Naar hoofdinhoud
Handhaving AI-verordening: vanaf 2 augustus 2026 regel het op tijd voor je team →
AIAI-geletterdheidstraining
InloggenRegel het voor je team →
Regel het voor je team →Of begin zelf gratis
TrainingenAI-beleidKennisbankVoor werkgeversDe AI-wetCertificaatInloggen
Gratis template · AI-gebruiksbeleid

AI-gebruiksbeleid voor ICT & technologie (template)

AI zit al in je dagelijkse werk: codeassistenten zoals Copilot, support-chatbots, loganalyse en automatische testgeneratie. Dit AI-gebruiksbeleid legt vast hoe developers, DevOps-engineers, IT-support, beheerders en projectleiders binnen dit bedrijf verantwoord met AI omgaan. Zo bewaak je broncode, klantdata en informatiebeveiliging, en voldoe je aan de AI-geletterdheidsplicht uit artikel 4 van de EU AI-verordening.

Versie 1.0 · Juni 2026 · Aanpasbaar voorbeeld, geen juridisch advies. Vervang [organisatie] en [datum] door je eigen gegevens.

1. Doel en reikwijdte

Dit AI-gebruiksbeleid beschrijft hoe medewerkers van [organisatie] verantwoord, veilig en wettelijk omgaan met kunstmatige intelligentie (AI). Het beleid helpt [organisatie] te voldoen aan artikel 4 van de EU AI-verordening (de AI-geletterdheidsplicht) en aan de Algemene verordening gegevensbescherming (AVG).

Het beleid geldt voor iedereen die namens de organisatie met AI werkt: vaste medewerkers, tijdelijke krachten, stagiairs en ingehuurde externen. Het gaat over alle AI-systemen die in het werk worden gebruikt, of die nu zelf zijn aangeschaft, in bestaande software zitten of gratis online beschikbaar zijn (zoals algemene chatbots).

2. Definities

Om misverstanden te voorkomen, gebruiken we de volgende begrippen:

  • AI-systeem: software die op basis van data zelfstandig uitkomsten genereert, zoals tekst, beeld, voorspellingen, classificaties of aanbevelingen.
  • Generatieve AI: AI die nieuwe inhoud maakt, zoals tekst (ChatGPT, Copilot, Gemini), beeld of code.
  • Hallucinatie: een AI-uitkomst die overtuigend klinkt maar feitelijk onjuist of verzonnen is (bijvoorbeeld een niet-bestaande bron of een verkeerd getal).
  • Persoonsgegevens: alle gegevens over een herkenbaar persoon (naam, e-mail, klant- of patiëntgegevens, beeld, locatie).
  • Hoog-risico AI: AI-toepassingen die volgens de AI-verordening extra eisen kennen omdat ze mensen of hun rechten direct kunnen raken.
  • Schaduw-AI: AI-tools die medewerkers gebruiken zonder dat de organisatie ze heeft goedgekeurd.

3. Uitgangspunten

Bij alles wat we met AI doen, gelden deze vijf uitgangspunten:

  • Mens beslist. AI is een hulpmiddel; een medewerker controleert de uitkomst en neemt de eindbeslissing.
  • Veilig met gegevens. We delen geen vertrouwelijke of persoonsgegevens met AI-tools die daarvoor niet zijn goedgekeurd.
  • Eerlijk en transparant. Klanten, burgers of betrokkenen weten wanneer zij met AI te maken hebben.
  • Aantoonbaar bekwaam. Iedereen die met AI werkt, is voldoende AI-geletterd (artikel 4 AI-verordening).
  • Verantwoord en uitlegbaar. We kunnen uitleggen hoe een uitkomst tot stand kwam en waarom we erop vertrouwen.

4. Wat mag wel

  • Gebruik alleen door het bedrijf goedgekeurde AI-tools met een verwerkersovereenkomst en een zakelijke configuratie waarin je data niet voor training wordt gebruikt.
  • Review elke door AI voorgestelde regel code, test of configuratie zelf voordat je die commit of in productie zet.
  • Verwijder of vervang geheimen, API-sleutels, tokens en klantdata voordat je iets in een AI-tool invoert.
  • Behandel input voor een AI-systeem net zo wantrouwig als input voor een database, en bescherm chatbots en agents tegen prompt injection.
  • Controleer gegenereerde code op licentie- en auteursrechtelijke houdbaarheid voordat je die overneemt.
  • Beoordeel per project of je gebruiksverantwoordelijke of aanbieder wordt, bijvoorbeeld als je een model fijn-afstelt of onder eigen merk uitbrengt.
  • Meld een vermoedelijk datalek, een onveilige AI-suggestie of een beveiligingsincident direct bij de verantwoordelijke.
  • Volg de AI-geletterdheidstraining en houd je certificaat actueel (artikel 4 AI-verordening).

