AI-beleid opstellen voor je MKB: wat moeten medewerkers wel en niet doen?

AI-beleid opstellen voor je MKB: wat moeten medewerkers wel en niet doen?

Een AI-beleid voor je MKB is geen luxe meer, het is een noodzaak. Medewerkers gebruiken ChatGPT, Claude of Gemini al, of ze het je vertellen of niet. Zonder duidelijke AI richtlijnen voor je bedrijf loop je risico op datalekken, kwaliteitsproblemen en aansprakelijkheidsvragen. Dit artikel legt stap voor stap uit hoe je een werkbaar AI gebruik beleid opstelt dat medewerkers begrijpen en daadwerkelijk volgen. Je leert welke onderdelen niet mogen ontbreken, hoe je verantwoordelijkheden belegt en welke tools je wel of niet goedkeurt. Aan het einde vind je een basisstructuur die je direct kunt gebruiken als startpunt voor je eigen AI policy.

Waarom je nu een AI-beleid MKB nodig hebt

De realiteit in de meeste MKB-bedrijven is dat AI-gebruik al volop plaatsvindt, maar zonder enige afspraak. Een medewerker op de marketingafdeling typt klantgegevens in ChatGPT om een e-mail te laten herschrijven. Een accountmanager plakt een offertetekst in Gemini voor een snelle samenvatting. Niemand heeft dat verboden, maar niemand heeft het ook goedgekeurd.

Dat is precies de grijze zone waar problemen ontstaan. Vertrouwelijke klantinformatie belandt op servers van externe partijen. Gegenereerde teksten gaan de deur uit zonder menselijke controle. En als er iets misgaat, is onduidelijk wie daarvoor verantwoordelijk is.

De AVG maakt dit extra urgent. Persoonsgegevens mogen niet zomaar worden gedeeld met externe AI-diensten, zeker niet zonder verwerkersovereenkomst. Voor bedrijven in sectoren als juridisch advies, zorg of financiën gelden bovendien aanvullende regels. Een helder AI governance framework is dus niet alleen een intern document, het is ook juridische bescherming.

De bouwstenen van een werkbaar AI gebruik beleid

Een goed AI beleid voor MKB-bedrijven is geen dikke handleiding die niemand leest. Het is een beknopt, praktisch document dat medewerkers in vijf minuten kunnen begrijpen. De volgende onderdelen horen er altijd in.

Doelstelling en toepassingsgebied

Begin met een korte uitleg waarom het beleid er is en voor wie het geldt. Is het alleen voor kantoorpersoneel, of ook voor mensen in de buitendienst? Geldt het ook voor freelancers en zzp'ers die voor je werken? Wees hier expliciet over. Onduidelijkheid over toepassingsgebied is de meest voorkomende oorzaak van niet-naleving.

Goedgekeurde en niet-goedgekeurde tools

Stel een lijst op van AI-tools die medewerkers mogen gebruiken. Denk aan tools als Microsoft Copilot (die binnen de Microsoft 365-omgeving blijft), de zakelijke versie van ChatGPT via OpenAI for Business, of Claude via de Teams-variant van Anthropic. Dit zijn platforms waarbij je als bedrijf een overeenkomst aangaat en waarbij gegevens niet worden gebruikt voor modeltraining.

Gratis consumentenversies van diezelfde tools, zoals de gratis ChatGPT-app zonder zakelijk account, staan in een andere categorie. Daar worden invoergegevens mogelijk wel gebruikt voor verbetering van het model, afhankelijk van de instellingen en gebruiksvoorwaarden. Maak dit onderscheid helder in je beleid en leg uit waarom.

Naast LLM-tools zijn er ook workflow-automatiseringsplatformen zoals n8n of Make. Bepaal of medewerkers die zelfstandig mogen inzetten of dat dit altijd via IT of een externe partner loopt.

Datadeling: wat mag wel en wat niet

Dit is het meest kritische onderdeel van je AI richtlijnen. Maak een duidelijk onderscheid tussen drie categorieën informatie:

• Openbare of niet-gevoelige informatie, zoals het herschrijven van een algemene blogtekst of het samenvatten van een nieuwsartikel. Dit mag vrijwel altijd.
• Interne bedrijfsinformatie, zoals strategische plannen, personeelsdossiers of financiële prognoses. Dit mag alleen in goedgekeurde, beveiligde omgevingen.
• Klant- en persoonsgegevens. Dit mag nooit zonder expliciete toestemming, verwerkersovereenkomst en goedkeuring van de verantwoordelijke.

