De meeste ondernemers hebben geen AI-strategie. Ze hebben een medewerker die ChatGPT gebruikt voor e-mails, iemand op marketing met een beeldgenerator, een boekhoudpakket met slimme herkenning en misschien een chatbot op de website. Los voelt dat onschuldig. Samen is het wel degelijk AI-gebruik dat je moet kunnen uitleggen.
Dit artikel is voor mkb-bedrijven die vóór de strengere AI Act-momenten in 2026 overzicht willen krijgen zonder een juridisch project van 60 pagina’s te starten. Het doel is simpel: in één middag weten welke AI-tools je gebruikt, waarvoor, met welke data en wie eigenaar is.
TL;DR: je eerste AI-register past op één pagina - Noteer toolnaam, leverancier, doel, gebruikers, datatypes, risico en eigenaar. - Begin met tools die klantdata, personeelsdata, prijsinformatie of contentpublicatie raken. - Maak onderscheid tussen intern hulpmiddel, klantgerichte AI en beslissende AI. - Voeg per tool één werkafspraak toe: wat mag wel, wat mag niet, wanneer moet een mens controleren. - Plan elke 3 maanden een update van 30 minuten.
Waarom een toolregister nu praktisch is De AI Act draait voor veel mkb-bedrijven niet meteen om zware certificering, maar wel om bewust, transparant en aantoonbaar gebruik. Als je niet weet welke AI-tools in je bedrijf rondzwerven, kun je ook niet sturen op privacy, kwaliteit, transparantie of kosten. Een register is daarom geen compliance-theater. Het is bedrijfsvoering.
Bovendien voorkomt het toolsprawl. Veel teams betalen voor meerdere AI-tools die hetzelfde doen. Eén medewerker gebruikt een losse transcriptietool, een ander gebruikt Copilot, marketing gebruikt een contenttool en support test een chatbot. Zonder overzicht stapelen abonnementen, data-risico’s en onduidelijke verantwoordelijkheden zich op.
De middagplanning Blok 3 uur. Nodig iemand uit van directie, operations, marketing/sales, administratie en eventueel IT. Zet een lege spreadsheet klaar met acht kolommen: tool, leverancier, proces, gebruikers, data, output, risico, eigenaar. Meer heb je niet nodig om te beginnen.
In het eerste uur verzamel je alles. Vraag niet: ‘Welke AI-tools gebruiken we officieel?’ Vraag: ‘Welke tools doen iets slims met tekst, beeld, documenten, data, planning, klantcontact of voorspellingen?’ Dan komen ook ingebouwde functies boven water, zoals automatische factuurherkenning, slimme e-mailconcepten en AI-samenvattingen in vergadertools.
In het tweede uur classificeer je. Intern hulpmiddel is laag risico: een medewerker vraagt hulp bij een concepttekst. Klantgerichte AI is gevoeliger: een chatbot, automatische e-mail of gepersonaliseerd advies. Beslissende AI is het meest kritisch: systemen die kandidaten, krediet, prijzen, planning of toegang beïnvloeden. Veel mkb-tools vallen in de eerste twee groepen, maar je moet het wel bewust vastleggen.
In het derde uur maak je afspraken. Per tool schrijf je één zin: ‘Deze tool mag worden gebruikt voor X, niet voor Y, en output wordt gecontroleerd door Z.’ Dat klinkt eenvoudig, maar het haalt veel vaagheid uit de organisatie.
Voorbeeld van een nuchter register ChatGPT Team: gebruikt door marketing en sales voor conceptteksten, geen klantdossiers of persoonsgegevens invoeren, output altijd controleren voor publicatie, eigenaar: marketingmanager. Microsoft Copilot: gebruikt voor interne samenvattingen, geen vertrouwelijke contractonderhandelingen samenvatten zonder toestemming, eigenaar: operations.
Websitechatbot: beantwoordt veelgestelde vragen en verzamelt contactgegevens voor terugbelverzoeken, vermeldt dat het een digitale assistent is, complexe klachten gaan naar support, eigenaar: klantenservice. Boekhoudsoftware met scanfunctie: herkent facturen en bonnetjes, financiële medewerker controleert boekingsvoorstellen, eigenaar: administratie.
Dit is niet perfect, maar wel bruikbaar. Een register dat leeft is beter dan een beleidsdocument dat niemand opent.
De vier risico’s die je echt wilt zien Het eerste risico is persoonsgegevens. Vraag per tool: voeren we namen, e-mailadressen, klantnummers, personeelsinformatie of financiële details in? Zo ja, minimaliseer en leg vast waarom het nodig is.
Het tweede risico is publicatie. AI kan overtuigende onzin schrijven. Alles wat naar klanten, website, social media of offertes gaat, verdient menselijke controle. Niet omdat AI slecht is, maar omdat jouw bedrijf verantwoordelijk blijft voor de belofte.
