Een AI compliance plan hoeft geen document van tachtig pagina's te zijn. Een goed plan past op een paar A4'tjes en geeft uw organisatie richting. Hieronder de zeven stappen die elk plan minimaal moet bevatten, gebaseerd op wat de EU AI Act, de AVG en sectorale regels van u vragen.
Stap 1: Inventariseer uw AI-systemen
Geen plan zonder lijst. Breng in kaart welke AI-systemen uw organisatie gebruikt of ontwikkelt, inclusief AI-functies die in bestaande software verstopt zitten. Microsoft Copilot in uw 365-omgeving, AI-features in uw CRM, slimme zoekfuncties in uw kennisbank, een chatbot op uw website, AI in uw recruitmentplatform. Vraag elke afdeling om input. Vergeet shadow AI niet: medewerkers gebruiken vaak persoonlijke ChatGPT-accounts zonder het te melden.
De AI Risicoscanner haalt deze inventaris in vijf minuten op via een doorvragende intake. Dat scheelt u tijd en geeft direct een uniforme structuur.
Stap 2: Classificeer per systeem
De AI Act kent vier risicocategorieen. Per AI-systeem beantwoordt u: is dit verboden (Artikel 5), hoog-risico (Bijlage III of Bijlage I), beperkt (Artikel 50) of minimaal? De classificatie bepaalt wat u moet regelen. Een hoog-risico HR-systeem voor cv-screening vraagt om technische documentatie en menselijk toezicht. Een interne tekstgenerator op basis van ChatGPT vraagt vooral om gebruiksregels en transparantie naar medewerkers.
Stap 3: Beleg verantwoordelijkheid
Compliance zonder eigenaar verdampt. Wijs een interne AI-verantwoordelijke aan, vaak gecombineerd met de rol van DPO of compliance officer. Bij een grotere organisatie: een AI-werkgroep met vertegenwoordigers uit IT, juridisch, HR en de operationele eigenaren. Leg in uw plan vast wie escaleert, wie tekent, wie naar buiten communiceert. Toezichthouders willen bij een vraag direct een aanspreekpunt.
Stap 4: Stel beleid en gebruiksregels op
Een AI-beleid beschrijft de spelregels: welke AI-tools zijn toegestaan, voor welke doelen, met welke datasoorten? Welke AI is verboden in uw organisatie? Hoe gaat u om met door AI gegenereerde content, bron-referenties en menselijke review? Houd het document werkbaar. Een beleid dat niemand leest helpt geen toezichthouder.
Koppel het beleid aan concrete training. Iedereen die AI gebruikt moet weten waar de grenzen liggen. AI-geletterdheid (Artikel 4) is verplicht sinds 2 februari 2025; uw plan beschrijft hoe u die training organiseert en bewaart.
Stap 5: Documenteer hoog-risico systemen
Voor systemen die u classificeert als hoog-risico gelden zwaardere documentatie-eisen. U heeft technische documentatie nodig (architectuur, datasets, evaluatie, risicomaatregelen), een logging-mechanisme, een conformiteitsbeoordeling en bij overheid en sommige private sectoren een Fundamental Rights Impact Assessment (FRIA). Werkt u als deployer met een ingekochte hoog-risico AI? Dan ligt de bewijslast bij de provider, maar u bent verantwoordelijk voor monitoring en menselijk toezicht.
Stap 6: Richt monitoring en incidentmanagement in
Compliance is geen eenmalige actie. AI-systemen veranderen, datasets verschuiven, gebruiksdoelen evolueren. Plan periodieke reviews (minimaal jaarlijks, vaker bij hoog-risico) waarin u kijkt naar prestaties, bias, klachten en nieuwe risico's. Definieer wat een AI-incident is en hoe het wordt gemeld, intern en eventueel extern. Bewaar logs lang genoeg om een incident te kunnen reconstrueren.
Stap 7: Plan periodieke heroverweging
Het AI-landschap verandert snel. Wetgeving evolueert (denk aan het Digital Omnibus-voorstel), tools worden bijgewerkt, nieuwe leveranciers introduceren AI-features in bestaande software. Plan elk halfjaar een heroverweging van uw inventaris en risicoclassificatie. Stel uzelf vragen: welke nieuwe AI is sinds vorige keer toegevoegd? Zijn er systemen weggevallen? Veranderde de classificatie van een systeem door een functionele update? Welke deadlines komen eraan?
Wat staat er in een werkbaar plan?
Uw plan is geen scriptie maar een werkdocument. Acht onderdelen volstaan: AI-inventaris, classificatie, beleid en gebruiksregels, AI-geletterdheidstraining, documentatieplicht per hoog-risico systeem, monitoringsritme, incidentprocedure, heroverwegingsplan. Compact en activerend slaat altijd een glanzend rapport dat in een la verdwijnt.
Van plan naar uitvoering
Een plan is geen doel op zich. Iedere stap moet leiden tot concrete actie: een ingericht register, geplande trainingen, gepubliceerd beleid, ondertekende verantwoordelijkheidsmatrix. AIComplianceHub bundelt deze stappen in een werkstroom: van scanner tot register, van beleidsgenerator tot e-learning. Een werkend AI compliance plan in vier weken is haalbaar voor de meeste MKB-organisaties.