Schrijf dit niet als een juridische tekst, maar als concrete voorbeelden. "Typ geen namen, e-mailadressen of klantnummers in een AI-tool tenzij je de zakelijke versie gebruikt en hiervoor toestemming hebt" is veel duidelijker dan een abstracte regel over persoonsgegevens.

Verantwoordelijkheid en menselijk toezicht

Een belangrijk principe in elk AI gebruik beleid is dat de medewerker eindverantwoordelijk blijft voor wat er de deur uitgaat. AI genereert output, maar een mens beoordeelt, corrigeert en keurt goed. Leg dit expliciet vast.

Dat betekent ook dat medewerkers moeten weten wanneer ze AI-gegenereerde content moeten controleren op feitelijke juistheid. GPT-4o, Claude of Gemini kunnen overtuigend klinken maar toch fouten bevatten. Zeker bij juridische teksten, medische informatie of financiële adviezen is menselijke controle geen optie maar een verplichting.

Rapportage en incidentafhandeling

Wat doet een medewerker als hij of zij per ongeluk toch gevoelige data heeft ingevoerd in een niet-goedgekeurde tool? Zorg dat er een duidelijk meldpunt is en dat medewerkers weten dat melden zonder angst voor straf kan. Incidenten die niet worden gemeld, kunnen niet worden opgelost.

Hoe je draagvlak creëert voor je AI policy

Een beleid dat van bovenaf wordt opgelegd zonder uitleg, werkt niet. Medewerkers die niet begrijpen waarom bepaalde regels gelden, omzeilen ze. Besteed daarom tijd aan communicatie.

Organiseer een korte sessie van dertig tot zestig minuten waarin je het beleid toelicht. Leg de nadruk op wat medewerkers wel mogen doen, niet alleen op verboden. AI is een hulpmiddel dat hen tijd bespaart en werk makkelijker maakt, en het beleid is er om dat veilig te laten gebeuren.

Wijs per afdeling of team een aanspreekpunt aan voor AI-vragen. Dat hoeft geen technisch expert te zijn, maar wel iemand die het beleid kent en collega's kan begeleiden. In grotere MKB-bedrijven kun je denken aan een informele AI-ambassadeur per team.

Een basisstructuur voor je AI-beleid

Gebruik de volgende structuur als startpunt voor je eigen document. Pas het aan op de specifieke situatie van jouw bedrijf.

1. Doel van dit beleid Kort en bondig: waarom bestaat dit document en wat wil je ermee bereiken.

2. Voor wie geldt dit Alle medewerkers, inclusief tijdelijke krachten en externe partners die toegang hebben tot bedrijfssystemen.

3. Goedgekeurde AI-tools Lijst van tools met korte toelichting per tool en eventuele gebruiksvoorwaarden.

4. Regels voor datadeling Drie categorieën: vrij te gebruiken, beperkt gebruik, nooit invoeren. Met concrete voorbeelden per categorie.

5. Verantwoordelijkheid Wie is verantwoordelijk voor AI-output, hoe wordt kwaliteit geborgd en wie keurt goed.

6. Melden van incidenten Hoe en bij wie een medewerker een incident meldt, en wat er daarna gebeurt.

7. Evaluatie Wanneer wordt het beleid herzien, minimaal één keer per jaar gezien de snelheid waarmee AI-tools zich ontwikkelen.

AI governance MKB: een levend document

Een AI policy opstellen is geen eenmalige actie. De tools veranderen snel, de regelgeving rondom AI in de EU ontwikkelt zich verder met de AI Act, en het gebruik binnen je bedrijf groeit. Plan daarom elk kwartaal een korte review in om te kijken of het beleid nog actueel is.

Betrek medewerkers bij die reviews. Zij zijn degenen die dagelijks met de tools werken en weten als eerste waar de knelpunten zitten. Dat maakt je AI governance niet alleen beter, maar ook breder gedragen.

Een sterk AI beleid voor je MKB geeft medewerkers de vrijheid om AI effectief te gebruiken, binnen kaders die het bedrijf beschermen. Dat is de balans die je zoekt: niet zo streng dat niemand iets doet, niet zo los dat je risico loopt.

Wil je hulp bij het opstellen van een AI-beleid dat past bij jouw bedrijf en sector? Bij 5C Agency begeleiden we MKB-ondernemers bij de volledige implementatie van AI, van beleid tot automatisering. Plan een gratis discovery call via 5cagency.nl en ontdek wat er in jouw organisatie mogelijk is.