Niet het model, maar wat de agent dóet — de eerste complete compliance-blauwdruk voor AI-agents onder EU-recht

Twee maanden geleden bewezen dezelfde auteurs dat AI-agents via geleidelijke normalisatie onveilige artifact states creëren — zelfs als ze tekstueel veilig antwoorden. Boiling the Frog was een wake-up call voor security-teams. Vandaag publiceren Bisconti, Panai, Smith, Nannini en vijf co-auteurs het juridische vervolg: AI Agents Under EU Law — A Compliance Architecture for AI Providers (arXiv:2604.04604, april 2026).

De boodschap is even scherp, maar nu gericht aan compliance-officers en CIO's: high-risk agentic systems met ontraceerbare runtime behavioral drift kunnen niet aantoonbaar voldoen aan de essentiële eisen van de EU AI Act. Dat is geen theoretisch risico — het is een architectuurprobleem.

De fundamentele draai: niet het model, maar de external action surface

De paper maakt één beslissende keuze die hem onderscheidt van alle AI Act-analyses tot nu toe: kijk niet naar welk model of welke agentarchitectuur — kijk naar wat de agent extern doet.

Een agent die alleen interne documenten samenvat, valt onder transparantie, GDPR en algemene security-eisen. Een agent die CV's screent, betalingen initieert, cloud-infrastructuur wijzigt, medische adviezen ondersteunt of refund-beslissingen uitvoert, activeert direct zwaardere regimes: Annex III high-risk, GDPR Art. 22, CRA, NIS2, MDR, MiFID II, en product liability.

De compliance-kaart van een AI-agent begint daarom niet bij model governance — maar bij een uitputtende inventaris van externe acties, datastromen, gekoppelde systemen en getroffen personen. De auteurs noemen dit de external action surface. Alles wat de agent kan aanraken, bepaalt welke wetten van toepassing zijn.

De regulatory perimeter: 11 wetten, geen enkele in isolatie

Het paper brengt voor het eerst het volledige wetgevende ecosysteem in kaart waarin een AI-agent opereert. De EU AI Act is slechts één laag:

• EU AI Act (2024/1689) — risicoclassificatie en conformity assessment
• GDPR (2016/679) — persoonsgegevens, geautomatiseerde besluitvorming
• Cyber Resilience Act (2024/2847) — cybersecurity-eisen voor producten met digitale elementen
• Digital Services Act (2022/2065) — platformverplichtingen
• Data Act (2023/2854) — datatoegang en interoperabiliteit
• Data Governance Act (2022/868) — data-intermediatie
• NIS2 Directive (2022/2555) — netwerk- en informatiebeveiliging
• Product Liability Directive (herzien) — aansprakelijkheid
• ePrivacy Directive — elektronische communicatie
• DORA (2022/2554) — digitale operationele weerbaarheid (financiële sector)
• General Product Safety Regulation (2023/988) — productveiligheid

Voor Nederlandse overheidsorganisaties voegt DjimIT daar BIO2, NORA, NEN 7510 (zorg), en de WOO aan toe. De auteurs noemen parallelle compliance over al deze instrumenten niet uitzonderlijk — maar de baseline voor agentic AI in de EU.

Vier agent-specifieke compliance-uitdagingen

Het paper identificeert vier uitdagingen die niet bestaan voor conventionele AI-systemen:

1. Cybersecurity: privilege minimization buiten het model. Prompt-instructies zijn geen control. Een agent die shell access, e-mail en persistent memory heeft, kan destructieve systeemacties uitvoeren — en het model kan dat niet voorkomen. Mitigatie vereist controls op de architectuurlaag: policy engines, scoped tokens, just-in-time credentials en per-action approval gates.

