AI Governance· 14 min read· Custos AI

Het ultieme AI-governance framework voor zakelijke teams 2026

AI-governance is het werkende geheel van controles dat aantoont welke AI je bedrijf gebruikt, hoe, en op wiens gezag. Deze gids verbindt NIST AI RMF, ISO/IEC 42001 en de EU AI-verordening tot zeven pilaren die een team van 20 mensen in één week kan invoeren — inclusief een kant-en-klaar beleid dat je in 30 minuten aanpast.

TL;DR

  • Eurostat 2025: 17% van kleine EU-bedrijven gebruikt AI tegenover 55% van grote bedrijven — een adoptiekloof van factor 3
  • MIT NANDA 2025: bij meer dan 90% van bedrijven gebruiken medewerkers persoonlijke AI-tools voor werk, ongeacht officieel beleid
  • De Italiaanse Garante legde OpenAI in december 2024 een boete van €15 miljoen op — AVG-handhaving op AI is geen theorie meer
  • EU AI-verordening Artikel 4 (AI-geletterdheid) is sinds 2 februari 2025 wettelijk verplicht; hoog-risico verplichtingen gelden vanaf 2 augustus 2026, tenzij de Digital Omnibus uitstel verleent
  • Een werkend kader combineert NIST AI RMF + ISO 42001 + EU AI Act tot 7 pilaren, in vijf werkdagen in te voeren

De dinsdag waar elke ondernemer van wakker ligt

Het is een dinsdag in november. Een consultancybedrijf van 28 medewerkers in Eindhoven ontvangt een e-mail van een voormalige klant. Onderwerpregel: "Inzageverzoek op grond van Artikel 15 AVG."

De klant wil precies weten welke persoonsgegevens er zijn verwerkt, door welke systemen, en met welke derden gedeeld. Een standaardverzoek. Het soort waarbij elk bedrijf in Nederland binnen 30 dagen antwoord moet kunnen geven.

Maar de oprichtster beseft iets wat haar ijskoud laat worden: de helft van haar team gebruikt ChatGPT. Twee mensen gebruiken Claude. Eentje gebruikt Perplexity voor klantonderzoek. Geen van die tools heeft een Verwerkersovereenkomst met het bedrijf. Niemand logt welke prompts er zijn verstuurd. Niemand weet of de naam, projectdetails of financiën van de klant ooit in een gratis chatbot zijn geplakt.

Ze heeft 30 dagen om een eerlijk antwoord te schrijven. Ze heeft geen manier om de waarheid te reconstrueren.

Dit is waar AI-governance werkelijk voor dient. Niet een PDF van 40 pagina's in een SharePoint-map. Een werkend stelsel van controles dat ervoor zorgt dat een vraag als deze een echt antwoord heeft.

Als je al drie andere artikelen over AI-governance hebt gelezen, heb je waarschijnlijk te horen gekregen dat je "een cross-functioneel AI-comité moet oprichten" en "uitgebreid beleid moet ontwikkelen." Dat advies klopt — maar het is ook niet bruikbaar voor een bedrijf van 20 mensen zonder compliance-afdeling.

Deze gids is anders. Hij haalt op wat NIST, ISO en de EU AI-verordening werkelijk vereisen, snijdt weg wat voor het MKB niet relevant is, en geeft je een 7-pilaren kader dat je in één week kunt invoeren — plus een kant-en-klaar beleid dat je in 30 minuten aanpast.

Wat is AI-governance eigenlijk?

AI-governance is het geheel van beleid, controles en verantwoordelijkheidsstructuren dat ervoor zorgt dat de AI binnen je bedrijf veilig, rechtmatig, traceerbaar en in lijn is met wat je hebt beloofd.

Dat is de werkdefinitie. De internationale standaarden zeggen in formeler taal ongeveer hetzelfde:

  • ISO/IEC 42001:2023, de eerste internationale standaard voor AI-managementsystemen, beschrijft governance als de gestructureerde manier waarop een organisatie "risico's en kansen die verband houden met AI beheert, waarbij innovatie en governance in balans zijn" via een Plan-Do-Check-Act cyclus.
  • NIST AI Risk Management Framework 1.0 (gepubliceerd januari 2023) beschrijft het als vier onderling verbonden functies: Govern, Map, Measure, Manage — continu toegepast gedurende de gehele levenscyclus van AI-systemen.
  • De EU AI-verordening definieert "governance" niet als één enkel begrip, maar Artikelen 9, 10, 13, 14 en 17 schrijven er in de praktijk één voor: risicobeheersystemen, gegevensbeheer, transparantie, menselijk toezicht en kwaliteitsmanagement.

