Je wil aan de slag met AI. De tools zijn er. De mogelijkheden zijn duidelijk. Maar ergens in je achterhoofd zit een vraag die je uitstelt om te beantwoorden.
Mag dit eigenlijk wel? En wat gebeurt er als het misgaat?
Het is een terechte vraag. En het is een vraag die de meeste MKB-bedrijven te laat stellen, namelijk nadat ze al zijn begonnen.
Bij CommonBase begeleiden we Nederlandse bedrijven bij het adopteren van AI. Compliance is bijna altijd het onderwerp dat het minst is voorbereid. Niet omdat directeuren het niet belangrijk vinden, maar omdat het onoverzichtelijk voelt.
Dit artikel geeft je een helder overzicht van de vijf compliance-gebieden die je moet kennen voordat je AI uitrolt in jouw organisatie. Het vervangt geen juridisch advies, maar zorgt dat je de goede vragen stelt voordat je begint.
De AVG: wat mag je in een AI-tool stoppen?
Dit is het meest urgente punt voor de meeste MKB-bedrijven.
De Algemene Verordening Gegevensbescherming (AVG) stelt strenge eisen aan het verwerken van persoonsgegevens. En AI-tools verwerken al snel persoonsgegevens, ook als je dat niet bewust doet.
Denk aan een medewerker die een klantgesprek copy-pasted in ChatGPT om een samenvatting te maken. Of iemand die een e-mail met klantgegevens invoert om een reactie te genereren. Op dat moment stuur je persoonsgegevens naar een externe server, vaak buiten de EU.
Wat je concreet moet weten:
- Controleer of de AI-tool een verwerkersovereenkomst aanbiedt. Zonder die overeenkomst verwerk je persoonsgegevens zonder juridische basis en riskeer je een boete van de Autoriteit Persoonsgegevens.
- Kijk waar de data wordt opgeslagen. Servers in de VS vallen onder andere regelgeving dan servers in de EU. Veel zakelijke versies van AI-tools bieden EU-dataopslag als optie, maar dat is zelden de standaardinstelling.
- Stel een intern beleid op over welke data medewerkers wel en niet mogen invoeren. Geen klantnamen, geen BSN-nummers, geen medische gegevens. Simpele vuistregel die veel problemen voorkomt.
De EU AI Act: wat betekent dit voor jou?
De EU AI Act is de eerste brede Europese wet die specifiek over AI gaat. Hij is gefaseerd ingevoerd en heeft gevolgen voor bedrijven die AI gebruiken, niet alleen voor bedrijven die AI bouwen.
Voor het meeste MKB is het risico beperkt, maar er zijn twee situaties waar je op moet letten.
Verboden toepassingen. De EU AI Act verbiedt een aantal specifieke toepassingen van AI. Denk aan biometrische surveillance op de werkplek of systemen die het gedrag van medewerkers manipuleren zonder dat ze het weten. Als je overweegt AI in te zetten voor monitoring van medewerkers, is dit een gebied waar je juridisch advies nodig hebt.
Hoog-risico toepassingen. Gebruik je AI bij beslissingen over werving, promoties of beoordelingen? Dan val je mogelijk in de categorie “hoog risico” en gelden er extra verplichtingen zoals documentatie, transparantie en menselijk toezicht. De lat ligt hier hoger dan bij AI voor interne productiviteit.
Voor de meeste bedrijven die AI inzetten voor teksten schrijven, data samenvatten of interne processen versnellen, zijn de directe gevolgen van de EU AI Act beperkt. Maar het is goed te weten waar de grenzen liggen.
Auteursrecht: van wie is de output?
Dit is een vraag die veel bedrijven niet stellen, terwijl het risico reëel is.
Als je AI gebruikt om teksten, afbeeldingen of code te genereren, zijn er twee auteursrechtvragen die spelen.
Ten eerste: wat zijn de rechten op de output? In Nederland is AI-gegenereerde content in de meeste gevallen niet auteursrechtelijk beschermd, omdat er geen menselijke creatieve keuze aan te pas is gekomen. Dat betekent dat je concurrent morgen dezelfde output kan genereren en er niets tegen kunt doen. Wil je content beschermen, zorg dan dat er aantoonbaar menselijke creatieve inbreng in zit.
