AI-compliance is in ontwikkeling, zijn jouw controles up-to-date?

AI-compliance is in ontwikkeling, zijn jouw controles up-to-date?

04 augustus 2025 Banken.nl
AI-compliance is in ontwikkeling, zijn jouw controles up-to-date?

De interpretatie van de AI-verordening is vaak gestoeld op traditionele GenAI-toepassingen. Maar wat gebeurt er als AI agentisch wordt, leert, handelt en zich autonoom aanpast binnen een ecosysteem? Dan moet compliance mee evolueren.

De AI-verordening door een agentische lens

De AI-verordening van de EU geeft een helder signaal af: risicobeheersing, transparantie en verantwoording zijn geen optionele elementen meer, ze staan centraal in het voldoen aan regelgeving. Maar terwijl organisaties zich juist beginnen af te stemmen op deze nieuwe regels, komt het gebruik van agentische AI op.

Deze vorm van AI assisteert niet alleen, ze handelt en evolueert. Ze streeft zelfstandig doelen na binnen een workflow, leert van haar omgeving en neemt autonome beslissingen binnen ecosystemen die meerdere databronnen en applicaties van derden omvatten. Door verschillende modellen te orkestreren, kan agentische AI processen effectief aansturen én verbeteren, met inbreng van uiteenlopende specialismen en domeinexpertise.

Agentische AI brengt veel mogelijkheden en potentie voor ontwikkeling, zoals meervoudige probleemoplossing in stappen, maar introduceert ook een nieuwe dimensie van risico en complexiteit. Wanneer deze systemen onder de categorie ‘hoog risico’ vallen, zijn ze onderworpen aan strikte reglementaire eisen onder de AI-verordening.

Maar zelfs wanneer organisaties AI-systemen ontwikkelen of inzetten die formeel niet als hoog-risico zijn geclassificeerd, vereist een verantwoord AI-beleid,  in lijn met de geest van de verordening, dat vergelijkbare waarborgen worden toegepast. Zo worden organisaties aangemoedigd om proactief controles in te voeren die governance en vertrouwen versterken.

Deze blog verkent hoe organisaties zich hier praktisch op kunnen voorbereiden  en wat ervoor nodig is om de AI-verordening te operationaliseren in het tijdperk van agentische AI.

Wat is Agentic AI, en waarom is het relevant?

In tegenstelling tot klassieke generatieve modellen of retrieval-augmented systemen, opereert agentische AI met een hoge mate van autonomie. Deze systemen:

  • Streven doelen na in plaats van enkel outputs te genereren
  • Leren en passen zich dynamisch aan, met evoluerende strategieën en gedragingen
  • Nemen actie binnen zowel digitale als fysieke systemen

Wat agentische AI onderscheidt, is de integratie van fundamentele probleemoplossende vermogens, zoals geheugen, planning, orkestratie en interactie met externe applicaties. Deze combinatie maakt zulke systemen bijzonder effectief in het optimaliseren van processen en het zelfstandig nemen van beslissingen.

Een veranderend risicolandschap

Agentische AI verandert het risicoprofiel fundamenteel. Naarmate systemen een hogere mate van "agenticiteit" bereiken, bredere doelen, meer aanpassingsvermogen, grotere autonomie, nemen de risico’s evenredig toe:

  • Emergent gedrag: Agenten leren door interactie, wat leidt tot gedrag dat moeilijk voorspelbaar is. Hierdoor zijn statische risicoanalyses bij aanvang onvoldoende. Risicobeheersing moet continu en responsief zijn, afgestemd op de evolutie van het systeem in reële omstandigheden. Dit vraagt om risicobeoordeling over de volledige AI-waardeketen heen: mitigatie is niet langer enkel een ontwikkelfase-activiteit, maar wordt cruciaal tijdens gebruik.
  • Externe integratierisico’s: Agentische systemen communiceren autonoom met externe tools, API’s en omgevingen, waardoor hun operationele grens voortdurend verschuift, kwetsbaarheden in geïntegreerde diensten kunnen doorwerken in het agentsysteem zelf en leiden tot een vergroot aanvalsoppervlak en moeilijk beheersbare beveiligingsrisico’s.
  • De verantwoordingskloof: Door het grote aantal microbeslissingen dat deze systemen nemen, wordt het moeilijk om beslissingen te herleiden, wat compliance met transparantie- en auditbaarheidseisen uit de AI-verordening bemoeilijkt.

