Wat is AI-governance en waarom nu?
AI-governance is de manier waarop een organisatie beslist wie welke AI mag inzetten, onder welke voorwaarden, met welk toezicht en met welke verantwoording achteraf. Het beantwoordt vier vragen: welke AI gebruiken we, wie is er verantwoordelijk, welke risico's accepteren we, en hoe tonen we aan dat we in control zijn. Waar databeheer over de kwaliteit van je gegevens gaat, gaat AI-governance over de beslissingen die je met die gegevens automatiseert.
Het onderwerp is nu urgent om drie concrete redenen. Ten eerste is de EU AI Act (Verordening (EU) 2024/1689) sinds 1 augustus 2024 van kracht, met de eerste bindende verplichtingen sinds 2 februari 2025. Ten tweede dwingt de vernieuwde Nederlandse Corporate Governance Code (opent in nieuw venster), gepubliceerd op 20 maart 2025, bestuurders via de Verklaring Omtrent Risicobeheersing tot een expliciete uitspraak over hun risicobeheersing. Ten derde hebben aandeelhouders, via de Speerpuntenbrief 2025 van de VEB (opent in nieuw venster), AI benoemd als thema waarop zij bestuurders kritisch bevragen.
Wat ik aan de bestuurstafel zie: de vraag is in twee jaar verschoven van "mogen we AI gebruiken?" naar "kunnen we aantonen dat we het beheerst gebruiken?". Dat is een fundamenteel andere vraag. De eerste gaat over toestemming, de tweede over bewijslast. En bewijslast dwingt structuur af: een inventarisatie, een verantwoordelijke, een dossier. Organisaties die dat nu op orde brengen, hebben straks een voorsprong. Organisaties die wachten tot een incident, bouwen hun governance onder druk en achteraf.
AI-governance is dus geen abstractie. Het is de brug tussen wat je organisatie technisch met AI doet en waar het bestuur juridisch en strategisch voor tekent.
Waarom AI-governance op de bestuurstafel hoort
Jarenlang was AI een experiment op de IT- of innovatieafdeling. Dat is voorbij. Het verschil tussen AI als IT-project en AI als bestuursdossier zit in de verantwoordelijkheid: een IT-project kan mislukken zonder dat een bestuurder daar persoonlijk op wordt afgerekend, een bestuursdossier niet.
| Kenmerk | AI als IT-project (oud) | AI als bestuursdossier (2026) |
|---|---|---|
| Eigenaar | IT- of innovatieafdeling | Raad van bestuur, met toezicht RvC |
| Kernvraag | Werkt de techniek? | Zijn we aantoonbaar in control? |
| Risico | Projectrisico, budget | Bestuurdersaansprakelijkheid, reputatie |
| Verantwoording | Interne rapportage | Bestuursverslag, aandeelhoudersvergadering |
| Tijdshorizon | Per project | Doorlopend, jaarlijks verantwoord |
Twee ontwikkelingen verklaren die verschuiving. De Verklaring Omtrent Risicobeheersing maakt risicobeheersing een publieke bestuursuitspraak, niet langer een interne inspanning. En aandeelhouders eisen inzicht in hoe AI waarde creëert of bedreigt. De VEB verzoekt bestuurders expliciet om in het bestuursverslag met een SWOT-analyse in kaart te brengen wat de sterktes, zwaktes, kansen en bedreigingen zijn rond generatieve AI. Dat plaatst AI naast financiën en strategie op de agenda van de bestuurstafel.
Het gevolg is dat AI-governance niet delegeerbaar is naar een technische laag. Een bestuur dat onvoldoende begrijpt hoe de eigen algoritmes beslissen, kan de vereiste verantwoording niet afleggen. De rol van de commissaris verandert hierdoor mee, en de behoefte aan technologische kennis in de raad van commissarissen neemt toe. Dit werk ik verder uit in de blogpost over de blinde vlek in de boardroom en in open source AI als bestuurlijke noodzaak.
