Wat is AI governance
AI governance is het stelsel waarmee een organisatie verantwoord gebruikmaakt van haar AI en dat kan aantonen. Het is geen ethiekverklaring of eenmalig project maar een operationele discipline die loopt over de volledige levensduur van elk AI-systeem dat de organisatie bouwt, koopt of inbedt, en die elk principe van verantwoorde AI langs een keten draagt: van de schade die het zou schenden, via het risico en de control die het vermindert, tot het bewijs dat de control werkt.
AI governanceAI governanceGovernance uitgebreid voor AI: hetzelfde organisatiebrede besturen op het hoogste niveau, verbreed naar wat AI anders maakt (het werkt in waarschijnlijkheden in plaats van vaste regels, leert uit data, en kan handelen op een snelheid en schaal die geen menselijke beoordelaar bijhoudt). Het erft de bestaande governance-structuur en brengt AI binnen de disciplines die de organisatie al voert, in plaats van een parallel stelsel in een silo te bouwen. Het werkt op twee niveaus: inrichting en uitvoering. Zie governance, governance design, executie, verantwoorde AI.Open full entry → is het stelsel waarmee een organisatie verantwoord gebruikmaakt van haar AI en dat kan aantonen. Het is geen ethiekverklaring en geen eenmalig project: het is een operationele discipline die loopt over de volledige levensduur van elk AI-systeemAI-systeemEen machinaal systeem dat voor expliciete of impliciete doelen uit invoer afleidt hoe het uitvoer genereert, voorspellingen, inhoud, aanbevelingen of beslissingen, die fysieke of virtuele omgevingen kunnen beïnvloeden. De OESO-achtige definitie die de EU AI Act volgt. Zie algoritme, machine learning.Open full entry → dat de organisatie bouwt, koopt of inbedt.
Dit artikel zet het model uiteen waarop de rest van GovCompass voortbouwt: wat governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry → is, hoe ze zich uitbreidt naar AI, en de keten die loopt van een principeprincipeEen van de zeven waarden van verantwoorde AI waaraan een bestuurd systeem zou moeten voldoen (eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, menselijk toezicht). Een principe is abstract: het benoemt een uitkomst, geen knop die je kunt omzetten. Het wordt bestuurbaar door de schade te benoemen die het zou schenden, het risico van die schade in te schatten, en controls tegen dat risico te plaatsen. Wanneer GovCompass een principe zo borgt, noemt het dat een pijler. Zie pijler, schade, risico.Open full entry → van verantwoorde AIverantwoorde AIHet geheel van principes waaraan een AI-systeem zou moeten voldoen: eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, en menselijk toezicht. Breed gedeeld en liggend onder de EU AI Act en de grote frameworks. Op zichzelf zijn de principes intentieverklaringen; de wet maakt er plichten van die alleen waargemaakt kunnen worden als ze in de governance van de organisatie zijn verankerd. Zo landt verantwoorde AI in governance in plaats van ernaast. GovCompass ordent de zeven principes in een control-raamwerk, de GovCompass-7, met één pijler per principe. Zie principe, pijler, governance.Open full entry → tot het bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → dat een specifieke controlcontrolDe concrete, toetsbare maatregel die een specifiek risico vermindert en daarmee het achterliggende principe beschermt. Ook wel risicobeheersmaatregel, risicorespons of risicobehandeling genoemd. Altijd herleidbaar tot het risico dat het adresseert: onder EU AI Act Art. 9 moet elke control terug te voeren zijn op een specifiek risico, en controls die los van hun risico's worden vastgelegd vormen een erkende compliance-fout. Het werkt in een van drie typen: preventief, detectief of correctief. Zie risico, control-typen, bewijs.Open full entry → werkt.
