Field Note 021AI

AI governance: van AI Act naar bestuurbare AI

Voldoen aan de wet is niet hetzelfde als je AI onder controle hebben. Hoe je governance inricht die in de praktijk werkt.

Oscar KolthoffManaging Director3 min lezen
Coverbeeld bij AI governance: van AI Act naar bestuurbare AI

Veel organisaties denken dat ze AI governance op orde hebben zodra ze de AI Act en de AVG kennen. In de praktijk zien we verspreide AI-implementaties zonder duidelijk eigenaarschap of incidentprotocollen.

Voldoen aan de wet is niet hetzelfde als AI bestuurbaar hebben.

Wat is AI governance?

AI governance is de manier waarop een organisatie verantwoordelijkheden, regels, besluitvorming en controles rondom AI inricht.

AI governance versus de AI Act

De AI Act bepaalt wat moet; governance regelt hoe je dat intern organiseert. Operationele vraagstukken zoals datakwaliteit, modelrisico en leveranciersbeheer moet je zelf beleggen om überhaupt aantoonbaar compliant te zijn.

Risicocategorieën in het kort

CategorieVoorbeeldVerplichting
Hoog risicoAI in sollicitatie- of zorgprocessenconformiteitsbeoordeling, technische documentatie, menselijk toezicht
Beperkt risicoeen chatassistent voor social mediatransparantie: maak duidelijk dat het AI is

AI-geletterdheid: de verplichting die men vergeet

Sinds 2 februari 2025 verplicht de AI Act (artikel 4) elke organisatie die AI aanbiedt of gebruikt om te zorgen voor voldoende AI-geletterdheid bij haar medewerkers. Dat is geen aanbeveling maar een verplichting, en ze geldt breed: niet alleen voor bouwers, maar voor iedereen die met AI werkt.

In de praktijk betekent het dat mensen moeten begrijpen wat een systeem wel en niet kan, waar de grenzen zitten en wanneer je een uitkomst niet zomaar overneemt. Governance zonder geletterde gebruikers is een slot op een deur die iedereen openlaat.

Weten waar je staat: readiness vóór roadmap

Governance werkt alleen als je eerlijk in kaart brengt waar je organisatie nu staat. In de praktijk begint dat zelden bij de techniek en meestal bij drie vragen: is de data op orde, weten mensen wat er al draait, en wie beslist er als een model de mist in gaat.

Voordat we ook maar één use case bouwen, brengen we de startsituatie in beeld: welke data is beschikbaar en betrouwbaar, hoe volwassen zijn de processen, en waar zit het grootste risico. Dat readiness-beeld voorkomt dat je governance optuigt voor toepassingen die er nog niet zijn, of juist blind vaart op toepassingen die al lang live staan.

Vandaar naar een roadmap die verandering overleeft: geen lijst met modellen, maar een volgorde van beslissingen. Wat pak je eerst op, welke drempels (data, compliance, adoptie) moet je daarvoor slechten, en wanneer evalueer je opnieuw. Een roadmap van twaalf tot vierentwintig maanden is geen belofte over de techniek, maar over het tempo waarin je organisatie het aankan.

Bouwstenen van een werkbaar framework

Een framework dat blijft staan, bevat: rollen en eigenaarschap per use case, beleid en standaarden, risicoclassificatie, model lifecycle management, koppeling met data governance, documentatie en approvalprocessen, en responsible-AI-principes (fairness, transparantie, veiligheid, privacy, betrouwbaarheid).

Van beleid naar uitvoering

Kleine organisaties starten prima met gestructureerde spreadsheets en een eenvoudige goedkeuringsprocedure. Grotere omgevingen groeien door naar platforms zoals Azure AI data governance.

Conclusie

AI governance is geen juridische exercitie, maar het fundament voor verantwoorde, schaalbare AI. Het werkt pas als het buiten adviesniveau landt: in eigenaarschap, in protocollen en in de dagelijkse praktijk.