AI-governance in de knel: drie papers, één ongemakkelijke waarheid
Drie papers. Drie invalshoeken. Eén conclusie: de Nederlandse publieke sector is niet klaar voor de governance-uitdagingen van agentic AI.
Die conclusie trek ik niet lichtvaardig. Maar als je de drie meest relevante papers van deze week naast elkaar legt, ontstaat een beeld dat ongemakkelijk is. Niet omdat de technologie te snel gaat, dat is een cliché. Maar omdat de drie zwakke plekken elkaar versterken op een manier die geen enkele bestaande compliance-aanpak adresseert.
Het drieluik
De eerste paper, Agent Security Meets Regulatory Reality (arXiv:2606.29142), stelt de fundamentele vraag: passen autonome AI-agents in onze huidige wet- en regelgeving? Het antwoord is nee. Agents nemen zelf beslissingen, combineren tools dynamisch, en opereren met credentials die vaak te ruim zijn. De AI Act is geschreven voor systemen met een afgebakende taak. BIO2 gaat uit van een menselijke eindverantwoordelijke die autorisaties beheert. Een agent die zelf bepaalt welke API hij aanroept, past in geen van beide kaders.
De tweede paper, Probabilistic Agents in Deterministic Audits (arXiv:2606.25622), voegt een technische laag toe. De auteurs brengen LLM-kwetsbaarheden in kaart over acht lifecycle-fases, van dataverzameling tot onderhoud, en mappen die op de IT-Grundschutz-methodiek, het Duitse equivalent van BIO2. De conclusie is dat elke fase zijn eigen aanvalsvector introduceert. Data poisoning in de invoerketen maakt compliance-uitspraken onbetrouwbaar. Prompt injection tijdens inferentie kan een agent laten doen wat een aanvaller wil. En logging-libraries die prompts ongefilterd doorsturen naar Amerikaanse SaaS-diensten, creëren een AVG-risico dat losstaat van het model zelf.
De derde paper, A Lifecycle and Application-Stack Survey of LLM Vulnerabilities (arXiv:2606.31639), zoomt uit naar het ecosysteem. Het OpenAI-Mixpanel incident van november 2025 dient als casus: een beveiligingslek bij een analytics-provider leidde tot blootstelling van prompts en outputs van OpenAI-klanten. Die klanten hadden geen contract met Mixpanel, wisten niet dat de dienst bestond, en hadden nul zicht op de beveiliging ervan. Dit is transitive trust: jij vertrouwt leverancier A, A vertrouwt B, dus jouw data staat bij B, of je dat nu wilt of niet.
Waarom deze drie papers samen meer zijn dan de som der delen
Afzonderlijk zijn het drie interessante studies. Samen vertellen ze een verhaal dat geen van de drie alleen kan vertellen.
De eerste paper zegt: je governance-kader dekt agentic AI niet. De tweede zegt: de technologie die je wilt inzetten om compliance aan te tonen, is zelf onbetrouwbaar. De derde zegt: de risico's zitten in de keten, niet in het model, en je ziet ze niet.
Combineer die drie en je krijgt een cascade: een agent neemt een beslissing (paper 1) op basis van data die mogelijk gemanipuleerd is (paper 2), via tools en libraries die je niet hebt getoetst (paper 3). De BIO2-verantwoordelijke kan onmogelijk zeggen of die beslissing rechtmatig was. De NIS2-auditor kan niet vaststellen of de onderliggende data integer was. En de AVG-functionaris weet niet eens welke derde partijen de logs hebben gezien.
Dit is geen theoretisch doemscenario. Het is de architectuur van vrijwel elke AI-agent die nu in productie gaat.
Wat betekent dit voor de Nederlandse praktijk?
Voor overheidsorganisaties die met BIO2 werken, is de implicatie helder: de baseline schrijft voor dat je risico's in kaart brengt, maatregelen neemt en verantwoordelijkheden belegt. Maar bij een agent vervaagt de grens tussen gebruiker en systeem. De agent is geen passieve tool, hij neemt zelf beslissingen. Wie is dan de 'eigenaar' in de zin van BIO2? Wie stelt de autorisaties in? En hoe borg je dat de agent niet buiten zijn mandaat treedt?
Voor zorginstellingen onder NEN 7510 is het transitive trust-probleem acuut. Een AI-assistent voor triage op de SEH gebruikt een observability-SDK die prompts en outputs ongefilterd naar een Amerikaanse clouddienst stuurt. De DPIA dekt het model, maar niet de logging-keten. Een datalek via die keten is een AVG-overtreding die je niet ziet aankomen, en die je niet kunt verhalen op een partij waar je geen contract mee hebt.
Voor organisaties die NIS2-compliance moeten aantonen, is de les uit paper 2 misschien wel de pijnlijkste: je kunt een LLM niet inzetten om compliance te automatiseren zonder eerst de integriteit van de hele data- en toolketen te garanderen. Een agent die netwerkdiagrammen en configuratiebestanden analyseert om BIO2-afwijkingen te vinden, is alleen betrouwbaar als je kunt uitsluiten dat die bestanden gemanipuleerd zijn voordat ze het model in gingen. En dat kun je meestal niet.
De geïntegreerde aanpak die nu ontbreekt
Wat de drie papers samen duidelijk maken, is dat we een geïntegreerde governance-aanpak nodig hebben die deze drie lagen tegelijk adresseert. Niet drie losse werkgroepen voor agentic AI, LLM-kwetsbaarheden en supply chain. Eén aanpak die begint bij de vraag: als een agent een beslissing neemt, kunnen we dan de hele keten van data, tools en dependencies reconstrueren?
Die vraag is de kern van aantoonbare due diligence onder NIS2 artikel 21. Het is de kern van de BIO2-verantwoordingsplicht. En het is de kern van de AVG-verwerkingsverantwoordelijkheid. Drie wetten, drie toezichthouders, één vraag.
Praktisch betekent dit drie dingen. Ten eerste: een agentic AI-register dat niet alleen het model documenteert, maar de hele tool-keten, elke API, elke library, elke logging-dienst. Ten tweede: een transitive trust-assessment dat voor elke derde partij in die keten vaststelt welk beveiligingsniveau gegarandeerd is, en waar de aansprakelijkheid ligt als het misgaat. Ten derde: een lifecycle-security review die niet stopt bij het model, maar elke fase van dataverzameling tot onderhoud toetst op de kwetsbaarheden die paper 2 identificeert.
Dit klinkt als veel werk. En dat is het ook. Maar het alternatief is governance op basis van aannames, en dat is precies waar de drie papers voor waarschuwen.
Dit artikel is gebaseerd op drie recente papers:
- Agent Security Meets Regulatory Reality, arXiv:2606.29142
- Probabilistic Agents in Deterministic Audits: NIS-2 Compliance Automation with IT-Grundschutz, arXiv:2606.25622
- A Lifecycle and Application-Stack Survey of LLM Vulnerabilities, arXiv:2606.31639
Lees ook: Transitive trust: waarom jouw AI-risico's niet stoppen bij je eigen leverancier en Agentic AI security: het OWASP control plane-model.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.