Drie begrippen lopen hier doorheen en zijn makkelijk te verwarren: ethiek, verantwoorde AI en governance. Ze staan in een natuurlijke ordening, van het breedste tot het meest operationele. Ethiek vraagt wat het betekent om mensen goed te behandelen. Verantwoorde AI maakt die vraag specifiek voor AI. Ze vertaalt brede waarden naar principes waaraan een systeem gehouden kan worden: eerlijkheideerlijkheidHet principe van verantwoorde AI dat systemen geen onrechtvaardige discriminatie mogen creëren of versterken; geoperationaliseerd via bias-testen, representatieve data en drempels per groep, met meerdere, onderling onverenigbare wiskundige definities. Zie principe, representativiteit.Open full entry →, veiligheid, privacy, en de rest. AI governance is het meest operationele van de drie, het stelsel waarmee een organisatie die principes daadwerkelijk waarmaakt en bewijst.
Ethiek geeft de waarden, verantwoorde AI geeft de principes, governance maakt ze werkelijk. Dit artikel gaat over het derde, en hoe het het tweede draagt.
Governance, en hoe AI governance haar uitbreidt
Governance, in brede zin, is het stelsel dat een organisatie al heeft om zichzelf te besturen: corporate governance, risicobeheer, compliance, de verantwoordingslijnen, de risicobereidheidrisicobereidheidHet niveau van risico dat de leiding van een organisatie bereid is te aanvaarden in het nastreven van haar doelen, vastgesteld op het niveau van governance design. De maatstaf waartegen het restrisico aanvaardbaar wordt geoordeeld of niet. Geërfd uit de bredere governance van de organisatie en toegepast op AI. Een begrip uit enterprise risk management (COSO ERM) voordat het een AI-begrip is. Zie restrisico, governance design.Open full entry → die het bestuur vaststelt, het besturingsmodel, en meer. Het bestaat voordat er een AI-systeem wordt aangezet, en het bestuurt alles wat de organisatie doet.
AI governance is geen apart stelsel dat naast het bestaande loopt. Het is hetzelfde governance-stelsel op het hoogste niveau, uitgebreid voor AI. Wat maakt dat AI die uitbreiding nodig heeft, is dat het zich anders gedraagt dan de systemen waarvoor governance is gebouwd: AI werkt in waarschijnlijkheden in plaats van vaste regels, het leert uit data, en het kan handelen op een snelheid en schaal die geen menselijke beoordelaar kan bijhouden.
Governance uitbreiden betekent dan: de disciplines nemen die de organisatie al voert, risicobeheer, compliance, gegevensbescherming, beveiliging, en AI daarbinnen brengen. AI-risicorisicoIn de termen van de EU AI Act de combinatie van de waarschijnlijkheid dat een schade optreedt en de ernst ervan als dat gebeurt. De schakel tussen een principe (via de schade die het zou schenden) en een control (de maatregel die het vermindert). Het benoemen van de schade en het inschatten van het risico is op grond van Art. 9 vereist voordat een maatregel wordt gekozen. Zie schade, control, restrisico.Open full entry → toevoegen aan het risicobeheerraamwerk, de EU AI Act en aanverwante verplichtingen binnen de compliance-scope brengen, in plaats van een parallel regelboek te schrijven in een silo die de governance-functie nooit ziet. Het NIST AI Risk Management Framework en ISO/IEC 42001 zijn hierover beide expliciet: governance is een brede, overkoepelende organisatielaag, geen technische toevoeging.
Deze uitbreiding is inrichtingswerk, en het is te onderscheiden van het dagelijkse werk van het draaien van AI-systemen. Op inrichtingsniveau betekent het: de regels stellen. Beleid bijwerken zodat elk AI-systeem op risico moet worden geclassificeerd, vastleggen hoe die classificatie gebeurt, en opschrijven wie welke verplichtingen draagt, de aanbiederaanbiederDe actor die een AI-systeem ontwikkelt (of laat ontwikkelen) en het onder eigen naam op de markt brengt of in gebruik neemt, met fabrikantachtige plichten: ontwerpcontrols, documentatie, conformiteit. Zie gebruiksverantwoordelijke, AI-verplichtingen.Open full entry → en de gebruiksverantwoordelijkegebruiksverantwoordelijkeEen organisatie die een AI-systeem onder eigen gezag in haar activiteiten gebruikt, met exploitantplichten: gebruik volgens de instructies, toezicht, relevantie van de invoer, monitoring, kennisgevingen. Zie aanbieder, AI-verplichtingen.Open full entry → daaronder, met de minimumeisen waaraan elk moet voldoen. De inrichting zegt wat er moet gebeuren en wie verantwoordelijk is. Het uitvoeren ervan, de feitelijke inventaris opbouwen, de feitelijke classificatie draaien, de feitelijke controls testen, is uitvoering, en dat is het niveau eronder.
