Een teamlead bespreekt het AI-beleid met medewerkers in een informele vergadering

Hoe communiceer je AI-beleid aan je team?

AI Act, Compliance, MKB

Je salesteam gebruikt al maanden een AI-tool voor klantgesprekken. Klantnamen, deals, soms contractbedragen. Niemand heeft dat aangemeld. En jij weet het pas omdat iemand het terloops noemt in een meeting.

Herkenbaar? Shadow AI is overal. Niet als bewust probleem, maar als logisch gevolg van mensen die gewoon productief willen zijn.

Nu staat er iets op je to-do: dat moet anders. Maar hoe vertel je je team dat een tool niet meer mag, zonder de volgende dag vijf gefrustreerde reacties in je inbox? Of erger: mensen die gewoon doorgaan, alleen stiekem?

Dit is geen communicatievraagstuk waarbij het antwoord "stuur een mail" is. Het gaat over draagvlak, duidelijkheid en vertrouwen. Dit stappenplan helpt je het goed te doen.

Waarom je dit niet kunt overslaan

Je hebt een AI-beleid nodig. Niet als bureaucratisch document, maar als antwoord op een concreet probleem.

Medewerkers gebruiken AI-tools. Dat is fijn. Maar die tools verwerken soms klantdata, contactgegevens of interne informatie. Zonder dat je weet welke tools er draaien, kun je niet voldoen aan de AVG of de EU AI Act. En als er iets misgaat, is de verantwoordelijkheid van jou als organisatie, niet van de medewerker die de tool heeft geinstalleerd.

Dat weet je waarschijnlijk al. Het moeilijkste deel is niet de juridische kant, maar hoe je erover praat.

Stap 1: Begin met begrijpen, niet met verbieden

Voordat je iets communiceert, moet je weten wat er al in gebruik is. Start met een inventarisatie.

Stel je team een open vraag: "Welke AI-tools gebruik je om je werk te doen?" Niet als controle, maar als eerste stap van een gezamenlijk overzicht. Houd het laagdrempelig. Een Slack-poll, een gedeelde spreadsheet, of een kwartier in een teamoverleg werkt prima.

Wat je dan te horen krijgt, verrast bijna altijd. ChatGPT voor e-mails, een AI-transcriptietool voor klantgesprekken, een AI-beeldgenerator voor marketingmateriaal. Sommige tools zijn onschuldig. Andere verwerken meer data dan je zou willen.

Pas als je die lijst hebt, weet je wat je precies wilt communiceren. Communiceer je te vroeg, dan praat je langs de praktijk heen.

Heb je nog geen AI-inventaris? Lees dan eerst ons stappenplan voor het opstellen van een AI-inventaris.

Stap 2: Beslis wat wel en niet mag

Op basis van je inventaris maak je drie beslissingen per tool.

De tool mag blijven als die geen gevoelige data verwerkt en geen hoog risico oplevert. De tool mag blijven onder voorwaarden als die nuttig is maar betere afspraken nodig heeft. Denk aan: alleen voor interne teksten, geen klantdata invoeren, opnieuw beoordelen over zes maanden. En de tool mag niet meer als die verboden AI-technieken gebruikt, gevoelige data verwerkt zonder goede afspraken, of niet past bij wat je van leveranciers verwacht.

Leg die beslissingen vast. Niet alleen voor een audit, maar omdat je anders bij elke discussie opnieuw moet uitleggen waarom iets wel of niet mag.

Weet je niet hoe je tools beoordeelt? Onze handleiding voor het goedkeuren van tools helpt je door het beoordelingsproces.

Stap 3: Leg uit waarom, niet alleen wat

Dit is waar het bij de meeste bedrijven misgaat. Ze sturen een bericht met de conclusie: "Tool X mag niet meer." Geen uitleg, geen alternatief, geen context. Mensen horen dat als willekeur.

Geef context. Leg in begrijpelijke taal uit wat het risico is.

Niet dit:

"Vanwege compliance-vereisten mag je ChatGPT niet meer gebruiken voor klantcommunicatie."

Maar dit:

"We hebben gekeken naar hoe ChatGPT omgaat met de data die je invoert. Als je klantnamen of deals invult, worden die mogelijk gebruikt voor verdere training door OpenAI. Dat is een probleem onder de AVG. Daarom vragen we je het niet meer te gebruiken voor klantspecifieke informatie. Voor algemene teksten mag het wel. En we kijken op dit moment naar een alternatief dat wel veilig is."

Het verschil is niet de hoeveelheid woorden. Het is dat je de ander behandelt als iemand die meedenkt, niet als iemand die orders opvolgt.

Stap 4: Bied een werkend alternatief

Als je een tool verbiedt zonder alternatief, los je het probleem niet op. Je drijft het ondergronds.

Als mensen ChatGPT gebruiken voor klantmails, vul dan die behoefte in. Misschien is dat een betaalde versie met betere privacygaranties. Misschien een interne template. Misschien een vergelijkbare tool die wel aan de AVG voldoet.

