Field Note 021AI
AI governance: van AI Act naar bestuurbare AI
Voldoen aan de wet is niet hetzelfde als je AI onder controle hebben. Hoe je governance inricht die in de praktijk werkt.

Veel organisaties denken dat ze AI governance op orde hebben zodra ze de AI Act en de AVG kennen. In de praktijk zien we verspreide AI-implementaties zonder duidelijk eigenaarschap of incidentprotocollen.
Voldoen aan de wet is niet hetzelfde als AI bestuurbaar hebben.
Wat is AI governance?
AI governance is de manier waarop een organisatie verantwoordelijkheden, regels, besluitvorming en controles rondom AI inricht.
AI governance versus de AI Act
De AI Act bepaalt wat moet; governance regelt hoe je dat intern organiseert. Operationele vraagstukken zoals datakwaliteit, modelrisico en leveranciersbeheer moet je zelf beleggen om überhaupt aantoonbaar compliant te zijn.
Risicocategorieën in het kort
| Categorie | Voorbeeld | Verplichting |
|---|---|---|
| Hoog risico | AI in sollicitatie- of zorgprocessen | conformiteitsbeoordeling, technische documentatie, menselijk toezicht |
| Beperkt risico | een chatassistent voor social media | transparantie: maak duidelijk dat het AI is |
AI-geletterdheid: de verplichting die men vergeet
Sinds 2 februari 2025 verplicht de AI Act (artikel 4) elke organisatie die AI aanbiedt of gebruikt om te zorgen voor voldoende AI-geletterdheid bij haar medewerkers. Dat is geen aanbeveling maar een verplichting, en ze geldt breed: niet alleen voor bouwers, maar voor iedereen die met AI werkt.
In de praktijk betekent het dat mensen moeten begrijpen wat een systeem wel en niet kan, waar de grenzen zitten en wanneer je een uitkomst niet zomaar overneemt. Governance zonder geletterde gebruikers is een slot op een deur die iedereen openlaat.
Weten waar je staat: readiness vóór roadmap
Governance werkt alleen als je eerlijk in kaart brengt waar je organisatie nu staat. In de praktijk begint dat zelden bij de techniek en meestal bij drie vragen: is de data op orde, weten mensen wat er al draait, en wie beslist er als een model de mist in gaat.
Voordat we ook maar één use case bouwen, brengen we de startsituatie in beeld: welke data is beschikbaar en betrouwbaar, hoe volwassen zijn de processen, en waar zit het grootste risico. Dat readiness-beeld voorkomt dat je governance optuigt voor toepassingen die er nog niet zijn, of juist blind vaart op toepassingen die al lang live staan.
Vandaar naar een roadmap die verandering overleeft: geen lijst met modellen, maar een volgorde van beslissingen. Wat pak je eerst op, welke drempels (data, compliance, adoptie) moet je daarvoor slechten, en wanneer evalueer je opnieuw. Een roadmap van twaalf tot vierentwintig maanden is geen belofte over de techniek, maar over het tempo waarin je organisatie het aankan.
Bouwstenen van een werkbaar framework
Een framework dat blijft staan, bevat: rollen en eigenaarschap per use case, beleid en standaarden, risicoclassificatie, model lifecycle management, koppeling met data governance, documentatie en approvalprocessen, en responsible-AI-principes (fairness, transparantie, veiligheid, privacy, betrouwbaarheid).
Van beleid naar uitvoering
Kleine organisaties starten prima met gestructureerde spreadsheets en een eenvoudige goedkeuringsprocedure. Grotere omgevingen groeien door naar platforms zoals Azure AI data governance.
Conclusie
AI governance is geen juridische exercitie, maar het fundament voor verantwoorde, schaalbare AI. Het werkt pas als het buiten adviesniveau landt: in eigenaarschap, in protocollen en in de dagelijkse praktijk.