De AI-verordening door een agentische lens

Hoewel de AI-verordening een robuust kader biedt, vraagt de toepassing ervan op agentische AI om herinterpretatie op vier kernpunten:

1. Risicobeheer moet realtime en ecosysteem-bewust zijn (Artikelen 9, 15, 26)
Agentische systemen evolueren tijdens gebruik. De AI-verordening schrijft weliswaar risicoanalyse vóór en na ingebruikname voor, maar legt de nadruk vooral op de ontwikkelfase. Hierdoor ligt de primaire verantwoordelijkheid bij de aanbieder. Gebruikers moeten opkomende risico’s melden, maar zijn slechts beperkt verplicht om zelf risicobeperkende maatregelen te nemen, tenzij sprake is van een "wezenlijke wijziging" van het systeem. Wat daar precies onder valt, blijft vooralsnog onduidelijk.

In de praktijk betekent dit: risicobeheer moet continu zijn, met realtime monitoring en ingebedde mitigerende maatregelen. Vaste prestatiedrempels volstaan niet. Omdat het systeem zich aanpast, moet compliance zorgen voor consistente betrouwbaarheid in dynamische omgevingen. Robuustheid betekent ook anticiperen op en veilig omgaan met falende onderdelen, inclusief herstelmechanismen. Security moet meebewegen. Naarmate agents meer integreren met externe tools, worden operationele grenzen fluïde. Effectieve security vereist actieve assurance over het hele ecosysteem, niet enkel de kern van het model.

2. Menselijke toezicht moet gedrag sturen, niet alleen outputs goedkeuren (Artikel 14)
Handmatige goedkeuringen zijn te traag. Toezicht moet worden ingebouwd in het systeem, via dynamische waarborgen, interventiepunten en escalatieprotocollen. Aanbieders moeten hun risicobeheersmaatregelen aanpassen op basis van prestaties in de markt, terwijl gebruikers operationele inzichten aanleveren. Toezicht wordt zo een gedeelde en doorlopende verantwoordelijkheid.

3. Transparantie moet de evolutie en complexiteit van het systeem weerspiegelen (Artikel 13)
Eenmalige verklaringen zijn ontoereikend. Transparantie vereist voortdurende, contextspecifieke inzichten in het gedrag van het systeem en de achterliggende motivaties. Simpele, gebruiksvriendelijke verklaringen zijn lastig bij complexe, multivariabele besluitvorming. Maar betekenisvolle interpretatie blijft mogelijk door de belangrijkste beïnvloedende factoren te benoemen, zelfs als de volledige logica ondoorgrondelijk is.

4. Documentatie moet dynamisch en controleerbaar zijn (Artikelen 11, 12, 18 & 19)
Agentische AI vereist ‘levende’ documentatie: voortdurend bijgewerkt om wijzigingen in logica, gedrag en systeemarchitectuur vast te leggen. Het loggen van outputs volstaat niet, organisaties hebben gestructureerde gegevens nodig over hoe beslissingen tot stand kwamen, met versiebeheer dat de evolutie van het systeem traceerbaar maakt. Niet alles hoeft bewaard te worden, maar juist die informatie die audit en onderzoek ondersteunt, moet systematisch en toegankelijk blijven.

Van principe naar praktijk: bestuur van agentische AI

Risico’s identificeren is pas het begin. De echte uitdaging ligt in het vertalen van de AI-verordening naar werkbare governance. Dit vraagt aanpassingen in zowel technische systemen als organisatorische processen.

Drie praktische prioriteiten:

1. Gedeeld en doorlopend risicobeheer
Aanbieders moeten tools ontwikkelen om opkomende risico’s te detecteren. Gebruikers moeten monitoren hoe het systeem zich in de praktijk gedraagt en wat de impact is op eindgebruikers en grondrechten. Feedbackloops zijn essentieel.

