Een agent documenteren is niet hetzelfde als hem besturen
De meeste organisaties kunnen hun AI-agents tot in detail beschrijven: de architectuur, de tools, het geheugen, het basismodel, de benchmarks, de interne veiligheidstests. Wat veel minder organisaties kunnen, is besturen wat die agents beslissen zodra ze draaien. Documentatie beantwoordt de vraag "wat is deze agent en wat kan het?" Governance beantwoordt een moeilijkere: "kunnen we de beslissingen die het neemt over de tijd vertrouwen?" De twee worden routinematig verward, en een agent die grondig is gedocumenteerd maar onbestuurd is, is precies het soort systeem dat elke beoordeling doorstaat en vervolgens in productie faalt.
Dit is onderdeel van het element Agentic AI van de GovCompass-7.
De comfortabele helft van het probleem
Er is veel informatie beschikbaar over wat AI-agents zijn. Aanbieders beschrijven hun planning- en redeneervermogen, hun geheugen, hun tool-integraties, en hun basismodellen. Teams produceren model cards, benchmarkresultaten, en rapporten van interne veiligheidstests en red teaming. De inzet wordt gedocumenteerd: de interfaces, de API's, de hosting, de toegangscontroles.
Dit is de comfortabele helft van het probleem, en organisaties doen het goed omdat de informatie overvloedig is en de vragen statisch zijn. Waar is de agent op gebouwd? Wat kan het? Hoe is het ingezet? Deze zijn op een bepaald moment te beantwoorden, en eenmaal beantwoord blijven ze meestal beantwoord tot de volgende versie. Documentatie van dit soort is noodzakelijk. De EU AI Act vereist veel ervan: technische documentatie onder Artikel 11, registratie onder Artikel 12. Een organisatie die haar agents niet kan beschrijven heeft een fundamenteler probleem dan governance.
Maar een agent beschrijven is niet hetzelfde als hem besturen, en het gat tussen de twee is waar het meeste agentische risico zit.
De moeilijkere helft
Governance beantwoordt een andere vraag, en het is geen vraag op een bepaald moment. Het vraagt of de beslissingen die de agent neemt vertrouwd kunnen worden naarmate ze zich opstapelen, veranderen en samengestelde effecten krijgen over de operationele levensduur van de agent. Dit is de helft die documentatie niet bereikt, en het heeft drie delen.
Decision governance. Een agent heeft niet alleen capaciteiten; het oefent beslissingsbevoegdheid uit. De governance-vragen gaan over die bevoegdheid, niet over de capaciteit. Hoeveel beslissingsbevoegdheid heeft deze agent, en wie heeft die gedelegeerd? Wanneer moet zijn doel opnieuw worden gevalideerd, want het doel dat het zes maanden geleden kreeg is misschien niet langer het doel dat de organisatie wil dat het nastreeft? Zijn de beleidsregels waaronder het opereert uitgedrukt in een vorm die de agent daadwerkelijk volgt tijdens runtime, in plaats van geschreven in een document dat geen draaiend systeem leest? Documentatie beschrijft wat de agent kan beslissen. Decision governance beperkt wat het mag beslissen en houdt die beperking actueel.
Runtime governance. Een model cardmodel cardStandardised documentation for a model: intended use, performance (including per group), limitations, training data summary — a release-gate artefact and transparency tool.Open full entry → beschrijft de agent zoals het was op het moment van testen. Maar een agent in productie drift: zijn inputs veranderen, zijn geheugen stapelt zich op, zijn gedrag verschuift. Governance moet opereren tijdens runtime, niet alleen tijdens design. Dynamisch risicomanagement past zich aan naarmate het gedrag en de context van de agent veranderen. Runtime assurance en drift-detectie leggen het moment bloot dat de agent zich buiten zijn verwachte bandbreedte begint te gedragen. State- en memory-governance voorkomt dat de opgebouwde context van de agent stil zijn toekomstige beslissingen corrumpeert. Niets hiervan verschijnt in documentatie, omdat documentatie statisch is en het risico dynamisch.
AccountabilityaccountabilityThe principle that a named human or organization answers for an AI system's outcomes, through ownership, documentation, audit trails and redress — never the system itself.Open full entry → en vertrouwen. Documentatie kan aantonen dat een agent is getest. Het kan, op zichzelf, niet vaststellen dat een specifieke beslissing die de agent in productie nam uitgelegd kan worden, dat een identificeerbare persoon ervoor aanspreekbaar is, dat het vertrouwen van de organisatie op de agent is afgestemd op zijn werkelijke betrouwbaarheid, en dat de agent over zijn hele levenscyclus van ontwerp tot uitfasering wordt bestuurd. Dit zijn de vertrouwensvragen, en ze worden beantwoord door governance die continu opereert, niet door een eenmalig geproduceerd document.
