Agentic AI: het besturen van acties, niet alleen beslissingen
Data governance vraagt of je de data kunt vertrouwen. AI governance vraagt of je de beslissing kunt vertrouwen. Agentische governance stelt een derde vraag die geen van beide is ontworpen te beantwoorden: kun je beheersen wat het systeem doet? Agentic AI is het achtste GovCompass-element. Het bindt de andere zeven onder de condities die autonomie schept, want een AI-systeem dat namens jou handelt moet alle zeven elementen continu waarborgen, over meerstaps- en multi-agent-ketens, zonder menselijk controlepunt tussen elke stap.
Agentic AIagentic AISystems where a model takes actions — calling tools, executing multi-step plans — amplifying both capability and every failure mode; governed with action allowlists, approvals and full logging.Open full entry → is het integrerende element van de GovCompass-7. Het zit in het hart van het raamwerk, niet op de ring, omdat het de andere zeven bindt zodra een systeem niet meer beslist maar handelt.
Waarom agentic AI een eigen element nodig heeft
De GovCompass-7 ordent verantwoorde AI in zeven controledomeinen: fairnessfairnessThe responsible-AI principle that systems should not create or reinforce unjust discrimination; operationalised through bias testing, representative data and per-group thresholds — with multiple, mutually incompatible mathematical definitions.Open full entry →, veiligheid en betrouwbaarheid, privacy, beveiliging en robuustheid, transparantie en uitlegbaarheid, verantwoordelijkheid, en menselijk toezicht. Elk is een eigenschap die je vaststelt en vervolgens borgt met preventieve, detectieve en correctieve controls. Voor een systeem dat een output produceert waar een mens vervolgens naar handelt, is dit voldoende.
Agentic AI doorbreekt die aanname. Een agent produceert geen output waar een mens naar handelt. De agent handelt zelf. Het roept externe services aan, voert transacties uit, wijzigt records, en in multi-agent-ontwerpen roept het andere agents aan en maakt het sub-taken aan. De governance-vraag verschuift van "kan ik deze beslissing vertrouwen?" naar "kan ik beheersen wat dit systeem doet?" Die verschuiving vervangt de zeven elementen niet. Ze zet ze allemaal tegelijk onder druk, continu, in een context waar het menselijke controlepunt waar de meeste controls stil op leunen is weggevallen.
Daarom is agentic AI het achtste element, en daarom zit het in het hart van het raamwerk in plaats van op de ring. Het is geen gelijkwaardig controledomein. Het is het integrerende element: het punt waar de zeven worden getoetst onder autonomie, en waar ze samen standhouden of samen falen.
De drie lagen
Een bruikbare manier om agentic AI te plaatsen is naast zijn voorgangers:
Data governance bestuurt informatie. De vraag is of de data te vertrouwen is.
AI governance bestuurt beslissingen. De vraag is of de beslissing te vertrouwen is.
Agentische governance bestuurt acties. De vraag is of de acties die een autonoom systeem onderneemt te beheersen, te traceren en terug te draaien zijn.
De meeste organisaties hebben de eerste laag gebouwd en bouwen aan de tweede. De derde laag is waar de meeste organisaties op dit moment niets hebben, en het is de laag die agentic-inzet urgent maakt.
Wat er verandert voor elk van de zeven elementen
Agentic AI is niet abstract. Elk van de zeven elementen krijgt een specifieke agentische dimensie:
Menselijk toezicht verandert van vorm. De klassieke "human in the loop", een persoon die elke beslissing beoordeelt voordat die effect krijgt, overleeft het contact met een agent die honderden acties per minuut uitvoert niet. Toezicht wordt "human on the loop": de mens stelt grenzen, monitort het geaggregeerde gedrag en houdt een interventierecht, maar is niet langer de poort op elke actie. De control die ertoe doet is de escalatietrigger voor acties met grote gevolgen, niet de beoordeling per actie.
Verantwoordelijkheid wordt getoetst door het vervagen van rollen. De EU AI Act gaat ervan uit dat aanbieder en gebruiksverantwoordelijke onderscheiden, stabiele rollen zijn. Een agent die is geconfigureerd met brede tool-rechten, autonome beslissingsruimte en de mogelijkheid om sub-agents aan te maken, kan een gebruiksverantwoordelijke in aanbieder-niveau verantwoordelijkheid duwen. Iemand moet aanspreekbaar zijn voor wat een sub-agentsub-agentAn agent invoked by another agent or an orchestrator to carry out part of a task. Its actions still inherit the obligations of the stack it belongs to.Open full entry → deed, drie stappen diep in een autonome keten. Agentic AI dwingt dat die vraag voor inzet wordt beantwoord, niet na een incident.
