Niet het model, maar wat de agent dóet - de eerste complete compliance-blauwdruk voor AI-agents onder EU-recht
Ik zat afgelopen maand met een CIO van een grote zorginstelling. Ze hebben een AI-agent die medische dossiers samenvat voor specialisten, lijkt onschuldig, toch? Maar diezelfde agent kan ook verwijzingen genereren en in het EPD schrijven. Toen ik vroeg of iemand de compliance-kaart had getrokken per externe actie die die agent uitvoert, viel het stil. Want de agent deed meer dan ze dachten, en geen van de 11 EU-wetten die erop van toepassing zijn was in kaart gebracht.
Precies dát gat vult het nieuwe paper van Bisconti, Panai, Smith, Nannini en vijf co-auteurs: AI Agents Under EU Law, A Compliance Architecture for AI Providers (arXiv:2604.04604, april 2026), het juridische vervolg op Boiling the Frog. De boodschap is scherp en ik kan uit eigen ervaring beamen: high-risk agentic systems met ontraceerbare runtime behavioral drift kunnen niet aantoonbaar voldoen aan de essentiële eisen van de EU AI Act. Dat is geen academisch risico, het is een architectuurprobleem waar mijn klanten dagelijks tegenaan lopen.
De draai: niet het model, maar de external action surface
Wat dit paper anders maakt dan alle AI Act-analyses tot nu toe: kijk niet naar welk model of welke agentarchitectuur, kijk naar wat de agent extern doet.
Een agent die alleen interne documenten samenvat, valt onder transparantie, GDPR en algemene security-eisen. Een agent die CV's screent, betalingen initieert, cloud-infrastructuur wijzigt, medische adviezen ondersteunt of refund-beslissingen uitvoert, activeert direct Annex III high-risk, GDPR Art. 22, CRA, NIS2, MDR, MiFID II, en product liability. De compliance-kaart begint daarom niet bij model governance, maar bij een uitputtende inventaris van externe acties, datastromen, gekoppelde systemen en getroffen personen, de external action surface.
De regulatory perimeter: 11 wetten, geen enkele in isolatie
Het paper brengt voor het eerst het volledige wetgevende ecosysteem in kaart:
- EU AI Act (2024/1689), risicoclassificatie en conformity assessment
- GDPR (2016/679), persoonsgegevens, geautomatiseerde besluitvorming
- Cyber Resilience Act (2024/2847), cybersecurity voor producten met digitale elementen
- Digital Services Act (2022/2065), platformverplichtingen
- Data Act (2023/2854), datatoegang en interoperabiliteit
- Data Governance Act (2022/868), data-intermediatie
- NIS2 Directive (2022/2555), netwerk- en informatiebeveiliging
- Product Liability Directive (herzien), aansprakelijkheid
- ePrivacy Directive, elektronische communicatie
- DORA (2022/2554), digitale operationele weerbaarheid (financiële sector)
- General Product Safety Regulation (2023/988), productveiligheid
Voor Nederlandse overheidsorganisaties komen daar BIO2, NORA, NEN 7510 (zorg) en de WOO nog bij. De auteurs noemen parallelle compliance over al deze instrumenten niet uitzonderlijk, maar de baseline voor agentic AI in de EU.
Vier agent-specifieke compliance-uitdagingen
Het paper identificeert vier uitdagingen die ik in elke implementatie terugzie:
1. Cybersecurity: privilege minimization buiten het model. Prompt-instructies zijn geen control. Een agent met shell access, e-mail en persistent memory kan destructieve acties uitvoeren, het model kan dat niet voorkomen. De oplossing zit op de architectuurlaag: policy engines, scoped tokens, just-in-time credentials en per-action approval gates.
2. Human oversight: het evasion-risico. Reinforcement learning kan oversight ondermijnen: een agent die leert dat bepaalde acties worden geblokkeerd, vindt alternatieve paden. De menselijke toezichthouder moet niet alleen kunnen ingrijpen, maar ook capabel genoeg blijven om evasion te detecteren. Cognitive dependency maakt dit risico acuut.
3. Transparantie over multi-party action chains. Een agent over CRM, e-mail, cloud-infrastructuur en betalingssystemen creëert een transparantieprobleem: wie is verantwoordelijk voor welke actie? Dit raakt het non-human identity (NHI) probleem, één agent met credentials voor vijf systemen is één compromis verwijderd van een groot incident.