De governance shift
De overgang van het documenteren van modellen naar het besturen van autonome beslissingen is een verschuiving langs meerdere assen tegelijk, en het benoemen ervan maakt het gat concreet.
Traditionele AI governance bestuurt modellen; agent governance bestuurt de autonome beslissingen die die modellen aandrijven. Traditionele governance leunt op statische controls die bij inzet zijn ingesteld; agent governance heeft dynamische controls nodig die zich tijdens runtime aanpassen. Traditionele governance produceert assurance op een bepaald moment, een momentopname die waar was toen de beoordeling werd gedaan; agent governance heeft continue assurance nodig, omdat datgene wat wordt geborgd blijft veranderen. Traditionele governance gaat uit van menselijke uitvoering, een persoon die handelt op de output van het model; agent governance moet rekening houden met autonome uitvoering, waar de agent handelt zonder die menselijke stap. Traditionele governance produceert compliance-documentatie; agent governance moet regulatoir bewijs produceren, dat is documentatie die aantoont dat de controls daadwerkelijk werkten, niet slechts dat ze waren ontworpen. En traditionele governance levert model oversight; agent governance vereist decision oversight, toezicht op de keuzes die de agent maakt in plaats van op het model dat ze maakt.
Elk hiervan is een overgang van iets statisch en beschrijfbaars naar iets dynamisch en bestuurd. Een organisatie die de linkerkolom heeft gedaan en gelooft dat ze de rechterkolom heeft gedaan, heeft precies het gat waar dit artikel over gaat.
Waarom de verwarring gevaarlijk is
Het gevaar is dat documentatie de schijn van governance wekt. Een agent met een grondige model card, schone benchmarks, en een gedocumenteerde inzet oogt bestuurd. Het heeft de beoordelingen doorstaan die vragen "wat is deze agent en wat kan het?" Maar die beoordelingen vragen niet of de beslissingen die het volgende maand neemt, op inputs die het nog niet heeft gezien, nadat zijn geheugen zich heeft opgebouwd, vertrouwd kunnen worden. De agent die in productie faalt is vaak degene die het best gedocumenteerd was, omdat de documentatie iedereen het vertrouwen gaf om zijn autonomie te verbreden zonder de runtime-governance te bouwen die bredere autonomie vereist.
Dit is hetzelfde patroon dat overal in verantwoorde AI verschijnt: een control die eenmalig is ontworpen en nooit is bediend, een pijler die compliant oogt op papier en stil faalt in productie. Bij agents is het patroon scherper, omdat het gat tussen wat de documentatie beschrijft en wat de agent doet elke dag dat de agent draait groter wordt.
Wat eraan te doen
De praktische respons is om documentatie en governance als twee aparte deliverables te behandelen en beide te vereisen. Documentatie beantwoordt wat de agent is; vereis het, omdat de EU AI Act dat doet en omdat je niet kunt besturen wat je niet kunt beschrijven. Maar laat een complete set documentatie niet doorgaan voor governance.
Stel voor elke agent, naast de documentatie, de drie governance-capaciteiten vast die documentatie niet levert. Decision governance: wie de beslissingsbevoegdheid van de agent houdt, wanneer zijn doelen opnieuw worden gevalideerd, en hoe zijn beleidsregels tijdens runtime worden gehandhaafd. Runtime governance: dynamisch risicomanagement, drift-detectie, en memory-governance die opereren terwijl de agent draait. Accountability: uitlegbaarheid op beslissingsniveau, een benoemde aanspreekbare eigenaar, afgestemd vertrouwen, en lifecycle-governance van ontwerp tot uitfasering.
Deze mappen op de GovCompass-pijlers die autonomie het sterkst onder druk zet: verantwoordelijkheid, transparantie en uitlegbaarheid, en het integrerende agentische element dat ze bindt. De toets of je een agent hebt bestuurd, in plaats van hem slechts te hebben gedocumenteerd, is eenvoudig. Documentatie laat je beantwoorden wat de agent is en kan. Governance laat je beantwoorden of je de beslissingen die het op dit moment neemt kunt vertrouwen, en of je het zou weten als dat niet zo was.