Het wettelijke kader: AI Act, VOR en de Corporate Governance Code 2025
Drie regelingen bepalen samen wat AI-governance in Nederland juridisch betekent. Je kunt ze niet los van elkaar zien: de VOR dwingt de verantwoording af, de AI Act bepaalt de inhoudelijke eisen, en de Corporate Governance Code verankert het geheel in het bestuursverslag.
De EU AI Act en de gewijzigde tijdlijn
De EU AI Act hanteert een risicogebaseerde aanpak. Hoe groter het risico dat een systeem vormt voor gezondheid, veiligheid of grondrechten, hoe strenger de regels. De wet kent vier categorieën: onacceptabel risico (verboden), hoog risico, transparantierisico en minimaal risico.
Belangrijk voor 2026: de tijdlijn is gewijzigd. Via de zogeheten Digital Omnibus, een pakket gerichte wijzigingen dat de Europese Commissie op 19 november 2025 voorstelde, zijn de zwaarste hoog-risicoverplichtingen uitgesteld. Het politieke akkoord kwam op 7 mei 2026 (opent in nieuw venster), het Europees Parlement keurde de tekst op 16 juni 2026 goed (opent in nieuw venster), en de Raad gaf eind juni 2026 groen licht. Publicatie in het Publicatieblad volgt in de zomer van 2026, waarna de wijzigingen drie dagen later in werking treden. Tot die publicatie blijft de oorspronkelijke tekst formeel bindend, maar de nieuwe data zijn de planningsbasis waar juristen en toezichthouders van uitgaan.
| Verplichting | Oorspronkelijk | Na Digital Omnibus |
|---|---|---|
| Verboden praktijken + AI-geletterdheid (art. 4) | 2 februari 2025 | Ongewijzigd: geldt sinds 2 februari 2025 |
| GPAI-verplichtingen (algemene AI-modellen) | 2 augustus 2025 | Ongewijzigd: geldt sinds 2 augustus 2025 |
| Transparantie (art. 50, grotendeels) | 2 augustus 2026 | Ongewijzigd: 2 augustus 2026 |
| Watermerken legacy-systemen (art. 50 lid 2) | 2 augustus 2026 | Uitgesteld naar 2 december 2026 |
| Nieuw verbod NCII- en CSAM-generatie | n.v.t. | Nieuw: vanaf 2 december 2026 |
| Hoog risico, standalone (Annex III) | 2 augustus 2026 | Uitgesteld naar 2 december 2027 |
| Hoog risico, ingebed in producten (Annex I) | 2 augustus 2027 | Uitgesteld naar 2 augustus 2028 |
| Nationale AI-sandboxes | 2 augustus 2026 | Uitgesteld naar 2 augustus 2027 |
Bron voor de gewijzigde data: Consilium (opent in nieuw venster) en analyses van onder meer Gibson Dunn (opent in nieuw venster) en Hogan Lovells (opent in nieuw venster).
Twee nuances die vaak misgaan. De AI-geletterdheidsplicht (artikel 4) is niet geschrapt: die blijft op aanbieders en gebruiksverantwoordelijken rusten, maar de formulering is afgezwakt van "een voldoende niveau garanderen" naar "maatregelen nemen om de ontwikkeling van AI-geletterdheid te ondersteunen". Het is nu een inspanningsverplichting, geen resultaatverplichting (Stibbe (opent in nieuw venster)). En de transparantieverplichtingen zijn niet uitgesteld: die blijven grotendeels gelden vanaf 2 augustus 2026. Het uitstel raakt vooral de hoog-risicosystemen, niet de hele wet. De boetes onder de AI Act blijven fors: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen.
De volledige tijdlijn en de vraag of de AI Act op jouw organisatie van toepassing is, werk ik uit in de hub EU AI Act en in geldt de AI Act voor mijn organisatie. Het toezicht en de handhaving komen aan bod in AI-toezicht: tien toezichthouders en, voor de financiële sector, in AI-toezicht en de taakverdeling bij verzekeraars.
