AI Governance Uitdagingen: Voldoen aan de EU AI Act

Sophie Jansen · 2026-04-09

AI-agentes beloven veel. Ze verplaatsen automatisch data tussen systemen en nemen beslissingen. Maar soms handelen ze zonder een duidelijk spoor van wat, wanneer en waarom ze iets deden. Dat kan een echt governance-probleem worden. En IT-leiders zijn daar uiteindelijk verantwoordelijk voor. Als je de acties van een agent niet kunt traceren en geen goed controle hebt over zijn autoriteit, kun je niet bewijzen dat een systeem veilig of zelfs legaal werkt voor toezichthouders. Vanaf augustus dit jaar wordt dit nog belangrijker. De handhaving van de EU AI Act gaat dan van start. Volgens de tekst van de wet zijn er forse boetes voor governance-falen rond AI. Vooral bij gebruik in hoog-risicogebieden, zoals bij de verwerking van persoonsgegevens of financiële operaties. We hebben het over boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet. Dat is serieus. ### Wat IT-leiders in de EU moeten overwegen Er zijn stappen om hoge risico's te verminderen. Een paar springen er echt uit voor overweging. Denk aan agent-identiteit, uitgebreide logs, beleidscontroles, menselijk toezicht, snelle intrekking, beschikbare documentatie van leveranciers en het formuleren van bewijs voor toezichthouders. Besluitvormers hebben verschillende opties om een activiteitenlogboek voor agent-systemen te creëren. Een Python SDK zoals Asqav kan bijvoorbeeld elke actie van een agent cryptografisch ondertekenen. Het koppelt alle records aan een onveranderlijke hash-keten – een techniek die we meer kennen van blockchain. Als iemand of iets een record wijzigt of verwijdert, mislukt de verificatie van de keten. Voor governance-teams is een uitgebreid, gecentraliseerd en mogelijk versleuteld registratiesysteem voor alle AI-agentes een maatregel die veel meer data biedt dan de verspreide tekstlogs van individuele softwareplatforms. Ongeacht de technische details van hoe records worden gemaakt en bewaard, IT-leiders moeten precies kunnen zien waar, wanneer en hoe agent-instanties in de hele onderneming handelen. Veel organisaties falen bij deze eerste stap in het vastleggen van geautomatiseerde, AI-gestuurde activiteit. Het is nodig om een register bij te houden van elke actieve agent. Elke agent moet uniek geïdentificeerd zijn, plus er moeten records zijn van zijn mogelijkheden en verleende machtigingen. Deze 'agentic asset list' sluit naadloos aan bij de vereisten van artikel 9 van de EU AI Act. > **Artikel 9 EU AI Act:** Voor hoog-risicogebieden moet AI-risicobeheer een doorlopend, op bewijs gebaseerd proces zijn. Het moet in elke fase van implementatie worden ingebouwd (ontwikkeling, voorbereiding, productie) en onder constante review staan. Bovendien moeten besluitvormers zich bewust zijn van Artikel 13 van de wet. **Artikel 13** stelt dat hoog-risico AI-systemen zo moeten worden ontworpen dat gebruikers de output kunnen begrijpen. Een AI-systeem van een derde partij moet dus interpreteerbaar zijn voor zijn gebruikers. Het moet worden geleverd met voldoende documentatie om veilig en legaal gebruik te garanderen. Deze vereiste betekent dat de keuze van het model en de implementatiemethode zowel technische als regelgevende overwegingen zijn. Het is niet alleen een kwestie van prestaties, maar ook van verantwoording.  ### De rem erop: Snelle intrekking en menselijk toezicht Het is cruciaal dat elke agent-implementatie een voorziening biedt om de operationele rol van een AI in te trekken. Bij voorkeur binnen een paar seconden. Het vermogen om snel in te trekken moet deel uitmaken van noodprocedures. Intrekkingsopties moeten zijn: - Onmiddellijke verwijdering van privileges - Direct stoppen van API-toegang - Het legen van taken in de wachtrij De aanwezigheid van menselijk toezicht, gecombineerd met voldoende context voor menselijke besluitvorming, betekent dat operators elke voorgestelde actie moeten kunnen afwijzen. Het is niet voldoende dat de persoon die een beslissing beoordeelt alleen een prompt of een betrouwbaarheidsscore ziet. Effectief toezicht heeft informatie nodig over context, mogelijke gevolgen en alternatieven. Het gaat erom een balans te vinden tussen automatisering en controle. AI-agentes kunnen geweldige efficiëntie brengen, maar zonder de juiste governance loop je groot risico. Begin met een grondige inventarisatie, zorg voor robuuste logging en plan je noodprocedures. Zo blijf je niet alleen compliant met de wet, maar bescherm je ook je organisatie. Denk erover na als het onderhouden van een auto. Je vertrouwt erop dat hij rijdt, maar je houdt wel het onderhoudsboekje bij en je weet waar de remmen zitten. Voor AI-agentes is dat niet anders. De EU AI Act dwingt ons nu om dat onderhoudsboekje serieus te nemen en te zorgen dat de remmen werken.