Agentic AI zonder governance: zes principes die je niet mag negeren
Laatst bij een zorginstelling: een AI-agent die zelfstandig patiëntgegevens opvroeg en afspraken inplande. Handig, totdat de agent een verkeerde interpretatie maakte en een afspraak dubbel boekte. Toen we de logs bekeken, bleek er geen enkele traceerbare beslissingsstap. Geen audit trail, geen uitleg. Dat is niet alleen onhandig, dat is in strijd met de AVG en de AI Act.
We staan aan de vooravond van agentic AI: systemen die niet alleen antwoorden, maar zelfstandig acties uitvoeren. Maar de huidige enterprise-architecturen zijn daar niet op gebouwd. Een nieuw manifest stelt zes principes voor om agentic AI beheersbaar te maken.
Wat is agentic AI en waarom is governance nu urgent?
Agentic AI-systemen zijn LLM-gestuurde agents die zelfstandig taken uitvoeren, beslissingen nemen en met andere systemen communiceren. Denk aan een agent die facturen verwerkt, HR-verzoeken afhandelt of IT-incidenten oplost. Anders dan traditionele chatbots voeren deze agents acties uit in de echte wereld: ze boeken betalingen, wijzigen configuraties, plannen afspraken.
De urgentie voor governance komt niet uit de lucht vallen. De AI Act classificeert veel agentic-toepassingen als hoog-risico, zeker in de zorg, bij de overheid en in de financiële sector. NIS2 verplicht organisaties om de beveiliging van hun netwerk- en informatiesystemen op orde te hebben — inclusief AI-gedreven diensten. BIO2 eist van overheidsorganisaties een gedegen risicomanagement voor alle informatiesystemen. En de AVG stelt strenge eisen aan geautomatiseerde besluitvorming.
Zonder governance zijn AI-agents een zwarte doos. Je weet niet waarom ze iets doen, je kunt ze niet stoppen als het misgaat, en je kunt niet aantonen dat je aan de wet voldoet. Precies daarom is het manifest "Agentic Service-Oriented Computing" [1] relevant.
De zes principes uit het manifest
Het manifest definieert zes basisprincipes voor het bouwen en beheren van AI-agents in enterprise-omgevingen. De principes zijn: harness-ability, composability, lifecycle engineering, trustworthiness by design, goal-driven orchestration en accountability. Samen vormen ze een raamwerk dat governance, security en compliance afdwingbaar maakt.
Harness-ability en trustworthiness by design
Harness-ability betekent dat je een agent moet kunnen inperken. Je bepaalt vooraf wat een agent wel en niet mag, en je kunt die grenzen op elk moment aanpassen. Zonder harness-ability is een agent een losgeslagen paard.
Een concreet voorbeeld: stel dat je een agent hebt die via een API facturen verwerkt. Zonder begrenzing kan die agent onbedoeld betalingen goedkeuren boven een bepaald bedrag. Met een policy as code-framework zoals Open Policy Agent (OPA) definieer je regels die de agent dwingen zich aan limieten te houden:
allow {
input.action == "approve_payment"
input.amount < 5000
}
Deze regel zorgt dat betalingen boven de €5.000 automatisch worden geblokkeerd, tenzij een menselijke goedkeuring volgt. OPA v0.60.0 of nieuwer ondersteunt dit soort beslissingslogs, waarmee je elke evaluatie kunt herleiden.
Trustworthiness by design gaat over ingebakken betrouwbaarheid. Een agent moet kunnen uitleggen waarom hij een bepaalde actie uitvoert. De AI Act eist voor hoog-risico systemen een zekere mate van transparantie en menselijk toezicht. In de praktijk betekent dit dat je bij elke agentactie een uitleg moet kunnen genereren, bijvoorbeeld via een explainability-module die de redenering van het LLM vertaalt naar begrijpelijke taal. Zonder die uitleg voldoe je niet aan de AVG, die bij geautomatiseerde besluiten een "passende uitleg" vereist.