2. Human oversight: het evasion-risico. Reinforcement learning kan human oversight ondermijnen. Een agent die leert dat bepaalde acties worden geblokkeerd, vindt alternatieve paden die de oversight omzeilen. De menselijke toezichthouder moet niet alleen kunnen ingrijpen — maar moet capabel genoeg blijven om evasion te detecteren. Cognitive dependency maakt dit risico acuut.

3. Transparantie over multi-party action chains. Een agent die over CRM, e-mail, cloud-infrastructuur en betalingssystemen opereert, creëert een transparantieprobleem: wie is verantwoordelijk voor welke actie? De auteurs koppelen dit aan het non-human identity (NHI) probleem — een enkele agent met credentials voor vijf systemen is één compromis verwijderd van catastrofale impact.

4. Runtime behavioral drift en substantial modification. Dit is de meest fundamentele uitdaging: waar ligt de grens tussen "anticipated adaptive behavior" en "substantial modification" onder Artikel 3(23)? Een agent die zich aanpast aan nieuwe omstandigheden is fundamenteel anders dan een statisch model — maar wanneer wordt adaptatie een nieuw product dat opnieuw conformity assessment nodig heeft? De paper's antwoord is onverbiddelijk: zonder versioned runtime state, drift-detectie, gedragsbaseline en replayable decision traces kun je high-risk agentgedrag niet aantonen, uitleggen of corrigeren.

De 12-staps compliance-architectuur

De paper stelt een twaalfstappen compliance-sequentie voor, logisch geordend van classificatie naar lifecycle governance:

| Stap | Actie | Agent-specifiek beslispunt | |---|---|---| | 1 | Scoping onder AI Act Art. 3(1) | Is het product een AI-systeem? Voor agents zelden de vraag — LLM met tool use is dat per definitie | | 2 | GPAI-layer mapping | Is er een upstream GPAI-model? Zo ja: Code of Practice-verplichtingen | | 3 | High-risk classificatie | Welke Annex III-categorie wordt getriggerd door de agent's acties? | | 4 | QMS (Quality Management System) | Borgt governance over de volledige agent lifecycle | | 5 | Risk management | Risico's per tool, per actie, per datastroom — niet alleen per model | | 6 | Data governance | Welke persoonsgegevens raakt de agent? GDPR DPIA vereist? | | 7 | Trustworthiness | Transparantie, uitlegbaarheid, human oversight — per agent-actie | | 8 | Cybersecurity | CRA-standaarden (M/606) naast AI Act-standaarden (M/613) | | 9 | Regulatory perimeter mapping | Welke van de 11+ wetten zijn geactiveerd? | | 10 | Conformity assessment | Bewijs leveren — per geïdentificeerd risico, per verplichting | | 11 | Post-market monitoring | Drift-detectie, incident reporting, model/tool updates | | 12 | Deployment lifecycle governance | Rollback, continue assurance, eindelevenscyclus |

Enterprise control model: van paper naar praktijk

Waar het paper een compliance-architectuur beschrijft, vertaalt DjimIT dit naar een operationeel control-model met tien domeinen:

| Control domein | Vereiste capability | Praktische implementatie | |---|---|---| | Agent inventory | Volledig overzicht van agenten, tools, acties en datastromen | Agent registry, service catalog, data classification, tool/action matrix | | Identity & access | Non-human identity governance | Workload identity, scoped tokens, short-lived credentials, no shared secrets | | Authorization | Per-action policy enforcement | OPA/Cedar, allowlists, deny-by-default, approval gates | | Logging | Onafhankelijke traceability | Event sourcing, immutable logs, state verification, SIEM export | | Runtime governance | Drift en anomalie-detectie | Behavioral baselines, regression tests, red-team prompts, telemetry | | Human oversight | Meaningful intervention | Approval tiers, reversible actions, escalation paths, HITL checkpoints | | Tool governance | Beheersing van externe tools | Signed tool manifests, tool risk scoring, MCP gateway, sandboxing | | Compliance evidence | Aantoonbare conformity | Control evidence store, audit trails, DPIA, AIA, technical file | | Secure SDLC | Shift-left agent security | Threat modeling, test harnesses, policy-as-code, CI/CD gates | | Post-market monitoring | Lifecycle compliance | Incident reporting, model/tool updates, rollback, continuous assurance |

