AI governance voor MKB: praktisch beleid, rollen en controles
Praktische gids over AI governance voor MKB-bedrijven: rollen, controls, databeleid en een 10-punten checklist om AI verantwoord in te zetten conform de EU AI Act.
AI governance is het geheel van spelregels, rollen en controles waarmee jouw bedrijf AI verantwoord inzet. Leer welke rollen je nodig hebt, hoe je controls inricht en gebruik onze 10-punten checklist.
AI governance is het geheel van spelregels, rollen en controles waarmee jouw bedrijf AI verantwoord inzet. Voor MKB-bedrijven betekent dit: bepalen wie welke AI-tools mag gebruiken, wat er met bedrijfsdata gebeurt, en hoe je risico's bijhoudt. Met de EU AI Act per augustus 2026 volledig van kracht is een basisbeleid geen optie meer, maar een noodzaak.
Wat is AI governance? (in 2 minuten)
AI governance klinkt ingewikkeld, maar het is in de kern heel eenvoudig: het zijn de afspraken die je maakt over hoe AI in jouw bedrijf wordt gebruikt.
Denk aan een personeelshandboek — maar dan voor AI-tools. In dat handboek staat:
- Welke tools jouw medewerkers mogen gebruiken (ChatGPT, Copilot, een sectorspecifieke AI)
- Wat ze er wél en níet in mogen zetten (klantdata? bedrijfsgevoelige informatie?)
- Wie verantwoordelijk is als er iets fout gaat
Zonder dit beleid gebruiken medewerkers AI op eigen houtje, soms met klantgegevens in publieke systemen — een risico voor je reputatie en juridisch een probleem.
Waarom het nu urgent is: Per augustus 2026 is de EU AI Act volledig van kracht. Bedrijven die hoog-risico AI inzetten zonder documentatie riskeren boetes tot €35 miljoen of 7% van de wereldwijde omzet. Ook kleinere bedrijven kunnen blootstaan aan AVG-risico's als medewerkers ongecontroleerd persoonsgegevens in publieke AI-systemen zetten.
Rollen: wie doet wat in AI governance?
In een MKB-bedrijf hoef je geen apart AI-departement te bouwen. Vier rollen zijn voldoende:
AI-eigenaar (Owner)
Dit is de directeur of eindverantwoordelijke. Hij of zij neemt de beslissing: welke AI-tools worden ingekocht, wat is het overall beleid, en wat mag écht niet?
AI-beheerder (Steward)
Vaak de IT-manager of een operationeel manager. De steward zorgt dat het beleid wordt uitgevoerd: toegangsbeheer, review van welke tools actief zijn, en bijhouden of er incidenten zijn.
Security-verantwoordelijke
Bewaakt dataveiligheid: worden er geen klantgegevens in publieke AI-systemen ingevoerd? Zijn de API-verbindingen beveiligd? In een kleiner bedrijf kan dit dezelfde persoon zijn als de IT-beheerder.
Legal/compliance-contact
Iemand die de EU AI Act-verplichtingen bijhoudt. Dit hoeft geen fulltime jurist te zijn — een externe adviseur of een getrainde manager volstaat prima.
Praktijkvoorbeeld: Een transportbedrijf in Utrecht (35 medewerkers) heeft de directeur als AI-eigenaar, de IT-manager als steward én security-verantwoordelijke, en schakelt een externe juridisch adviseur in voor compliance. Dat volstaat voor de meeste MKB-bedrijven.
Controls: approval flows, logging en databeleid
AI governance draait om drie concrete controles die je relatief snel kunt inregelen:
1. Approval flow: wie mag welke AI gebruiken?
Maak een eenvoudige goedkeuringslijst: welke AI-tools zijn goedgekeurd (en voor welke afdeling), welke staan op de grijze lijst (mogen alleen met toestemming), en welke zijn verboden?
Voorbeeld voor een retailbedrijf:
- ✅ Goedgekeurd: Microsoft Copilot (gekoppeld aan jouw Microsoft 365-tenant)
- ⚠️ Grijze lijst: ChatGPT gratis versie (alleen voor niet-gevoelige taken zoals teksten controleren)
- ❌ Verboden: Klantgegevens, ordernummers of factuurdata invoeren in publieke AI-systemen
2. Logging: wat wordt bijgehouden?
Je hoeft niet elke prompt op te slaan, maar minimaal bijhouden:
- Welke AI-tools worden gebruikt per afdeling of team
- Wanneer er een incident is geweest (fout antwoord, datalek, ongewenst AI-gedrag)
- Welke grote beslissingen zijn genomen op basis van AI-uitvoer
Dit helpt bij interne audits en bij de documentatieplicht onder de EU AI Act.