Twee niveaus: inrichting en uitvoering
Een governance-stelsel werkt op twee niveaus, en bijna elke governance-vraag hoort bij een van beide. Ze uit elkaar houden is belangrijk, want een organisatie kan sterk zijn op het ene niveau en zwak op het andere, en de twee soorten falen zien er heel verschillend uit.
Governance design is het strategische niveau: hoe de organisatie haar AI governance inricht. De organisatiestructuur, het besturingsmodel, de verantwoordingslijnen, de risicobereidheid, het beleid, de rollen. De inrichting wordt bewust vastgesteld en periodiek herzien. Ze beantwoordt één vraag: hoe besturen we AI als organisatie?
Uitvoering is het niveau eronder: het doorlopende werk dat de inrichting werkelijk maakt. Modelontwikkeling en testen, risicobeoordelingen, het testen van controls, impactassessments, monitoring, en het produceren van bewijs, uitgevoerd over de volledige levensduur van elk systeem. Uitvoering beantwoordt een andere vraag: doen we wat we hebben ingericht, en werkt het?
Auditors hebben een naam voor dit onderscheid: ze vragen eerst of een control goed is ontworpen, en apart of ze ook echt werkt. Hetzelfde geldt voor een heel governance-stelsel. De inrichting kan op papier deugen terwijl de dagelijkse uitvoering stilletjes faalt, en het omgekeerde kan net zo goed. Het meest voorkomende falen is de eerste soort: een organisatie schrijft het beleid, bouwt de inventaris, en laat dan het testen en monitoren verslappen, en eindigt met papierwerk in plaats van praktijk. Wat je wilt is geen van beide niveaus op zichzelf, maar beide samenwerkend, ingebed in hoe de organisatie al draait, zodat de inrichting echt geleefd wordt en niet alleen gedocumenteerd.
Waarom de principes in governance landen
Verantwoorde AI is uitgekristalliseerd in zeven principes: een AI-systeem moet eerlijk zijn, veilig en betrouwbaar, privacyvriendelijk, beveiligd, transparant en uitlegbaar, verantwoord, en onder menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry →. Deze principes worden breed gedeeld, en varianten ervan staan in de EU AI Act, de OESO-AI-principes en het NIST AI RMF. Op zichzelf zijn het echter intentieverklaringen, en intentie is niet waar governance begint. Iets moet ze bindend maken.
De wet is wat dat doet. De EU AI Act draagt een organisatie niet op een set principes aan te nemen, en schrijft geen bepaalde governance-structuur voor. In plaats daarvan legt ze concrete verplichtingen op die alleen kunnen worden waargemaakt als de principes al in de governance van de organisatie leven. Risicobeheer voor hoog-risicosystemen valt onder Artikel 9; menselijk toezicht onder Artikelen 14 en 26; verdere plichten betreffen transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry →, datakwaliteit en het bijhouden van registraties. Elke verplichting is een principe dat tot plicht is gemaakt: je kunt geen betekenisvol menselijk toezicht leveren tenzij het toezichtsprincipe in je rollen en beleid leeft, en je kunt niet aan de risicobeheerplicht voldoen tenzij eerlijkheid, veiligheid en de rest iets zijn dat je risicoraamwerk daadwerkelijk beoordeelt.
Voor gereguleerde sectoren maakt de Act deze integratie expliciet. Een financiële instelling mag aan haar AI-monitoringverplichting voldoen via de interne governance-regelingen die ze al voert onder de wetgeving voor financiële diensten, de principes geleverd via governance die al bestaat, in plaats van via een aparte structuur die ernaast wordt gebouwd.
