Een tijd terug stond ik voor een MT van een middelgrote organisatie. Iedereen had een AI-bewustwordingscursus gehad. E-learning, certificaatje, vinkje. Toen ik vroeg "noem twee dingen die je medewerkers nu kunnen die ze drie maanden geleden niet konden", bleef het akelig stil.

Het lag niet aan het MT. De cursus had wel degelijk iets opgeleverd. Mensen wisten dat AI kan hallucineren, en dat je geen klantdata in publieke tools moet plakken. Wat ze niet wisten was of een collega in zijn eigen werkcontext, met zijn eigen vakkennis, een AI-output kon beoordelen op kwaliteit. Dat is een ander soort vraag, en de cursus had die niet beantwoord.

Daar zit de spanning waar veel organisaties nu mee worstelen. AI-geletterdheid is een organisatorische capability. Je bouwt het op en je kunt het aantonen. Sinds februari 2025 verplicht artikel 4 van de Europese AI Act iedere organisatie die AI inzet om hier maatregelen voor te nemen. Je leest er meer over in Playbook: De AI Act voor Ondernemers. De urgentie zit vooral aan de operationele kant. Zonder geletterde medewerkers krijg je shadow AI, schijncontrole en gemiste productiviteit, los van wat een toezichthouder ervan vindt.

Dit playbook legt uit wat AI-geletterdheid is, waarom de gangbare aanpak niet werkt, en wat je organisatie nodig heeft om er daadwerkelijk goed in te worden.

Het verschil tussen weten en kunnen

Bij veel organisaties betekent "we hebben AI-geletterdheid geregeld" het volgende. Iedereen heeft een halfuur e-learning gevolgd over hallucinaties en privacy, plus een policy onder het kopieerapparaat. Op papier klopt het. In de praktijk verandert er weinig.

De fout zit in het ontwerp van de training. Een halfuur online leren maakt iemand niet bekwaam, net zomin als een halfuur veiligheidsfilm iemand een gediplomeerde elektricien maakt. Bekwaamheid blijkt pas als iemand in zijn eigen werkcontext een AI-taak veilig kan uitvoeren, fouten kan herkennen, en weet wanneer hij moet escaleren.

In workshops test ik dit met een oefening die we De Muur noemen. Teams krijgen een realistische e-mailketen en moeten Copilot of ChatGPT vragen een projectplan te maken. Geen strikvraag, geen ingewikkelde casus. Gewoon: lees deze keten, maak het plan. De score op zes simpele controlevragen, dingen als "klopt de eigenaar, klopt de deadline, ontbreken er afhankelijkheden", ligt bij teams die de training al achter de rug hebben consistent rond de nul tot één. Niet twee tot drie, nee. Nul tot één.

Wat dit laat zien gaat over de training, en over wat de mensen er feitelijk uit hebben kunnen halen. Bewustzijn over hallucinaties is één ding. Ze in je eigen output herkennen, dat is een laag dieper. Hetzelfde geldt voor privacy. Weten dat het gevoelig ligt is stap één, inschatten of deze ene klantcasus door de tool mag is stap twee. Daar, in dat verschil, begint AI-geletterdheid.

Wat AI-geletterdheid feitelijk omvat

De Europese AI Act geeft een definitie die voor de meeste mensen onbruikbaar blijft, omdat hij zo algemeen is. Artikel 3 lid 56 spreekt over de vaardigheden, kennis en het begrip die mensen in staat stellen om geïnformeerd met AI om te gaan en bewust te zijn van kansen en risico's. Drie woorden om te onthouden: vaardigheden, kennis, begrip. Niet één gaat over technische vaardigheden.

Als je deze definitie combineert met het Europese competentiekader DigComp 2.2 (gepubliceerd door het Joint Research Centre van de EU) en de AI-competentieraamwerken van UNESCO, zie je consistent zes onderdelen terugkomen. Geen ervan is een prompt-skill.

Begrijpen wat AI is en niet is. Het verschil tussen voorspellende AI, generatieve AI en beslissingsondersteuning. Waarom de output probabilistisch is. Waarom een model nooit echt begrijpt zoals een mens begrijpt, en wat dat betekent voor de momenten waarop je het kan vertrouwen.

Tool-vaardigheid in context. Of je de juiste tool kiest voor deze taak, of je snapt waar je gekozen model goed in is en waar het tekortschiet, en of je iteratief kan verbeteren zonder de plot kwijt te raken. Prompten zit hierin, maar het is breder.

