AI Compliance Stappenplan voor Organisaties

Stap voor stap voldoen aan de AI Act. Praktisch stappenplan voor MKB en grotere organisaties. Van risicoanalyse tot AI-beleid en training.

AI compliance stappenplan voor organisaties

Dit AI compliance stappenplan vertaalt de verplichtingen uit de EU AI Act naar vijf concrete stappen die elke organisatie kan doorlopen (van inventarisatie tot doorlopende evaluatie) zonder juridische afdeling of groot budget. Realistische tijdsinschattingen zijn onderdeel van elke stap.

Snel antwoord: AI compliance betekent dat uw organisatie voldoet aan de eisen van de EU AI Act. Dat vraagt minimaal: een inventarisatie van welke AI-systemen u gebruikt, een risicoanalyse, een intern AI-beleid, training van medewerkers en periodieke documentatie. Voor een MKB van 50 medewerkers kost dat doorgaans 2 tot 4 weken werk.

Inhoudsopgave
  1. Stap 1: Breng uw AI-gebruik in kaart
  2. Stap 2: Voer een risicoanalyse uit
  3. Stap 3: Stel een AI-beleid op
  4. Stap 4: Train uw medewerkers
  5. Stap 5: Documenteer en evalueer
  6. Aan de slag
  7. Veelgestelde vragen

1 Breng uw AI-gebruik in kaart 1–3 dagen

Veel organisaties zijn verrast hoeveel AI al in gebruik is voordat ze bewust beleid voeren. Medewerkers gebruiken ChatGPT (gratis versie), Copilot in Word of Teams, Grammarly, automatische samenvattingen in vergadersoftware, of AI-functies in CRM-systemen. Sommige tools zijn aangeschaft door de IT-afdeling; andere gebruikt iemand op eigen initiatief op een privé-account.

Begin met een inventarisatie. Stuur een korte vragenlijst uit naar teamleiders of medewerkers met drie vragen:

  1. Welke AI-tools gebruik je in je dagelijks werk?
  2. Gebruik je tools waarvoor de organisatie geen licentie heeft?
  3. Welke beslissingen of documenten maak je (deels) met AI?

Noteer per tool: naam, aanbieder, doel, wie het gebruikt en of het persoonsgegevens of vertrouwelijke informatie verwerkt. Een eenvoudige spreadsheet volstaat in dit stadium. De uitkomst hoeft niet perfect te zijn, volledigheid groeit gaandeweg.

Let specifiek op niet-goedgekeurde tools. Als medewerkers de gratis versie van ChatGPT gebruiken zonder zakelijk account, vallen hun invoer en eventuele bedrijfsdata buiten uw controle. Dat is niet per se verboden, maar het vereist bewuste keuzes in het AI-beleid (stap 3).

Meer over de basisconcepten van AI en wat medewerkers zouden moeten begrijpen, leest u op de introductie AI-geletterdheid.

2 Voer een risicoanalyse uit 2–5 dagen

Niet elk AI-systeem vereist dezelfde aanpak. De AI Act werkt met vier risiconiveaus. Uw taak in stap 2 is om elk geïnventariseerd AI-systeem in een categorie te plaatsen.

De vier risicocategorieën

  • Onaanvaardbaar risico: Verboden. Denk aan sociale scoringssystemen of manipulatieve AI. Komt zelden voor in een reguliere MKB-context.
  • Hoog risico: Systemen die invloed hebben op werk, opleiding, krediet, gezondheidszorg of overheidsbesluiten. Vereist uitgebreide documentatie, menselijk toezicht en conformiteitsbeoordelingen.
  • Beperkt risico: Systemen die interageren met mensen (chatbots, deepfakes). Vereist transparantieplicht: de gebruiker moet weten dat hij met AI te maken heeft.
  • Minimaal risico: De meeste zakelijke AI-tools vallen hier. Geen verplichte maatregelen, maar goed gebruik blijft verstandig.

Voor de meeste MKB-organisaties zullen de meeste tools in de categorie minimaal of beperkt risico vallen. Uitzonderingen zijn AI-gestuurde HR-systemen die sollicitanten beoordelen (hoog risico) of een chatbot op de website die klanten te woord staat (beperkt risico, transparantieplicht).

