Agentic AI: het besturen van acties, niet alleen beslissingen

Agentic AI is het integrerende element van de GovCompass-7. Het zit in het hart van het raamwerk, niet op de ring, omdat het de andere zeven bindt zodra een systeem niet meer beslist maar handelt.

Waarom agentic AI een eigen element nodig heeft

De GovCompass-7 ordent verantwoorde AIverantwoorde AIHet geheel van principes waaraan een AI-systeem zou moeten voldoen: eerlijkheid, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoording, en menselijk toezicht. Breed gedeeld en liggend onder de EU AI Act en de grote frameworks. Op zichzelf zijn de principes intentieverklaringen; de wet maakt er plichten van die alleen waargemaakt kunnen worden als ze in de governance van de organisatie zijn verankerd. Zo landt verantwoorde AI in governance in plaats van ernaast. GovCompass ordent de zeven principes in een control-raamwerk, de GovCompass-7, met één pijler per principe. Zie principe, pijler, governance.Open full entry → in zeven controledomeinen: fairness, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheidbeveiliging en robuustheidHet principe dat een AI-systeem aanvallen, manipulatie en tegenwerkende of onverwachte invoer weerstaat. De aanvalsvectoren omvatten data poisoning, modelextractie, membership inference en prompt injection; de controls zijn ML-beveiligingstesten en een geharde data- en modelpijplijn. Zie robuustheid, principe, control.Open full entry →, transparantietransparantieOpenheid over het feit dát AI wordt gebruikt en hoe het in het algemeen werkt: openbaarmakingen, documentatie, kennisgevingen. Vormt een paar met uitlegbaarheid, die over individuele uitkomsten gaat. Zie uitlegbaarheid, principe.Open full entry → en uitlegbaarheiduitlegbaarheidHet vermogen om een betekenisvolle reden te geven voor een specifieke uitkomst van een AI-systeem aan de mensen die het raakt, te onderscheiden van transparantie, die de openbaarmaking is dát en hoe AI wordt gebruikt. Zie transparantie, principe.Open full entry →, verantwoordelijkheid, en menselijk toezichtmenselijk toezichtHet ingebouwde vermogen van een mens om een AI-systeem te monitoren, erin in te grijpen, het te overrulen of stil te leggen, alleen betekenisvol wanneer de mens de bevoegdheid, de informatie en de tijd heeft om te handelen. Zie principe, human-in-the-loop, human-on-the-loop.Open full entry →. Elk is een eigenschap die je vaststelt en vervolgens borgt met preventieve, detectieve en correctieve controls. Voor een systeem dat een output produceert waar een mens vervolgens naar handelt, is dit voldoende.

Agentic AI doorbreekt die aanname. Een agent produceert geen output waar een mens naar handelt. De agent handelt zelf. Het roept externe services aan, voert transacties uit, wijzigt records, en in multi-agent-ontwerpen roept het andere agents aan en maakt het sub-taken aan. De governancegovernanceHet stelsel waarmee een organisatie zichzelf bestuurt: corporate governance, risicobeheer, compliance, verantwoordingslijnen, risicobereidheid en het besturingsmodel. Het bestaat over alles wat de organisatie doet, voor en los van AI. AI governance is ditzelfde stelsel, uitgebreid voor AI. Zie AI governance, governance design, executie.Open full entry →-vraag verschuift van "kan ik deze beslissing vertrouwen?" naar "kan ik beheersen wat dit systeem doet?" Die verschuiving vervangt de zeven pijlers niet. Ze zet ze allemaal tegelijk onder druk, continu, in een context waar het menselijke controlepunt waar de meeste controls stil op leunen is weggevallen.

Daarom is agentic AI het achtste element, en daarom zit het in het hart van het raamwerk in plaats van op de ring. Het is geen gelijkwaardig controledomein. Het is het integrerende element: het punt waar de zeven worden getoetst onder autonomie, en waar ze samen standhouden of samen falen.

De drie lagen

Een bruikbare manier om agentic AI te plaatsen is naast zijn voorgangers:

Data governance bestuurt informatie. De vraag is of de data te vertrouwen is.

AI governance bestuurt beslissingen. De vraag is of de beslissing te vertrouwen is.