Governance is geen document. Het is een werkende machine die bewijs produceert.

Als een toezichthouder, een auditor of een klant vraagt "welke AI heb je gebruikt om mijn gegevens te verwerken, en hoe heb je dat gecontroleerd?" — dan is je governance datgene waarmee je eerlijk en snel antwoord kunt geven. Al het andere is decoratie.

Waarom de meeste AI-beleidsplannen mislukken voor de eerste audit

De meeste bedrijven die AI-governance proberen, lopen vast op één van vijf manieren. Herken je eigen patroon hieronder — dat is nuttiger dan een generieke checklist lezen.

Mislukking 1: Het 40-pagina-beleid dat niemand leest. Een consultancybedrijf huurde een advocaat in om een uitgebreid AI-beleid op te stellen. Het behandelde ethiek, bias, gegevensminimalisatie, transparantie, eerlijkheid. Het was 41 pagina's lang. Geen van de 24 medewerkers had meer dan de eerste pagina gelezen. Toen de DPO een audit uitvoerde, was de kloof tussen het beleid en wat mensen werkelijk deden zo groot als de Atlantische Oceaan.

Mislukking 2: Een verbod dat schaduw-AI wordt. Een financieel bedrijf verbood ChatGPT na nieuws over een Samsung-achtig datalek. Binnen drie maanden gebruikte 70% van de medewerkers persoonlijke accounts op persoonlijke telefoons. Het verbod leverde geen compliance op — alleen onzichtbaarheid. Uit een Lenovo-ondernemingsonderzoek uit 2026 blijkt dat 31% van de medewerkers die AI gebruiken geen training ontvangen en volledig buiten het toezicht van IT opereren. Het MIT NANDA-rapport "State of AI in Business 2025" stelde vast dat medewerkers in meer dan 90% van bedrijven regelmatig persoonlijke AI-tools voor werk gebruiken, ongeacht officieel beleid.

Mislukking 3: Leveranciersvragenlijsten als vervanging voor controle. Een bedrijf stuurt een beveiligingsvragenlijst van 200 vragen naar OpenAI, ontvangt die terug, archiveert hem en beschouwt governance als afgerond. De vragenlijst beschrijft wat OpenAI doet. Hij zegt niets over wat jouw salesteam afgelopen donderdag om 23:00 uur in een gratis ChatGPT-account heeft geplakt.

Mislukking 4: Het comité dat elk kwartaal vergadert. Er wordt een "cross-functioneel AI-governance comité" van zeven senior leidinggevenden opgericht. Het vergadert elke drie maanden, bekijkt presentaties en produceert notulen. Werkelijk AI-gebruik verandert wekelijks. Het comité rapporteert altijd over een werkelijkheid die niet meer bestaat.

Mislukking 5: Databeveiliging verwarren met AI-governance. ISO 27001, SOC 2, versleuteling-in-rust, MFA — allemaal goed, maar allemaal onvoldoende. AI introduceert een ander risicooppervlak: wat medewerkers vrijwillig naar een derde-partij-model sturen in een prompt, en wat er als output terugkomt en beslissingen beïnvloedt. Traditionele DLP-tools, die zoeken naar creditcardnummers en BSN-nummers, detecteren een marketingmanager die het productplan voor volgend kwartaal in een chatbot plakt niet.

De eerlijke reden dat beleid mislukt, is dat het geschreven is voor een organisatie die niet bestaat — een met een dedicated AI-risicoofficier, een MLOps-team en budget voor een externe audit. De meeste Nederlandse MKB-bedrijven hebben dat niet. Dus de vraag is: hoe ziet governance eruit voor het bedrijf dat er werkelijk is?

De 7 pilaren: een kader dat op één pagina past

Dit kader synthetiseert de controles waarop NIST AI RMF, ISO 42001 en de EU AI-verordening allemaal samenkomen. Verwijder de overlappingen, groepeer wat overeenkomt, en je krijgt zeven pilaren. Geen enkele is verzonnen. Alle zijn direct terug te herleiden naar citeerbare standaarden.

Pilaar 1: Ethiek en verantwoorde AI-principes

Je schrijft in gewone taal op wat AI in je bedrijf voor dient en waarvoor niet.

Dit is geen filosofie. Het is de bovenstrooms beperking die alles verderop beslist. Zonder dat wordt elke latere beslissing (welk model, welke toepassing, welke data) ad hoc.

De minimale inhoud van een AI-principes­verklaring is eerlijkheid, transparantie, verantwoordingsplicht, privacy en beveiliging. ISO 42001 noemt dit "AI-beleid" vereisten (Clausule 5.2). NIST AI RMF vouwt ze in de Govern-functie. De EU AI-verordening veronderstelt ze door de gehele tekst.