Beveiliging en robuustheid staat tegenover een geheel nieuw aanvalsoppervlak. Goal hijackinggoal hijackingAn attack that redirects an agent's objective so it pursues a goal you did not set. Prompt injection combined with autonomy: it changes what the agent does, not just what it says.Open full entry →, tool misusetool misuseAn agent calling a permitted tool in a way that produces an unintended real-world effect. Countered with scoped tool access and approval gates on high-consequence calls.Open full entry →, identity- en privilege-misbruik, memory- en context-poisoning: dit zijn geen varianten op prompt injectionprompt injectionSmuggling adversarial instructions into a generative system's input (directly or via retrieved content) to override its intended behaviour.Open full entry →, het is wat prompt injection wordt wanneer het model kan handelen. De OWASP Agentic Security Initiative Top 10 catalogiseert dit oppervlak, en elk item mapt op een control die het beveiligingselement van de GovCompass-7 nu moet dragen.
Transparantie verschuift van beslissingsniveau naar actieniveau. Het volstaat niet langer om uit te leggen waarom een model een output produceerde. De actieketen van de agent, welke tools het aanriep, met welke argumenten, in welke volgorde, moet worden gelogd en reconstrueerbaar zijn, want die keten is wat een auditor en een markttoezichthouder zullen onderzoeken.
Veiligheid en betrouwbaarheid moet rekening houden met agent driftagent driftThe gradual divergence of an agent's behaviour from its expected envelope over time, surfaced by behavioural monitoring and drift detection across the chain.Open full entry → en cascadefalen. Eén model degradeert voorspelbaar. Een keten van agents die outputs aan elkaar doorgeven kan een kleine fout versterken tot een zelfverzekerde, goed beredeneerde, volledig verkeerde actie, zonder mens tussen de fout en de uitvoering.
Fairness kan zich nu door actieketens voortplanten zonder controlepunt. Een vertekende tussenbeslissing die een mens had onderschept, wordt een uitgevoerde actie omdat er geen mens in het pad zat.
Privacy wordt onder druk gezet door agents met brede datatoegang die informatie autonoom combineren, conclusies trekken en acties ondernemen op data die geen enkel systeem met één doel zou hebben samengevoegd.
Het besturen van het achtste element
Agentic AI wordt bestuurd via dezelfde drie controlelagen als elk ander element, toegepast op autonome actie:
Preventieve controls beperken wat een agent kan doen voordat het iets doet: ingeperkte tool-toegang, least-privilegeleast-privilegeGranting each agent only the access its task requires, with no shared credentials and scoped, time-bound permissions. A core preventive control for agentic security.Open full entry → identiteiten per agent, expliciete actiegrenzen, en een gedocumenteerd autonomieniveau voor elke ingezette agent. Progressieve autonomie, beginnen met een smalle scope met lage gevolgen en die alleen verbreden naarmate bewijs zich opbouwt, is de preventieve discipline die een bestuurde uitrol onderscheidt van een onbestuurde.
Detectieve controls leggen bloot wat een agent doet: action-level logging, gedragsmonitoring tegen een verwachte bandbreedte, en drift-detectie over multi-agent-ketens. De detectieve laag is waar agentic-programma's het dunst zijn, omdat telemetrie op actieniveau lastiger te bouwen is dan logging op beslissingsniveau.
Correctieve controls beheersen en draaien terug: menselijke escalatietriggers voor acties met grote gevolgen, het vermogen om een agent of keten halverwege de uitvoering te stoppen, terugdraaicapaciteit voor uitgevoerde acties waar het domein dat toelaat, en een incidentproces dat een ontspoorde agent-actie als een meldingsplichtige gebeurtenis behandelt.
Waar de regelgeving staat
De agentische laag is waar de regelgeving het snelst beweegt. Het Singaporese Model AI Governance Framework for Agentic AI, gepubliceerd in januari 2026, is het eerste toegewijde governance-model voor autonome systemen en geeft een regulatoire richting aan die de rest van de wereld volgt. Onder de EU AI Act maken de draft guidelines van de Commissie over high-risk classificatie, gepubliceerd in mei 2026, een punt dat direct relevant is voor agentische inzet: een complex systeem opgebouwd uit meerdere AI-componenten, inclusief een agentische stack van orchestrators en sub-agents, wordt als geheel beoordeeld. Architectuur die een workflow over meerdere agents opsplitst, splitst de regulatoire classificatie niet. Een orchestratororchestratorThe agent that coordinates other agents and tools toward a combined goal. It is the integration point where stack-level accountability and classification sit.Open full entry → die sub-agents aanstuurt richting een high-risk beslissing is één high-risk systeem, en de verplichtingen hechten zich aan de stack.
Dat is de praktische kern van agentic AI als governance-element. Het achtste element is geen toekomstige zorg. Het is het element dat bepaalt of je bestaande AI governance de overgang overleeft van systemen die beslissen naar systemen die handelen.