Terug naar assessment

Policy pack review

Vier conceptdocumenten op basis van de v0 policy templates. Review elk document handmatig voordat je het met een klant deelt.

Status0/4 gereviewd
AI-gebruiksbeleid

Concept AI-gebruiksbeleid

Concept
# Concept AI-gebruiksbeleid

## Status

Concept. Menselijke review verplicht: controleer scope, rollen, uitzonderingen en lokale afspraken voordat dit document met een klant of medewerker wordt gedeeld.

## Geen juridisch advies

Dit document is een praktisch concept voor interne governance. Het is geen juridisch advies, geen certificering en geen garantie op naleving van AVG, NIS2 of andere wet- en regelgeving.

## Context

Organisatie: Voorbeeld BV
Sector: Zakelijke dienstverlening

## Doel en scope

Dit beleid geeft praktische kaders voor veilig en verantwoord gebruik van AI-tools binnen de organisatie.

## Toegestane AI-tools

- Gebruik alleen AI-tools die door de organisatie zijn beoordeeld of expliciet zijn toegestaan.
- Leg per tool doel, eigenaar, datacategorieen en beperkingen vast.
- Gebruik publieke AI-tools alleen voor informatie die volgens dataclassificatie is toegestaan.

## Verboden invoer

- Persoonsgegevens zonder duidelijke toestemming, grondslag en noodzakelijkheid.
- Klantgeheimen, bedrijfsvertrouwelijke informatie en strategische documenten.
- Contracten of documenten onder NDA zonder voorafgaande beoordeling.
- Wachtwoorden, tokens, API-sleutels, herstelcodes of andere geheimen.

## Menselijke controle

- AI-output is conceptmateriaal en moet inhoudelijk worden gecontroleerd voor gebruik.
- Besluiten met impact op klanten, medewerkers of contracten worden niet volledig geautomatiseerd genomen.

## Bronvermelding en controleerbaarheid

- Controleer feiten, cijfers en bronverwijzingen voordat AI-output wordt gedeeld.
- Leg bij belangrijk gebruik vast welke tool en welke soort input is gebruikt, zonder gevoelige promptinhoud te kopieren.

## Meldproces bij twijfel of incident

- Meld twijfel over datagebruik of onbedoelde invoer van gevoelige data direct bij de aangewezen contactpersoon.
- Behandel mogelijke datalekken volgens de incidentresponsprocedure.

## Rollen en verantwoordelijkheden

- Directie stelt kaders en risicobereidheid vast.
- Proceseigenaren beoordelen passend gebruik binnen hun teams.
- Medewerkers gebruiken AI-tools binnen deze kaders en melden twijfel of incidenten.