Een AI-policy van 25 paginas die niemand leest is geen policy. Een werkbare policy past op twee paginas plus FAQ, en is uitgewerkt in concrete tools en signalen.
Toegestane en verboden tools
Een lijst met goedgekeurde AI-tools (Microsoft Copilot, Azure OpenAI in eigen tenant) en een verboden lijst (consumer-ChatGPT met bedrijfsdata, ongeauthoriseerde bots). Bij tools-aanvraag een approval-flow met IT en data-protection.
Dataclassificatie en AI
Per data-classificatie regels: Public mag overal, Internal alleen in approved tools, Confidential alleen in eigen-tenant-tools, Restricted nooit in AI tenzij expliciet goedgekeurd. Zo simpel mogelijk maar niet simpler.
Prompt-richtlijnen
Geen klantnamen, BSN's of medische informatie in prompts. Geen interne strategische documenten. Wel: gegeneraliseerde vragen, sjabloon-bouwwerk, code-help. Per categorie een voorbeeld.
Escalatie en incidenten
Als AI iets fout doet (verkeerd advies, datalek-vermoeden, ongepaste output): wie meld je het, hoe wordt het opgevolgd. Helpdesk-flow met security-koppeling. AI-incidenten zijn leerpunten plus AI Act-rapportage-input.
Verwant: Freelance AI consultant inhuren, AI literacy training.