De Verklaring Omtrent Risicobeheersing (VOR)
De VOR is de grootste governance-verandering van 2025. De nieuwe Monitoring Commissie Corporate Governance Code (opent in nieuw venster), op 17 maart 2025 benoemd onder voorzitter Rob van Wingerden, actualiseerde de Code en nam de VOR op. De bepalingen gelden voor boekjaren die aanvangen op of na 1 januari 2025, met de eerste VOR over boekjaar 2025 (te publiceren in 2026). Begin 2026 is de Code wettelijk verankerd: op 2 februari 2026 is in de Staatscourant het besluit tot wijziging van het Besluit inhoud bestuursverslag gepubliceerd, en via een Algemene Maatregel van Bestuur is de code aangewezen (accountant.nl (opent in nieuw venster)).
Wat verandert er concreet? Het bestuur verklaart in het bestuursverslag over het niveau van assurance dat de interne risicobeheersings- en controlesystemen bieden, en dan niet alleen voor financiële verslaggevingsrisico's (zoals voorheen), maar ook voor operationele en compliancerisico's. Een falend AI-systeem valt onder beide laatste categorieën. Een nuance uit de praktijk: over boekjaar 2025 kiezen beursfondsen vaak nog een juridisch voorzichtige, 'dubbelnegatief' geformuleerde verklaring, dus de lat wordt in de praktijk stap voor stap hoger gelegd.
De koppeling is hiermee direct: als je AI-risico's niet beheerst, kun je de VOR niet geloofwaardig ondertekenen. AI-governance wordt zo onderdeel van je Enterprise Risk Management.
De Corporate Governance Code en aandeelhoudersdruk
De Code werkt volgens het pas-toe-of-leg-uit-principe: je past de bepalingen toe, of je legt in het bestuursverslag gemotiveerd uit waarom je afwijkt. Afwijken mag, maar aandeelhouders en proxy advisors beoordelen zwakke verklaringen kritisch. En juist op AI leggen aandeelhouders de lat hoog: de VEB vraagt om een AI-SWOT in het jaarverslag. Dit betekent dat AI-governance niet alleen defensief (risico beheersen) maar ook offensief (waarde aantonen) verantwoord moet worden.
De bouwstenen van een AI-governance framework
Een AI-governance framework is geen document maar een besturingssysteem. Het bestaat uit zes bouwstenen die op elkaar ingrijpen. De volgorde is bewust: je kunt niets beheersen wat je niet in kaart hebt.
Inventarisatie
Classificatie
Beleid en beslisregels
Toezicht en rollen
Data en bias
Monitoring en verantwoording
1. Inventarisatie. Breng elk AI-systeem in kaart, inclusief de tools die medewerkers zelf aanschaffen. Zonder volledig zicht kun je geen verantwoordelijkheid nemen.
2. Classificatie. Deel elk systeem in volgens de risicocategorieën van de AI Act. Een cv-filter of kredietbeoordeling valt al snel in de categorie hoog risico, een spamfilter niet.
3. Beleid en beslisregels. Leg vast welk AI-gebruik is toegestaan, welke data er wel en niet in mag, en wie een nieuwe toepassing goedkeurt. Concreet beleid verslaat een dik principedocument.
4. Toezicht en rollen. Beleg de verantwoordelijkheid expliciet. Veel organisaties richten een multidisciplinair AI-comité op met IT, Legal, HR, Risk en de business, dat nieuwe initiatieven vooraf toetst.
5. Data en bias. AI is zo goed als de data eronder. Richt processen in om trainingsdata te controleren op vooroordelen, intellectueel eigendom en gevoelige persoonsgegevens, en documenteer dit met het oog op uitlegbaarheid.
6. Monitoring en verantwoording. Neem AI-risico's structureel op in je risicomanagement en veranker het oordeel in de VOR. Dit is doorlopend werk, geen jaarlijkse exercitie.
Gebruik de onderstaande zelfcheck om te zien waar je staat. Scoor je op een van deze punten een nee, dan weet je waar je governance nog een gat heeft.
Governance-zelfcheck
- Is er een actuele inventarisatie van alle AI-systemen, inclusief zelf aangeschafte tools?
