Wat is AI-geletterdheid en waarom is het verplicht onder de nieuwe EU AI Act?
Door: Jafet & Wob, De AI Workshop
18 decmber 2025
De term AI-geletterdheid is tegenwoordig niet meer weg te denken. Je hoort hem van beleidsmakers, bestuurders en consultants. Maar het is meer dan een modewoord. De Europese Unie heeft er beleid van gemaakt: organisaties zijn verplicht hun mensen te trainen in het verantwoord omgaan met kunstmatige intelligentie. Dit is niet alleen iets voor IT'ers; het raakt iedereen, van beleidsadviseur tot docent en van marketeer tot zorgmedewerker.
Deze gids is geschreven voor bestuurders, HR-managers, Security Officers, directieleden en teamleiders. We richten ons op professionals die verder willen kijken dan de hype en die nu geconfronteerd worden met de noodzaak om te voldoen aan nieuwe wetgeving. We bespreken niet alleen de risico's, maar geven je ook de juridische kaders en praktische tools om compliance te borgen zonder innovatie te smoren.
"AI-geletterdheid moet per 2 februari 2025 gewaarborgd worden door aanbieders en gebruiksverantwoordelijken van AI-systemen. Deze organisaties dragen zorg voor voldoende AI-geletterdheid onder personeel."
— Autoriteit Persoonsgegevens
AI-geletterdheid is het vermogen om AI-tools effectief en veilig te gebruiken, terwijl je kritisch blijft over de output, de risico's begrijpt en juridisch/ethisch verantwoord handelt.
De kerncompetentie hierbij is het begrijpen van de aard van de machine. Een medewerker moet snappen dat een Large Language Model (LLM) zoals ChatGPT niet werkt als een zoekmachine of database die 'feiten' ophaalt. Het is een probabilistisch model dat op basis van statistiek voorspelt welk woord logischerwijs volgt op het vorige. Als je dit fundamentele verschil niet begrijpt, ben je geneigd om plausibel klinkende maar feitelijk onjuiste output (hallucinaties) voor waarheid aan te nemen. AI-geletterdheid betekent dus: weten wanneer je de machine moet wantrouwen. AI-geletterdheid wordt vaak verward met digitale geletterdheid, maar er is een verschil: AI-geletterdheid draait specifiek om vaardigheden rondom kunstmatige intelligentie.
De tijd van vrijblijvend experimenteren is voorbij. Met de inwerkingtreding van de Europese AI Act is AI-geletterdheid verschoven van een 'nice-to-have' soft skill naar een harde compliance-eis. Het is niet genoeg om een handleiding op Intranet te zetten; je moet kunnen aantonen dat je rekening hebt gehouden met de technische kennis en ervaring van je personeel". De Europese AI Act is de eerste uitgebreide wet ter wereld die regels stelt voor het gebruik van kunstmatige intelligentie. Het doel? AI-systemen transparant, veilig en betrouwbaar maken. De wet deelt toepassingen in op basis van risico, van laag tot onaanvaardbaar. Systemen met een onaanvaardbaar risico, zoals sociale scoremodellen of manipulerende algoritmes, worden verboden. Bij toepassingen met een hoog risico, denk aan AI in werving, onderwijs of publieke diensten, gelden strenge eisen voor controle en transparantie.
Sinds augustus 2025 zijn er ook specifieke regels voor Generatieve AI (GPAI), de grote modellen die de basis vormen van bekende tools zoals ChatGPT, Claude of Gemini. Leveranciers moeten open zijn over hun gebruikte data, de veiligheid waarborgen en de rechten van makers respecteren. Deze impact reikt verder dan de techsector. Elke organisatie die AI gebruikt,van gemeenten en zorginstellingen tot middelgrote bedrijven, moet weten wat dit voor hun dagelijkse werk betekent.
Specifiek Artikel 4 van de AI Act stelt dat organisaties die AI-systemen inzetten (of hun werknemers toestaan deze te gebruiken) wettelijk verplicht zijn om te zorgen voor voldoende AI-geletterdheid bij hun personeel. De wetgever wil hiermee voorkomen dat beslissingen blindelings worden overgelaten aan algoritmes. Negeer je dit artikel, dan loop je niet alleen het risico op aanzienlijke boetes, maar sta je ook juridisch zwak bij incidenten waarbij AI schade veroorzaakt aan klanten of werknemers.
AI-geletterdheid komt in de kern neer op kritisch denken. Het gaat erom dat je kunt inschatten hoe betrouwbaar een AI-systeem is en wat de gevolgen van het gebruik ervan zijn. Dit vereist een basisbegrip van hoe AI werkt: dat een model leert van data, dat die data niet altijd neutraal zijn, en dat de uitkomst dus ook niet per definitie objectief is. Medewerkers hoeven geen algoritmes te schrijven, maar ze moeten wel snappen wat er achter de schermen gebeurt.
