Autonome AI: waarom je governance nu écht op orde moet zijn
We zijn gewend om AI te zien als een tool die wacht op instructies. Je stelt een vraag, het systeem geeft antwoord. Maar die tijd is voorbij. De volgende generatie AI-systemen neemt zelf initiatief, plant taken, roept externe tools aan en voert acties uit zonder tussenkomst van een mens. Dat klinkt efficiënt, maar het zet de bestaande governance-structuur flink op z’n kop.
Laatst zat ik met een compliance officer van een grote zorginstelling om tafel. Ze hadden een proof-of-concept draaien met een AI-agent die patiëntgegevens ophaalt uit het EPD, labuitslagen interpreteert en een voorstel doet voor een behandelplan. “Technisch werkt het perfect,” zei ze. “Maar ik weet niet hoe ik dit moet toetsen aan de AVG of de NEN 7510. Wie is verantwoordelijk als de agent een fout maakt? De leverancier? De arts die het plan goedkeurt? Of het ziekenhuis dat de agent toegang heeft gegeven?”
Die vraag is niet langer hypothetisch. De paper “Agent Security Meets Regulatory Reality” (arXiv:2606.29142) legt deze spanning open. De auteurs analyseren hoe autonome AI-agents, systemen die zelfstandig doelen nastreven, plannen maken en acties uitvoeren, bestaande beveiligings- en compliancekaders onder druk zetten. Het is een overzicht van meerdere bronnen. De conclusie is simpel en ongemakkelijk: onze huidige regels zijn geschreven voor systemen die doen wat wij zeggen, niet voor systemen die zelf bepalen wat ze doen.
Wat maakt een agent anders?
Een klassiek AI-model is een functie: input → output. Een agent is een lus: waarnemen → plannen → handelen → waarnemen. Dat handelen kan van alles zijn: een API aanroepen, een e-mail versturen, een database-query uitvoeren, een reservering maken. De agent bepaalt zelf welke tool hij wanneer inzet, op basis van een doel dat jij hebt geformuleerd.
Neem een eenvoudig voorbeeld uit de praktijk. Een agent die is gekoppeld aan een overheidsportaal krijgt de opdracht: “Zorg dat de meest recente beleidsstukken over stikstof op de juiste pagina’s staan.” De agent doorzoekt het DMS, haalt documenten op, classificeert ze, werkt de website bij. Dat klinkt onschuldig. Maar wat als hij per ongeluk een conceptversie publiceert die nog niet is goedgekeurd? Of een document met verkeerde metadata openbaar maakt? De agent heeft geen besef van de Wet open overheid. Hij weet niet wat de politieke gevoeligheid is van een bepaald document. Normaal gesproken controleert een ambtenaar drie keer voordat iets live gaat.
De BIO2-toets: wie draait er aan de knoppen?
Voor overheidsorganisaties is de Baseline Informatiebeveiliging Overheid (BIO2) leidend. Die schrijft voor dat je risico’s in kaart brengt, maatregelen neemt en verantwoordelijkheden belegt. Maar bij een agent vervaagt de grens tussen ‘gebruiker’ en ‘systeem’. De agent is geen passieve tool meer; hij neemt zelf beslissingen. Wie is dan de ‘eigenaar’ in de zin van BIO2? Wie stelt de autorisaties in? En hoe borg je dat de agent niet buiten zijn mandaat treedt?
De paper wijst op een fundamenteel probleem: agents opereren vaak met de credentials van een menselijke gebruiker of een service-account met brede rechten. Dat is vragen om problemen. Stel dat een agent toegang heeft tot een API-sleutel met lees- én schrijfrechten, terwijl hij alleen leesrechten nodig heeft. Een fout in de prompt of een onverwachte interactie met een externe tool kan dan leiden tot ongewenste wijzigingen. In het ergste geval wordt data gewist of verkeerd gelabeld, zonder dat iemand het merkt tot het te laat is.
De AI Act en agentic AI: een grijs gebied
De AI Act classificeert systemen op basis van risico. Een agent die zelfstandig medische diagnoses stelt of overheidsbesluiten voorbereidt, valt vrijwel zeker in de categorie ‘hoog risico’. Dat betekent: verplichte conformiteitsbeoordeling, risicomanagement, transparantie, menselijk toezicht. Maar de wet is geschreven met het idee dat een AI-systeem een afgebakende taak uitvoert. Een agent die dynamisch tools combineert en zelf beslissingen neemt, past daar niet goed in. De regelgeving loopt achter op de technologie.
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.