Dus de principes staan niet naast governance als een ethiekverklaring. De wet duwt ze erin: in het beleid, het risicobeheerraamwerk, de rollen, de risicobereidheid. Dat is het inrichtingswerk dat hierboven is beschreven, nu met een reden erachter. En zodra een principe in governance leeft, moet het nog steeds werkelijk worden gemaakt voor elk afzonderlijk systeem. Dat is de keten.
De keten: van principe naar bewijs
GovCompass ordent die zeven principes in een control-raamwerk, de GovCompass-7, met één pijlerpijlerEen principe van verantwoorde AI als iets dat een organisatie actief borgt in plaats van louter onderschrijft: een van de zeven pijlers van het GovCompass-7 control-raamwerk, één per principe. Een pijler wordt geborgd, niet geïmplementeerd, door de schades te benoemen die het principe zouden schenden, hun risico in te schatten, en controls te plaatsen die het verminderen. Onderscheiden van het integrerend element (agentische AI), dat de zeven bindt in plaats van er een van te zijn. Zie principe, schade, risico, integrerend element.Open full entry → per principe, zodat elk op dezelfde gedisciplineerde manier kan worden geborgd. De manier waarop een enkele pijler voor een enkel systeem wordt geborgd is een governance-ketengovernance-ketenDe herleidbare lijn waarlangs een enkele pijler voor een enkel systeem wordt geborgd: principe, dan de schade die het zou schenden, dan het risico van die schade, dan de control die het risico vermindert (preventief, detectief of correctief), dan het restrisico geoordeeld tegen de risicobereidheid, bewezen met bewijs. De keten maakt verantwoorde AI verantwoordbaar in plaats van aspiratief, en stelt een organisatie in staat een principe van een beleidsuitspraak naar een werkende control te brengen die ze kan aanwijzen. Zie principe, schade, risico, control, restrisico, bewijs.Open full entry →, en die keten is wat een organisatie in staat stelt een principe te verplaatsen van iets dat ze in beleid uitspreekt naar iets waarvoor ze een werkende control kan aanwijzen: niet "we zijn toegewijd aan eerlijkheid" maar "hier is de control die dit specifieke eerlijkheidsrisico vermindert, hier is de test die laat zien dat ze werkt, hier is wie er eigenaar van is".
Die stap is nodig omdat een principe op zichzelf niet rechtstreeks beheerst kan worden. Neem eerlijkheid. Je kunt niet in een systeem reiken en "eerlijkheid" aanzetten zoals je een concrete maatregel implementeert; eerlijkheid is de uitkomst die je wilt, geen knop die je omzet. Wat je wel kunt doen, is uitwerken hoe het systeem zou kunnen falen om eerlijk te zijn, en daarop handelen.
Hier geeft de logica van de EU AI Act de keten haar vorm. Principes zijn abstract; schadeschadeDe concrete schade die een AI-systeem kan aanrichten en die een principe van verantwoorde AI beoogt te voorkomen: in de termen van de EU AI Act schade aan iemands gezondheid, veiligheid of grondrechten. Schade is de brug tussen een abstract principe en een bestuurbaar risico; governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. Voor eerlijkheid is een schade dat een groep stelselmatig slechtere uitkomsten krijgt vanwege een kenmerk dat niet had mogen meetellen. Zie principe, risico.Open full entry → is concreet, en governance wordt operationeel op het moment dat een organisatie de specifieke schades benoemt die ze wil voorkomen. De Act is precies op deze stap gebouwd: ze betreft de manieren waarop een AI-systeem mensen kan schaden in hun gezondheid, veiligheid of grondrechten. Dus het eerste wat governance met een principe doet, is vragen welke schade het zou schenden. Voor eerlijkheid is de schade concreet: een groep mensen krijgt stelselmatig slechtere uitkomsten vanwege een kenmerk dat niet had mogen meetellen, een kredietmodel dat één demografische groep vaker afwijst om redenen die niets met kredietwaardigheid te maken hebben.
