AI-governance en beleid: wat hoort er minimaal in een AI-policy?

Beleid bestaat om beslissingen lichter te maken

Een goed AI-policy maakt elke individuele beslissing eenvoudiger, niet ingewikkelder. Het beschrijft welk AI-gebruik standaard mag, welk niet, en wie waarover gaat als er twijfel is. Wie elke vraag opnieuw moet bespreken in een AI-stuurgroep heeft geen beleid, maar een vergadering.

De wet (AVG, AI-act, sectorspecifieke kaders) bepaalt een deel, maar het meeste werk zit in de organisatie-eigen keuzes: welke data deel je met welke leverancier, wie tekent het contract, wie meldt incidenten, en hoe leg je verantwoording af aan accountant of raad.

Wat minimaal in een AI-policy hoort

Een werkbaar beleidsdocument heeft niet veel meer dan tien tot vijftien pagina's nodig. Het moet helder zijn voor een willekeurige medewerker, niet een onleesbaar compromis tussen jurist, CIO en CFO. Wat erin moet staan:

• Scope: welke AI-toepassingen vallen onder dit beleid (generatieve tools, agentic platforms, embedded copilots in SaaS).
• Toegestane en verboden datacategorieën, met expliciete uitspraken over BSN, medische data, salaris en commercieel gevoelige info.
• Rollen: wie is owner van AI-beleid, wie is CISO, wie is DPO, wie is procesowner.
• Inkoopproces: welke checks vooraf, welke contractclausules verplicht (DPA, data residency, no-training), wie tekent.
• Acceptatiecriteria voor productie: audit trail, observability, mens-in-de-loop-regels.
• Incident- en escalatieproces, inclusief wie wanneer wordt geïnformeerd.
• Verantwoording: wat zit er in de jaarlijkse review, wie krijgt rapportage.

Rollen: niet één bestuurder, en niet zes

Een veel voorkomende fout is AI beleggen bij één persoon (de CIO of de CFO) of het juist verdelen over een stuurgroep van zes. Beter is een driehoek: CISO voor security en data, DPO voor privacy en compliance, en een operationele AI-owner (vaak een directielid met digitale portefeuille) die kan beslissen. Procesowners houden eigenaarschap over hun specifieke toepassing, niet over het beleid.

Aansluiting op AVG en AI-act

Voor de AVG sluit je aan op je bestaande DPIA-proces: elke nieuwe AI-toepassing krijgt een korte impactassessment, met bewaartermijnen, verwerkingsdoelen en rechtsgronden. Voor de AI-act bepaal je per toepassing in welke risicocategorie hij valt (minimaal, beperkt, hoog of verboden) en wat dat betekent voor documentatie, transparantie en menselijk toezicht.

Incidenten en lessen leren

Een policy zonder duidelijk incidentproces is een document zonder gebruikers. Beschrijf wat een incident is (een hallucinatie die de deur uit ging, een data-leak via een prompt, een onverwachte modeluitkomst die financiële impact had), wie het meldt, hoe snel, en hoe de lessen terugkomen in beleid en in trainingen. Een kwartaalrapportage richting bestuur is voor de meeste organisaties voldoende.

Hoe je begint zonder te verzanden in vergaderen

Begin met een eerste versie van vijf pagina's, schrijfsessie van een halve dag tussen DPO, CISO en de AI-owner. Toets die versie aan drie concrete cases die binnen je organisatie spelen. De tekortkomingen die daaruit komen leiden tot de echte versie. Plan een Quick Scan als je wilt sparren over welke kaders in jouw situatie het meeste werk uit handen nemen.