uit artikel 4 van de AI-verordening te voldoen. Die plicht geldt sinds 2 februari 2025. Een beleid maakt bovendien aantoonbaar hoe je kantoor de AVG en de beroepsregels naleeft bij het gebruik van AI.

Mag ik ChatGPT gebruiken als accountant of boekhouder?

Ja, voor algemene taken zonder klantgegevens, zoals het opstellen van een concepttekst of het uitleggen van een begrip. Plak echter nooit klantdata, jaarrekeningen, BSN's of bankgegevens in een openbare versie van ChatGPT. Voor werk met klantgegevens gebruik je alleen een door het kantoor goedgekeurde tool met verwerkersovereenkomst.

Wat moet er in een AI-gebruiksbeleid voor de accountancy staan?

Minimaal: welke AI-tools wel en niet zijn toegestaan, hoe je met klantgegevens en de geheimhoudingsplicht omgaat, dat je wetsartikelen, jurisprudentie en cijfers altijd zelf controleert, en wie eindverantwoordelijk blijft. Verwijs ook naar de AVG, de NBA/SRA-beroepsregels en artikel 4 van de AI-verordening.

Is AI in fraudedetectie hoog-risico onder de AI-verordening?

Dat hangt af van het concrete gebruik. Veel detectietools die alleen patronen signaleren vallen niet automatisch in de hoog-risicocategorie, maar je blijft als professional verplicht het signaal zelf te beoordelen. Behandel een fraudesignaal daarom altijd als een hulpmiddel en nooit als een eindoordeel.

Hoe voorkom ik dat AI verzonnen wetsartikelen in een advies zet?

Door elk artikel, elke uitspraak en elk cijfer dat AI noemt, zelf op te zoeken in de actuele bron voordat je het overneemt. AI kan plausibel ogende bronnen verzinnen die niet bestaan. Een vaste controlestap en de eindverantwoordelijkheid bij een bevoegde professional voorkomen dat hallucinaties in een advies belanden.

Een beleid is stap 1. Maak je team ook aantoonbaar AI-geletterd.

Artikel 4 vraagt niet alleen om afspraken, maar ook dat medewerkers aantoonbaar AI-geletterd zijn. Volg de training "AI-geletterdheid voor accountants en administratiekantoren" — in je eigen tempo, met certificaat.

Bekijk de training →Alle branches