Wat mag wel en niet als input. Welke data is vertrouwelijk, wat zijn persoonsgegevens, wanneer wordt klant-, patiënt- of dossierinformatie een risico. Wat doet de tool met die data en welke leverancier heeft welke rechten.

Output beoordelen op kwaliteit. Bronnen verifiëren, aannames herkennen, bias signaleren, automation bias bij jezelf opmerken. Domeinkennis gebruiken om te toetsen wat er werkelijk staat.

Risico's herkennen en plaatsen. Technische risico's zoals hallucinaties en datalekken. Daarnaast juridische, reputationele en ethische. Wanneer is iets een incident, wanneer een leerpunt.

Weten wanneer een mens moet beslissen. De grens kennen tussen waar AI mag eindigen en menselijk oordeel begint. Vooral bij beslissingen die mensen rechtstreeks raken: werving, beoordeling, kredietverlening, zorg, klantcommunicatie naar buiten.

Geen van deze zes is technisch. Maar je leert ze ook niet in een halfuur e-learning, en al helemaal niet voor iedereen in dezelfde sessie. Dat is de eerste reden waarom de gemiddelde aanpak vastloopt. Hij past niet bij wat er feitelijk geleerd moet worden.

Drie krachten die je organisatie nu al raken

De wet is sinds februari 2025 actief.

Artikel 4 van de AI Act verplicht aanbieders en gebruikers (in de wet "deployers") om maatregelen te nemen voor een toereikend niveau van AI-geletterdheid bij hun personeel en bij iedereen die namens hen met AI werkt. Dat geldt voor elke organisatie die AI inzet, niet alleen voor hoog-risico-toepassingen. Wat exact onder die plicht valt, voor wie precies, en hoe risicocategorieën werken, dat staat in mijn eerdere AI Act-playbook. Wat hier telt is dat de verplichting bestaat, nu geldt, en bewust open is gelaten zodat organisaties hem voor hun eigen context moeten invullen.

Het risico zit al binnen, ook zonder formele AI-projecten.

Vrijwel iedere kennisorganisatie heeft inmiddels mensen die ChatGPT, Copilot, Claude of Gemini gebruiken voor hun werk, ook als IT dat niet zo bedacht heeft. Dat is shadow AI. Wat ze er precies in zetten, weet niemand. Wat eruit komt en waar het verdwijnt, weet niemand. In meerdere organisaties zie ik hetzelfde patroon. Marketingteams plakken klantbriefings in publieke tools om er pitchdecks van te laten genereren. HR-collega's gebruiken AI om cv's te samenvatten. Klantenservice draait een chatbot zonder dat juridisch heeft meegekeken naar hoe die met persoonsgegevens omgaat. Op zich is dat begrijpelijk. Het werkt namelijk. Tot iemand zich realiseert dat er maandenlang concurrentiegevoelige strategie naar een Amerikaanse leverancier is geüpload. Dan is het een incident geworden.

Het Nederlandse toezicht is verdeeld over tien autoriteiten, en alert.

Anders dan veel mensen denken heeft Nederland geen one-stop-shop voor AI-toezicht. De Uitvoeringswet AI-verordening verdeelt het toezicht over een tiental bestaande toezichthouders. De Autoriteit Persoonsgegevens speelt de coördinerende rol voor verboden praktijken en voor het merendeel van de hoog-risico AI-systemen. De Rijksinspectie Digitale Infrastructuur kijkt naar technische compliance. Sectorale autoriteiten zoals de AFM, de IGJ en het CBb hebben hun eigen verantwoordelijkheid binnen hun domein.

Twee dingen daarvan zijn voor jouw organisatie meteen voelbaar. De ene is dat "een toereikend niveau van AI-geletterdheid" per sector anders zal landen. Een bank wordt door de AFM langs een andere lat gelegd dan een ziekenhuis door de IGJ. De andere is misschien nog zwaarder. In de conceptwet krijgen toezichthouders de bevoegdheid om mystery shopping uit te voeren. Een toezichthouder kan zich als fictieve klant of burger melden, kijken hoe jullie AI-systemen reageren, en direct toetsen hoe medewerkers ermee omgaan. Een papieren training en een policy-pdf zijn dan geen sluitend bewijs van bekwaamheid.