Voor een bedrijf van 20 mensen is dit één pagina. Drie tot vijf principes, elk twee zinnen. Ondertekend door de oprichter. Geplaatst ergens waar medewerkers het ook echt lezen. Jaarlijks herzien.

Pilaar 2: Rollen en verantwoordelijkheid

Iemand is eigenaar van dit. Geen comité. Een naam.

ISO 42001 vereist dat "het topmanagement leiderschap en betrokkenheid moet tonen" (Clausule 5.1) en dat "verantwoordelijkheden en bevoegdheden voor relevante functies moeten worden toegewezen en gecommuniceerd" (Clausule 5.3). NIST AI RMF maakt verantwoordingsplicht de centrale eigenschap van de Govern-functie.

Voor een klein bedrijf is de structuur eenvoudig: één AI-eigenaar (oprichter, CTO of operationeel leidinggevende — verantwoordelijk voor het kader, met bevoegdheid), functie-goedkeurders (wie sales, HR, juridisch of financiën leidt, keurt AI-tools goed die in die functie worden gebruikt), en iedere medewerker die verantwoordelijk is voor het gebruik van alleen goedgekeurde tools en het melden van incidenten.

De EU AI-verordening voegt een specifieke vereiste toe in Artikel 26(2): voor hoog-risico AI-systemen moeten inzetters "menselijk toezicht toewijzen aan natuurlijke personen die over de nodige competentie, opleiding en bevoegdheid beschikken." Dit geldt als je hoog-risico AI inzet; voor de meeste MKB-bedrijven die AI gebruiken voor het opstellen, samenvatten en analyseren van teksten is dat niet het geval. Maar het principe — bevoegde mensen met gezag — geldt ongeacht.

Pilaar 3: Risicobeheer over de levenscyclus

Je identificeert wat er mis kan gaan, en je blijft controleren.

De NIST AI RMF Map-Measure-Manage lus is de schoonste versie hiervan. ISO 42001 Clausule 6.1 noemt het "acties om risico's en kansen aan te pakken." Artikel 9 van de EU AI-verordening schrijft een "risicobeheersysteem" voor hoog-risico AI voor: continu, iteratief, gedocumenteerd over de gehele levenscyclus.

Voor een MKB dat gebruik maakt van kant-en-klare modellen (GPT, Claude, Gemini, Mistral via API) vallen de risico's in vijf categorieën:

  1. Gegevenslekkage — vertrouwelijke informatie die het bedrijf verlaat via een prompt.
  2. Kostenexplosie — ongecontroleerd API-verbruik dat leidt tot verrassende facturen.
  3. Outputfouten — het model verzint een feit, naam of bron die terechtkomt in klantwerk.
  4. Leveranciersafhankelijkheid of -uitval — je enige AI-provider verhoogt prijzen, wijzigt voorwaarden of heeft een storing.
  5. Compliance-drift — regelgeving verandert, je controles niet.

Elk krijgt één benoemde eigenaar, één gedocumenteerde maatregel en één kwartaalreview. Dat is het volledige risicobeheersysteem voor de meeste MKB-bedrijven.

Pilaar 4: Gegevensbeheer

Slechte data in, slechte AI-output. En erger: slechte data in, AVG-overtreding als gevolg.

ISO 42001 Bijlage A behandelt gegevensbeheer als een basale controle. EU AI-verordening Artikel 10 maakt het expliciet voor hoog-risico systemen: trainings-, validatie- en testdata moet voldoen aan kwaliteitscriteria, relevant zijn, voldoende representatief en zo vrij mogelijk van fouten.

Voor een MKB dat gebruik maakt van externe modellen, train je geen data — maar je beheert wel wat er in AI-tools terechtkomt. Het minimum:

  • Categoriseer wat medewerkers wel en niet in AI-tools mogen invoeren. Drie niveaus: groen (alles), amber (met goedkeuring, alleen op goedgekeurde tools), rood (nooit). Klant-persoonsgegevens zijn amber of rood. Bedrijfsgeheimen zijn rood. Openbare informatie is groen.
  • Kies AI-providers die contractueel vastleggen dat ze je prompts niet gebruiken voor training. De "zero data retention" of "geen training op klantdata" instelling. Gratis tiers bieden dit niet.
  • Teken een Verwerkersovereenkomst met elke AI-provider die persoonsgegevens verwerkt. AVG Artikel 28. Niet optioneel.
  • Log welke data de grens overgaat. Minimaal: welke gebruiker, welk systeem, welk tijdstip, welke categorie data.

