EU AI Act compliance versterken met agentic AI

EU AI Act compliance versterken met agentic AI

11 september 2025 Consultancy.nl
EU AI Act compliance versterken met agentic AI

De AI Act van de EU geeft een helder signaal af: risicobeheersing, transparantie en verantwoording zijn geen optionele elementen meer, ze staan centraal in het voldoen aan regelgeving. Maar terwijl momenteel veel aandacht uitgaat naar de kansen die generatieve AI biedt, kunnen vooruitstrevende organisaties hun AI-compliance naar een nog hoger niveau tillen met agentic AI, schrijft Mila Verhaag van ACE + Company.

De interpretatie van de AI-verordening is vaak gestoeld op traditionele generatieve AI-toepassingen. Maar wat gebeurt er als AI agentisch wordt, leert, handelt en zich autonoom aanpast binnen een ecosysteem? Dat is precies de belofte van agentic AI – een nieuwe technologische stap voorwaarts die compliance ingrijpend kan veranderen.

Agentic AI assisteert niet alleen, ze handelt en evolueert. Ze streeft zelfstandig doelen na binnen een workflow, leert van haar omgeving en neemt autonome beslissingen binnen ecosystemen die meerdere databronnen en applicaties van derden omvatten. Door verschillende modellen te orkestreren, kan agentische AI-processen effectief aansturen én verbeteren, met inbreng van uiteenlopende specialismen en domeinexpertise.

Agentische AI brengt veel mogelijkheden en potentie voor ontwikkeling, zoals meervoudige probleemoplossing in stappen, maar introduceert ook een nieuwe dimensie van risico en complexiteit. Wanneer deze systemen onder de categorie ‘hoog risico’ vallen, zijn ze onderworpen aan strikte regulatoir eisen onder de AI-verordening.

Maar zelfs wanneer organisaties AI-systemen ontwikkelen of inzetten die formeel niet als hoog-risico zijn geclassificeerd, vereist een verantwoord AI-beleid, in lijn met de geest van de verordening, dat vergelijkbare waarborgen worden toegepast. Zo worden organisaties aangemoedigd om proactief controles in te voeren die governance en vertrouwen versterken.

Wat is agentic AI, en waarom is het relevant?

In tegenstelling tot klassieke generatieve modellen of retrieval-augmented systemen, opereert agentische AI met een hoge mate van autonomie. Deze systemen:

  • Streven doelen na in plaats van enkel outputs te genereren.
  • Leren en passen zich dynamisch aan, met evoluerende strategieën en gedragingen.
  • Nemen actie binnen zowel digitale als fysieke systemen.

Wat agentische AI onderscheidt, is de integratie van fundamentele probleemoplossende vermogens, zoals geheugen, planning, orkestratie en interactie met externe applicaties. Deze combinatie maakt zulke systemen bijzonder effectief in het optimaliseren van processen en het zelfstandig nemen van beslissingen.

EU AI Act compliance versterken met Agentic AI-agents

Bron: ACE+ Company

Een veranderend risicolandschap

Agentische AI verandert het risicoprofiel fundamenteel. Naarmate systemen een hogere mate van ‘agenticiteit’ bereiken – bredere doelen, meer aanpassingsvermogen, grotere autonomie – nemen de risico’s evenredig toe:

Emergent gedrag: Agenten leren door interactie, wat leidt tot gedrag dat moeilijk voorspelbaar is. Hierdoor zijn statische risicoanalyses bij aanvang onvoldoende. Risicobeheersing moet continu en responsief zijn, afgestemd op de evolutie van het systeem in reële omstandigheden. Dit vraagt om risicobeoordeling over de volledige AI-waardeketen heen: mitigatie is niet langer enkel een ontwikkelfase-activiteit, maar wordt cruciaal tijdens gebruik.

Externe integratierisico’s: Agentische systemen communiceren autonoom met externe tools, API’s en omgevingen, waardoor hun operationele grens voortdurend verschuift en kwetsbaarheden in geïntegreerde diensten kunnen doorwerken in het agentsysteem zelf en kunnen leiden tot een vergroot aanvalsoppervlak en moeilijk beheersbare beveiligingsrisico’s.

