AI Governance Uitdagingen: Hoe de EU AI Act jouw organisatie raakt
Sophie Jansen ·
Luister naar dit artikel~5 min
AI-agents kunnen handelen zonder spoor na te laten, een groot governance-probleem voor IT-leiders. Vanaf augustus 2024 worden de regels van de EU AI Act gehandhaafd, met forse boetes voor fouten. Ontdek welke stappen je moet nemen om compliant te blijven.
AI-agents beloven veel: ze verplaatsen automatisch data tussen systemen en nemen beslissingen. Maar soms handelen ze zonder een duidelijk spoor van wat, wanneer en waarom ze iets deden. Dat klinkt misschien technisch, maar het wordt een heel persoonlijk probleem voor IT-leiders. Want als je de acties van een agent niet kunt traceren en je hebt geen controle over zijn bevoegdheden, dan kun je simpelweg niet bewijzen dat een systeem veilig of zelfs legaal werkt. En dat moet je wél kunnen tegenover toezichthouders.
Vanaf augustus dit jaar wordt dit nog veel belangrijker. De handhaving van de EU AI Act gaat dan echt van start. Volgens de tekst van de wet staan er forse boetes op governance-fouten rond AI. Vooral in hoogrisicogebieden, zoals bij de verwerking van persoonsgegevens of financiële operaties, kan het flink pijn doen. We hebben het dan over boetes tot €35 miljoen of 7% van de wereldwijde jaaromzet. Dat is geen kleinigheidje.
### Wat moet je als IT-leider in de EU regelen?
Gelukkig zijn er stappen die je kunt nemen om het risico te verkleinen. Het gaat niet om één magische oplossing, maar om een combinatie van maatregelen. Denk aan het vastleggen van de identiteit van elke agent, het bijhouden van uitgebreide logs, beleidscontroles en menselijk toezicht. Ook het snel kunnen intrekken van rechten en goede documentatie van leveranciers zijn cruciaal. En vergeet niet: je moet bewijs kunnen formuleren voor de toezichthouder.
Er zijn verschillende opties om een betrouwbaar activiteitenlogboek voor agent-systemen te creëren. Neem bijvoorbeeld een Python SDK zoals Asqav. Die kan elke actie van een agent cryptografisch ondertekenen en alle records koppelen aan een onveranderlijke hash-keten. Een techniek die we kennen van blockchain. Als iemand een record verandert of verwijdert, faalt de verificatie van de keten. Het is waterdicht.
Voor governance-teams is een uitgebreid, gecentraliseerd en eventueel versleuteld registratiesysteem voor alle AI-agents een must. Dat levert veel meer data op dan de versnipperde tekstlogs van individuele softwareplatforms. Hoe je de records precies maakt en bewaart, is technisch. Maar het doel is helder: IT-leiders moeten exact kunnen zien waar, wanneer en hoe agent-instanties in de hele organisatie handelen.
Veel organisaties struikelen al over deze eerste stap. Het is essentieel om een register bij te houden van elke actieve agent. Iedere agent moet een unieke identificatie hebben, plus records van zijn mogelijkheden en verleende rechten. Deze 'agentic asset list' sluit naadloos aan op artikel 9 van de EU AI Act.
> **Artikel 9 EU AI Act:** Voor hoogrisicogebieden moet AI-risicomanagement een doorlopend, op bewijs gebaseerd proces zijn. Het moet zijn ingebouwd in elke fase van implementatie en onder constante review staan.
Daarnaast moeten besluitvormers artikel 13 van de wet kennen.
> **Artikel 13 EU AI Act:** Hoogrisico AI-systemen moeten zo zijn ontworpen dat gebruikers de output kunnen begrijpen. Een AI-systeem van een derde partij moet interpreteerbaar zijn en worden geleverd met voldoende documentatie voor veilig en legaal gebruik.
Deze vereiste betekent dat de keuze van het model en de implementatiemethode zowel technische als regelgevende overwegingen zijn. Het is niet meer alleen een kwestie van 'wat werkt het beste', maar ook van 'wat voldoet aan de wet'.
### De rem erop: snel intrekken en menselijk toezicht
Bij elke implementatie van een AI-agent is het cruciaal om de mogelijkheid te hebben om zijn operationele rol in te trekken. Bij voorkeur binnen enkele seconden. Dit snelle intrekken moet deel uitmaken van je noodprocedures. Opties moeten zijn: directe verwijdering van privileges, direct stoppen van API-toegang en het legen van taken in de wachtrij.
Menselijk toezicht is onmisbaar. En dat betekent dat menselijke operators genoeg context moeten krijgen om geïnformeerde beslissingen te nemen. Ze moeten elk voorgestelde actie kunnen afwijzen. Alleen een prompt of een betrouwbaarheidsscore zien, is niet genoeg. Effectief toezicht heeft informatie nodig over de context, de data die werd gebruikt en de redenering van het systeem.
Het is een kwestie van verantwoordelijkheid nemen. AI-agents zijn krachtige tools, maar ze werken niet in een vacuüm. Jij bent uiteindelijk verantwoordelijk voor wat ze doen. Door nu de juiste governance-structuren op te zetten, bescherm je niet alleen je organisatie tegen boetes. Je bouwt ook vertrouwen op, intern en extern. En dat is onbetaalbaar.