Een schade op zichzelf is nog steeds niets waarop je kunt handelen totdat je weet hoe waarschijnlijk ze is en hoe ernstig ze zou zijn. Dat is het risico: in de termen van de Act de combinatie van de waarschijnlijkheid dat de schade optreedt en de ernst ervan als dat gebeurt. Het benoemen van de schade en het inschatten van het risico is wat "wees eerlijk" verandert in iets waaraan een organisatie daadwerkelijk kan werken, en de Act vereist deze stap voordat een maatregel wordt gekozen.
Pas nu komt een control in beeld: een concrete, toetsbare maatregel die een specifiek risico vermindert en daarmee het achterliggende principe beschermt. Controls werken op een van drie manieren die elke auditor herkent: preventieve controls die de schade voorkomen voordat ze kan optreden, detectieve controls die haar blootleggen via testen, loggen en monitoren, en correctieve controls die de schade beperken en de les terugvoeren naar preventie. Voor het eerlijkheidsrisico hierboven kan dat betekenen: een representativiteitscontrole op de trainingsdatatrainingsdataDe data die wordt gebruikt om de parameters van een AI-model te passen; de kwaliteit, de rechtmatige rechten en de representativiteit ervan zijn centrale governance-zorgen. Zie representativiteit, herkomst, datasheet.Open full entry → (preventief), bias-testen over demografische groepen zodra het model live is (detectief), en een route om te schorsen en te hertrainen wanneer een drempel wordt overschreden (correctief).
Een preventieve control alleen is zelden genoeg: een risico moet ook worden opgemerkt wanneer het systeem draait, en er moet een manier zijn om het recht te zetten wanneer een control faalt. En elke control moet herleidbaar zijn tot het specifieke risico dat ze adresseert: de EU AI Act maakt dit bindend, en risico's op de ene plek vastgelegd met controls op de andere, zonder verband ertussen, vormt een erkende compliance-fout.
Governance gaat nooit over het wegnemen van alle risico; het gaat over weten welk risico overblijft en beslissen of dat aanvaardbaar is. Geen control brengt een risico tot nul terug, en niet elke control is zijn kosten waard. Wat overblijft nadat de controls zijn geplaatst is het restrisicorestrisicoHet risico dat overblijft nadat controls het hebben verminderd. Geen control brengt een risico tot nul terug, en niet elke control is zijn kosten waard, dus wordt er een bewuste afweging gemaakt: of de kosten van verdere control opwegen tegen de risicovermindering die het oplevert, en of het resterende risico aanvaardbaar is tegen de risicobereidheid van de organisatie. Dit is een afweging op inrichtingsniveau, waar de uitvoering terugrapporteert en governance het restrisico aanvaardt, om meer control vraagt, of de use case afwijst. EU AI Act Art. 9(5) vereist dat het per gevaar en in totaal aanvaardbaar wordt geoordeeld. Zie risico, control, risicobereidheid.Open full entry →, en er moet een bewuste afweging worden gemaakt: weegt de kost van verdere control op tegen de risicovermindering die ze zou opleveren, en is het risico dat overblijft aanvaardbaar tegen de risicobereidheid van de organisatie. Die afweging hoort thuis op het inrichtingsniveau. Het is waar de uitvoering terugrapporteert, en waar governance het restrisico aanvaardt, om meer control vraagt, of de use case afwijst. De keten sluit hier en maakt een lus: de restrisico-afweging voedt de inrichting, die de volgende ronde van uitvoering vormt. En zoals elke andere stap telt die afweging alleen als kan worden aangetoond dat ze is gemaakt.