De verantwoordingskloof: Door het grote aantal microbeslissingen dat deze systemen nemen, wordt het moeilijk om beslissingen te herleiden, wat compliance met transparantie- en auditbaarheidseisen uit de AI-verordening bemoeilijkt.

De AI-verordening door een agentische lens

Hoewel de AI-verordening een robuust kader biedt, vraagt de toepassing ervan op agentische AI om herinterpretatie op vier kernpunten:

1: Risicobeheer moet realtime en ecosysteem-bewust zijn
Agentische systemen evolueren tijdens gebruik. De AI-verordening schrijft weliswaar risicoanalyse vóór en na ingebruikname voor, maar legt de nadruk vooral op de ontwikkelfase.

Hierdoor ligt de primaire verantwoordelijkheid bij de aanbieder. Gebruikers moeten opkomende risico’s melden, maar zijn slechts beperkt verplicht om zelf risicobeperkende maatregelen te nemen, tenzij sprake is van een ‘wezenlijke wijziging’ van het systeem. Wat daar precies onder valt, blijft vooralsnog onduidelijk.

In de praktijk betekent dit: risicobeheer moet continu zijn, met realtime monitoring en ingebedde mitigerende maatregelen. Vaste prestatiedrempels volstaan niet. Omdat het systeem zich aanpast, moet compliance zorgen voor consistente betrouwbaarheid in dynamische omgevingen. Robuustheid betekent ook anticiperen op en veilig omgaan met falende onderdelen, inclusief herstelmechanismen.

Security moet meebewegen. Naarmate agents meer integreren met externe tools, worden operationele grenzen fluïde. Effectieve security vereist actieve assurance over het hele ecosysteem, niet enkel de kern van het model.

2: Menselijke toezicht moet gedrag sturen, niet alleen outputs goedkeuren
Handmatige goedkeuringen zijn te traag. Toezicht moet worden ingebouwd in het systeem, via dynamische waarborgen, interventiepunten en escalatieprotocollen. Aanbieders moeten hun risicobeheersmaatregelen aanpassen op basis van prestaties in de markt, terwijl gebruikers operationele inzichten aanleveren. Toezicht wordt zo een gedeelde en doorlopende verantwoordelijkheid.

3: Transparantie moet de evolutie en complexiteit van het systeem weerspiegelen
Eenmalige verklaringen zijn ontoereikend. Transparantie vereist voortdurende, contextspecifieke inzichten in het gedrag van het systeem en de achterliggende motivaties. Simpele, gebruiksvriendelijke verklaringen zijn lastig bij complexe, multivariabele besluitvorming. Maar betekenisvolle interpretatie blijft mogelijk door de belangrijkste beïnvloedende factoren te benoemen, zelfs als de volledige logica ondoorgrondelijk is.

4: Documentatie moet dynamisch en controleerbaar zijn
Agentische AI vereist ‘levende’ documentatie: voortdurend bijgewerkt om wijzigingen in logica, gedrag en systeemarchitectuur vast te leggen. Het loggen van outputs volstaat niet, organisaties hebben gestructureerde gegevens nodig over hoe beslissingen tot stand kwamen, met versiebeheer dat de evolutie van het systeem traceerbaar maakt. Niet alles hoeft bewaard te worden, maar juist die informatie die audit en onderzoek ondersteunt, moet systematisch en toegankelijk blijven.

Van principe naar praktijk: Bestuur van agentische AI

Risico’s identificeren is pas het begin. De echte uitdaging ligt in het vertalen van de AI-verordening naar werkbare governance. Dit vraagt aanpassingen in zowel technische systemen als organisatorische processen.