Het derde risico is besluitvorming. Als AI invloed heeft op wie korting krijgt, wie wordt aangenomen, welke klant prioriteit krijgt of welke leverancier wordt gekozen, moet je veel scherper kijken. Dan gaat het niet meer om teksthulp, maar om beslissingsondersteuning.
Het vierde risico is afhankelijkheid. Als één workflow alleen nog werkt dankzij een tool zonder export, zonder eigenaar en zonder fallback, bouw je operationeel risico op. Noteer daarom ook per kritieke tool wat je doet als hij uitvalt.
AI-geletterdheid maak je klein Veel ondernemers horen ‘AI-geletterdheid’ en denken aan trainingen van 2 dagen. Begin kleiner. Geef medewerkers een werkinstructie van één pagina: gebruik AI voor concepten, samenvattingen en ideeën; voer geen gevoelige data in zonder afspraak; controleer feiten; vermeld AI-hulp waar relevant; vraag hulp bij twijfel.
Maak daarna 2 korte sessies van 45 minuten. Sessie 1: wat mag wel en niet met klantdata? Sessie 2: hoe controleer je AI-output? Leg aanwezigheid vast. Niet omdat je schooltje speelt, maar omdat je later wilt kunnen aantonen dat je bewust hebt georganiseerd.
Van register naar ritme Een register veroudert snel. Nieuwe tools komen via browsers, boekhoudpakketten, CRM’s en marketingsoftware binnen. Plan daarom elk kwartaal een update. Vraag: welke tools zijn erbij gekomen, welke gebruiken we niet meer, zijn er incidenten geweest, zijn kosten logisch, en moeten afspraken worden aangepast?
Koppel het aan iets bestaands, bijvoorbeeld kwartaalrapportage of security-overleg. Als AI-governance een los project blijft, verdwijnt het. Als het onderdeel wordt van je normale bedrijfsritme, blijft het licht.
Veelgemaakte fouten De eerste fout is wachten op volledige juridische duidelijkheid. Je hoeft niet alles perfect te weten om overzicht te maken. De tweede fout is alleen officiële software tellen. Browserextensies, gratis tools en ingebouwde AI-functies zijn vaak precies waar data ongemerkt weglekt. De derde fout is verbieden zonder alternatief. Als je AI zomaar blokkeert, gaan medewerkers het privé gebruiken.
Beter is: bied veilige routes. Geef aan welke tools voorkeurskeuze zijn, welke data daarin mag en waar medewerkers terechtkunnen met nieuwe ideeën. Governance werkt pas als het de dagelijkse praktijk helpt.
Welke tools vergeet je waarschijnlijk? In inventarisaties worden vaak dezelfde categorieën gemist. Denk aan browserextensies die teksten herschrijven, vergadertools die automatisch notuleren, CRM-functies die leads scoren, advertentieplatforms die doelgroepen optimaliseren en boekhoudpakketten die facturen herkennen. Ook mobiele apps tellen mee als medewerkers klantinformatie kopiëren om snel een antwoord te maken.
Vraag daarom expliciet naar gedrag, niet alleen naar applicaties. ‘Waar plak jij klanttekst in om tijd te besparen?’ levert eerlijkere antwoorden op dan ‘Gebruik jij AI?’ Sommige medewerkers zien slimme functies niet als AI, zeker als ze ingebouwd zijn in software die al jaren wordt gebruikt. Je register wordt beter wanneer je zonder schuldvraag inventariseert.
Maak één veilige standaardroute Na de inventarisatie kies je bij voorkeur één of twee goedgekeurde AI-routes voor dagelijks gebruik. Bijvoorbeeld ChatGPT Team voor tekstconcepten en Copilot voor interne documenthulp. Daarmee voorkom je dat medewerkers naar gratis onbekende tools grijpen. Zet in je beleid niet alleen verboden, maar ook: ‘Gebruik bij twijfel deze route.’ Veilig gedrag moet makkelijker zijn dan schaduwgebruik.
Conclusie Een AI Act-toolregister is geen bureaucratische last, maar een ondernemersinstrument. Je ziet kosten, risico’s, dubbel werk en kansen in één overzicht. Begin niet met dikke beleidsstukken. Begin met acht kolommen, 3 uur en duidelijke eigenaren.
Wie nu inventariseert, hoeft later niet te reconstrueren. En belangrijker: je team krijgt ruimte om AI te gebruiken zonder dat iedereen zelf moet gokken waar de grenzen liggen.
Direct toepasbare prompt
"Geef me een praktische aanpak voor [probleem] voor een Nederlands mkb-bedrijf. Houd het kort, met concrete stappen en voorbeeldtekst."