AI en compliance: 7 vragen om te stellen voor elke bedrijfsuitrol
AI beweegt snel, compliance beweegt voorzichtig. Deze vragen horen thuis voor de lancering, niet erna.
Een team ziet een indrukwekkende demo. Binnen enkele minuten wil iedereen ze testen met echte data. Precies dan beginnen de echte vragen: mogen we klantdocumenten uploaden? CV's van kandidaten? Contracten? Medische aanvragen? Dit zijn niet alleen technische vragen — het zijn compliancevragen. En ze moeten gesteld worden voordat AI op een echt proces wordt aangesloten, niet na het eerste incident. Dit zijn de zeven vragen die een gecontroleerd project scheiden van een project dat de onderneming stilletjes blootstelt.
Welke data gaat de AI gebruiken?
De eerste vraag is het makkelijkst te formuleren en wordt het vaakst overgeslagen: welke exacte categorieën data gaat de AI zien? Anonieme interne tekst brengt niet dezelfde verplichtingen mee als persoonsgegevens of gevoelige data — namen, contactgegevens, CV's, HR-dossiers, gezondheidsinformatie, juridische documenten. Zodra persoonsgegevens in het spel zijn, geldt de GDPR: een bepaald doel, een rechtsgrond, dataminimalisatie, een bewaartermijn. Onduidelijke data levert onduidelijk risico op. Als niemand precies kan zeggen wat de AI leest, kan niemand inschatten wat ze blootstelt.
Wat mag de AI doen?
Een AI-systeem heeft geen enkel risiconiveau: alles hangt af van de actie die het krijgt. Een intern beleid samenvatten is iets heel anders dan advies rechtstreeks naar een klant sturen, sollicitaties filteren of een dossier afwijzen. Er moeten dus twee dingen worden vastgelegd: de rol van de AI, en wat ze nooit mag doen. Mag ze een concept opstellen ter goedkeuring, of zelfstandig handelen? Mag ze een bericht naar buiten sturen, of enkel interne inhoud voorbereiden? Hoe meer een actie een persoon raakt, hoe duidelijker de grens op papier moet staan.
Levert deze use case een hoog risico op?
Sommige domeinen vragen van nature om sterkere controles: werving, HR, gezondheidszorg, juridisch, financiën, veiligheid van personen. Dat zijn gevallen waarin een fout of een bias niet alleen tijd kost, maar iemands rechten, werk of veiligheid kan raken. De Europese AI-verordening (AI Act) volgt precies deze logica: ze is risicogebaseerd. Hoe hoger de impact van een systeem, hoe sterker de verplichtingen inzake transparantie, documentatie en toezicht. Een use case eerlijk classificeren — alledaags gebruik of gebruik met hoge impact — bepaalt de toon voor al de rest.
Wie blijft verantwoordelijk, en wie houdt toezicht?
Wanneer AI een output produceert die in een beslissing wordt gebruikt, wie staat daar dan voor in? Het antwoord is nooit de tool. Er moet duidelijk eigenaarschap worden toegewezen: een proceseigenaar, een data-eigenaar, een beslissingseigenaar (in een kleinere onderneming kan één persoon meerdere rollen combineren). Die verantwoordelijkheid vertaalt zich vervolgens in concreet menselijk toezicht: wie beoordeelt de output, welke output vereist een formele goedkeuring voor gebruik, en wat gebeurt er bij twijfel of een fout? Het toezicht moet in verhouding staan tot het risico — licht voor een interne samenvatting, streng voor een beslissing die een persoon raakt.
Wat belooft de leverancier op papier?
Veel garanties worden gegeven tijdens een verkoopgesprek en verdwijnen daarna stilletjes. Wat telt, is wat in het contract staat. Waar wordt de data gehost? Wordt ze gebruikt om de modellen van de leverancier te trainen? Hoe lang wordt ze bewaard, en hoe wordt ze verwijderd? Is er een verwerkersovereenkomst (DPA) en een duidelijke lijst van subverwerkers? Een onderneming die AI op echte data inzet, heeft schriftelijke, verifieerbare antwoorden nodig, geen mondelinge geruststelling. Als een leverancier het niet op papier kan zetten, is dat al een antwoord.
Hoe wordt het systeem na de lancering opgevolgd?
Een AI-uitrol is niet klaar op de dag van de livegang. Het gedrag van een systeem verandert mettertijd: het gebruik verschuift, fouten duiken op, de bronnen waarop het steunt worden bijgewerkt, een onvoorzien randgeval doet zich voor. Beslis dus van bij het begin hoe u gebruik, fouten, drift en bronupdates opvolgt, en hoe een incident wordt geëscaleerd. Zonder die opvolging ontdekt een onderneming problemen pas wanneer ze van buitenaf zichtbaar zijn geworden — op het slechtst denkbare moment.
Waar BeLogic past
Bij BeLogic zetten we AI-agents in rond een duidelijke use case, goedgekeurde databronnen, een vastgelegde menselijke controle, zicht op de bronnen en logging van acties. Concreet: een agent die concepten voorbereidt ter goedkeuring in plaats van een systeem dat zelfstandig beslist; afgebakende data gehost in de EU; schriftelijke grenzen op wat de agent wel en niet mag doen; een leverancier die zich contractueel verbindt. We helpen klanten ook om hun project te situeren ten opzichte van de GDPR en de AI Act, en om toegang te krijgen tot regionale AI-subsidies. Het doel is niet om AI te vertragen, maar om ze zowel nuttig als gecontroleerd te maken — want een systeem dat je kunt uitleggen, is een systeem waarop je kunt bouwen.