- Is elk systeem geclassificeerd volgens de risicocategorieën van de AI Act?
- Is er beleid dat vastlegt welke data wel en niet in AI-tools mag?
- Is er één verantwoordelijke of comité dat nieuwe AI-initiatieven vooraf toetst?
- Zijn medewerkers die met AI werken aantoonbaar getraind (AI-geletterdheid)?
- Zijn de AI-risico's opgenomen in het risicomanagement en de VOR?
Shadow AI: waarom beleid alleen niet werkt
Shadow AI is het gebruik van AI-tools buiten het zicht van IT en bestuur: medewerkers die zelf een chatbot, transcriptietool of code-assistent aanzetten. Dit is de blinde vlek waarop de meeste frameworks stuklopen. Je kunt een prachtig beleid schrijven, maar als de helft van je organisatie daarnaast eigen tools gebruikt, beheers je niets.
De reflex om Shadow AI simpelweg te blokkeren werkt averechts. Medewerkers wijken uit naar privé-accounts en telefoons, waardoor je nog minder zicht houdt. Waarom een verbod niet werkt, en wat wel, beschrijf ik in Shadow AI blokkeren werkt niet.
Effectiever is begrijpen wie in je organisatie AI gebruikt en waarvoor. Grofweg zijn er vier typen gebruikers, van de kritische power-user tot de medewerker die onbewust klantdata in een gratis tool plakt. Die indeling helpt je beleid te richten, en werk ik uit in de vier AI-gebruikers in je organisatie. Een concreet en veelvoorkomend risico is het uploaden van klant- of bedrijfsdata naar publieke AI-tools, waarover meer in klantdata uploaden naar AI en, over de risico's van het klakkeloos overnemen van externe AI-instructies, in waarom je een AI-skill nooit zomaar moet downloaden.
Wat ik in de praktijk zie: de kloof zit zelden bij de techniek en bijna altijd bij de mens. Ik heb teams gezien met een keurig AI-beleid op papier, terwijl in de dagelijkse praktijk vertrouwelijke informatie in een gratis tool belandde omdat dat nu eenmaal sneller werkte. Governance die dat gedrag niet adresseert, is een document, geen controle. De winst zit in bruikbare, veilige alternatieven aanbieden, niet in verbieden.
Shadow AI laat zien waarom AI-governance een gedragsvraagstuk is en geen puur juridisch vraagstuk. Beleid zonder aandacht voor de werkvloer is een papieren tijger.
Wie is aansprakelijk als AI faalt?
Als een AI-systeem schade veroorzaakt, een datalek, een discriminerend besluit of een misleidende output, wijst de verantwoordelijkheid in 2026 naar de bestuurstafel. De VOR versterkt dit: door zich publiekelijk te committeren aan een oordeel over de eigen risicobeheersing, kan een bestuur bij een groot incident sneller worden aangesproken op onbehoorlijk bestuur of misleidende verslaggeving. In het Nederlandse recht biedt onder meer artikel 2:249 BW een grond voor aansprakelijkheid bij een misleidende voorstelling in de jaarrekening of het bestuursverslag.
De rollen verdelen zich als volgt:
| Orgaan | Rol bij AI-governance | Kernvraag |
|---|---|---|
| Raad van bestuur (RvB) | Eindverantwoordelijk voor beleid en uitvoering | Zijn we aantoonbaar in control over onze AI? |
| Raad van commissarissen (RvC) | Toezicht en klankbord, daagt het bestuur uit | Baseert het bestuur zijn VOR op echt bewijs? |
| AI-comité of Risk | Toetst initiatieven, bewaakt beleid | Voldoet dit systeem aan onze eisen? |
| Business en medewerkers | Verantwoord gebruik in de praktijk | Gebruik ik dit binnen de afspraken? |
De raad van commissarissen mag hierbij niet passief afwachten. Een RvC die AI negeert, faalt in zijn wettelijke toezichtstaak. De praktische consequentie is een groeiende behoefte aan technologische kennis in de raad, de zogeheten tech-savvy commissaris, zodat er inhoudelijke tegenmacht is tegen de keuzes van het bestuur. Kritische vragen die een RvC zou moeten stellen, en de bredere strategische keuzes rond AI op bestuursniveau, komen aan bod in de OpenClaw-strategie voor de CEO en AI due diligence bij overnames, want juist bij fusies en overnames wordt de AI-volwassenheid van een doelwit een waarderingsfactor.