Pilaar 5: Transparantie

Je team, je klanten en (waar relevant) de toezichthouder kunnen zien wat AI doet binnen je bedrijf.

EU AI-verordening Artikel 13 vereist dat hoog-risico AI-systemen "worden ontworpen en ontwikkeld op een manier die een voldoende mate van transparantie garandeert." Artikel 50 voegt openbaarmakingsverplichtingen toe: chatbots moeten gebruikers informeren dat ze met AI spreken; AI-gegenereerde inhoud moet worden gelabeld.

Binnen je bedrijf is transparantie drie dingen: een actuele lijst van AI-tools in gebruik (één spreadsheet, één bron van waarheid, maandelijks bijgewerkt); per-tool openbaarmaking aan klanten wanneer AI substantieel bijdraagt aan een levering; en interne uitlegbaarheid — wanneer AI wordt gebruikt in een beslissing die een persoon raakt, begrijpt de mens die de uiteindelijke beslissing neemt wat de AI voorstelde en waarom, en kan die het overschrijven.

Pilaar 6: Menselijk toezicht

EU AI-verordening Artikel 14 is de schoonste beschrijving van menselijk toezicht in enige regelgeving. Het vereist drie dingen van elk hoog-risico AI-systeem:

  1. Observeerbaarheid — een mens kan het systeem in werking volgen, afwijkingen detecteren, outputs begrijpen.
  2. Bewustzijn van automatiseringsbias — de mens is getraind om overmatige afhankelijkheid van AI-suggesties te herkennen.
  3. Beheersbaarheid — de mens kan de AI op elk moment negeren, overschrijven of stopzetten, zonder goedkeuring van een manager, technische omwegen of downtime.

Het derde punt is de praktische test. Als je team de AI-suggestie niet in real time kan uitschakelen, overschrijven of weigeren, heb je geen menselijk toezicht. Je hebt een rubber stempel.

Voor MKB-bedrijven die geen "hoog-risico" systemen gebruiken onder de AI-verordening is dit wettelijk niet verplicht. Pas het toch toe. Het is de enige controle die de ergste categorie AI-fouten voorkomt: een zelfverzekerd fout antwoord dat als waarheid wordt behandeld.

Pilaar 7: Compliance, audit en incidentrespons

Je hebt bewijs, en je hebt een plan voor wanneer het misgaat.

ISO 42001 Clausule 9 (Prestatiebeoordeling) en Clausule 10 (Verbetering) behandelen dit. NIST AI RMF vouwt het in Manage. EU AI-verordening Artikelen 17, 19 en 26 maken delen wettelijk verplicht voor hoog-risico AI.

Voor een MKB is de werkende versie: een AI-register (één rij per systeem in gebruik, kolommen: naam, leverancier, doel, verwerkte datacategorie, goedkeurder, datum laatste beoordeling, VOW-referentie); een incidentrespons­procedure (wie te informeren als vertrouwelijke data naar een openbare AI-tool is gestuurd, wat te doen in het eerste uur, wanneer de Autoriteit Persoonsgegevens te informeren — de AVG geeft je 72 uur vanaf bewustwording, Artikel 33); en een kwartaalreview (30 minuten met de AI-eigenaar en één of twee functie­leidinggevenden).

Deze zeven pilaren zijn wat NIST AI RMF, ISO 42001 en de EU AI-verordening gemeenschappelijk hebben, uitgedrukt op de schaal die een bedrijf van 20 mensen werkelijk kan uitvoeren.

Hoe NIST, ISO 42001 en de EU AI-verordening samenhangen

Deze drie worden vaak gepresenteerd als alternatieven. Dat zijn ze niet. Ze dienen verschillende doelen.

KaderTypeVerplicht?Wat het je geeft
NIST AI RMF 1.0Vrijwillige risicobeheerrichtlijnNeeFlexibel vocabulaire voor risico: Govern, Map, Measure, Manage
ISO/IEC 42001:2023Certificeerbare managementsysteemstandaardNee (maar certificeerbaar)Herhaalbaar managementsysteem; auditeerbare certificering (4–9 maanden voor MKB)
EU AI-verordeningBindende EU-regelgevingJaSpecifieke verplichtingen per risicoklasse; boetes tot €35 miljoen of 7% van de wereldwijde omzet

De pragmatische relatie: NIST AI RMF geeft je de taal en het mentale model. ISO 42001 geeft je de managementsysteemstructuur. De EU AI-verordening is de wet — compliance is niet onderhandelbaar voor systemen die in scope vallen.