Agentische governanceagentische governanceHet besturen van de handelingen die een autonoom AI-systeem verricht, niet alleen de beslissingen die het neemt; ervoor zorgen dat die handelingen beheersbaar, herleidbaar en omkeerbaar zijn. Zie agentische AI, control.Open full entry → bestuurt acties. De vraag is of de acties die een autonoom systeem onderneemt te beheersen, te traceren en terug te draaien zijn.

De meeste organisaties hebben de eerste laag gebouwd en bouwen aan de tweede. De derde laag is waar de meeste organisaties op dit moment niets hebben, en het is de laag die agentic-inzet urgent maakt.

Wat er verandert voor elk van de zeven pijlers

Agentic AI is niet abstract. Elk van de zeven pijlers krijgt een specifieke agentische dimensie:

Menselijk toezicht verandert van vorm. De klassieke "human in the loop", een persoon die elke beslissing beoordeelt voordat die effect krijgt, overleeft het contact met een agent die honderden acties per minuut uitvoert niet. Toezicht wordt "human on the loop": de mens stelt grenzen, monitort het geaggregeerde gedrag en houdt een interventierecht, maar is niet langer de poort op elke actie. De controlcontrolDe concrete, toetsbare maatregel die een specifiek risico vermindert en daarmee het achterliggende principe beschermt. Ook wel risicobeheersmaatregel, risicorespons of risicobehandeling genoemd. Altijd herleidbaar tot het risico dat het adresseert: onder EU AI Act Art. 9 moet elke control terug te voeren zijn op een specifiek risico, en controls die los van hun risico's worden vastgelegd vormen een erkende compliance-fout. Het werkt in een van drie typen: preventief, detectief of correctief. Zie risico, control-typen, bewijs.Open full entry → die ertoe doet is de escalatietriggerescalatietriggerEen regel die een handeling met grote gevolgen aan een mens overdraagt voordat ze wordt uitgevoerd. De correctieve control die menselijk toezicht betekenisvol houdt zodra beoordeling per handeling onmogelijk is. Zie menselijk toezicht, control-typen.Open full entry → voor acties met grote gevolgen, niet de beoordeling per actie.

Verantwoordelijkheid wordt getoetst door het vervagen van rollen. De EU AI Act gaat ervan uit dat aanbiederaanbiederDe actor die een AI-systeem ontwikkelt (of laat ontwikkelen) en het onder eigen naam op de markt brengt of in gebruik neemt, met fabrikantachtige plichten: ontwerpcontrols, documentatie, conformiteit. Zie gebruiksverantwoordelijke, AI-verplichtingen.Open full entry → en gebruiksverantwoordelijkegebruiksverantwoordelijkeEen organisatie die een AI-systeem onder eigen gezag in haar activiteiten gebruikt, met exploitantplichten: gebruik volgens de instructies, toezicht, relevantie van de invoer, monitoring, kennisgevingen. Zie aanbieder, AI-verplichtingen.Open full entry → onderscheiden, stabiele rollen zijn. Een agent die is geconfigureerd met brede tool-rechten, autonome beslissingsruimte en de mogelijkheid om sub-agents aan te maken, kan een gebruiksverantwoordelijke in aanbieder-niveau verantwoordelijkheid duwen. Iemand moet aanspreekbaar zijn voor wat een sub-agentsub-agentEen agent die door een andere agent of een orchestrator wordt aangeroepen om een deel van een taak uit te voeren. Zijn handelingen erven nog steeds de verplichtingen van de stack waartoe hij behoort. Zie orchestrator, agentische stack.Open full entry → deed, drie stappen diep in een autonome keten. Agentic AI dwingt dat die vraag voor inzet wordt beantwoord, niet na een incident.