Een uitgebreide toelichting op de risicoclassificaties en wat ze per categorie vereisen, vindt u op de AI Act uitlegpagina.

Praktisch: risicoanalyse uitvoeren

Voeg aan uw inventarisatiespreadsheet twee kolommen toe: risicocategorie en motivatie. Noteer per systeem op welke gronden u het heeft ingedeeld. Dit is de basis voor uw documentatie later.

3 Stel een AI-beleid op 3–5 dagen

Een AI-beleid hoeft geen juridisch document van twintig pagina's te zijn. Voor de meeste organisaties volstaat een helder, toegankelijk beleidsdocument van drie tot vijf pagina's. Medewerkers moeten het kunnen lezen en begrijpen zonder juridische achtergrond.

Minimale inhoud van een AI-beleid

  • Welke tools zijn toegestaan: een lijst van goedgekeurde AI-tools, met eventuele restricties (bijv. "alleen met zakelijk account").
  • Welke informatie niet mag worden ingevoerd: persoonsgegevens, vertrouwelijke klantinformatie, intern strategisch materiaal.
  • Wie verantwoordelijk is: wie beheert de lijst van goedgekeurde tools, wie handelt meldingen af, wie evalueert het beleid.
  • Hoe medewerkers omgaan met AI-output: wie controleert gegenereerde teksten, rapporten of beslissingsondersteuning voordat ze worden gebruikt.
  • Hoe medewerkers incidenten melden: een eenvoudig meldpunt voor problemen of twijfelgevallen.

Betrek bij het opstellen minimaal iemand van HR, iemand van IT en een eindgebruiker. Een beleid dat alleen door de directie is opgesteld zonder input van de werkvloer wordt zelden nageleefd.

Pas het beleid ook aan op de risicoanalyse: voor hoog-risico systemen zijn aanvullende procedures nodig, zoals een protocol voor menselijke tussenkomst.

4 Train uw medewerkers doorlopend

Artikel 4 van de AI Act verplicht aanbieders en gebruikers van AI om te zorgen dat medewerkers voldoende AI-geletterd zijn voor de taken waarbij ze AI inzetten. Dit is geen aanbeveling maar een wettelijke verplichting. De wet spreekt bewust niet van een éénmalig certificaat: het gaat om een niveau van begrip dat past bij de rol en de risico's van de gebruikte systemen.

Wat training minimaal moet bevatten

  • Hoe de gebruikte AI-tools werken (op hoofdlijnen).
  • Wat de beperkingen zijn: hallucinations, bias, verouderde trainingsdata.
  • Welke regels gelden voor gebruik binnen de organisatie.
  • Hoe medewerkers AI-output kritisch beoordelen.
  • Wat de meldplicht is bij incidenten.

Één cursus is niet genoeg

Een eenmalige e-learning voldoet aan de letter van de wet, maar zelden aan de geest ervan. AI-tools veranderen snel, en medewerkers vergeten wat ze hebben geleerd als ze het niet toepassen. Effectiever is een combinatie van: een kortere introductietraining, periodieke updates bij grote wijzigingen in tools of beleid, en teamoverleg over AI-gebruik in de praktijk.

Zorg ook voor gedifferentieerde training: een medewerker die ChatGPT gebruikt voor tekstopmaak heeft minder diepgaande kennis nodig dan een manager die AI-gegenereerde analyses gebruikt voor besluitvorming.

5 Documenteer en evalueer doorlopend

Compliance is geen eenmalig project maar een terugkerende verantwoordelijkheid. Documentatie en evaluatie zorgen dat uw organisatie up-to-date blijft en aantoonbaar voldoet aan de wet.

Wat u moet documenteren

  • De AI-inventarisatie (bijgewerkt bij nieuwe tools).
  • De risicoanalyse per systeem.
  • Het geldende AI-beleid, inclusief versiehistorie.
  • Bewijs van training: wie, wanneer, welk programma.
  • Voor hoog-risico systemen: bijkomende registers conform de AI Act.

Jaarlijkse evaluatie

Plan minimaal één keer per jaar een evaluatiemoment. Vragen die u daarin beantwoordt: Zijn er nieuwe AI-tools in gebruik genomen? Is het beleid nog actueel? Zijn er incidenten geweest? Is de training bijgehouden? Wat zijn de ervaringen van medewerkers?

