Aanvaardbaar AI-gebruik op het werk: een praktisch beleid voor KMO's
Tools met artificiële intelligentie (AI) zijn stilletjes de meeste werkplekken binnengeslopen. Medewerkers plakken klantmails in AI-chatbots, vatten contracten samen en stellen offertes op, vaak zonder dat iemand besliste of dat aanvaardbaar is. Deze gids geeft zaakvoerders van kleine en middelgrote ondernemingen (KMO's) een praktische aanpak in vijf stappen om de regels vast te leggen zonder de tools te verbieden.
Wat is schaduw-AI, en waarom het ertoe doet
Schaduw-AI is het gebruik van AI-tools die je bedrijf nooit goedkeurde. Een medewerker plakt een klantcontract in een gratis AI-chatbot om het samen te vatten, of laadt een spreadsheet met klantgegevens op voor een snelle analyse. Het werk gaat sneller vooruit. Het probleem is wat er met de data gebeurt.
- ! Data verlaat je controle. Zodra tekst in een externe tool getypt is, beslis jij niet meer waar ze opgeslagen wordt, wie ze kan lezen, of of ze gebruikt wordt om andermans model te trainen.
- ! Vertrouwelijkheidsbeloften breken. Je contracten met klanten beloven hun informatie vertrouwelijk te houden. Die beloften bevatten zelden een uitzondering voor AI-chatbots.
- ! GDPR-risico. Persoonsgegevens van klanten in een tool zonder verwerkersovereenkomst is een verwerking onder de Algemene Verordening Gegevensbescherming (GDPR) waarvoor je geen verantwoording kunt afleggen. Als een klant of de toezichthouder vraagt waar hun data naartoe ging, is "we weten het niet" geen antwoord.
- ! Klantvertrouwen. Steeds meer klanten vragen hun leveranciers hoe data behandeld wordt. "We weten niet welke AI-tools ons personeel gebruikt" kost deals.
Er is ook een beveiligingskant. Medewerkers die gewoon zijn instructies van tools en webpagina's te volgen zonder vragen te stellen, zijn makkelijker te manipuleren. De inbraak bij de Nederlandse gemeente Epe (onderzoek gepubliceerd op 5 juni 2026, Security.NL) begon met een zogenaamde ClickFix-lokker: een medewerker werd misleid om een commando te plakken dat de aanvallers hun eerste toegang gaf. Heldere regels over welke tools te vertrouwen, en welke instructies nooit te volgen, beschermen tegen meer dan datalekken.
Een praktische aanpak in 5 stappen
Je hebt geen werkgroep of document van 40 pagina's nodig. Vijf stappen, elk klein genoeg om binnen een week af te ronden:
1. Inventariseer welke AI-tools medewerkers echt gebruiken
Vraag het, ga niet politie spelen. Een korte anonieme bevraging werkt: "Welke AI-tools gebruik je voor je werk, en waarvoor?" Het doel is een echt beeld, geen bestraffing. Verwacht meer tools dan je dacht.
2. Classificeer welke data nooit in externe AI-tools mag
Houd het concreet: persoonsgegevens van klanten, financiële gegevens, wachtwoorden en toegangssleutels, bedrijfsgeheimen, en alles onder een geheimhoudingsovereenkomst. Heb je al een dataclassificatie voor compliancewerk, hergebruik die.
3. Keur een korte lijst van tools goed
Kies een klein aantal tools die de echte noden uit stap 1 dekken. Controleer hun voorwaarden: wordt je invoer gebruikt voor training? Waar wordt ze opgeslagen? Zijn er zakelijke accounts met beheerderscontrole? Zeg dan een duidelijke ja tegen die tools.
4. Schrijf een gebruiksbeleid van één pagina
Eén pagina die zegt welke tools toegelaten zijn, welke data verboden is, wie AI-gegenereerde content labelt, en bij wie je terechtkunt bij twijfel. De volgende sectie geeft je de structuur.
5. Train en herbekijk elk kwartaal
Vijftien minuten in een teamvergadering volstaat: toon het beleid, toon één realistisch voorbeeld van wat er misloopt, beantwoord vragen. AI-tools en regels veranderen snel; herbekijk de toollijst en het beleid elk kwartaal.
Wat hoort in het beleid van één pagina
Eén pagina volstaat, en één pagina wordt gelezen. Vier elementen:
- Toegelaten tools. Benoem de goedgekeurde tools en vereis zakelijke accounts, geen privéaccounts. Alles wat niet op de lijst staat, vraagt eerst goedkeuring.
