Terug naar overzicht
GovernanceComplianceRisicoBeleid

Zonder dit gaat je AI-uitrol mis: de governance-checklist die elke manager in 2026 nodig heeft

·Door
Zonder dit gaat je AI-uitrol mis: de governance-checklist die elke manager in 2026 nodig heeft

Samenvatting: De EU AI Act verplicht organisaties tot AI governance, met boetes tot 35 miljoen euro bij non-compliance. Een goede governance-structuur begint niet met een dikke beleidsnotitie, maar met zeven praktische stappen: van inventariseren wat er al gebruikt wordt tot periodieke monitoring. Dit artikel geeft je de checklist én de context om ermee aan de slag te gaan.

Een medewerker van een zorgorganisatie uploadt een geanonimiseerd patiëntendossier naar ChatGPT om de ontslagbrief sneller te schrijven. Goed bedoeld. Maar de data verlaat de beveiligde omgeving, de organisatie heeft geen zicht op wat er gedeeld is, en er is geen beleid dat de medewerker had kunnen wijzen op de risico's.

Dit is geen hypothetisch scenario. Dit is wat er dagelijks gebeurt in organisaties die AI hebben "uitgerold" zonder nagedacht te hebben over governance.

Governance is geen compliance-document

De meeste mensen haken af bij het woord governance. Het klinkt naar formulieren, juridisch taalgebruik en eindeloze vergaderingen. Maar governance is in de kern iets simpels: zorgen dat je weet wat er in je organisatie met AI gebeurt, en dat je afspraken hebt gemaakt over hoe het veilig en verantwoord kan.

Dat hoeft niet ingewikkeld te zijn. Het begint met zeven stappen.

Stap 1: Weet wat er al gebruikt wordt

Voordat je beleid maakt, moet je weten wat er speelt. De werkelijkheid in de meeste organisaties: er wordt al volop AI gebruikt, maar niemand heeft er een overzicht van. ChatGPT-abonnementen op privékaarten, Copilot in Microsoft 365, tools die afdelingen zelf hebben aangeschaft zonder dat IT het weet.

Begin met een korte inventarisatie per afdeling. Welke tools gebruik je? Voor welke taken? Wat gaat erin? Dit hoeft geen formele audit te zijn — een simpele vragenronde levert al verrassend inzicht op.

Stap 2: Classificeer op risico

Niet elke AI-toepassing is even risicovol. De EU AI Act maakt hierin onderscheid: van volledig verboden toepassingen (zoals systemen die gedrag manipuleren) tot hoog-risico (HR-selectie, kredietbeoordeling) en laag-risico (tekst genereren, samenvattingen maken).

Voor de meeste organisaties zijn de hoog-risico toepassingen het kritiekst om te identificeren. Als je AI gebruikt bij wervings- en selectiebeslissingen, prestatiebeoordeling of klantscoring, gelden strenge eisen. Weet je dat van je eigen tools?

Stap 3: Maak het beleid werkbaar, niet perfect

Een AI-gebruiksbeleid hoeft geen juridisch meesterwerk te zijn. De meest effectieve versies die ik heb gezien zijn één of twee A4's met heldere antwoorden op drie vragen: welke tools zijn goedgekeurd, welke data mag erin, en wat doe je als er iets misgaat?

Voeg daarbij een eenvoudige dataclassificatie toe — openbaar, intern, vertrouwelijk, strikt geheim — en geef per categorie aan wat er wel en niet naar externe AI-tools mag. Dat dekt tachtig procent van de risico's af.

Stap 4: Technische maatregelen die wél werken

Lange lijsten met beveiligingsvereisten worden zelden volledig geïmplementeerd. Focus op de basis: zorg dat alle door de organisatie goedgekeurde AI-tools via SSO lopen, zodat je zicht hebt op wie er inlogt. Stel Data Loss Prevention-regels in waar je kunt. En zorg dat er logging is — niet voor surveillance, maar zodat je bij een incident kunt reconstrueren wat er is gebeurd.

Stap 5: Wijs een eigenaar aan

"Iedereen is verantwoordelijk voor AI-veiligheid" betekent in de praktijk: niemand. Wijs één persoon aan die het overzicht houdt. Dat kan de CISO zijn, de Privacy Officer, of iemand die je aanstelt als AI-coördinator. Die persoon houdt de inventarisatie bij, reviewt nieuwe tools en is het aanspreekpunt bij incidenten.

Stap 6: Train iedereen, maar houd het kort

Een jaarlijkse online training van twintig minuten is genoeg als het goed ingericht is. Medewerkers hoeven geen AI-experts te worden. Ze moeten weten: welke tools mag ik gebruiken, wat gaat er niet in, en bij wie ga ik naartoe als ik twijfel?

Praktijkgericht, concreet, zonder overbodige theorie. Dat beklijft.

Stap 7: Monitor en pas aan

Governance is geen eenmalige sprint. Elk kwartaal een korte shadow AI-scan — checken of er nieuwe tools zijn bijgekomen zonder dat iemand het wist. Elk half jaar het beleid opnieuw bekijken: past het nog bij de tools en risico's van nu? En bij hoog-risico toepassingen: overweeg jaarlijkse externe toetsing.

Waar te beginnen

De meeste organisaties die ik spreek, weten dat dit moet. De drempel is het opstarten. Ons advies: begin met de inventarisatie en de toolclassificatie. Die twee stappen kosten een week werk en leveren al een helder beeld van waar je staat.

Vanaf dat beeld kun je prioriteren wat urgent is en wat kan wachten.

Wil je weten hoe jouw organisatie er nu voor staat? Plan een governance quick scan — een uur, geen verplichtingen, wel een helder beeld.

Dit artikel is onderdeel van onze governance serie. Lees ook: Een intern AI-kenniscentrum opzetten in 90 dagen

Hulp nodig met dit onderwerp?

Onze experts helpen u graag verder met de implementatie.

Neem Contact Op