Een bedrijf dat ISO 42001 goed implementeert zal de meeste NIST AI RMF-uitkomsten en de meeste EU AI-verordening organisatorische vereisten afdekken. Ze zijn versterkend, niet concurrerend.

Wat de EU AI-verordening in 2026 werkelijk vereist van je bedrijf

De EU AI-verordening trad in werking op 1 augustus 2024 en geldt in fases:

  • 2 februari 2025 — Verboden AI-praktijken en AI-geletterdheids­verplichtingen onder Artikel 4 werden van toepassing. Elk bedrijf dat AI inzet moet ervoor zorgen dat medewerkers "een voldoende niveau van AI-geletterdheid" hebben.
  • 2 augustus 2025 — Verplichtingen voor leveranciers van general-purpose AI-modellen (OpenAI, Anthropic, Google, Mistral, Meta) werden van toepassing. Nationale bevoegde autoriteiten moesten zijn aangewezen.
  • 2 augustus 2026 — De meeste overige bepalingen worden van toepassing, inclusief verplichtingen voor hoog-risico AI in Bijlage III, transparantie­verplichtingen onder Artikel 50 en AI-regelgevingssandboxen.
  • 2 augustus 2027 — Regels voor hoog-risico AI ingebed in gereguleerde producten (medische hulpmiddelen, voertuigen) gelden.

Eén kritieke kanttekening voor 2026: op 19 november 2025 publiceerde de Europese Commissie de "Digital Omnibus on AI" — een voorstel om de hoog-risico compliance deadline te verschuiven van 2 augustus 2026 naar 2 december 2027. Vanaf mei 2026 hebben trilogue-onderhandelingen geleid tot een politiek akkoord, maar de Omnibus is nog niet formeel aangenomen. Tot dat moment geldt de oorspronkelijke deadline van 2 augustus 2026.

Praktische vertaling voor jouw bedrijf:

  1. AI-geletterdheid is al wettelijk verplicht. Artikel 4 is van kracht sinds februari 2025. Elke medewerker die AI gebruikt heeft gedocumenteerde training nodig die evenredig is aan zijn of haar functie.
  2. De meeste MKB-bedrijven zetten geen hoog-risico AI in. De Bijlage III-lijst is specifiek: AI in kritieke infrastructuur, onderwijstoegang, sollicitatie­screening, essentiële diensten, rechtshandhaving, migratie, justitie. E-mails opstellen, documenten samenvatten, marketingteksten genereren is geen hoog-risico AI onder de verordening.
  3. Boetes zijn getrapt. Tot €35 miljoen of 7% van de wereldwijde jaaromzet voor verboden praktijken. Tot €15 miljoen of 3% voor hoog-risico overtredingen. MKB-bedrijven profiteren van proportionaliteit (Artikel 99(6)) — boetes moeten rekening houden met de MKB-omvang.

Als je het 7-pilaren kader hierboven opbouwt, volgt EU AI-verordening compliance voor niet-hoog-risico AI automatisch.

Het één-week-implementatieplan voor een team van 20 mensen

Dit is voor een bedrijf dat niets heeft gedaan aan AI-governance en vóór vrijdag in een verdedigbare positie wil zijn. Vijf werkdagen. Één persoon verantwoordelijk. Gemiddeld twee uur per dag.

Dag 1 — Inventariseren. Stuur een vraag naar elke medewerker: "Noem elke AI-tool die je de afgelopen 90 dagen voor werk hebt gebruikt, inclusief gratis tools." Bestraffe de openbaarmaking niet. Compileer de lijst. Uit het MIT NANDA-onderzoek van 2025 blijkt dat medewerkers in 90% van de bedrijven AI-tools gebruiken die hun werkgever niet kent. Jouw getal zal niet lager zijn.

Dag 2 — Categoriseren. Sorteer elke tool in drie categorieën: goedkeuren en standaardiseren (betaald plan, getekende VOW), vervangen (gratis tool die noodzakelijk werk doet — upgraden of migreren), verbieden (geen zakelijke tier, geen VOW-optie, onaanvaardbare voorwaarden).

Dag 3 — Principes en datacategorieën schrijven. Eén pagina. Vijf principes in je eigen taal. Drie dataniveaus (groen/amber/rood) met voorbeelden. Oprichter ondertekent. Geplaatst in de bedrijfswiki.

Dag 4 — Register en de override-regel bouwen. Open een spreadsheet. Één rij per goedgekeurde tool: naam, leverancier, doel, toegestaan dataniveau, goedkeurder, VOW aanwezig (ja/nee/link), datum laatste beoordeling. Voor elke tool schrijf je de override-regel op.