- Verboden datacategorieën. Lijst op wat nooit in een externe AI-tool gaat, met voorbeelden die je medewerkers herkennen: klantnamen en adressen, loongegevens, wachtwoorden, contractvoorwaarden.
- Labelplichten. Vanaf 2 augustus 2026 vereist artikel 50 van de EU AI Act onder meer dat deepfakes en AI-gegenereerde tekst over zaken van algemeen belang duidelijk gelabeld worden, en dat chatbots als chatbot herkenbaar zijn. Wijs één persoon aan die dit controleert voor iets AI-gegenereerd gepubliceerd wordt.
- Bij wie kun je terecht. Benoem één persoon voor de vraag "mag ik deze tool gebruiken, met deze data?" Twijfelen moet goedkoop zijn; een snel antwoord voorkomt stille omwegen.
Voor het labelonderdeel legt onze gids AI-gegenereerde content: de Europese labelregels uitgelegd precies uit wat gelabeld moet worden, door wie, en vanaf wanneer.
De MSP-invalshoek: bied dit aan als deliverable
Ben je een managed service provider (MSP), dan is het AI-gebruiksbeleid een natuurlijke aanvulling op je dienstencatalogus. Het sluit rechtstreeks aan op de informatieclassificatie- en beleidscontroles die je al beheert voor complianceframeworks, dus de meeste bouwstenen bestaan al:
- → Hergebruik de bestaande dataclassificatie van de klant voor de lijst met verboden data. Is er geen, dan is dit beleid de reden om er één te maken.
- → Bundel het beleid met de security awareness training die je al levert; schaduw-AI past natuurlijk naast phishing.
- → De kwartaalreview past in het serviceritme dat je al draait voor patching en toegangscontroles.
- → Vanaf 2 augustus 2026 zullen je klanten sowieso vragen stellen over het labelen van AI-content. Binnenkomen met een afgewerkt beleid van één pagina beantwoordt de vraag voor ze gesteld wordt.
FAQ
Kunnen we AI-tools niet gewoon verbieden?
Een verbod is de snelste weg naar meer schaduw-AI, niet minder. Medewerkers gebruiken deze tools omdat ze tijd besparen; verbied ze en het gebruik verhuist naar privételefoons en privéaccounts waar je nul zicht op hebt. Een shortlist goedkeuren met heldere regels behoudt de productiviteit en haalt het grootste risico weg.
Is klantdata in een AI-chatbot plakken een GDPR-probleem?
Dat kan het zijn. Persoonsgegevens van klanten in een externe tool invoeren is een verwerking onder de GDPR, en zonder verwerkersovereenkomst met de toolleverancier kun je daar geen verantwoording voor afleggen. De praktische regel: behandel persoonsgegevens van klanten als verboden in AI-tools, tenzij de tool contractueel gedekt is, bijvoorbeeld via een goedgekeurd zakelijk account.
Wat verandert er op 2 augustus 2026?
De transparantieverplichtingen van artikel 50 van de EU AI Act gelden vanaf die datum. Chatbots moeten herkenbaar zijn als chatbot, aanbieders van AI-tools moeten AI-gegenereerde content machineleesbaar markeren, en bedrijven die deepfakes of AI-gegenereerde tekst over zaken van algemeen belang publiceren, moeten die duidelijk labelen. De Europese Commissie publiceerde op 10 juni 2026 een vrijwillige gedragscode die beschrijft hoe je dat in de praktijk doet.
Hoe lang moet het beleid zijn?
Eén pagina. Een beleid dat niemand leest, beschermt niemand. Toegelaten tools, verboden data, labelplicht, één contactpersoon. Heeft je bedrijf ongewone risico's, zet de details dan in een bijlage en houd de pagina zelf kort.
Verder lezen
-
AI-gegenereerde content: de Europese labelregels uitgelegd →
De labelplicht uit je beleid, uitgediept: wat artikel 50 van de EU AI Act vereist vanaf 2 augustus 2026, en op wie het van toepassing is.
-
Waarom AI alleen geen volledige NIS2 / CyFun-compliance haalt →
De andere kant van AI op het werk: wat AI-tooling wel en niet kan voor je complianceprogramma.
-
AI-gedreven cyberdreigingen: wat KMO's moeten weten →
Hoe aanvallers AI tegen jou gebruiken: phishing, deepfake-fraude, en de verdedigingen die nog werken.