Belangrijk is ook het bewustzijn van de risico's. Veel AI-toepassingen zijn zogenaamde 'black boxes': ze geven antwoorden zonder uitleg over hoe die tot stand zijn gekomen. Zonder basiskennis trek je dan al snel de verkeerde conclusies, of deel je onbedoeld vertrouwelijke informatie. Dit zien we vaak bij het gebruik van generatieve AI, zoals ChatGPT. Medewerkers gebruiken het massaal via persoonlijke accounts, vaak zonder te weten waar hun gegevens terechtkomen of hoe ze worden verwerkt.
AI-geletterdheid betekent ook dat je digitaal volwassen wordt. Dat houdt in dat medewerkers weten welke informatie veilig is om te gebruiken, hoe ze privacy beschermen en hoe ze betrouwbare bronnen onderscheiden van schijnzekerheid. Het sluit aan bij bredere thema's als dataveiligheid, ethiek en informatiebeheer.
Bij De AI Workshop zien we elke dag weer hoe groot de kloof is tussen enthousiasme en beleid. Organisaties experimenteren volop met AI, maar vaak zonder duidelijke afspraken. In een gemeente zagen we bijvoorbeeld ambtenaren AI-tools gebruiken om rapportages te schrijven, terwijl niemand wist wat er met de ingevoerde data gebeurde. De bedoeling was goed: slimmer werken en tijd besparen. Maar de risico's waren onbekend.
Ook kwamen we docenten tegen die AI inzetten voor lesmateriaal. Ze waren enthousiast, maar hadden de kennis niet om te beoordelen of de output feitelijk juist of bevooroordeeld was. Hierdoor werd AI een handige hulp, maar geen betrouwbare partner. Dit laat zien dat AI-geletterdheid niet vanzelf ontstaat. Zonder een bewust beleid blijft het gebruik ad hoc, afhankelijk van individuele initiatieven en persoonlijke overtuigingen.
Een ander voorbeeld van hoe het mis kan gaan bij een gebrek aan AI-geletterdheid, vond plaats bij tech-gigant Samsung. In 2023 blokkeerde het bedrijf tijdelijk het gebruik van Generatieve AI nadat bleek dat engineers gevoelige, interne broncode hadden gekopieerd en geplakt in de gratis versie van ChatGPT om fouten op te sporen.
Wat deze medewerkers zich niet realiseerden is dat de gratis versie van deze tools de input van gebruikers opslaat en gebruikt om het model verder te trainen. Hierdoor liep Samsung het risico dat hun staatsgeheime broncode later als 'antwoord' zou opduiken bij een concurrent die een vergelijkbare vraag stelde aan de chatbot of dat OpenAI de data zou verkopen. Dit incident laat zien: zelfs technisch zeer onderlegde mensen zijn niet per definitie 'AI-geletterd'. Als dit bij een tech-gigant kan gebeuren, is het risico voor jouw organisatie net zo groot.
Eén ding is duidelijk: het negeren van AI is geen optie, maar het simpelweg verbieden werkt averechts. Het resultaat van een verbod is vaak slechts méér 'Shadow AI': een wildgroei aan ongereguleerde tools buiten het zicht van IT. Hoe los je dit op? De overstap van willekeurig gebruik naar strategische inzet begint met inzicht en structuur. Om te komen tot een volwassen niveau van AI-geletterdheid is een structurele aanpak nodig. De Autoriteit Persoonsgegevens stelt hiervoor een meerjarig actieplan voor dat bestaat uit vier concrete stappen: Identificeren, Doel bepalen, Uitvoeren en Evalueren. Hieronder lees je hoe je deze stappen in de praktijk brengt.
Stap 1: Identificeren (De Reality Check)
De eerste stap is inventariseren welke AI-systemen er binnen de organisatie gebruikt worden en inzicht krijgen in de risico's. Als je dit in kaart brengt, ontdek je vaak dat de technologie al dieper in de organisatie zit dan gedacht.
Het gaat niet alleen om medewerkers die ChatGPT open hebben staan. Marketeers gebruiken GenAI-tools voor socialmediaposts, HR-teams zetten AI-assistenten in voor vacatureteksten en helpdesks gebruiken chatbots voor klantvragen. Zelfs in communicatietools zoals Microsoft Teams en Zoom worden automatisch samenvattingen en actielijsten toegevoegd. Door deze inventarisatie, bijvoorbeeld via het AVG-verwerkingsregister, maak je de onzichtbare 'Shadow AI' zichtbaar.