5. Wat mag niet

  • Plak nooit broncode, configuratie, API-sleutels, tokens of een database-export in een gratis of openbare chatbot.
  • Commit of deploy geen door AI gegenereerde code zonder code review door een mens.
  • Vertrouw niet blind op een AI-antwoord over een functie, library of beveiligingsmaatregel zonder het zelf te verifiëren.
  • Gebruik geen privé-AI-accounts, browser-extensies of niet-goedgekeurde tools (schaduw-AI) voor werk.
  • Neem geen gegenereerde code over waarvan de licentie of herkomst onduidelijk is.
  • Geef een AI-agent geen onbeperkte rechten op systemen, repositories of klantomgevingen zonder menselijke controle.
  • Stel geen model fijn af en breng geen model onder eigen merk uit zonder te beoordelen of je daarmee aanbieder wordt onder de AI-verordening.
  • Gebruik geen klant- of productiegegevens om een AI-model te trainen, tenzij dit expliciet en schriftelijk is toegestaan.

6. Gegevens, privacy en geheimhouding

Persoons- en bedrijfsgegevens horen alleen in AI-tools die de organisatie zakelijk heeft goedgekeurd en die voldoen aan de AVG. In gratis, openbare AI-tools voer je nooit vertrouwelijke informatie in: gegevens kunnen worden bewaard en hergebruikt voor het trainen van het model.

  • Voer geen namen, klant-, patiënt- of dossiergegevens, contracten, broncode of bedrijfsgeheimen in een niet-goedgekeurde AI-tool in.
  • Anonimiseer gegevens waar mogelijk voordat je ze (in een goedgekeurde tool) gebruikt.
  • Verwerk je persoonsgegevens met AI? Zorg voor een grondslag, een verwerkersovereenkomst met de leverancier en, bij hoog risico, een DPIA (gegevensbeschermingseffectbeoordeling).
  • Twijfel je of iets mag? Vraag het de verantwoordelijke (zie Rollen) vóór je het invoert.

7. Transparantie

Mensen hebben recht om te weten wanneer zij met AI communiceren of wanneer AI een rol speelt in een uitkomst die hen raakt. We zijn hier open over.

  • Een chatbot of AI-assistent maakt duidelijk dat het geen mens is.
  • AI-gegenereerde teksten die naar buiten gaan, worden door een mens gecontroleerd en waar passend als zodanig herkenbaar gemaakt.
  • Bij beslissingen die mensen raken, kunnen we uitleggen welke rol AI speelde.

8. Menselijk toezicht en eindverantwoordelijkheid

AI levert een voorstel, geen oordeel. De medewerker beoordeelt elke AI-uitkomst kritisch op juistheid, volledigheid en redelijkheid, en blijft eindverantwoordelijk. Hoe groter de impact van een fout, hoe grondiger de controle.

  • Controleer feiten, cijfers, bronnen en wetsverwijzingen die AI noemt; ga uit van mogelijke hallucinaties.
  • Neem een AI-uitkomst nooit ongezien over in een advies, besluit, rapport of bericht aan een klant.
  • Kun je een uitkomst niet uitleggen of verantwoorden, gebruik hem dan niet.

9. Hoog-risico AI

Sommige AI-toepassingen gelden onder de AI-verordening als hoog risico, bijvoorbeeld omdat ze meebeslissen over werk, geld, gezondheid, onderwijs of rechten van mensen. Daarvoor gelden strengere eisen aan kwaliteit, toezicht, documentatie en menselijke controle. Twijfel je of een toepassing hoog risico is, behandel hem dan alsof dat zo is en overleg met de verantwoordelijke.

10. Incidenten en datalekken melden

Ging er iets mis met AI? Meld het direct, zodat we schade kunnen beperken. Een datalek kan ontstaan doordat vertrouwelijke informatie in een verkeerde tool belandt.

  • Meld een (vermoedelijk) datalek of AI-incident meteen bij de verantwoordelijke/FG (functionaris gegevensbescherming).
  • Een datalek met risico voor betrokkenen melden we binnen 72 uur bij de Autoriteit Persoonsgegevens.
  • Voorbeelden om te melden: gevoelige gegevens in een openbare chatbot geplakt, een AI-fout die naar buiten ging, of een misleidende AI-uitkomst die schade veroorzaakte.
  • Melden leidt niet tot straf; niet-melden wel. Fouten gebruiken we om te leren.