Ten tweede: heeft de AI bij het genereren gebruik gemaakt van beschermd materiaal? Dit speelt vooral bij afbeeldingen en muziek. Sommige AI-tools zijn getraind op auteursrechtelijk beschermd materiaal. Of het gebruik van die tools inbreuk maakt op bestaande rechten is juridisch nog niet volledig uitgekristalliseerd. Voor commerciële toepassingen is het verstandig tools te kiezen die transparant zijn over hun trainingsdata of die expliciet rechtenvrije licenties bieden.
Aansprakelijkheid: wie is verantwoordelijk als AI een fout maakt?
Stel: een medewerker gebruikt een AI-tool om een offerte op te stellen. De tool maakt een rekenfout. De klant tekent op basis van die offerte. Wie is aansprakelijk?
Jij. Niet de tool.
Dit klinkt logisch, maar de praktische implicaties zijn groter dan veel bedrijven beseffen. AI-output is nooit gegarandeerd correct. Taalmodellen kunnen plausibel klinkende onzin produceren, ook wel hallucineren genoemd. Ze citeren bronnen die niet bestaan. Ze rekenen soms verkeerd.
Wat dit betekent voor jouw bedrijf: stel een intern beleid in waarbij AI-output altijd door een mens wordt gecontroleerd voordat het naar buiten gaat. Niet als bureaucratische stap, maar als bewuste keuze die je ook kunt aantonen als er iets misgaat.
Dit is zeker relevant voor sectoren met hoge aansprakelijkheidsnormen, denk aan zorg, financieel advies, juridische dienstverlening en technische engineering.
Arbeidsrecht: wat mag je van medewerkers verwachten?
Mag je medewerkers verplichten AI-tools te gebruiken? En mag je hun gebruik monitoren?
Op het eerste punt: ja, in principe mag een werkgever nieuwe tools en werkwijzen invoeren als onderdeel van het instructierecht. Maar als de AI-tool invloed heeft op de beoordeling van medewerkers, het toezicht op hun werk of hun taken wezenlijk verandert, dan is de ondernemingsraad in veel gevallen instemmingsplichtig. Heb je een OR? Betrek ze dan vroeg in het proces.
Op het tweede punt: monitoring van AI-gebruik door medewerkers valt onder dezelfde regels als andere vormen van werknemersmonitoring. Je mag niet zomaar bijhouden wat iemand invoert in een tool. Zeker niet zonder dat medewerkers hiervan op de hoogte zijn en er een legitiem doel voor is.
Transparantie is hier het sleutelwoord. Leg vast wat je bijhoudt, waarom en wat je ermee doet. En leg dat ook uit aan je team.
Wat te doen voordat je begint
Je hoeft geen jurist te zijn om AI verantwoord in te zetten. Maar je hebt wel een minimale basis nodig.
Doe dit voordat je uitrolt:
- Breng in kaart welke tools je wil gebruiken en sluit verwerkersovereenkomsten af waar dat nodig is.
- Maak een korte interne richtlijn over welke data medewerkers wel en niet mogen invoeren in AI-tools.
- Bepaal in welke processen AI-output altijd menselijk gecontroleerd moet worden.
- Betrek je OR als je van plan bent AI in te zetten bij personeelsbeslissingen of monitoring.
- Raadpleeg een jurist als je twijfelt over een specifieke toepassing, zeker bij hoog-risico gebruik.
Dit hoeft geen groot project te zijn. Voor de meeste MKB-bedrijven die AI inzetten voor interne productiviteit, is een dag werk genoeg om een solide basis te leggen.
Conclusie
Je hoeft niet alles perfect te hebben geregeld voordat je begint. Maar de vijf gebieden in dit artikel zijn geen bijzaken. Ze zijn het fundament onder verantwoord AI-gebruik.
De bedrijven die hier problemen mee krijgen, zijn niet de bedrijven die het fout hadden. Het zijn de bedrijven die er nooit over hebben nagedacht.
Nu weet jij waar je op moet letten. De volgende stap is uitzoeken welke van deze punten voor jouw organisatie het meest urgent zijn.
Wil je weten hoe je AI verantwoord implementeert in jouw organisatie, van compliance tot adoptie? Bij CommonBase begeleiden we MKB-bedrijven door dat hele traject. Neem contact op.