4. Runtime behavioral drift en substantial modification. Dit is de lastigste: waar ligt de grens tussen "anticipated adaptive behavior" en "substantial modification" onder Artikel 3(23)? Een agent die zich aanpast is wezenlijk anders dan een statisch model, maar wanneer wordt adaptatie een nieuw product dat opnieuw conformity assessment nodig heeft? Het antwoord is onverbiddelijk: zonder versioned runtime state, drift-detectie, gedragsbaseline en replayable decision traces kun je high-risk agentgedrag niet aantonen, uitleggen of corrigeren.
De 12-staps compliance-architectuur
Het paper stelt een logisch geordende sequentie voor, van classificatie naar lifecycle governance:
| Stap | Actie | Agent-specifiek beslispunt |
|---|---|---|
| 1 | Scoping onder AI Act Art. 3(1) | Is het product een AI-systeem? LLM met tool use is dat per definitie |
| 2 | GPAI-layer mapping | Upstream GPAI-model? Dan Code of Practice-verplichtingen |
| 3 | High-risk classificatie | Welke Annex III-categorie triggert de agent's acties? |
| 4 | QMS (Quality Management System) | Governance over de volledige agent lifecycle |
| 5 | Risk management | Risico's per tool, per actie, per datastroom, niet alleen per model |
| 6 | Data governance | Welke persoonsgegevens raakt de agent? GDPR DPIA vereist? |
| 7 | Trustworthiness | Transparantie, uitlegbaarheid, human oversight, per agent-actie |
| 8 | Cybersecurity | CRA-standaarden (M/606) naast AI Act-standaarden (M/613) |
| 9 | Regulatory perimeter mapping | Welke van de 11+ wetten zijn geactiveerd? |
| 10 | Conformity assessment | Bewijs per geïdentificeerd risico, per verplichting |
| 11 | Post-market monitoring | Drift-detectie, incident reporting, model/tool updates |
| 12 | Deployment lifecycle governance | Rollback, continue assurance, eindelevenscyclus |
Wat mist het paper? En wat betekent dit in de praktijk
De paper is juridisch ijzersterk, maar technisch niet volledig uitgewerkt. Wat ik mis voor een werkbare implementatie:
- Een concrete control stack met OPA/Cedar/Rego, workload identity, signed tool manifests, en MCP authorization brokers
- Agent supply chain security: niet alleen het model, maar ook prompts, skills, tool manifests, MCP servers, vector stores en RAG pipelines moeten in een Agent-BOM
- De rolvermenging in grote organisaties: deployer, customizer, integrator, internal provider, wie draagt welke verantwoordelijkheid?
- Cruciale waarschuwing van de auteurs zelf: gangbare frameworks zoals LangChain, CrewAI en AutoGen bieden developer observability, geen regulatory evidence. Tracing is geen audit trail.
De praktijk vraagt om een architectuur die deze juridische analyse operationaliseert: policy enforcement (OPA/Cedar) voor per-action authorization, non-human identity governance met workload identity, immutable event sourcing voor onafhankelijk verifieerbare audit trails, runtime drift monitoring met replayable decision traces, tool governance via signed manifests, en een compliance evidence fabric voor BIO2, NIS2, GDPR en AI Act.
Voor de Nederlandse praktijk
Dit paper is direct operationaliseerbaar voor Nederlandse overheidsorganisaties:
- EU AI Act art. 14 (human oversight) → evasion-risico mitigeren met onafhankelijke state-verificatie, niet self-reported agent logs
- BIO2 BBN-classificatie → de external action surface bepaalt het BBN-niveau, niet het model
- NIS2 supply chain security → elke tool die de agent aanroept is onderdeel van de supply chain; signed tool manifests zijn verplicht
- NORA AP-08 (continuïteit) → runtime behavioral drift die continuïteit ondermijnt is substantial modification onder Art. 3(23)
Dit paper sluit de cirkel die we vandaag trokken: Boiling the Frog toonde het security-risico, The Evaluation Trap toonde waarom benchmarks misleiden, Cognitive Dependency toonde wat AI met operators doet, en dit paper vertaalt al die inzichten naar één compliance-architectuur.
De conclusie is dezelfde, maar nu juridisch gedekt: niet het model, maar wat de agent dóet, en of je dat kunt bewijzen.
Paper: Nannini, Smith, Maggini, Panai, Feliciano, Tiulkanov, Maran, Gealy & Bisconti, "AI Agents Under EU Law", arXiv:2604.04604, april 2026.
Niet het model, maar wat de agent dóet - de eerste complete compliance-blauwdruk voor AI-agents onder EU-recht
Dit artikel is exclusief beschikbaar voor nieuwsbrief-abonnees. Schrijf je in voor toegang tot 880+ artikelen.
Geen spam. Uitschrijven op elk moment.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.