AI Governance Uitdagingen: Voldoen aan de EU AI Act

Sophie Jansen · 2026-04-09

AI-agenten beloven veel. Ze kunnen automatisch data verplaatsen tussen systemen en beslissingen activeren. Maar soms handelen ze zonder een duidelijk spoor van wat, wanneer en waarom ze iets deden. Dat kan een echt governance-probleem worden. En IT-leiders zijn daar uiteindelijk verantwoordelijk voor. Als je de acties van een agent niet kunt traceren en geen controle hebt over zijn autoriteit, kun je niet bewijzen dat een systeem veilig of zelfs legaal werkt voor toezichthouders. Dit wordt een nóg groter probleem vanaf augustus dit jaar. Dan treedt de handhaving van de EU AI Act in werking. Volgens de tekst van de wet staan er forse boetes op governance-falen rond AI. Vooral bij gebruik in hoogrisicogebieden, zoals bij de verwerking van persoonsgegevens of financiële operaties. ### Wat IT-leiders in de EU moeten overwegen Er zijn verschillende stappen om hoge risico's te verminderen. Een paar belangrijke punten springen eruit voor overweging. - **Agent-identiteit:** Elke agent moet uniek te identificeren zijn. - **Uitgebreide logs:** Volledige registratie van alle acties. - **Beleidscontroles:** Automatische checks of acties binnen het beleid vallen. - **Menselijk toezicht:** Een mens moet altijd kunnen ingrijpen. - **Snelle intrekking:** De mogelijkheid om een agent binnen seconden uit te schakelen. - **Documentatie van leveranciers:** Duidelijke handleidingen voor veilig gebruik. - **Bewijs voor toezichthouders:** Alles moet aantoonbaar en controleerbaar zijn. Er zijn technische opties om een betrouwbaar activiteitenregister op te bouwen. Neem bijvoorbeeld een Python SDK zoals Asqav. Die kan elke actie van een agent cryptografisch ondertekenen en alle records koppelen aan een onveranderlijke hash-keten. Een techniek die we kennen van blockchain. Als iemand een record verandert of verwijdert, faalt de verificatie van de keten. Voor governance-teams is een uitgebreid, gecentraliseerd en mogelijk versleuteld registratiesysteem voor alle AI-agenten een must. Dat levert veel meer data op dan de verspreide tekstlogs van individuele softwareplatforms. Hoe je de records precies maakt en bewaart, is technisch. Maar IT-leiders moeten wel precies kunnen zien waar, wanneer en hoe agentische instanties in de hele organisatie handelen. Veel organisaties falen al bij deze eerste stap in het registreren van geautomatiseerde, AI-gestuurde activiteit. Je moet een register bijhouden van elke actieve agent. Elk met een unieke identificatie, plus gegevens over zijn mogelijkheden en verleende rechten. Deze 'agentic asset list' sluit naadloos aan op artikel 9 van de EU AI Act. > **Artikel 9 EU AI Act:** Voor hoogrisicogebieden moet AI-risicomanagement een doorlopend, op bewijs gebaseerd proces zijn. Het moet zijn ingebouwd in elke fase van implementatie (ontwikkeling, voorbereiding, productie) en onder constante review staan. Daarnaast moeten besluitvormers zich bewust zijn van Artikel 13 van de wet. **Artikel 13** stelt dat hoogrisico AI-systemen zo moeten zijn ontworpen dat gebruikers de output kunnen begrijpen. Een AI-systeem van een derde partij moet dus interpreteerbaar zijn voor zijn gebruikers. En het moet worden geleverd met voldoende documentatie om veilig en legaal gebruik te garanderen. Deze vereiste betekent dat de keuze van het model en de implementatiemethode zowel technische als regelgevende overwegingen zijn. Het is niet alleen een kwestie van wat het beste werkt, maar ook van wat voldoet aan de wet.  ### De rem erop: snel kunnen ingrijpen Bij elke implementatie van agentische AI is het cruciaal om een voorziening te hebben om de operationele rol van een AI in te trekken. Bij voorkeur binnen een paar seconden. Het vermogen om snel in te grijpen moet deel uitmaken van de noodprocedures. Intrekkingsopties moeten omvatten: - Onmiddellijke verwijdering van privileges. - Direct stoppen van API-toegang. - Het legen van taken in de wachtrij. De aanwezigheid van menselijk toezicht, gecombineerd met voldoende context voor menselijke besluitvorming, is essentieel. Menselijke operators moeten elke voorgestelde actie kunnen afwijzen. Het is niet voldoende dat de persoon die een besluit beoordeelt alleen een prompt of een betrouwbaarheidsscore ziet. Effectief toezicht heeft informatie nodig over de context, de mogelijke gevolgen en alternatieve opties. Het gaat om begrip, niet alleen om goedkeuring. De EU AI Act dwingt ons om na te denken over verantwoordelijkheid en controle. Het is geen beperking, maar een kader voor betrouwbare innovatie. Door nu de juiste governance-structuren op te zetten, kun je niet alleen boetes voorkomen. Je bouwt ook vertrouwen op, zowel intern als bij klanten en toezichthouders. En dat is uiteindelijk waar het om gaat: AI die werkt voor mensen, niet ondanks ze.