11. Toegestane tools en schaduw-AI

We werken alleen met AI-tools die de organisatie heeft goedgekeurd en die in een actueel overzicht (AI-toolregister) staan. Wil je een nieuwe tool gebruiken, vraag dan eerst goedkeuring. Zo voorkomen we schaduw-AI: ongecontroleerde tools waarmee ongemerkt gegevens kunnen weglekken.

  • Gebruik voor werk alleen goedgekeurde, zakelijke AI-tools en accounts.
  • Nieuwe tool nodig? Vraag goedkeuring aan de verantwoordelijke vóór gebruik.
  • Het AI-toolregister vermeldt per tool: doel, leverancier, soort gegevens en wie verantwoordelijk is.

12. Rollen en verantwoordelijkheden

  • Directie/bestuur: stelt dit beleid vast, stelt middelen beschikbaar en draagt eindverantwoordelijkheid.
  • AI-verantwoordelijke / aandachtsfunctionaris: beheert het toolregister, beoordeelt nieuwe tools en is aanspreekpunt bij twijfel.
  • Functionaris gegevensbescherming (FG) / privacy: bewaakt AVG, DPIA's en datalekprocedure.
  • Leidinggevenden: zorgen dat hun team het beleid kent en naleeft.
  • Medewerkers: passen het beleid toe, blijven AI-geletterd en melden incidenten.

13. AI-geletterdheid (artikel 4)

Artikel 4 van de EU AI-verordening verplicht organisaties om iedereen die met AI werkt aantoonbaar AI-geletterd te maken. De plicht geldt sinds 2 februari 2025; handhaving start vanaf 2 augustus 2026. Iedere medewerker die met AI werkt, volgt daarom een passende AI-geletterdheidstraining en houdt zijn kennis actueel. De organisatie legt vast wie de training heeft gevolgd (bijvoorbeeld met een certificaat met verificatiecode).

14. Naleving, evaluatie en ingangsdatum

Dit beleid is onderdeel van de afspraken binnen [organisatie]. Bij twijfel geldt: eerst vragen, dan doen. We evalueren dit beleid minstens één keer per jaar en passen het aan op nieuwe tools, ervaringen en regelgeving.

  • Ingangsdatum: [datum]. Vastgesteld door: [naam/functie] namens [organisatie].
  • Versie: 1.0. Eerstvolgende evaluatie: [datum + 1 jaar].

15. Sectorspecifieke risico's

⚠️ Broncode, API-sleutels en klantdata in prompts
Wie broncode, configuratiebestanden, API-sleutels of een database-export in een openbare AI-tool plakt, deelt bedrijfsgeheimen en mogelijk klantdata met een externe partij. Dat kan een datalek onder de AVG opleveren en je intellectueel eigendom of beveiliging in gevaar brengen.
⚠️ Prompt injection
Een AI-systeem dat input verwerkt uit e-mails, webpagina's, tickets of documenten kan via verborgen instructies worden gemanipuleerd. Behandel input voor een AI net zo wantrouwig als input voor een database: een aanvaller kan een chatbot of agent zo opdrachten ontfutselen of laten lekken.
⚠️ Hallucinaties en onveilige code
Een codeassistent voorspelt patronen, maar begrijpt je codebase niet. Hij kan code voorstellen die plausibel oogt maar fout, verouderd of onveilig is, of verwijzen naar functies en libraries die niet bestaan. Zonder review sluipen kwetsbaarheden en bugs in productie.
⚠️ Licentie- en IE-risico van gegenereerde code
Gegenereerde code kan lijken op of overeenkomen met code onder een restrictieve open-sourcelicentie. Neem je die over zonder controle, dan loop je het risico licentievoorwaarden te schenden of onbedoeld code met onduidelijk auteursrecht in je product op te nemen.
⚠️ Schaduw-AI
Medewerkers gebruiken privé-AI-accounts, browser-extensies of niet-goedgekeurde tools voor werk. Daardoor lekt informatie buiten zicht van het bedrijf en kun je niet meer aantonen welke data waar terechtkomt of welke tools onder welke voorwaarden draaien.

16. Regels en toezicht voor deze sector

AVG
Persoons- en klantgegevens mogen alleen worden verwerkt met een grondslag en passende beveiliging. Zulke gegevens horen niet in openbare AI-tools; gebruik alleen oplossingen met een verwerkersovereenkomst en, waar mogelijk, verwerking binnen de EU.
Informatiebeveiliging (en NIS2 waar van toepassing)
AI-gebruik valt onder het beveiligingsbeleid van het bedrijf. Voor organisaties die onder NIS2 vallen, gelden aanvullende eisen aan risicobeheer en incidentmelding; stem je AI-gebruik daarop af en behandel AI-tools als onderdeel van je toeleveringsketen.
Licenties en intellectueel eigendom
Door AI gegenereerde code moet worden gecontroleerd op licentie- en auteursrechtelijke houdbaarheid voordat die in een product gaat. Neem geen code over waarvan de herkomst of de licentie onduidelijk is.
Aanbieder versus gebruiksverantwoordelijke (AI-verordening)
Onder de AI-verordening ben je meestal gebruiksverantwoordelijke. Maar wie een model fijn-afstelt of onder eigen merk of naam uitbrengt, kan zelf aanbieder worden, met zwaardere verplichtingen. Beoordeel per project welke rol je hebt voordat je een AI-systeem aanpast of doorlevert.