Bewijs is het punt
Wat governance onderscheidt van goede bedoelingen is bewijs, en bewijs is iets concreets. Het is het testrapport dat laat zien dat de bias-controle is uitgevoerd en wat ze vond, het audittraject dat vastlegt wie een hoog-risicosysteem live liet gaan, het impactassessmentimpactassessmentEen gestructureerde evaluatie, uitgevoerd in de fase plan en ontwerp, van de schades die een AI-systeem zou kunnen veroorzaken en het risico dat die schades dragen, voordat het systeem wordt gebouwd. De eerste plek waar de governance-keten wordt doorlopen, en het goedkoopste punt in de levenscyclus om risico te verminderen. Het anker-artefact van de ontwerpfase; onder de EU AI Act is een grondrechten-impactassessment vereist voor bepaalde hoog-risico-gebruiksverantwoordelijken. Zie schade, risico, levenscyclus.Open full entry → dat documenteert welke schades zijn overwogen en hoe ze zijn geadresseerd, het monitoringlog dat bewijst dat het systeem na de lancering is gevolgd, en niet alleen ervoor. Elke schakel in de keten levert een artefactartefactHet concrete record dat bewijst dat een control is uitgevoerd: een testrapport, een impactassessment, een monitoringlog, een release-sign-off. Een artefact is de tastbare vorm die bewijs aanneemt, het ding waar een auditor naar grijpt om te bevestigen dat een control niet alleen is ontworpen maar ook echt heeft gewerkt. Elke fase van de AI-levenscyclus levert haar eigen anker-artefact op. Onderscheiden van bewijs als geheel: bewijs is het bewijsmateriaal, een artefact is er één stuk van. Zie bewijs, levenscyclus.Open full entry → op, en samen zijn die artefacten wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene wanneer die haar vragen te tonen, niet te zeggen, dat een systeem bestuurd is.
De afwezigheid van dat bewijs is zelf het falen. Een risicoregisterrisicoregisterHet levende overzicht van de geïdentificeerde risico's van een AI-systeem, hun inschatting, respons, eigenaren en herzieningsdata, actueel gehouden van ontwerp tot uitfasering. Zie risico, control, governance-keten.Open full entry → dat risico's opsomt zonder testresultaten, een maatregel die wordt geclaimd maar nooit gevalideerd, een systeem dat wordt uitgerold en nooit gemonitord: elk is een governance-gat, geen papierwerk-gat. Als geheel is de keten wat verantwoorde AI verantwoordbaar maakt in plaats van aspiratief. Een principe is een intentieverklaring; de keten, bewezen met bewijs, is het apparaat dat die intentie verandert in iets dat een organisatie kan aantonen, één schade, één risico, één control tegelijk. Het is het verschil tussen een organisatie die zegt dat haar AI verantwoord is en een die het kan bewijzen.
Waar agentische AI past
De principes van verantwoorde AI zijn eerst uitgewerkt voor een systeem dat een uitkomst produceert, een score, een aanbeveling, een concept, die een mens beoordeelt voordat er iets gebeurt. Die menselijke beoordeling is een natuurlijk ijkpunt: een plek waar de principes kunnen worden geverifieerd voordat de uitkomst enig effect in de wereld heeft.
Agentische AIagentische AISystemen waarin een model handelingen verricht, tools aanroept, plannen in meerdere stappen uitvoert, wat zowel de capaciteit als elke faalvorm versterkt; bestuurd met action-allowlists, goedkeuringen en volledige logging. Zie AI-agent, agentische governance.Open full entry → verwijdert dat ijkpunt niet, maar verandert de aard ervan. Een agentisch systeem voert zelf een reeks stappen uit, waarbij elke stap de volgende voedt, en de mens staat niet langer tussen elke stap en het gevolg ervan. De controle verschuift van het zitten binnenin elke beslissing naar het zitten rondom het hele systeem: de grenzen stellen waarbinnen het werkt, de keten volgen terwijl ze draait, en het vermogen behouden om in te grijpen. Daarom reikt agentische AI over het hele model in plaats van iets toe te voegen aan één onderdeel ervan. Elk principe moet nu doorlopend standhouden en over een aaneengesloten reeks handelingen, niet eenmaal per beoordeelde uitkomst, en de controls en het toezicht moeten worden ontworpen voor een systeem dat handelt zonder te pauzeren voor bevestiging. Agentische AI verandert daarmee hoe elk bestaand principe moet worden geïmplementeerd, in plaats van een eigen principe in te voeren. Daarom behandelt GovCompass het als het integrerend elementintegrerend elementAgentische AI, het integrerend element van het GovCompass-raamwerk: geen achtste pijler maar het element in het midden dat de zeven bindt. Wanneer een systeem stopt met het produceren van uitkomsten die een mens beoordeelt en zelf gaat handelen, verandert het menselijke ijkpunt van aard en moet elk principe doorlopend standhouden over een aaneengesloten reeks handelingen. Agentische AI verandert daarmee hoe elk principe moet worden geïmplementeerd, in plaats van een eigen principe toe te voegen. Zie pijler, agentische AI.Open full entry → van het raamwerk: de voorwaarde waaronder alle principes tegelijk moeten worden bestuurd, van begin tot eind. Dit wordt in detail uitgewerkt in de artikelen over agentische AI.