Aansprakelijkheid is dus niet abstract. Het is de reden waarom AI-governance geen keuze meer is maar een noodzaak, en waarom het oordeel uiteindelijk op naam van bestuurders staat.
AI-governance door de verzekeringsbril
Governance-theorie wordt pas tastbaar als je haar toepast op echte processen. In verzekeren, een sector die volledig draait op risico-inschatting, fraudedetectie, claimafhandeling en klantvertrouwen, laat AI-governance zich goed illustreren. De inzet is hoog: een verkeerd afgestemd model raakt direct de portemonnee en het vertrouwen van klanten.
Neem fraudedetectie. Een model dat claims op fraude scoort, is een klassiek hoog-risicosysteem: het beslist mee over de rechten van een individu. Zonder governance kan zo'n model onbedoeld bepaalde klantgroepen structureel benadelen, met discriminatie en reputatieschade als gevolg. Met governance leg je vast hoe je op bias controleert, hoe menselijk toezicht (human oversight) is geregeld, en hoe je een beslissing kunt uitleggen aan een klant of toezichthouder. Hoe fraudebestrijding met synthetische media verandert, beschrijf ik in SynthID, C2PA en het stoppen van verzekeringsfraude en template farms en verzekeringsfraude.
Mijn lens vanuit verzekeren: het verzekeringsbedrijf is een governance-oefening avant la lettre. We rekenen al decennia met risico, bewijslast en zorgplicht. AI verandert de schaal, niet het principe. Wie AI-governance benadert als een compleet nieuw vakgebied, mist dat de bestaande risicoframeworks grotendeels overdraagbaar zijn. De echte nieuwe vraag is uitlegbaarheid: kun je aan een klant, een klachteninstantie of een toezichthouder uitleggen waarom het model deze beslissing nam? Dat is waar de meeste organisaties nog werk hebben.
Ook aan de klantkant speelt governance. Denk aan AI in de klantenservice, waar de transparantieregels van de AI Act eisen dat een klant weet dat hij met een machine praat, of aan de vormgeving van opzeg- en klantprocessen. De menselijke kant van AI in de klantenservice werk ik uit in voice-AI die klantenservice menselijker maakt dan een mens. De financiële sector heeft bovendien eigen toezichthouders die AI-gebruik volgen, wat de governance-eisen extra aanscherpt, zie AI-toezicht en de taakverdeling bij verzekeraars.
De grootste misverstanden over AI-governance
Rond AI-governance leven hardnekkige misverstanden. Ze zijn gevaarlijk, omdat ze een bestuur een vals gevoel van veiligheid geven.
Misverstand: AI-governance is iets voor de IT-afdeling. In werkelijkheid is het een bestuursverantwoordelijkheid. De VOR en de AI Act leggen het oordeel bij het bestuur, niet bij IT. IT voert uit, het bestuur tekent.
Misverstand: door het uitstel van de AI Act hebben we tot eind 2027 de tijd. In werkelijkheid gelden de verboden praktijken, de AI-geletterdheidsplicht en de meeste transparantieregels al. Alleen de zwaarste hoog-risicoverplichtingen zijn uitgesteld. Bovendien wordt de inventarisatie niet makkelijker door te wachten, alleen de deadline schuift op.
Misverstand: als we een AI-beleid schrijven, zijn we compliant. In werkelijkheid is een document geen controle. Zonder inventarisatie, toezicht en monitoring is beleid een papieren tijger, zeker met Shadow AI in de organisatie.