De AP voegt hier nog een eigen invalshoek aan toe. Zij behandelt AI-geletterdheid als mensenrechten-geletterdheid. De redenering daarachter is dat AI-systemen raken aan grondrechten zoals privacy, non-discriminatie en rechtsbescherming, en dat mensen die met die systemen werken dat moeten kunnen herkennen. Dat zet de lat hoger dan een prompt-cursus. Het verklaart ook waarom de AP vooral kijkt of een organisatie weet wat voor mensen er aan de andere kant van een AI-beslissing zitten. Het technische begrip van AI komt op de tweede plaats.

Het frame dat de meeste organisaties missen

In iedere workshop sinds 2022 herhaal ik hetzelfde punt. De waardevolste medewerker in een AI-tijdperk is de domeinspecialist die zijn vak grondig kent en weet hoe hij AI in zijn werkstroom inzet. Een ervaren HR-adviseur die snapt waar AI faalt bij cv-screening is meer waard dan een junior met tien prompt-cursussen op zak. Een controller die de cijfers werkelijk begrijpt vangt fouten die een geautomatiseerde analyse mist. Een beleidsmedewerker die de context van een dossier kent voorkomt dat een AI-samenvatting onbedoeld een politieke kleur krijgt.

Dit klinkt vanzelfsprekend, maar de meeste AI-trainingen volgen het tegenovergestelde model. Iedereen krijgt dezelfde sessie, ongeacht of ze marketeer, jurist, controller of beleidsmedewerker zijn. Dat is goedkoop, en het verkoopt makkelijk. Maar het is slecht ontwerp. De AI Act erkent dat zelf. Artikel 4 zegt letterlijk dat de maatregelen rekening moeten houden met kennis, ervaring, context en de mensen op wie het AI-systeem wordt toegepast. Een aanpak die voor iedereen gelijk is, voldoet juridisch al niet, en werkt operationeel ook niet.

Wat wel werkt is een aanpak waarbij je per rol vaststelt welk niveau nodig is. UNESCO hanteert hiervoor drie progressieniveaus die ik in de praktijk bruikbaar vind: Acquire (basis verwerven), Deepen (verdiepen voor jouw werk), Create (zelf nieuwe toepassingen ontwerpen). Vertaald naar de organisatie betekent dat ongeveer dat een baliemedewerker, een vakprofessional, een manager en een AI-process-owner allemaal iets anders moeten kunnen.

De baliemedewerker moet weten welke tool wel mag en welke data daar niet in. De vakprofessional moet AI in zijn workflow verweven en de output op kwaliteit beoordelen. De manager moet use cases prioriteren en risico's wegen. De process-owner moet beleid vertalen naar concrete teamafspraken en bewijs van bekwaamheid organiseren. Vier niveaus, vier verantwoordelijkheden. De namen zijn minder belangrijk dan de gedachte erachter: iedereen leert wat past bij wat hij doet, en de organisatie kan aantonen dat het zo geregeld is.

De AI Literacy Matrix als kern

Als je de zes bouwstenen en de rolniveaus naast elkaar legt, krijg je wat ik intern de AI Literacy Matrix noem. Per rol staat erin welk niveau iemand moet halen op elk van de zes bouwstenen, welke tools en data toegestaan zijn, welke training en oefening daarbij hoort, en hoe je het bewijs daarvan vastlegt. Daarmee laat je richting jezelf, je interne auditor en de toezichthouder zien dat AI-geletterdheid in jouw organisatie iets concreets is.

De waarde van zo'n matrix is dat hij twee dingen verbindt die elders los staan: compliance (kunnen we aantonen dat we het doen) en adoptie (kunnen we ook echt iets met AI). Een goede matrix levert beide tegelijk op. Een slechte matrix is alleen voor de auditor en wordt door medewerkers niet eens herkend als hun werk.

Hoe je deze matrix concreet bouwt, hoe je begint zonder dat het een eindeloos project wordt, en hoe je het bewijs ervan organiseert zonder bureaucratische last, staat hierna. Dat is de kant van het verhaal die ik in trajecten met directies, MT's en HR-teams concreet maak. Voor lezers die daadwerkelijk aan de slag willen.

Vanaf hier voor premium-lezers. De vier stappen om er te komen, de nulmeting in een uur, een uitgewerkte rol als voorbeeld, drie manieren om vooruitgang te meten zonder enquêtes en de vijf valkuilen die ik bij elke organisatie zie.