Voor organisaties die willen meten hoe hun AI-geletterdheid zich ontwikkelt, biedt de pagina AI-geletterdheid meten concrete instrumenten en aanpakken.

Aan de slag
  1. Stuur deze week een korte vragenlijst uit naar teamleiders: welke AI-tools gebruiken jullie medewerkers, ook privé voor werkdoeleinden?
  2. Maak een spreadsheet met drie kolommen: tool, risicocategorie en verantwoordelijke. Vul die in op basis van uw inventarisatie en de AI Act categorieën.
  3. Plan een werksessie van twee uur met HR, IT en een eindgebruiker om de kern van een AI-beleid vast te leggen. Gebruik de vijf minimumonderdelen uit stap 3 als agenda.

Veelgestelde vragen

Geldt de AI Act voor alle organisaties, ook kleine bedrijven?

Ja, de AI Act geldt voor alle organisaties die AI-systemen gebruiken of aanbieden binnen de EU, ongeacht omvang. De verplichtingen zijn wel proportioneel: kleine organisaties die alleen laag-risico systemen gebruiken, hebben minder documentatieverplichtingen dan organisaties die hoog-risico AI inzetten. Geen enkele organisatie is volledig vrijgesteld.

Hoe lang duurt het implementeren van dit stappenplan?

Voor een MKB van 50 medewerkers dat geen hoog-risico AI gebruikt, is een eerste volledige doorloop realistisch in 2 tot 4 weken. Stap 1 en 2 duren elk 1 tot 3 dagen. Stap 3 (beleid) vraagt gemiddeld een week inclusief afstemming. Training en documentatie zijn daarna doorlopend. De tijdsinvestering per stap staat vermeld in dit stappenplan.

Wat is het risico als we niets doen?

De AI Act kent handhavingsbepalingen met boetes tot 35 miljoen euro of 7% van de wereldwijde omzet voor de zwaarste overtredingen. Voor het niet naleven van verplichtingen voor hoog-risico systemen gelden boetes tot 15 miljoen euro of 3% van de omzet. Handhaving begint gefaseerd, maar de wet is van kracht. Bovendien vergroot non-compliance de kans op reputatieschade bij incidenten. Voor vragen over toezicht op AI-gebruik en de AVG kunt u terecht bij de Autoriteit Persoonsgegevens.

Moeten we voor elke AI-tool aparte documentatie bijhouden?

Niet voor elke tool even uitgebreid. Voor minimaal-risico tools volstaat vermelding in de inventarisatie. Voor hoog-risico systemen schrijft de AI Act gedetailleerdere registers voor, zoals documentatie van testresultaten, conformiteitsbeoordelingen en monitoringprocedures. De meeste MKB-organisaties hebben geen hoog-risico systemen in gebruik.

Wie is er verantwoordelijk voor AI-compliance in een organisatie zonder compliance-afdeling?

De AI Act wijst verantwoordelijkheid toe aan de "deployer", de organisatie die het AI-systeem in gebruik neemt. In de praktijk betekent dit dat de directie eindverantwoordelijkheid draagt. Het dagelijks beheer kunt u beleggen bij een bestaande rol: de IT-manager, HR-manager of een functionaris die al gegevensbescherming beheert. Zorg dat die rol expliciet is belegd en gedocumenteerd.

Bronnen

  1. EU AI Act artikel 4, EUR-Lex: Wettelijke grondslag voor de AI-geletterdheidsplicht per 2 februari 2025
  2. Leidraad algoritmes en AI, Autoriteit Persoonsgegevens: Praktische handreiking voor verantwoord AI-gebruik in organisaties
  3. Mens en Machine, SER: Advies over gevolgen van digitalisering en AI voor werk en organisaties
Lees ook
Neem vandaag nog contact met ons op!

Zorg dat jouw organisatie klaar is voor de AI act!

Contact
AICG AI Consultancy Group

AIGeletterdheid.com maakt onderdeel uit van de AI Consultancy Group (AICG)

Socials
Contact
  • Mail ons
Scroll naar boven