Als je op dit moment geen alternatief hebt, zeg dat eerlijk. "We weten dat dit tool nuttig was. We zoeken een alternatief en laten weten wanneer we dat hebben gevonden." Dat is beter dan stilte.

Je team voelt het als compliance boven mensen wordt gesteld. Een verbod zonder uitweg geeft precies dat signaal.

Stap 5: Kies het juiste kanaal en moment

Een beleidswijziging stuur je niet op vrijdagmiddag in een algemeen kanaal. En je stuurt ook geen tien-punten-mail als je eigenlijk twintig seconden mondeling nodig hebt.

Bij kleine teams, tot vijftien personen, bespreek je het in een teamoverleg, laat je ruimte voor vragen, en stuur je daarna een samenvatting van wat er is besloten. Bij grotere teams of meerdere afdelingen informeer je leidinggevenden eerst, zodat zij vragen kunnen beantwoorden van hun eigen mensen. Daarna een beknopte mail naar het bredere team, kort, met een link voor wie meer wil lezen. Bij individuele gevallen, als een specifieke medewerker een specifieke tool gebruikt die echt een probleem is, doe dat gesprek dan niet publiek. Spreek diegene direct aan, geef uitleg, en geef de mogelijkheid om te stoppen zonder gezichtsverlies.

Doe het ook niet op een druk moment in het jaar. En niet als reactie op een incident, als je het kunt vermijden. Een rustig moment met duidelijke communicatie werkt beter dan een spoedmededeling na een bijna-probleem.

Stap 6: Maak het makkelijk om te melden

Je beleid werkt pas als mensen weten hoe ze nieuwe AI-tools kunnen aanmelden. Zorg dat dat proces bestaat en dat mensen het kennen.

Dat hoeft niet ingewikkeld. Een formulier, een vaste mailbox, of een vast punt in de maandelijkse IT-meeting is genoeg. Het gaat erom dat er een duidelijke weg is voor iemand die een nieuwe tool wil proberen.

En als iemand een tool aanmeldt: reageer snel. Als mensen twee weken niets horen, gaan ze de tool gewoon gebruiken.

Gebruik je ComplianceHive? Dan leg je het goedkeuringsproces voor AI-tools vast in je AI-systeem register, samen met de risicoklasse en de status per systeem. Zo weet iedereen waar een tool staat in het beoordelingsproces.

Stap 7: Herhaal, maar niet te veel

Een beleid communiceer je niet eenmalig en dan nooit meer. Maar je wilt ook niet elke week een herinnering sturen.

Bouw het in op logische momenten. Bij de onboarding van nieuwe medewerkers. Bij een update van je softwarestack. Als er een nieuwe AI-tool viraal gaat, want dan vragen mensen er toch al naar. En na zes maanden een korte check: "We hebben ons AI-beleid bijgewerkt. Dit is wat er sindsdien is veranderd."

Twee zinnen zijn genoeg. Het punt is dat het beleid niet verdwijnt in een map die niemand ooit opent.

Wat regelmatig fout gaat

Vage regels zijn het meest voorkomende probleem. "Gebruik AI verantwoord" is geen beleid. Niemand weet wat dat betekent in de praktijk. Dan zijn regels zonder uitleg het tweede probleem. Mensen die niet begrijpen waarom iets niet mag, zoeken de grenzen op. Communicatie als eenrichtingsverkeer is het derde: als er geen manier is om vragen te stellen of bezwaar te maken, gaan mensen er gewoon mee door en zeggen ze er niets meer over. En tot slot: beleid dat leidinggevenden zelf niet volgen. Als jij zelf ChatGPT gebruikt voor klantmails terwijl je dat het team hebt verboden, is dat het einde van je geloofwaardigheid.

Bijhouden wat er na het gesprek gebeurt

Een beleid opstellen is een begin. Bijhouden wat er daarna gebeurt is het eigenlijke werk.

In ComplianceHive registreer je per AI-systeem de risicoklasse, het AI-type, de goedkeuringsstatus, en of er automatische beslissingen worden genomen over mensen. Als een medewerker een nieuwe tool aanmeldt, voeg je die direct toe en volg je de beoordeling op. Zo heb je niet alleen een beleid, maar ook een actueel overzicht van wat er in je organisatie draait.

Meer weten over hoe de EU AI Act en de AVG samenhangen bij zakelijke software? Lees onze gids over AVG en zakelijke software voor medewerkers.

Wil je grip krijgen op AI-gebruik in je organisatie? Bekijk de functies van ComplianceHive of start een gratis proefperiode.

Dit artikel is algemene informatie en geen juridisch advies. Raadpleeg een gekwalificeerde jurist voor juridische interpretatie.

Start vandaag nog met grip op je leveranciers en software

Laat ComplianceHive je helpen met ISO 27001, AVG, leveranciersbeheer en meer. Geen gedoe, geen spreadsheets, gewoon overzicht. Begin nu met een gratis proefperiode van 1 maand. Geen creditcard nodig, geen verborgen kosten. Ontdek het Busy Hive-plan en beheer tot wel 25 tools en leveranciers in één overzicht.

Probeer 1 maand gratis