Misverstand: AI-governance is puur defensief, het remt innovatie. In werkelijkheid vragen aandeelhouders juist om de kansenkant. De VEB wil een SWOT, inclusief sterktes en kansen. Goede governance maakt verantwoord versnellen mogelijk.
Misverstand: 'we wisten niet dat dat systeem AI gebruikte' beschermt ons. In werkelijkheid is onwetendheid geen verweer meer. De verplichting om je AI in kaart te hebben, ligt bij de organisatie zelf.
Misverstand: een privacy-toets (AVG) dekt de AI-risico's al af. In werkelijkheid overlappen AVG en AI Act deels, maar de AI Act stelt eigen eisen aan risicoclassificatie, menselijk toezicht en transparantie die verder gaan dan privacy.
Hoe pak je AI-governance aan? (stappenplan)
AI-governance opzetten hoeft niet overweldigend te zijn. Zeven stappen brengen je van niets naar aantoonbaar in control. Begin bij de inventarisatie, want al het andere bouwt daarop voort.
- Inventariseer alle AI, inclusief Shadow AI. Vraag elke afdeling welke AI-tools ze gebruiken, ook de gratis en zelf aangeschafte. Doe dit niet als controle-actie maar als uitvraag, anders verdwijnt de helft uit beeld. Wat je niet kent, kun je niet beheersen.
- Classificeer elk systeem op risico. Deel elk systeem in volgens de AI Act-categorieën. Focus je aandacht op de hoog-risicosystemen (werving, kredietbeoordeling, fraudedetectie) en op verboden praktijken die je per direct moet uitsluiten.
- Wijs één verantwoordelijke of comité aan. Beleg AI-governance expliciet, bij voorkeur multidisciplinair. Doe dit niet vrijblijvend als een 'werkgroep', maar met een mandaat om initiatieven te blokkeren of goed te keuren.
- Stel concreet beleid en beslisregels op. Leg vast welke data wel en niet in AI mag, welk gebruik is toegestaan, en wie nieuwe toepassingen goedkeurt. Vermijd een dik principedocument, kies voor bruikbare regels waar de werkvloer echt naar handelt.
- Regel AI-geletterdheid. Train niet alleen ontwikkelaars, maar juist eindgebruikers en het bestuur zelf. Dit is een wettelijke inspanningsverplichting sinds februari 2025, en het is de goedkoopste risicoreductie die er is.
- Richt data- en biascontrole in. Controleer trainingsdata op vooroordelen en gevoelige gegevens, en zorg dat je beslissingen kunt uitleggen. Doe dit als doorlopend proces, niet als eenmalige audit.
- Veranker het in risicomanagement en de VOR. Neem de AI-risico's op in je Enterprise Risk Management en laat het oordeel terugkomen in de Verklaring Omtrent Risicobeheersing. Hier sluit de cirkel: van inventarisatie tot bestuursverantwoording.
De kostenkant van AI verdient bij dit alles aparte aandacht, want governance zonder grip op kosten leidt tot verrassingen op de rekening. Zie grip op AI-kosten en, over het risico van afhankelijkheid van één leverancier, AI vendor lock-in en de kill switch.
Veelgestelde vragen
Wat is AI-governance in het kort?
AI-governance is het geheel van beleid, rollen, processen en controles waarmee een organisatie stuurt op verantwoord, veilig en waardevol AI-gebruik. Het bepaalt wie welke AI mag inzetten, onder welke voorwaarden, met welk toezicht en met welke verantwoording achteraf. In 2026 is het primair een bestuursverantwoordelijkheid, geen IT-taak.
Is AI-governance wettelijk verplicht in Nederland?
Er is geen losse wet met de titel 'AI-governance', maar de facto is het verplicht. De EU AI Act stelt eisen aan risicoclassificatie, menselijk toezicht en AI-geletterdheid, en de Corporate Governance Code 2025 dwingt bestuurders via de Verklaring Omtrent Risicobeheersing tot verantwoording over hun risicobeheersing, waaronder AI. Samen maken ze governance onontkoombaar voor grotere en beursgenoteerde organisaties.