2. Dynamische transparantie en realtime monitoring
Agentische systemen vereisen traceerbaarheid: unieke systeem-ID’s, gedragsdashboards en activiteitslogs die tonen hoe en waarom besluiten zijn genomen, niet alleen wat de uitkomst was.

3. Adaptief toezicht zowel technisch als menselijk
Beheersmaatregelen moeten meeschalen met de snelheid van het systeem. Dat betekent: geautomatiseerde waarborgen (zoals actiefilters en noodstops), gelaagde toegangsrechten en AI-geletterde operators die effectief kunnen ingrijpen.

Dezelfde principes met een aangepaste uitvoering

De pijlers van de AI-verordening - risicobeheersing, transparantie, toezicht -  blijven onverminderd relevant. Maar de toepassing ervan moet mee-evolueren.

Agentische AI vraagt om governance die:

  • Continu is, in plaats van eenmalig
  • Interpreterend is, in plaats van zwart-wit
  • Samenwerkend is, in plaats van gescheiden

Het besturen van agentische AI is geen puur technische taak tijdens de ontwikkel fase. Het is een gedeelde verantwoordelijkheid en een kans om leiderschap te tonen. Door juridische compliance te verbinden met technische wendbaarheid, bouwen organisaties AI-systemen die niet alleen intelligent zijn, maar ook veilig, verantwoord en betrouwbaar.

Een artikel van Mila Verhaag, Business Analist bij ACE + Company.

Lees ook

Meer over ACE + Company
Profielpagina
ACE + Company
ACE + Company is een partner van Banken.nl
Van beloften naar portefeuilles: waarom biodiversiteit stokt in de praktijk
Van beloften naar portefeuilles: waarom biodiversiteit stokt in de praktijk Nederlandse financiële instellingen hebben de mond vol van biodiversiteit.
28 oktober 2025
Van rapportage naar routine: financiële instellingen zoeken naar verbetering in CSRD-rapportage – GenAI biedt oplossingen
Van rapportage naar routine: financiële instellingen zoeken naar verbetering in CSRD-rapportage – GenAI biedt oplossingen Nu de eerste CSRD-rapportages zijn ingediend, staan veel financiële instellingen voor een nieuwe uitdaging: hoe wordt een eenmalige inspanning verankerd in een duurzaam, jaarlijks proces? Uit onderzo
18 augustus 2025
ACE + Company organiseert workshop over AI-governance
ACE + Company organiseert workshop over AI-governance De financiële sector staat aan de vooravond van een nieuw tijdperk, waarin verantwoord omgaan met kunstmatige intelligentie het verschil maakt tussen vooroplopen en ingehaald worden.
17 juni 2025
Integratie van milieu- en sociale factoren in risicomanagement: reflectie op de huidige status
Integratie van milieu- en sociale factoren in risicomanagement: reflectie op de huidige status Nu de wereld steeds meer geconfronteerd wordt met de gevolgen van milieu-, sociaal- en governance-gerelateerde factoren (ESG), staan financiële instellingen onder toenemende druk om deze factoren te
08 april 2025
Het Omnibus-pakket: Gamechanger voor financiële instellingen en duurzaamheidsregelgeving
Het Omnibus-pakket: Gamechanger voor financiële instellingen en duurzaamheidsregelgeving Het onlangs gepubliceerde Omnibus-pakket van de Europese Commissie omvat een reeks wijzigingen in de naleving van duurzaamheidsregels.
13 maart 2025
ACE + Company bekroond met FD Gazelle 2024
ACE + Company bekroond met FD Gazelle 2024 ACE + Company is uitgeroepen tot FD Gazelle. Met deze award wordt het bedrijf erkend als een van de snelst groeiende ondernemingen van Nederland.
10 december 2024

AI nieuws

Meer AI nieuws

Blog nieuws

Meer Blog nieuws

Risk & Compliance nieuws

Meer Risk & Compliance nieuws

Wet- en Regelgeving nieuws

Meer Wet- en Regelgeving nieuws