Stap 2: Doelen en kaders bepalen
Niet iedereen hoeft over dezelfde kennis te beschikken. Het bepalen van de doelen hangt af van de rol van de medewerker en het risiconiveau van het systeem.
Differentiatie: Een HR-medewerker die assessments afneemt (hoog risico) heeft andere kennis nodig dan een copywriter.
Kaders stellen: Leg vast wat wel en niet mag. Welke taken zijn geschikt voor generatieve AI en waar is menselijke controle ('human in the loop') essentieel?
Pas als deze kaders duidelijk zijn, kan AI een betrouwbare partner worden in plaats van een onzichtbare risicofactor.
Stap 3: Uitvoeren (Faciliteren en Trainen)
Na het stellen van doelen volgt de uitvoering. Een effectieve aanpak rust op twee pijlers: de juiste technische omgeving (faciliteren) en de juiste vaardigheden (trainen).
Pijler A: Faciliteer de veilige omgeving (IT) Je kunt niet van medewerkers verwachten dat ze veilig rijden als je ze in een auto zonder remmen zet. Shadow AI ontstaat vaak simpelweg omdat de organisatie geen veilig alternatief biedt. In onze Risico-Matrix (zie afbeelding) categoriseren we tools om beleid eenvoudig te maken:
Groen (Laag Risico - Enterprise/Zakelijk): De snelste klap maak je door te investeren in zakelijke licenties, zoals Copilot for Microsoft 365 of ChatGPT Enterprise. Hierbij is contractueel vastgelegd dat jouw data binnen de eigen omgeving blijft en niet wordt gebruikt voor het trainen van publieke modellen. Let op: Configureer dit goed. Zorg dat IT de juiste data retention policies instelt voordat de tool wordt uitgerold.
Rood (Hoog Risico - Openbaar & Gratis): Heb je (nog) geen budget voor Enterprise licenties? Realiseer je dan dat medewerkers waarschijnlijk terugvallen op gratis tools zoals de gratis versie van ChatGPT of DeepL. Omdat input hier wordt gebruikt om het model te trainen, moet het gebruik van bedrijfsdata in deze tools strikt verboden worden. Schakel in dit geval direct over op strikte data-hygiëne om schade te beperken.
Traditionele e-learnings of statische PDF-handleidingen werken hier vaak onvoldoende. AI-geletterdheid vereist interactie en gaat verder dan de knoppen bedienen; het gaat ook om ethische en sociale aspecten. Zodra iemand begrijpt dat een AI-model niets 'weet' maar simpelweg patronen herkent, verandert de manier waarop ze ermee omgaan.Rood (Hoog Risico - Openbaar & Gratis): Heb je (nog) geen budget voor Enterprise licenties? Realiseer je dan dat medewerkers waarschijnlijk terugvallen op gratis tools zoals de gratis versie van ChatGPT of DeepL. Omdat input hier wordt gebruikt om het model te trainen, moet het gebruik van bedrijfsdata in deze tools strikt verboden worden. Schakel in dit geval direct over op strikte data-hygiëne om schade te beperken.
Pijler B: Train de medewerkers (HR) Zelfs de veiligste tool ('Groen') is gevaarlijk in handen van iemand die niet weet wat hij doet. Artikel 4 van de AI-verordening stelt dat organisaties verplicht zijn te zorgen voor voldoende AI-geletterdheid bij hun personeel. Dit betekent dat medewerkers de juiste vaardigheden, kennis en begrip moeten hebben.
Traditionele e-learnings of statische PDF-handleidingen werken hier vaak onvoldoende. AI-geletterdheid vereist interactie en gaat verder dan de knoppen bedienen; het gaat ook om ethische en sociale aspecten. Zodra iemand begrijpt dat een AI-model niets 'weet' maar simpelweg patronen herkent, verandert de manier waarop ze ermee omgaan.
Stap 4: Evalueren (Blijven leren)
AI-geletterdheid is geen einddoel, maar een constant proces. Analyseer regelmatig of de doelstellingen worden gehaald, bijvoorbeeld via periodieke rapportages of enquêtes onder medewerkers. De ontwikkelingen gaan razendsnel; wat vandaag veilig is, kan morgen achterhaald zijn. Door te blijven evalueren, zorg je dat de organisatie meebeweegt met nieuwe kansen én risico's.
De snelheid waarmee AI zich ontwikkelt, laat je geen keuze: stilzitten is geen optie. Systemen worden krachtiger, integreren dieper in software en nemen steeds subtieler beslissingen over mensen en processen. Organisaties die nu investeren in AI-geletterdheid, bouwen aan een basis van vertrouwen en flexibiliteit. Ze zorgen ervoor dat hun medewerkers niet worden overdonderd door de technologie, maar er juist mee kunnen samenwerken.
