ABN AMRO meldt dat Nederlandse mkb-bedrijven steeds vaker AI inzetten, maar vaak zonder beleid voor privacy, veiligheid en aansprakelijkheid. Het gaat om toepassingen als tekstschrijven, klantcontact en software-ontwikkeling. Dit speelt in heel Nederland en is actueel op het moment van schrijven. De druk neemt toe door de Europese AI-verordening (AI Act), die nieuwe plichten oplegt met directe gevolgen voor het mkb.
Mkb mist AI-risicobeleid
Veel bedrijven experimenteren met generatieve AI om sneller te werken en kosten te verlagen. ABN AMRO ziet dat beleid en toezicht daarbij achterblijven. Daardoor is onduidelijk wie verantwoordelijk is, hoe met data wordt omgegaan en wanneer een mens moet ingrijpen.
Zonder duidelijke afspraken ontstaat risico op datalekken, fouten in beslissingen of schending van auteursrechten. Dit raakt niet alleen IT, maar ook HR, marketing en juridische zaken. Bestuurders moeten daarom kaders vastleggen, zoals doelen, grenzen en rapportage.
ABN AMRO wijst erop dat mkb’ers vaak wel een algemene IT- of privacyverklaring hebben, maar geen specifiek AI-beleid. AI-systemen leren van data en kunnen fouten herhalen of versterken. Dat vraagt andere controles dan bij traditionele software.
Populaire tools zonder afspraken
Werknemers gebruiken vaak ChatGPT van OpenAI, Microsoft 365 Copilot en Google Gemini. Dat gebeurt geregeld zonder toestemming of contract, ook wel “shadow AI”. Het gevolg is dat gevoelige informatie buiten zicht kan belanden of voorwaarden onduidelijk zijn.
Bedrijven doen er goed aan om enterprise-versies te gebruiken met databeperkingen en logging. Ook helpt het om een lijst met goedgekeurde tools te publiceren. Toegang en bewaartermijnen moeten per rol en proces worden geregeld.
Generatieve AI is software die op basis van voorbeelddata nieuwe teksten, beelden of code maakt.
Daarnaast is transparantie richting klanten nodig. Laat zien wanneer een chatbot of tekstgenerator is gebruikt. Zo kunnen gebruikers fouten melden en blijft het vertrouwen behouden.
AVG en auteursrecht knellen
Wie persoonsgegevens in een AI-systeem stopt, valt onder de AVG. Dat betekent dataminimalisatie, versleuteling en een duidelijke grondslag. Voor risicovolle verwerkingen is een DPIA nodig: een voorafgaand privacy-onderzoek.
Er spelen ook auteursrechten. Onzeker is soms of trainingsdata of uitkomsten rechten schenden. Mkb’ers hebben daarom afspraken nodig over licenties en hergebruik van teksten, code en beelden.
Verder kan een model ‘hallucineren’: het bedenkt foute feiten met zeker klinkende taal. Daarom zijn menselijke controle en bronvermelding essentieel. Leg vast wie de laatste beoordeling doet en hoe correcties worden opgeslagen.
AI-verordening vraagt regie
De Europese AI-verordening (AI Act) is op het moment van schrijven in werking met gefaseerde toepassing. Verboden praktijken gelden eerder, regels voor generieke modellen en hoog-risicosystemen volgen later. Bedrijven die AI inzetten, krijgen plichten als documentatie, risicobeoordeling en menselijke toezichtmaatregelen.
De wet werkt met risicoklassen, van beperkt tot hoog risico. Leveranciers moeten aanduiden in welke klasse hun systeem valt en passende waarborgen bieden. Gebruikers (de ‘deployers’) moeten nagaan of het systeem geschikt is voor het gekozen doel en of het CE- of conformiteitsmarkeringen heeft.
Voor Nederland betekent dit dat mkb’ers hun AI-toepassingen moeten inventariseren en rubriceren. Controleer contracten, technische logboeken en instructies van de leverancier. Betrek daarbij ook de Autoriteit Persoonsgegevens voor AVG-vragen en branchecodes waar relevant.
Praktische stappen voor mkb
Begin met een kort, werkbaar AI-beleid. Beschrijf doelen, verboden gebruik, datastromen en wie mag goedkeuren. Houd het eenvoudig en herzie het elk kwartaal.
Stel een AI-verantwoordelijke aan uit de business, met steun van IT, security en legal. Regel training voor medewerkers over veilige prompts en het vermijden van persoonsgegevens. Gebruik interne voorbeeldteksten en checklists om fouten te voorkomen.
Kies waar mogelijk enterprise-licenties met dataprotectie, logging en regionaal databeheer. Zet test- en productieomgevingen uit elkaar en gebruik watermerken of labels bij AI-gegenereerde content. Leg beslissingen vast, zodat audits en klantvragen snel zijn te beantwoorden.
Banken letten op governance
Financiers en verzekeraars kijken steeds vaker naar AI-governance bij kredietaanvragen en risico-inschatting. Ontbreekt beleid, dan kan dit leiden tot extra vragen, voorwaarden of uitstel. Een duidelijk kader vermindert operationeel en reputatierisico, wat ook voor leveranciers en klanten vertrouwen geeft.
ABN AMRO benadrukt dat goed bestuur begint met kleine, haalbare stappen. Denk aan een register van AI-toepassingen en een standaardrisicotoets. Dat sluit aan op bestaande compliance-processen rond AVG en informatiebeveiliging.
Tot slot helpt samenwerken in de keten. Vraag partners naar hun AI-controles en deel eigen richtlijnen. Zo ontstaat een gelijk speelveld dat past bij de AI Act en de Nederlandse praktijk.