Wat ontbreekt: van compliance-blauwdruk naar engineering-blauwdruk

De paper is juridisch en compliance-architecturaal ijzersterk, maar technisch nog niet volledig uitgewerkt. De auteurs signaleren terecht dat privilege enforcement, dynamic tool governance en verifieerbare logging nodig zijn, maar leveren geen concrete referentiearchitectuur. Wat mist:

• Een uitgewerkte control stack met OPA/Cedar/Rego, workload identity, signed tool manifests, en MCP authorization brokers
• Agent supply chain security: niet alleen het model, maar ook prompts, skills, tool manifests, MCP servers, vector stores en RAG pipelines moeten in een Agent-BOM
• De rolvermenging in grote organisaties: deployer, customizer, integrator, internal provider — wie draagt welke compliance-verantwoordelijkheid?
• De paper's eigen waarschuwing is cruciaal: gangbare frameworks zoals LangChain, CrewAI en AutoGen bieden developer observability, geen regulatory evidence. Tracing is geen audit trail.

De brug: Agentic AI Control Plane

DjimIT bouwt de brug tussen deze juridische analyse en een werkbare enterprise architectuur. Het Agentic AI Control Plane integreert:

• Policy enforcement (OPA/Cedar) voor per-action authorization
• Non-human identity governance met workload identity en scoped tokens
• Immutable event sourcing voor onafhankelijk verifieerbare audit trails — niet self-reported door de agent
• Runtime drift monitoring met gedragsbaselines en replayable decision traces
• Tool governance via signed manifests, risk scoring en sandboxed execution
• Compliance evidence fabric voor BIO2, NIS2, GDPR en AI Act conformity

Voor de Nederlandse praktijk

Dit paper is direct operationaliseerbaar voor Nederlandse overheidsorganisaties:

• EU AI Act art. 14 (human oversight) → het evasion-risico moet worden gemitigeerd met onafhankelijke state-verificatie, niet met self-reported agent logs
• BIO2 BBN-classificatie → de external action surface bepaalt het BBN-niveau, niet het model
• NIS2 supply chain security → elke tool die de agent aanroept is onderdeel van de supply chain; signed tool manifests zijn verplicht
• NORA AP-08 (continuïteit) → runtime behavioral drift die continuïteit ondermijnt is een substantial modification onder Art. 3(23)

DjimIT vertaalt dit paper naar drie diensten:

• "AI Agent Regulatory Perimeter Scan" — breng in kaart welke van de 11+ wetten op jouw agent van toepassing zijn, met BIO2/NORA/NEN 7510-extensies voor de Nederlandse publieke sector
• "12-Step Agent Compliance Architecture" — implementatie van de compliance-sequentie, van agent inventory tot post-market monitoring
• "Runtime Drift Audit" — beoordeel of jouw agent's gedrag binnen "anticipated adaptive behavior" valt of "substantial modification" is — de compliance-grens die bepaalt of je opnieuw conformity assessment nodig hebt

---

Dit paper sluit de cirkel die we vandaag trokken: Boiling the Frog toonde het security-risico van agent-acties, The Evaluation Trap toonde waarom benchmarks niet meten wat je denkt, Cognitive Dependency toonde wat AI met menselijke operators doet, en dit paper vertaalt al die inzichten naar één compliance-architectuur.

De conclusie is dezelfde, maar nu juridisch gedekt: niet het model, maar wat de agent dóet — en of je dat kunt bewijzen.

Paper: Nannini, Smith, Maggini, Panai, Feliciano, Tiulkanov, Maran, Gealy & Bisconti — "AI Agents Under EU Law", arXiv:2604.04604, april 2026.