Beveiliging en robuustheidrobuustheidHet vermogen van een systeem om betrouwbaar te presteren onder realistische omstandigheden, inclusief ruis, randgevallen en tegenwerkende druk, de technische kern van het principe veiligheid en betrouwbaarheid. Zie beveiliging en robuustheid, principe.Open full entry → staat tegenover een geheel nieuw aanvalsoppervlak. Goal hijackinggoal hijackingEen aanval die het doel van een agent omleidt zodat hij een doel nastreeft dat jij niet hebt gesteld. Prompt injection gecombineerd met autonomie: het verandert wat de agent doet, niet alleen wat hij zegt. Zie prompt injection, agentische AI.Open full entry →, tool misusetool misuseEen agent die een toegestane tool aanroept op een manier die een onbedoeld effect in de echte wereld oplevert. Tegengegaan met afgebakende tooltoegang en goedkeuringspoorten op aanroepen met grote gevolgen. Zie least-privilege, escalatietrigger.Open full entry →, identity- en privilege-misbruik, memory- en context-poisoning: dit zijn geen varianten op prompt injectionprompt injectionTegenwerkende instructies de invoer van een generatief systeem binnensmokkelen (rechtstreeks of via opgehaalde inhoud) om het beoogde gedrag te overschrijven. Zie goal hijacking, beveiliging en robuustheid.Open full entry →, het is wat prompt injection wordt wanneer het model kan handelen. De OWASP Agentic Security Initiative Top 10 catalogiseert dit oppervlak, en elk item mapt op een control die de beveiligingspijler van de GovCompass-7 nu moet dragen.

Transparantie verschuift van beslissingsniveau naar actieniveau. Het volstaat niet langer om uit te leggen waarom een model een output produceerde. De actieketen van de agent, welke tools het aanriep, met welke argumenten, in welke volgorde, moet worden gelogd en reconstrueerbaar zijn, want die keten is wat een auditor en een markttoezichthouder zullen onderzoeken.

Veiligheid en betrouwbaarheid moet rekening houden met agent driftagent driftHet geleidelijk afwijken van het gedrag van een agent van zijn verwachte bandbreedte in de tijd, aan het licht gebracht door gedragsmonitoring en driftdetectie over de hele keten. Zie agentische AI, doorlopende monitoring.Open full entry → en cascadefalen. Eén model degradeert voorspelbaar. Een keten van agents die outputs aan elkaar doorgeven kan een kleine fout versterken tot een zelfverzekerde, goed beredeneerde, volledig verkeerde actie, zonder mens tussen de fout en de uitvoering.

Fairness kan zich nu door actieketens voortplanten zonder controlepunt. Een vertekende tussenbeslissing die een mens had onderschept, wordt een uitgevoerde actie omdat er geen mens in het pad zat.

Privacy wordt onder druk gezet door agents met brede datatoegang die informatie autonoom combineren, conclusies trekken en acties ondernemen op data die geen enkel systeem met één doel zou hebben samengevoegd.

Het besturen van het achtste element

Agentic AI wordt bestuurd via dezelfde drie controlelagen als elke pijlerpijlerEen principe van verantwoorde AI als iets dat een organisatie actief borgt in plaats van louter onderschrijft: een van de zeven pijlers van het GovCompass-7 control-raamwerk, één per principe. Een pijler wordt geborgd, niet geïmplementeerd, door de schades te benoemen die het principe zouden schenden, hun risico in te schatten, en controls te plaatsen die het verminderen. Onderscheiden van het integrerend element (agentische AI), dat de zeven bindt in plaats van er een van te zijn. Zie principe, schade, risico, integrerend element.Open full entry →, toegepast op autonome actie:

Preventieve controls beperken wat een agent kan doen voordat het iets doet: ingeperkte tool-toegang, least-privilegeleast-privilegeElke agent alleen de toegang geven die zijn taak vereist, zonder gedeelde inloggegevens en met afgebakende, in de tijd begrensde rechten. Een kern-preventieve control voor agentische beveiliging. Zie tool misuse, agentische AI.Open full entry → identiteiten per agent, expliciete actiegrenzen, en een gedocumenteerd autonomieniveauautonomieniveauDe gedocumenteerde mate van autonomie die een uitgerolde agent is toegestaan, afgestemd op zijn aangetoonde betrouwbaarheid en de aanwezige controls; bewust verhoogd, niet standaard. Zie progressieve autonomie, beslissingsbevoegdheid.Open full entry → voor elke ingezette agent. Progressieve autonomieprogressieve autonomieEen agent de minste autonomie geven die hem laat werken, en zijn reikwijdte pas verbreden naarmate bewijs van betrouwbaar gedrag zich opbouwt. Autonomie wordt verdiend, niet ingesteld. Zie autonomieniveau, over-reliance.Open full entry →, beginnen met een smalle scope met lage gevolgen en die alleen verbreden naarmate bewijsbewijsHet concrete bewijs dat een control is ontworpen, geïmplementeerd en werkt: een testrapport, een audit trail, een impactassessment, een monitoringlog. Elke schakel in de governance-keten levert een artefact op, en samen zijn ze wat een organisatie overhandigt aan haar eigen bestuur, een toezichthouder, een klant of een betrokkene om te tonen, niet te zeggen, dat een systeem bestuurd is. De afwezigheid ervan is zelf het falen: een risicoregister zonder testresultaten, of een maatregel die wordt geclaimd zonder validatie, is een governance-gat, geen papierwerk-gat. De sluitende schakel van de governance-keten. Zie control, governance.Open full entry → zich opbouwt, is de preventieve discipline die een bestuurde uitrol onderscheidt van een onbestuurde.