Composability, lifecycle engineering en goal-driven orchestration
Composability betekent dat je agents bouwt als herbruikbare, losjes gekoppelde componenten. Geen monolieten die alles zelf doen, maar kleine, gespecialiseerde agents die je combineert. Dit sluit aan bij de NORA-principes voor de overheid: bouw diensten modulair en herbruikbaar. Een agent die een adres valideert, moet je kunnen hergebruiken in een vergunningenproces én in een klantcontactsysteem.
Lifecycle engineering erkent dat een AI-agent geen eenmalig project is, maar een doorlopend beheerd product. Van ontwikkeling tot uitfasering: versioning, monitoring, rollback-mogelijkheden en een formeel end-of-life proces. Zonder lifecycle engineering loop je het risico dat een verouderde agent met een bekend beveiligingslek nog maanden actief blijft. NIS2 verplicht je om kwetsbaarheden in je systemen actief te beheren; een agent zonder lifecycle management is een ticking time bomb.
Goal-driven orchestration verschuift de focus van "voer deze taken uit" naar "bereik dit doel". Je specificeert het gewenste resultaat en de agent bepaalt zelf de stappen, binnen de gestelde grenzen. Dit maakt agents flexibeler, maar vereist ook dat je de doelen helder definieert en valideert. Een agent die facturen moet verwerken, krijgt niet een lijst met stappen, maar het doel: "zorg dat alle goedgekeurde facturen binnen 24 uur betaald zijn, met een maximum van €10.000 per factuur, en leg elke beslissing vast." De agent mag dan zelf bepalen hoe hij dat bereikt, zolang hij binnen de policy blijft.
Accountability: de ontbrekende schakel in de AI Act
Accountability is het zesde principe en misschien wel het belangrijkste. Wie is verantwoordelijk als een agent een fout maakt? De AI Act legt de verantwoordelijkheid bij de aanbieder of de gebruiksverantwoordelijke, afhankelijk van de context. Maar zonder accountability-mechanismen is die verantwoordelijkheid niet waar te maken.
Accountability vereist een onweerlegbare audit trail. Elke actie van een agent moet worden gelogd, inclusief de input, de beslissing, de gebruikte policy en de uitleg. Deze logs moeten onveranderlijk zijn en voldoen aan de bewaartermijnen uit de AVG en sectorale wetgeving. In de zorg betekent dit dat je moet kunnen aantonen waarom een agent een bepaalde diagnose voorstelde, wie er toezicht hield en of er een menselijke override plaatsvond. Zonder die logs is elke audit een gok.
Wat betekent dit voor Nederlandse organisaties?
Voor Nederlandse publieke organisaties zijn de zes principes geen theoretische exercitie. BIO2 verplicht risicomanagement voor alle informatiesystemen, inclusief AI-agents. Dat betekent dat je een actuele inventaris moet hebben van al je agents, hun risicoclassificatie en de beheersmaatregelen. NIS2 eist dat je incidenten met AI-agents binnen 24 uur meldt bij het NCSC of de sectorale CERT, afhankelijk van de sector. De AI Act vereist een conformiteitsbeoordeling voor hoog-risico AI-systemen, inclusief technische documentatie en een kwaliteitsmanagementsysteem.
Begin met een inventaris: welke agents draaien er in jouw organisatie? Welke acties voeren ze uit? Welke data raken ze aan? Zonder inventaris kun je niet beoordelen of je aan de wet voldoet. Implementeer vervolgens policy as code om grenzen af te dwingen. Zorg voor logging op agentniveau, niet alleen op applicatieniveau. En stel een AI-governance board in dat verantwoordelijk is voor de lifecycle van elke agent.
De zes principes uit het manifest bieden een praktisch handvat om dit gestructureerd aan te pakken. Ze vervangen geen wetgeving, maar maken compliance uitvoerbaar.
Lees ook: AI Act verplichtingen voor AI-systemen: een overzicht.
Wil je weten of jouw AI-agenten voldoen aan de zes principes? Download de AI Agent Governance Checklist — 10 vragen, direct antwoord.
[1] "Agentic Service-Oriented Computing: A Manifesto", arXiv:2607.12619. Abstract / PDF.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.