In 2024 publiceerde IFORI een gratis sjabloon: Beleid inzake het Acceptabel Gebruik van Generatieve AI. Het definieert de scope, stelt eisen in de prompt- en outputfase, verbiedt het invoeren van vertrouwelijke informatie of ongeautoriseerde persoonsgegevens, vereist traceerbaarheid van de uitwisseling en houdt de gebruiker verantwoordelijk voor de kwaliteit van de output.
Een beleid van dit soort kent een bekende zwakte: het reguleert gedrag alleen voor zover de gebruiker het leest, terugroept en toepast op het moment van gebruik, meestal terwijl hij in een chatbot typt, zonder enige herinnering in zicht. Die afstand tussen de regel en de wet is waar naleving vaak faalt. Er is echter een praktische manier om deze afstand te verkorten.
Code als wet, wet als code
De meeste generatieve AI-assistenten laten een organisatie nu vaste instructies opstellen die op elk gesprek van toepassing zijn. In Claude (Anthropic) is deze functie Organisatie-instructies: instructies die “van toepassing zijn op elk gesprek binnen je organisatie en voorrang hebben boven de persoonlijke voorkeuren van gebruikers.” Het ingevulde beleid wordt vertaald van juridische tekst naar operationele instructies waar het model op kan reageren, zoals het weigeren van vertrouwelijke of klantgegevens en ongeautoriseerde persoonsgegevens, de gebruiker vragen een record te bewaren en menselijke controle vereisen voordat output de organisatie verlaat. Deze worden vervolgens ingevoerd in de instellingen. Het beleid grijpt vervolgens in tijdens het gesprek, voordat het werk wordt gedaan.

Policy-as-code-achtig: wat het is, en wat het niet is
De aanpak is niet uniek voor één tool, de hefboom wordt steeds standaard en de meeste organisaties hebben die al. Voor de SME is het vooral een eenvoudige manier om een beleid wat kracht te geven: het document stopt pas met het zijn van een referentie die wordt geraadpleegd nadat er iets mis is gegaan en begint op het moment dat het werk gedaan is als beperking te fungeren.
Maar dit is instructie-volgen, geen handhaving. Compliance is probabilistisch, niet deterministisch. Het vormt het standaardpad en zorgt voor wrijving en bewustzijn, maar het is geen harde controle zoals een toegangsbeperking of een DLP-regel die niet omzeild kan worden. Een vastberaden gebruiker kan het omzeilen via de manier waarop een verzoek wordt geformuleerd, en het regelt alleen het hulpmiddel waarin het is geconfigureerd, niet een tweede assistent die onder een persoonlijk account wordt geopend, wat precies is waar verboden gebruik het meest waarschijnlijk is.
Daarom is policy-as-code-ish het nauwkeurigere label: de instructie neemt de positie van architectuur in, ingebouwd en vooraf toegepast, maar draagt alleen de kracht van een norm. De waarde varieert omgekeerd met de reeds aanwezige infrastructuur.
Praktische conclusie
Een beleid alleen levert geen conform AI-gebruik op, en een enkele vermelding in een instellingenveld doet dat ook niet. Naleving is gelaagd: het beleid als registratie en basis voor verantwoording; vaste instructies om het operationeel te maken op het moment van gebruik; technische maatregelen (toegangsbeheer, DLP, …) voor wat instructie niet kan afdwingen; en een AI-vaardige beroepsbevolking als laag die blijft wanneer de andere worden overgeslagen.