Uitdagingen op het gebied van agentische AI-governance onder de EU AI-wet 2026

Naarmate de handhavingsbepalingen van de EU AI-wet in augustus 2025 van kracht worden – met volledige nalevingsverplichtingen die doorlopen tot in 2026 – ontstaat er een nieuw en lastig probleem voor technologieleiders in heel Europa en daarbuiten. Agentische AI-systemen, die autonoom taken met meerdere stappen uitvoeren in bedrijfsomgevingen, leggen diepe lacunes in de governance bloot waarvoor bestaande compliancekaders nooit zijn ontworpen.

De inzet is enorm. Organisaties die deze autonome agenten inzetten, riskeren boetes tot wel €35 miljoen of 7% van de wereldwijde jaaromzet voor de ernstigste overtredingen. En de ongemakkelijke realiteit is dat veel bedrijven momenteel geen betrouwbare manier hebben om uit te leggen wat hun AI-agenten doen, laat staan om te bewijzen dat die acties rechtmatig zijn.

Wat is de oorzaak van de bestuurscrisis?

In tegenstelling tot traditionele AI-modellen die reageren op één enkele prompt en één enkele output produceren, werken agentische AI-systemen met een mate van onafhankelijkheid die de risicoberekening fundamenteel verandert. Deze agenten kunnen gegevens tussen platforms verplaatsen, transacties initiëren, communiceren met externe API's en reeksen beslissingen aan elkaar koppelen – vaak met minimale menselijke tussenkomst bij elke stap.

Die autonomie is precies wat ze waardevol maakt. Bedrijven als Salesforce, Microsoft en Google hebben de afgelopen achttien maanden flink ingezet op agent-architecturen. Salesforce's Agentforce-platform, Microsofts Copilot-agents en Googles Vertex AI-agents beloven allemaal complexe bedrijfsprocessen te automatiseren die voorheen bij elke stap menselijke tussenkomst vereisten.

Maar hier ligt de uitdaging op het gebied van governance: wanneer een agent een belangrijke beslissing neemt – bijvoorbeeld het afwijzen van een verzekeringsclaim, het beoordelen van medische gegevens van een patiënt of het aanwijzen van een medewerker voor een functioneringsgesprek – heeft de organisatie die de agent inzet een volledig auditspoor nodig. Wie heeft de agent gemachtigd om te handelen? Welke gegevens lagen ten grondslag aan de beslissing? Was er sprake van zinvol menselijk toezicht? Volgens de eisen van de EU AI-wetgeving voor systemen met een hoog risico zijn deze vragen niet optioneel. Ze zijn wettelijk verplicht.

Waarom de EU-wetgeving inzake kunstmatige intelligentie dit urgent maakt

De EU-wetgeving inzake kunstmatige intelligentie (AI) categoriseert AI-toepassingen in risicocategorieën, waarbij de strengste verplichtingen gelden voor toepassingen met een hoog risico, zoals beslissingen over werkgelegenheid, kredietbeoordeling, wetshandhaving, migratiemanagement en kritieke infrastructuur. Voor een beter begrip van deze categorieën kunt u ons overzicht van 5 AI-computerarchitecturen die elke engineer in 2025 moet kennen raadplegen.

Organisaties die agentsystemen in deze domeinen inzetten, moeten het volgende aantonen:

• Traceerbaarheid: Volledige registratie van de acties, invoer en uitvoer van de agent gedurende de gehele operationele levenscyclus.
• Menselijk toezicht: Mechanismen die gekwalificeerde personen in staat stellen om op elk moment in te grijpen, de controle over te nemen of het systeem uit te schakelen.
• Risicobeheer: Continue beoordeling van de mogelijke schadelijke of discriminerende gevolgen van het autonome gedrag van de agent.
• Transparantie: Duidelijke documentatie die toezichthouders en betrokkenen in staat stelt te begrijpen hoe beslissingen tot stand zijn gekomen.

Het probleem is dat veel implementaties van AI met agenten de verantwoordelijkheidsgrenzen vervagen. Wanneer een agent acties coördineert over meerdere systemen – gegevens uit de ene database haalt, inferenties uitvoert met een ander model en een resultaat naar een derde applicatie stuurt – wordt de beslissingsketen ondoorzichtig. Zelfs de ingenieurs die het systeem hebben gebouwd, kunnen moeite hebben om de precieze logica achter een specifiek resultaat te reconstrueren.