Detectieve controls leggen bloot wat een agent doet: action-level logging, gedragsmonitoring tegen een verwachte bandbreedte, en drift-detectie over multi-agent-ketens. De detectieve laag is waar agentic-programma's het dunst zijn, omdat telemetrie op actieniveau lastiger te bouwen is dan logging op beslissingsniveau.

Correctieve controls beheersen en draaien terug: menselijke escalatietriggers voor acties met grote gevolgen, het vermogen om een agent of keten halverwege de uitvoering te stoppen, terugdraaicapaciteit voor uitgevoerde acties waar het domein dat toelaat, en een incidentproces dat een ontspoorde agent-actie als een meldingsplichtige gebeurtenis behandelt.

Waar de regelgeving staat

De agentische laag is waar de regelgeving het snelst beweegt. Het Singaporese Model AI GovernanceAI governanceGovernance uitgebreid voor AI: hetzelfde organisatiebrede besturen op het hoogste niveau, verbreed naar wat AI anders maakt (het werkt in waarschijnlijkheden in plaats van vaste regels, leert uit data, en kan handelen op een snelheid en schaal die geen menselijke beoordelaar bijhoudt). Het erft de bestaande governance-structuur en brengt AI binnen de disciplines die de organisatie al voert, in plaats van een parallel stelsel in een silo te bouwen. Het werkt op twee niveaus: inrichting en uitvoering. Zie governance, governance design, executie, verantwoorde AI.Open full entry → Framework for Agentic AI, gepubliceerd in januari 2026, is het eerste toegewijde governance-model voor autonome systemen en geeft een regulatoire richting aan die de rest van de wereld volgt. Onder de EU AI Act maken de draft guidelines van de Commissie over high-risk classificatie, gepubliceerd in mei 2026, een punt dat direct relevant is voor agentische inzet: een complex systeem opgebouwd uit meerdere AI-componenten, inclusief een agentische stackagentische stackDe orchestrator, sub-agents en tools die samen een autonome workflow uitvoeren. Onder de EU AI Act wordt ze geclassificeerd en bestuurd als één systeem, niet als losse onderdelen. Zie orchestrator, sub-agent, AI-systeem.Open full entry → van orchestrators en sub-agents, wordt als geheel beoordeeld. Architectuur die een workflow over meerdere agents opsplitst, splitst de regulatoire classificatie niet. Een orchestratororchestratorDe agent die andere agents en tools coördineert richting een gezamenlijk doel. Het is het integratiepunt waar de verantwoording en classificatie op stackniveau zitten. Zie agentische stack, sub-agent.Open full entry → die sub-agents aanstuurt richting een high-risk beslissing is één high-risk systeem, en de verplichtingen hechten zich aan de stack.

Dat is de praktische kern van agentic AI als governance-element. Het achtste element is geen toekomstige zorg. Het is het element dat bepaalt of je bestaande AI governance de overgang overleeft van systemen die beslissen naar systemen die handelen.

Verken het agentische element

• Waarom je agentische stack één high-risk systeem is
• De grens tussen aanbieder en gebruiksverantwoordelijke breekt onder autonomie
• Het agentische aanvalsoppervlak, vertaald voor AI Officers
• Progressieve autonomie: een volwassenheidsmodel voor agent-inzet
• Een agent documenteren is niet hetzelfde als hem besturen