Dag 5 — Trainen en aankondigingen doen. Een bijeenkomst van 45 minuten voor het hele team. Loop door de principes, het niveausysteem, de goedgekeurde toollijst, de incidentrespons­procedure. Documenteer aanwezigheid — dat is je Artikel 4 AI-geletterdheids­bewijs.

Tegen vrijdagmiddag heb je een ondertekende AI-principes­verklaring, gecategoriseerde inventarisatie, schriftelijke goedkeuringscriteria, een AI-register, een gedocumenteerde override en incidentrespons­procedure, en getrainde medewerkers met aanwezigheids­records.

Dat is meer AI-governance dan 80% van de Nederlandse MKB-bedrijven momenteel heeft.

Kant-en-klaar: het één-pagina AI-governance kader

Hieronder staat een volledig kader dat je kunt kopiëren naar een Google Doc, Notion-pagina of bedrijfswiki en in 30 minuten kunt aanpassen. Vervang de plaatshouders tussen [haakjes]. Bewerk de AI-toollijst zodat die overeenkomt met je inventarisatie van Dag 1. Onderteken, deel en herzien elk kwartaal.

Dit is geen juridisch document. Het is een werkend beleid. Actief in een gereguleerde sector (financiën, zorg, juridische dienstverlening) of zet je hoog-risico AI in onder EU AI-verordening Bijlage III? Laat het dan door een advocaat controleren voor publicatie.

[JOUW BEDRIJFSNAAM] — AI-governance kader

Versie 1.0 · Ingangsdatum [DATUM] · Eigenaar: [NAAM, FUNCTIE] · Volgende review: [DATUM + 3 maanden]

1. Doel

Dit document beschrijft hoe [BEDRIJF] kunstmatige intelligentie gebruikt in zijn werk, wie daarvoor verantwoordelijk is, en hoe we dat gebruik veilig, rechtmatig en in lijn houden met onze verplichtingen aan klanten, medewerkers en partners.

2. Principes

We gebruiken AI in ons bedrijf op basis van vijf principes:

  1. Versterking, geen vervanging. AI ondersteunt menselijk oordeelsvermogen in klant- en intern werk. Een mens beoordeelt en is verantwoordelijk voor elke output die het bedrijf verlaat.
  2. Rechtmatige gegevensverwerking. We voeren geen persoonsgegevens, vertrouwelijke klantinformatie of bedrijfsgeheimen in AI-tools in die geen Verwerkersovereenkomst met ons hebben.
  3. Transparantie. We onderhouden een actueel register van elke AI-tool die in het bedrijf wordt gebruikt en informeren klanten wanneer AI substantieel bijdraagt aan een levering.
  4. Kostendiscipline. Elke AI-tool met verbruiksgebaseerde prijsstelling heeft een harde budgetlimiet. Geen medewerker kan AI-kosten boven zijn of haar maandelijks plafond maken zonder schriftelijke goedkeuring.
  5. Doorlopende review. Dit kader wordt elk kwartaal herzien. Het AI-register wordt maandelijks bijgewerkt. Incidenten worden gelogd en er wordt van geleerd.

3. Rollen

  • AI-eigenaar: [NAAM, FUNCTIE]. Verantwoordelijk voor dit kader. Keurt nieuwe AI-tools goed. Beheert het AI-register. Rapporteert kwartaallijks aan de leiding.
  • Functie-goedkeurders: Elke afdelingsleider keurt AI-tools goed die binnen zijn of haar functie worden gebruikt.
  • Elke medewerker: Gebruikt alleen goedgekeurde tools uit Sectie 6. Meldt incidenten conform Sectie 9 binnen één werkdag.

4. Dataclassificatie

Informatie bij [BEDRIJF] valt in drie niveaus. Elk niveau definieert welke AI-tools het mogen verwerken.

NiveauVoorbeeldenToegestane AI-tools
GroenOpenbare informatie, marketingteksten, generiek onderzoekElke goedgekeurde tool in Sectie 6
AmberInterne documenten, conceptklantwerk, nog niet gepubliceerde financiële cijfersAlleen tools met een getekende VOW en contractuele no-training-toezegging
RoodIdentificeerbare klantgegevens, gezondheids­informatie, bedrijfsgeheimen, broncode, niet-geredigeerde financiële records, juridisch adviesGeen AI-tools zonder expliciete, geval-voor-geval goedkeuring van de AI-eigenaar

Bij twijfel: behandel data als één niveau hoger dan je denkt.

