Agentic AI: met deze 5 governance-regels houd je de controle

Stel je voor: je hebt een AI-agent ingericht die je klantenservice ondersteunt. Hij reageert snel, kan veel vragen zelfstandig afhandelen en geeft klanten direct antwoord. Klinkt ideaal, toch? Maar op een avond besluit hij uit zichzelf een klacht soepel op te lossen door 50 procent korting op het volgende jaarcontract aan te bieden. De volgende ochtend zie je het voor het eerst, en de klant blijkt al akkoord te zijn gegaan. Dan volgt de lastige vraag: ben jij daar juridisch aan gebonden?

Het korte antwoord is: dat hangt van de situatie af. Een AI-agent heeft zelf geen juridische status, maar de uitkomst kan wel degelijk aan jouw organisatie worden toegerekend, afhankelijk van hoe je het systeem hebt ingericht, welke ruimte je hebt gegeven en hoe duidelijk de communicatie naar de klant was. Hierover schreef Jade Baltjes van ICTRecht een duidelijk artikel.

EU AI Act

In mijn vorige artikel vertelde ik al wat je vóór 2 augustus 2026 moet regelen om aan de EU AI Act te voldoen. Maar compliance is slechts het begin. De echte vraag is: hoe zorg je dat een AI-agent slim werkt, zonder dat je de controle verliest? Goede governance is daarbij geen luxe, maar een voorwaarde voor veilig gebruik.

In mijn dagelijks werk help ik mkb-ondernemers met AI-strategie en Agentic Readiness. Een AI-agent draait binnen een paar weken, maar de afspraken over wat hij wel en niet mag, duren vaak veel langer. Die kloof tussen innovatie en governance houdt mij bezig en in dit artikel neem ik je daarin mee.

De governancekloof

De inzet van AI-agents groeit snel. Volgens berichtgeving over de IBM 2026 CEO Study zegt 90 procent van de 40 Nederlandse CEO’s die zijn ondervraagd, dat zij AI-agents op grote schaal inzetten. Dat is een indrukwekkend cijfer, maar het vraagt wel om nuance. Op grote schaal zegt nog niets over hoe volwassen of zorgvuldig die inzet is.

Uit onderzoek van OutSystems in 2026 blijkt namelijk dat 94 procent van de organisaties aangeeft dat AI-agent-adoptie leidt tot meer complexiteit en veiligheidsrisico’s, terwijl slechts 12 procent een centraal platform heeft voor beheer. Met andere woorden: veel organisaties zetten al stappen, maar de regie blijft achter. Met name financiële instellingen en technologiebedrijven lopen voor op de rest.

Dat noem ik de governancekloof. Niet omdat AI per se fout is, maar omdat de snelheid van invoering vaak groter is dan de mate waarin organisaties hun processen, beveiliging en toezicht hebben ingericht.

Juridische realiteit

Een AI-agent is geen rechtspersoon en kan dus niet zelfstandig rechtsgeldige handelingen verrichten. In de praktijk kom je daarom altijd uit bij de organisatie achter de agent: jij bent degene die het systeem inzet en de kaders bepaalt. Dat maakt de vraag niet alleen technisch, maar ook juridisch relevant.

De EU AI Act legt daarbij steeds meer nadruk op transparantie, toezicht en traceerbaarheid. Voor systemen die direct met mensen communiceren moet duidelijk zijn dat de gebruiker met AI te maken heeft, tenzij dat voor een redelijk geïnformeerde gebruiker al vanzelfsprekend is. Voor bepaalde high-risk systemen gelden daarnaast strengere eisen voor registratie en documentatie.

Ook in de praktijk is die duidelijkheid belangrijk. Als je niet kunt uitleggen wat de agent mag doen, wanneer een mens ingrijpt en hoe je fouten achteraf kunt herleiden, dan vergroot je het juridische risico én het risico op verlies van vertrouwen.

Daarom geef ik 5 onmisbare regels voor Agentic Governance.

Regel 1: zet menselijk toezicht op belangrijke beslissingen

Niet elke taak is geschikt om volledig autonoom te laten uitvoeren. Bepaal daarom vooraf welke handelingen altijd een menselijke check nodig hebben. Denk aan:

• financiële toezeggingen
• contractwijzigingen
• uitzonderingen op voorwaarden
• klachten boven een bepaalde waarde

Laat de AI-agent gerust veelgestelde vragen afhandelen. Maar zodra een besluit juridische of financiële gevolgen kan hebben, moet het systeem stoppen en het voorstel ter goedkeuring voorleggen aan een medewerker. Zo houd je snelheid, maar voorkom je dat een digitale medewerker te veel vrijheid krijgt.

Regel 2: geef alleen toegang die nodig is

Een veelgemaakte fout is dat een AI-agent meteen toegang krijgt tot te veel systemen en data. Dat lijkt handig, maar het vergroot de kans op fouten, datalekken en ongewenste acties. Werk daarom volgens het least privilege-principe: geef een AI-agent alleen toegang tot de informatie en functies die hij echt nodig heeft. Een planning-assistent heeft bijvoorbeeld agendatoegang nodig, maar geen inzage in financiële dossiers of volledige klantprofielen.

Regel 3: maak goed zichtbaar wat AI doet

Registratie (logging) is geen bijzaak, maar een basisvoorwaarde voor controle. Als er iets misgaat, wil je kunnen zien wat de agent heeft gedaan, welke input hij kreeg en waarom een bepaalde actie is gestart.

Regel 4: wees open naar je klant

De EU AI Act schrijft voor dat mensen duidelijk moeten worden geïnformeerd als zij rechtstreeks met een AI-systeem communiceren, en dat die informatie helder en toegankelijk moet zijn. Dat betekent simpel gezegd: doe niet alsof een bot een mens is.

Een formulering als deze werkt goed: ‘Je spreekt met onze AI-assistent. Bij complexe vragen schakelt hij direct een medewerker in.’ Dat is duidelijk, vriendelijk en professioneel. Bovendien voorkomt het verkeerde verwachtingen en maakt het de interactie een stuk eerlijker.

Regel 5: zorg voor een kill switch

Als een AI-agent onbedoeld verkeerde antwoorden geeft, buiten zijn mandaat treedt of risicovol gedrag vertoont, moet je hem direct kunnen uitschakelen. Een noodstopschakelaar of kill switch is daarom geen technische luxe, maar een noodzakelijke veiligheidsmaatregel.

Zorg dat zo’n noodrem eenvoudig bereikbaar is, zonder ingewikkelde backend-stappen of afhankelijkheid van een externe partij. Test het proces ook regelmatig, zodat je zeker weet dat het werkt op het moment dat je het nodig hebt.

Autonomie zonder kaders is geen vooruitgang

AI-agents kunnen je bedrijf sneller, slimmer en schaalbaarder maken, maar autonomie zonder kaders is geen vooruitgang. Het is een risico. De vraag is daarom niet alleen wat AI kan, maar vooral wat het mag doen, wie erop toeziet en hoe je ingrijpt als het misgaat. Regel dit dus goed vooraf. Dan bouw je aan compliance en tegelijkertijd ook aan vertrouwen.

*Voor data-analyse en tekstanalyse is bij dit artikel gebruik gemaakt van Perplexity en Claude.