Bovendien levert het meer op dan alleen compliance. Medewerkers die snappen hoe AI werkt, zien sneller nieuwe toepassingen, herkennen fouten eerder en kunnen efficiënter met de technologie werken. Ze worden niet vervangen door AI, maar juist sterker door het slimme gebruik ervan.
Uiteindelijk draait AI-geletterdheid om meer dan alleen kennis. Met deze kennis komt vertrouwen: vertrouwen dat je weet wat je doet met technologie die steeds meer bepaalt hoe je werkt, leert en beslissingen neemt. Vertrouwen dat data goed worden beschermd. En vertrouwen dat innovatie hand in hand kan gaan met verantwoordelijkheid.
Is het volledig verbieden van AI-tools de veiligste optie?
Nee, dat is schijnveiligheid. Als je AI verbiedt, gaan medewerkers het stiekem doen op hun privé-telefoon (Shadow AI), waardoor je elk zicht op de data verliest. Gecontroleerd toestaan en faciliteren is veiliger dan verbieden.
Hoe anonimiseer ik een prompt?
Vervang alle herleidbare gegevens door placeholders voordat je op de prompt verstuurt. Schrijf niet: "Maak een samenvatting van het ontslagdossier van Jan Janssen", maar: "Maak een samenvatting van het dossier van een werknemer". Verwijder ook alle persoongegevens en herleidbare data uit het document!
Wat houdt 'AI-geletterdheid' precies in volgens de wet?
Het is niet alleen technische kennis. AI-geletterdheid betekent dat personeel beschikt over de juiste vaardigheden, kennis en begrip om AI-systemen op een verantwoorde manier in te zetten. Dit omvat ook kennis over de werking, mogelijke risico's en de kansen van de systemen.
Moet iedere medewerker nu een uitgebreide AI-cursus volgen?
Er is geen 'one size fits all'-aanpak. Het benodigde kennisniveau hangt af van de rol van de medewerker en de context waarin de AI wordt gebruikt. Iemand die beslissingen neemt op basis van AI (zoals HR) heeft diepere kennis nodig dan iemand die er zijdelings mee te maken heeft. Onze workshops zijn altijd op maat voor de deelnemers en sluiten aan op het niveau van de medewerker.
Mag ik de gratis versie van ChatGPT zakelijk gebruiken?
Dit wordt sterk afgeraden voor bedrijfsgevoelige informatie. Gratis en openbare tools vallen vaak in de risicocategorie 'Hoog', omdat de input gebruikt kan worden om het publieke model te trainen. Zakelijk gebruik vereist vaak een Enterprise-licentie waarbij data contractueel privé blijft.
Geldt de verplichting voor AI-geletterdheid ook voor het MKB?
Ja, de wet spreekt over 'organisaties die AI-systemen inzetten'. Wel erkent de Autoriteit Persoonsgegevens dat de maatregelen afhankelijk zijn van de beschikbare middelen; grote organisaties zullen meer capaciteit hebben dan kleine, maar de basisverplichting geldt voor iedereen die AI inzet.
Wat is 'Shadow AI' en waarom is het een risico?
Shadow AI verwijst naar het gebruik van AI-tools door medewerkers zonder goedkeuring of zicht van de IT-afdeling. Dit creëert risico's op datalekken omdat data in onbeheerde bronnen terechtkomt. IBM-cijfers tonen aan dat datalekken via zulke 'Shadow Data' vaak duurder en lastiger op te lossen zijn.
Hoe start ik met het invoeren van AI-beleid?
maak een inventarisatie van alle AI-systemen die al (officieel of onofficieel) worden gebruikt binnen de organisatie. Gebruik bijvoorbeeld een enquête voor een nulmeting van het huidige kennisniveau van je medewerkers.
Wie is verantwoordelijk voor AI-geletterdheid: HR of IT?
Het is een gedeelde verantwoordelijkheid die bestuurlijk vastgelegd moet worden. IT faciliteert de veilige tools (zoals Enterprise-licenties), terwijl HR zorgt voor de opleiding en vaardigheden van het personeel. Voor grotere organisaties kan het nuttig zijn een specifieke 'AI-officer' aan te wijzen.
Hoe toon ik aan dat mijn organisatie voldoet aan de eisen?
Door te werken met een meerjarig actieplan dat bestaat uit identificeren, doelen stellen, uitvoeren en evalueren. Zorg voor periodieke rapportages en leg vast welke trainingen zijn gegeven en hoe het beleid wordt gemonitord.