3. Databeleid: wat mag erin, wat niet?
De meest gestelde vraag bij medewerkers: "Mag ik klantgegevens in ChatGPT zetten?" Het antwoord is bijna altijd nee — tenzij je een zakelijk contract hebt met de AI-provider en de verwerkersovereenkomst klopt.
Zet dit zwart op wit in twee regels:
- Persoonlijke data, klantinformatie en bedrijfsgeheimen gaan nooit in publieke AI-tools
- Voor gevoelige taken gebruik je alleen goedgekeurde tools met een getekende verwerkersovereenkomst
10-punten checklist AI governance voor MKB
Hier is een directe checklist die je vandaag kunt invullen:
- ☐ Stel een AI-eigenaar aan (eindverantwoordelijk)
- ☐ Wijs een AI-steward/beheerder aan
- ☐ Maak een lijst van goedgekeurde, grijze en verboden AI-tools
- ☐ Schrijf in 1–2 pagina's wat medewerkers wel en niet mogen met AI
- ☐ Bepaal welke data nooit in publieke AI-systemen mag
- ☐ Controleer of je verwerkersovereenkomsten hebt met AI-aanbieders
- ☐ Richt een eenvoudige incidentmelding in (e-mail of formulier)
- ☐ Train medewerkers in de basisregels (een sessie van 30 minuten volstaat)
- ☐ Plan een halfjaarlijkse review van het beleid
- ☐ Documenteer welke AI-systemen als "hoog risico" worden aangemerkt (EU AI Act-plicht)
Wil je een kant-en-klaar Word-template met dit beleid? Neem contact op via connect@unify-ai.nl — we sturen je een gratis template toe.
Wanneer is AI governance relevant voor jou?
AI governance is relevant als jouw bedrijf:
- Al AI-tools gebruikt (ChatGPT, Copilot, sector-specifieke AI)
- Klantgegevens of persoonsgegevens verwerkt
- Meer dan 10 medewerkers heeft die regelmatig AI gebruiken
- Onder de EU AI Act valt (verplicht voor hoog-risico AI, maar goed beleid helpt iedereen)
Het is (nog) niet urgent voor jou als je AI helemaal niet gebruikt en ook niet van plan bent dat te doen. Maar in de praktijk gebruikt bijna elke medewerker vandaag al AI — via hun telefoon, browser of Office-pakket. De kans dat jouw bedrijf géén AI gebruikt, is kleiner dan je denkt.
Veelgestelde vragen
Wat is AI governance precies?
AI governance is het geheel van afspraken, rollen en controles dat bepaalt hoe jouw bedrijf AI inzet. Het omvat wie welke tools mag gebruiken, hoe data beschermd wordt, en wie verantwoordelijk is bij problemen. Denk aan een AI-versie van je personeelshandboek.
Is AI governance verplicht voor MKB?
Niet elk MKB-bedrijf heeft een formele verplichting, maar de EU AI Act (volledig van kracht per augustus 2026) verplicht bedrijven die hoog-risico AI inzetten wel tot documentatie en controles. Een basisbeleid is hoe dan ook verstandig — het beschermt je medewerkers, je klanten en je reputatie.
Hoe lang duurt het om een AI-beleid op te stellen?
Een basisbeleidsdocument voor een MKB-bedrijf kost typisch 1 tot 2 werkdagen. Met een goed template kun je in een middag een werkend beleid hebben dat past bij jouw organisatiegrootte.
Wat zijn de boetes als ik geen AI-beleid heb?
De EU AI Act heeft boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen (hoog-risico AI zonder documentatie). Onbeheerste AI-toepassingen kunnen ook leiden tot AVG-boetes als persoonsgegevens in publieke systemen belanden.
Heeft mijn bedrijf een AI-jurist nodig?
Nee, in de meeste gevallen niet. Een praktisch beleid, duidelijke rollen en gezond verstand zijn voor de meeste MKB-bedrijven voldoende. Voor specifieke vragen rond de EU AI Act kun je een externe adviseur een paar uur inschakelen — betaalbaar en effectief.