Waar te beginnen
AI governance opzetten gebeurt in twee bewegingen, en die komen overeen met de twee niveaus.
De eerste beweging is inrichting: breid de governance die de organisatie al heeft uit zodat ze AI dekt. Breng AI-risico in het risicobeheerraamwerk en de EU AI Act-verplichtingen in de compliance-scope; stel het beleid op dat een AI-inventarisAI-inventarisEen register van alle AI-systemen die een organisatie bouwt, koopt of inbedt, met eigenaren en risicoklassen, de voorwaarde om er ook maar één te kunnen besturen. Zie risico, governance.Open full entry → vereist en vastlegt hoe systemen op risico worden geclassificeerd; wijs de rollen toe en leg vast wie verantwoordelijk is, aanbieder en gebruiksverantwoordelijke daaronder, met de minimumeisen waaraan elk moet voldoen; en stel de risicobereidheid voor AI vast zodat er een maatstaf is om het restrisico tegen te oordelen. Dit is het werk dat brede governance verandert in AI governance, en het wordt bewust gedaan, en daarna herzien.
De tweede beweging is uitvoering: voer de inrichting uit. Bouw de inventaris, want je kunt niet besturen wat je niet in kaart hebt gebracht, en leg elk AI-systeem vast dat de organisatie bouwt, koopt of inbedt, inclusief de AI die stilletjes is aangezet binnen de SaaS-tools die al in gebruik zijn. Classificeer elk systeem. Pas dan de keten toe op elk hoog-risicosysteem: wat is de schade, wat is het risico dat ze draagt, welke controls verminderen dat risico, van welk type, is het restrisico aanvaardbaar, en waar is het bewijs. De gaten in dat beeld vormen de governance-achterstand, gerangschikt naar het risico van het systeem en de ernst van de ontbrekende control.
Vanaf daar wordt AI governance een praktijk in plaats van een project: een levend stelsel dat elk AI-systeem binnen zijn grenzen houdt en het bewijs genereert dat een toezichthouder zal vragen. Goed gedaan vertraagt governance AI niet. Het is wat een organisatie in staat stelt AI op schaal te gebruiken, omdat de organisatie kan begrijpen, beheersen en aantonen hoe haar systemen zich gedragen.
Verder lezen
Veelgestelde vragen
- Wat is AI governance in eenvoudige termen?
- Het is het stelsel waarmee een organisatie verantwoord gebruikmaakt van haar AI en dat kan bewijzen. Het brengt elk principe van verantwoorde AI omlaag langs een keten: van de schade die het zou schenden, naar het risico, naar de control die het verkleint, naar het bewijs dat die control werkt.
- Wat is het verschil tussen AI governance en verantwoorde AI?
- Verantwoorde AI is het geheel van principes waaraan een AI-systeem zou moeten voldoen; AI governance is het stelsel dat die principes levert en bewijst. Verantwoorde AI is het doel; governance is hoe je er komt en het aantoont.
- Vereist de EU AI Act AI governance?
- In de praktijk wel. De wet schrijft geen specifieke structuur voor, maar haar verplichtingen, risicomanagement, menselijk toezicht en documentatie, zijn alleen te halen als AI governance al in het beleid, het risicokader en de rollen van de organisatie zit.
- Wie is verantwoordelijk voor AI governance binnen een organisatie?
- De verantwoordelijkheid ligt bij de operationele organisatie, risk, compliance, de AI-functie en internal audit, binnen de verantwoordingslijnen die het bestuur stelt. Veel organisaties benoemen een AI Officer om het over de hele AI-levenscyclus te coördineren.