Drie praktische prioriteiten:

  • Gedeeld en doorlopend risicobeheer: Aanbieders moeten tools ontwikkelen om opkomende risico’s te detecteren. Gebruikers moeten monitoren hoe het systeem zich in de praktijk gedraagt en wat de impact is op eindgebruikers en grondrechten. Feedbackloops zijn essentieel.
  • Dynamische transparantie en realtime monitoring: Agentische systemen vereisen traceerbaarheid: unieke systeem-ID’s, gedragsdashboards en activiteitslogs die tonen hoe en waarom besluiten zijn genomen, niet alleen wat de uitkomst was.
  • Adaptief toezicht zowel technisch als menselijk: Beheersmaatregelen moeten meeschalen met de snelheid van het systeem. Dat betekent: geautomatiseerde waarborgen (zoals actiefilters en noodstops), gelaagde toegangsrechten en AI-geletterde operators die effectief kunnen ingrijpen.

Conclusie

De pijlers van de AI-verordening – risicobeheersing, transparantie, toezicht – blijven onverminderd relevant. Maar de toepassing ervan moet mee-evolueren.

Agentische AI vraagt om governance die continu is in plaats van eenmalig, interpreterend in plaats van zwart-wit, en samenwerkend in plaats van gescheiden.

Het besturen van agentische AI is geen puur technische taak tijdens de ontwikkelfase. Het is een gedeelde verantwoordelijkheid en een kans om leiderschap te tonen. Door juridische compliance te verbinden met technische wendbaarheid, bouwen organisaties AI-systemen die niet alleen intelligent zijn, maar ook veilig, verantwoord en betrouwbaar.

Lees ook

More on: ACE + Company
Netherlands
Company profile
ACE + Company
ACE + Company is a Netherlands partner of Consultancy.org
Maak kennis met de consultancywereld tijdens Utrecht Consultancy Day
Netherlands
Maak kennis met de consultancywereld tijdens Utrecht Consultancy Day Eind deze maand zullen studenten en adviesbureaus weer samenkomen tijdens de Utrecht Consultancy Day.
16 april 2026
Marijke Schouten (ACE): ‘Van complexe regelgeving naar concrete, duurzame resultaten’
Netherlands
Marijke Schouten (ACE): ‘Van complexe regelgeving naar concrete, duurzame resultaten’ Sinds tien maanden versterkt Marijke Schouten het team van ACE + Company als manager.
16 februari 2026
ACE + Company appoints Janco Jordaan as partner
Netherlands
ACE + Company appoints Janco Jordaan as partner Dutch consulting firm ACE + Company has effective the 1st of January 2026 appointed Janco Jordaan as partner.
27 januari 2026
ACE + Company versterkt partnerteam met benoeming Janco Jordaan
Netherlands
ACE + Company versterkt partnerteam met benoeming Janco Jordaan ACE + Company heeft per begin deze maand Janco Jordaan benoemd tot partner. Hiermee verstevigt het bureau zijn partnerteam.
27 januari 2026
Drie junioren over hun ervaring en ontwikkeling bij ACE + Company
Netherlands
Drie junioren over hun ervaring en ontwikkeling bij ACE + Company ACE + Company heeft onlangs drie nieuwe professionals verwelkomd: Rishikesh Narayanan Ramachandran als Junior Data Scientist, terwijl Jessica Moscrip en Mart Spekreijse het team hebben versterkt als
11 november 2025
Waarom biodiversiteit nog achterblijft in de Nederlandse financiële sector
Netherlands
Waarom biodiversiteit nog achterblijft in de Nederlandse financiële sector Hoewel Nederlandse banken, verzekeraars en vermogensbeheerders zich publiekelijk hebben gecommitteerd aan initiatieven die biodiversiteit stimuleren, blijft de praktische vertaling daarvan achter.
30 oktober 2025
Why biodiversity still lags in the Dutch financial services sector
Europe
Why biodiversity still lags in the Dutch financial services sector Dutch banks, insurers, and asset managers have moved biodiversity up the agenda, but progress is slow.
29 oktober 2025
How to turn AI governance into a single control fabric
Europe
How to turn AI governance into a single control fabric As European banks move to comply with the EU AI Act, many are grappling with growing regulatory overlap.
13 oktober 2025

AI & Gen AI nieuws

AI & Gen AI adviesbureaus AI & Gen AI consultancy diensten

Risk & Compliance nieuws

Risk & Compliance adviesbureaus Risk & Compliance consultancy diensten