De verantwoordingskloof die leiders moeten dichten

Bedrijfsleiders dragen de uiteindelijke verantwoordelijkheid voor de systemen die ze implementeren, ongeacht hoe autonoom die systemen worden. Dit principe wordt expliciet bekrachtigd in de EU AI-wetgeving. Niet alleen ontwikkelaars, maar ook degenen die risicovolle AI-systemen implementeren, hebben aanzienlijke nalevingsverplichtingen.

Uit een onderzoek van McKinsey uit begin 2025 bleek echter dat, hoewel 72% van de organisaties een vorm van AI in hun bedrijfsvoering had geïmplementeerd, minder dan de helft formele governance-structuren voor die implementaties had opgezet. Voor agentsystemen is de kloof waarschijnlijk nog groter, aangezien veel bedrijven zich nog in de pilotfase bevinden en governance als een probleem beschouwen dat later moet worden opgelost.

Die aanpak wordt steeds minder houdbaar. Brancheanalisten waarschuwen dat organisaties het beheer van AI-agenten met dezelfde strengheid moeten behandelen als financiële controles of gegevensbescherming onder de AVG. Als je het niet kunt controleren, kun je het niet verdedigen – en toezichthouders zullen er uiteindelijk naar vragen.

Wat experts zeggen

Verschillende prominente stemmen in het AI-beleid hebben agentsystemen aangemerkt als een blinde vlek in de regelgeving. Onderzoekers van het Ada Lovelace Institute hebben betoogd dat bestaande AI-governancekaders uitgaan van een relatief statische relatie tussen input en output – een aanname die niet meer opgaat wanneer agenten in de loop van de tijd meerdere autonome beslissingen aan elkaar koppelen.

Gartner voorspelde eind 2024 dat in 2028 minstens 15% van de dagelijkse zakelijke beslissingen autonoom door AI-agenten zou worden genomen – een stijging ten opzichte van vrijwel nul in 2023. Deze ontwikkeling suggereert dat het governanceprobleem alleen maar zal toenemen naarmate de implementatie op grotere schaal plaatsvindt.

Voor IT-leiders is de boodschap duidelijk: wachten tot de regelgeving voorschrijvend wordt voordat er actie wordt ondernomen, is een verliezende strategie. De EU AI-wetgeving legt brede verplichtingen op en het is aan organisaties om aan te tonen dat ze hieraan hebben voldaan door middel van gedocumenteerde, verdedigbare governancepraktijken. Wie geïnteresseerd is in het opzetten van robuuste AI-toezichtprogramma's, kan onze handleiding over het beveiligen van AI-agents tijdens runtime met de Microsoft Open-Source Toolkit raadplegen.

Wat gebeurt er vervolgens?

Een aantal ontwikkelingen verdient het om nauwlettend in de gaten te worden gehouden gedurende de rest van 2025 en in 2026:

1. Regelgevingsrichtlijnen: Het Europees Bureau voor Kunstmatige Intelligentie (AI) zal naar verwachting gedetailleerde richtlijnen publiceren over naleving van regelgeving voor systemen met een hoog risico, die mogelijk specifiek betrekking hebben op systemen met meerdere agenten en agentische systemen.
2. Functies voor verantwoording door leveranciers: Grote cloudproviders zullen waarschijnlijk verbeterde logboekregistratie-, verklaarbaarheids- en controlefuncties voor hun agentplatformen leveren naarmate de nalevingsdruk toeneemt.
3. Verschuivingen in verzekeringen en aansprakelijkheid: Verwacht de opkomst van specifieke aansprakelijkheidsverzekeringen voor AI, aangezien bedrijven een deel van het regelgevingsrisico dat gepaard gaat met autonome systemen willen overdragen.
4. Spanningen op het gebied van grensoverschrijdende handhaving: Bedrijven met hun hoofdkantoor buiten de EU, maar die Europese klanten bedienen, zullen te maken krijgen met complexe jurisdictievraagstukken over de toepassing van het agentenbeleid op hun activiteiten.

De kern van de zaak

Agentische AI vertegenwoordigt een van de meest ingrijpende veranderingen in bedrijfstechnologie sinds de opkomst van cloudcomputing. Maar dezelfde autonomie die deze systemen zo krachtig maakt, maakt ze ook moeilijk te reguleren – en de handhavingstermijn van de EU AI-wetgeving laat weinig ruimte voor zelfgenoegzaamheid.

Leiders die goed bestuur als een bijzaak beschouwen, riskeren niet alleen sancties van de toezichthouder, maar ook een afname van het vertrouwen van klanten, werknemers en partners. De organisaties die onder deze nieuwe regels succesvol zullen zijn, zijn de organisaties die verantwoordingsplicht vanaf de basis in hun systemen integreren, in plaats van dit achteraf in te voeren nadat een compliancecrisis hen daartoe dwingt.