Mail mij dit beleid + de compliance-checklist

Ontvang het volledige AI-gebruiksbeleid voor ICT- en technologiebedrijven als bestand, plus een 7-stappen compliance-checklist voor artikel 4. Geen spam.

Voorbeelden uit de praktijk

📎 Een developer laat een codeassistent een functie schrijven en krijgt code terug die werkt, maar verwijst naar een externe library die de developer niet kent.
Aanpak: Behandel de suggestie als een concept. Controleer of de library echt bestaat, of de licentie past en of de code geen bekende kwetsbaarheden bevat. Pas na review en het draaien van tests neem je de code over en commit je die.
📎 Een IT-supportmedewerker wil een lastig ticket sneller oplossen en overweegt een database-export met klantgegevens in een online AI-tool te plakken voor analyse.
Aanpak: Doe dit niet in een openbare tool: je deelt dan klantdata met een externe partij, wat een datalek onder de AVG kan zijn. Gebruik alleen een goedgekeurde tool met verwerkersovereenkomst en verwijder eerst alle gegevens die niet nodig zijn voor de analyse.
📎 Een projectleider wil een opensource-taalmodel fijn-afstellen op bedrijfsdata en het onder de eigen merknaam in een product aanbieden.
Aanpak: Beoordeel eerst je rol onder de AI-verordening. Door het model fijn af te stellen en onder eigen merk uit te brengen, kun je zelf aanbieder worden met zwaardere verplichtingen. Leg dit voor aan de verantwoordelijke en regel licentie-, privacy- en compliancecontrole voordat je begint.

Veelgestelde vragen over AI-beleid in ICT- en technologiebedrijven

Moet een ICT-bedrijf een AI-beleid hebben?

Een AI-gebruiksbeleid is niet letterlijk bij wet verplicht, maar het is de meest praktische manier om aan de AI-geletterdheidsplicht uit artikel 4 van de AI-verordening te voldoen. Die plicht geldt sinds 2 februari 2025. Voor een ICT-bedrijf maakt een beleid bovendien aantoonbaar hoe je broncode, klantdata en informatiebeveiliging beschermt bij het gebruik van AI.

Mag je GitHub Copilot of ChatGPT gebruiken als developer?

Ja, voor algemene taken en als hulpmiddel bij het schrijven van code, mits je een door het bedrijf goedgekeurde, zakelijke versie gebruikt. Plak nooit broncode, API-sleutels of klantdata in een openbare versie. Review bovendien elke gegenereerde regel zelf, want de assistent voorspelt patronen en begrijpt je codebase niet.

Wordt ons bedrijf aanbieder onder de AI-verordening als we een model fijn-afstellen?

Dat kan. Onder de AI-verordening ben je meestal gebruiksverantwoordelijke, maar wie een bestaand model fijn-afstelt of onder eigen merk of naam uitbrengt, kan zelf aanbieder worden, met zwaardere verplichtingen. Beoordeel per project welke rol je hebt voordat je een AI-systeem aanpast of doorlevert, en leg dit vast.

Mag je door AI gegenereerde code zomaar in je product gebruiken?

Niet zonder controle. Gegenereerde code kan lijken op code onder een restrictieve licentie of kwetsbaarheden bevatten. Controleer daarom altijd de licentie- en auteursrechtelijke houdbaarheid en laat de code een code review en tests doorlopen voordat die in een product terechtkomt.

Wat is prompt injection en waarom is het een risico?

Prompt injection is het manipuleren van een AI-systeem via verborgen of kwaadaardige instructies in de input, bijvoorbeeld in een e-mail, webpagina of ticket. Een aanvaller kan zo een chatbot of agent ongewenste opdrachten laten uitvoeren of data laten lekken. Behandel input voor een AI daarom net zo wantrouwig als input voor een database.

Een beleid is stap 1. Maak je team ook aantoonbaar AI-geletterd.

Artikel 4 vraagt niet alleen om afspraken, maar ook dat medewerkers aantoonbaar AI-geletterd zijn. Volg de training "AI voor de ICT & technologie" — in je eigen tempo, met certificaat.

Bekijk de training →Alle branches