5. AI-tools — goedkeuringscriteria

Een tool mag alleen aan de goedgekeurde lijst worden toegevoegd als het aan alle volgende criteria voldoet:

  • Getekende Verwerkersovereenkomst onder AVG Artikel 28
  • Gedocumenteerde toezegging dat klantprompts niet worden gebruikt voor modeltraining
  • EU- of gelijkwaardig adequaat hosting, bevestigd in schrijven, of SCCs-overdrachtsmechanisme aanwezig
  • Authenticatie via SSO of ten minste unieke per-medewerker inloggegevens
  • Incidentmeldings­clausule in het leverancierscontract — leverancier moet datalekken binnen 72 uur melden
  • Kostenplafond configureerbaar of vast abonnement

6. Register goedgekeurde AI-tools

ToolLeverancierDoelToegestaan dataniveauGoedkeurderVOW aanwezigLaatste review
[Tool 1][Leverancier][Doel]Groen / Amber[Naam][Ja — link][Datum]
[Tool 2][Leverancier][Doel]Groen[Naam][Ja — link][Datum]

Dit register is de enige bron van waarheid. Een tool die hier niet op staat, is niet goedgekeurd.

7. Verboden gebruik

Het volgende is verboden ongeacht de tool: het invoeren van Rood-niveau data in welk AI-systeem dan ook; het gebruiken van gratis consumenten-AI-accounts voor enige werkgerelateerde taak met Amber- of Rooddata; handelen naar AI-output in een gereguleerde beslissing (aanname, ontslag, krediet) zonder gedocumenteerde menselijke beoordeling en overschrijvings­bevoegdheid; het uitschakelen of omzeilen van enige controle in dit kader.

8. Menselijk toezicht

Voor elke AI-tool in Sectie 6 definieert de goedkeurder schriftelijk: wie de output beoordeelt voordat die het bedrijf verlaat; waarop er wordt gecontroleerd (feitelijke nauwkeurigheid, gefabriceerde bronnen, toon, klant­vertrouwelijkheid); hoe overschrijvingen worden geregistreerd.

9. Incidentrespons

Als vertrouwelijke, Amber- of Rood-klasse data in een niet-goedgekeurde AI-tool is ingevoerd, of in een goedgekeurde tool in strijd met het dataniveau:

  1. Binnen 1 uur: informeer de AI-eigenaar ([NAAM, E-MAIL]).
  2. Binnen 4 uur: AI-eigenaar beoordeelt de omvang. Persoonsgegevens betrokken → DPO informeren.
  3. Binnen 24 uur: beslissing of het incident een meldingsplichtig persoonsdatalek triggert onder AVG Artikel 33 (72 uur melding aan de Autoriteit Persoonsgegevens).
  4. Binnen 5 werkdagen: schriftelijke incidentsamenvatting toegevoegd aan het incidentenlog.

Medewerkers die hun eigen fouten prompt melden worden niet gestraft voor de fout zelf.

10. Training en AI-geletterdheid

In lijn met EU AI-verordening Artikel 4 ontvangt elke medewerker die AI-tools gebruikt bij [BEDRIJF]: initiële onboarding (45 minuten, gedocumenteerd), jaarlijkse opfrisser (30 minuten, gedocumenteerd) en functie­specifieke training wanneer hun functie verandert in de manier waarop AI wordt gebruikt.

11. Review en versiebeheer

Dit kader wordt elk kwartaal herzien door de AI-eigenaar. Het AI-register wordt maandelijks bijgewerkt. De huidige versie is altijd beschikbaar op [INTERNE LINK].

Ondertekend: [NAAM OPRICHTER, FUNCTIE] Datum: [DATUM]

Dat is het volledige kader. Eén pagina, elf secties, kant-en-klaar te kopiëren. Het wint geen schrijfprijzen. Het doorstaat wel een inkoop­vragenlijst van een enterprise-klant, haalt een DPO-audit en geeft je team een duidelijk antwoord op "wat mogen we gebruiken, en waarvoor?"

Gebruik het als startpunt, niet als eindpunt. Het eindpunt is de vier-kwartaal-gewoonte die het waarheidsgetrouw houdt.

Hoe Custos AI in dit kader past

Een multi-LLM platform dat pilaren 3, 4, 5 en 7 standaard implementeert.

Custos AI is een AVG-proof platform dat je team toegang geeft tot GPT, Claude, Gemini en Mistral via één interface — met harde budgetlimieten per gebruiker, EU-hosting in Frankfurt en Amsterdam, getekende verwerkersovereenkomsten met elke provider, en een audit-log van elke prompt. Je brengt je eigen API-sleutels mee (BYOK), zodat er geen AI-marge is en geen verrassende facturen. Het 7-pilaren kader hierboven vereist Custos niet. Maar als je het opbouwt, dekt Custos vier van de zeven pilaren standaard af — risicobeheer, gegevensbeheer, transparantie en audit. De andere drie (principes, rollen, toezicht) zijn nog steeds van jou.

Start gratis proefperiode van 14 dagen

Volgende: Wat de EU AI-verordening werkelijk vereist van een bedrijf van 20 mensen

De Bijlage III hoog-risico lijst, de Artikel 4 AI-geletterdheids­verplichting, en de praktische compliance checklist voor MKB-bedrijven die geen hoog-risico systemen inzetten maar toch moeten aantonen dat ze compliant zijn.

Lees: De EU AI-verordening voor bedrijven van 20 mensen →

Frequently asked questions

Wat is AI-governance precies?
AI-governance is het geheel aan beleid, controles en verantwoordelijkheidsstructuren dat ervoor zorgt dat de AI binnen je bedrijf veilig, rechtmatig, traceerbaar is en aansluit bij wat je aan klanten en toezichthouders hebt beloofd. Het is geen document — het is een werkende structuur die bewijs oplevert wanneer iemand erom vraagt.
Heeft het MKB echt een formeel AI-governance kader nodig?
Als je bedrijf ChatGPT, Claude, Gemini of een andere AI-tool gebruikt om klantgegevens, financiële data of personeelsinformatie te verwerken: ja. EU AI-verordening Artikel 4 (AI-geletterdheid) is sinds februari 2025 bindend, en de AVG vereist al jaren gedocumenteerde verwerkingscontroles. Het kader hoeft geen 40 pagina's te zijn — voor de meeste MKB-bedrijven volstaat een eenpagina-beleid met een AI-register, ondertekend en elk kwartaal herzien.
Hoe geldt de EU AI-verordening in 2026 voor mijn bedrijf?
De EU AI-verordening rolt in fases uit. Verboden praktijken en Artikel 4 AI-geletterdheid zijn van kracht sinds 2 februari 2025. Verplichtingen voor leveranciers van algemene AI-modellen sinds 2 augustus 2025. Het grootste deel van de overige verplichtingen — inclusief Annex III hoog-risico systemen en Artikel 50 transparantieregels — geldt vanaf 2 augustus 2026, tenzij de Digital Omnibus on AI hoog-risico deadlines uitstelt naar 2 december 2027 (onderhandelingen lopen per mei 2026). De meeste MKB-bedrijven gebruiken geen hoog-risico AI volgens Annex III, maar Artikel 4 en Artikel 50 gelden universeel.
Wat is het verschil tussen NIST AI RMF, ISO 42001 en de EU AI-verordening?
NIST AI RMF is een vrijwillig Amerikaans risicokader met vier functies (Govern, Map, Measure, Manage). ISO/IEC 42001:2023 is een internationale, certificeerbare AI-managementsysteemstandaard met een Plan-Do-Check-Act cyclus. De EU AI-verordening is bindende EU-regelgeving met risicogestuurde verplichtingen en boetes tot €35 miljoen of 7% van de wereldwijde omzet. Ze versterken elkaar — als je er één goed implementeert dek je het grootste deel van de andere af.
Hoe lang duurt ISO 42001 certificering voor het MKB?
Voor de meeste mkb-bedrijven duurt ISO 42001 certificering tussen de 4 en 9 maanden: 2–4 weken voor gap-analyse, 1–3 maanden voor het ontwerp en de documentatie van het AI-managementsysteem, 1–2 maanden voor uitrol en interne audit, en 1–2 maanden voor de certificeringsaudit zelf. De kosten variëren per scope en certificeerder. Certificering is optioneel — de principes kunnen ook zonder certificaat worden toegepast.
Hoe lost Custos AI AI-governance op?
Custos AI is een multi-LLM platform dat vier van de zeven governance pilaren standaard invult: risicomanagement (harde budgetlimieten per gebruiker, real-time monitoring), gegevensbeheer (BYOK-encryptie, EU-hosting in Frankfurt en Amsterdam, getekende verwerkersovereenkomsten met elke provider), transparantie (audit-log van elke prompt, model en gebruiker), en compliance (AVG-proof architectuur, exporteerbaar audit-trail). De andere drie pilaren — je AI-principes, je rollenverdeling, je menselijk toezicht — blijven organisatorisch jouw verantwoordelijkheid.
C

Custos AI

The Custos AI team

Custos AI is a GDPR-proof multi-LLM platform for European businesses. We write about AI governance, GDPR compliance and safe AI use for small and medium companies.

Related reading