Wat is de Verklaring Omtrent Risicobeheersing (VOR)?
De VOR is een verklaring in het bestuursverslag waarin het bestuur aangeeft welk niveau van assurance de interne risicobeheersings- en controlesystemen bieden voor operationele, compliance- en verslaggevingsrisico's. Ze is opgenomen in de vernieuwde Corporate Governance Code (maart 2025) en geldt voor boekjaren die aanvangen op of na 1 januari 2025, met de eerste VOR over boekjaar 2025.
Geldt de EU AI Act nog vanaf augustus 2026?
Deels. Via de Digital Omnibus zijn de zwaarste hoog-risicoverplichtingen uitgesteld: Annex III-systemen naar 2 december 2027 en Annex I-systemen naar 2 augustus 2028. Maar de verboden praktijken en de AI-geletterdheidsplicht gelden al sinds februari 2025, en de meeste transparantieverplichtingen blijven gelden vanaf 2 augustus 2026. Het uitstel raakt dus niet de hele wet.
Wie is aansprakelijk als een AI-systeem schade veroorzaakt?
De eindverantwoordelijkheid ligt bij de raad van bestuur, met toezicht van de raad van commissarissen. Door de VOR committeert het bestuur zich publiekelijk aan een oordeel over de eigen risicobeheersing, wat de kans op bestuurdersaansprakelijkheid bij een groot incident vergroot. Onwetendheid over de eigen AI-systemen is geen houdbaar verweer.
Wat is Shadow AI en waarom is het een governance-risico?
Shadow AI is het gebruik van AI-tools buiten het zicht van IT en bestuur, zoals medewerkers die zelf een chatbot of code-assistent aanzetten. Het is een risico omdat je geen governance kunt voeren over systemen die je niet kent. Simpelweg blokkeren werkt averechts, omdat medewerkers dan uitwijken naar privé-accounts. Zichtbaarheid en veilige alternatieven werken beter.
Wat is het verschil tussen AI-governance en de AI Act?
De AI Act is een Europese wet met concrete eisen aan AI-systemen. AI-governance is breder: het is de manier waarop een organisatie AI bestuurt, met de AI Act als een van de inputs, naast de Corporate Governance Code, de VOR, aandeelhouderseisen en het eigen risicobeleid. De AI Act vertelt je wat moet, governance regelt hoe je dat borgt en verantwoordt.
Hoe begin ik met AI-governance in mijn organisatie?
Begin met een inventarisatie van alle AI-systemen, inclusief zelf aangeschafte tools. Classificeer ze op risico volgens de AI Act, wijs een verantwoordelijke of comité aan, stel concreet beleid op, regel AI-geletterdheid, richt data- en biascontrole in, en veranker het geheel in je risicomanagement en de VOR. De inventarisatie is de basis waarop al het andere rust.
Verder verdiepen
De hub-en-spoke rond AI-governance bestaat uit deze artikelen. Samen vormen ze de verdieping op de thema's uit deze gids.
Bestuur en boardroom - De blinde vlek in de boardroom: waarom besturen AI structureel onderschatten. - AI due diligence bij overnames: AI-volwassenheid als waarderingsfactor bij M&A. - Open source AI als bestuurlijke noodzaak: de strategische keuze tegen afhankelijkheid. - De OpenClaw-strategie voor de CEO: AI-strategie op het hoogste niveau.
Shadow AI en gebruik in de organisatie - Shadow AI blokkeren werkt niet: waarom een verbod averechts werkt. - De vier AI-gebruikers in je organisatie: je beleid richten op echt gedrag. - Klantdata uploaden naar AI: het meest voorkomende datalekrisico. - Waarom je een AI-skill nooit zomaar moet downloaden: de risico's van externe AI-instructies.
Regelgeving en toezicht - EU AI Act: de complete hub over de wet zelf. - Geldt de AI Act voor mijn organisatie?: de scope-vraag beantwoord. - AI-toezicht: tien toezichthouders: het versnipperde toezichtlandschap. - De AI-trainingsplicht in 2026: AI-geletterdheid in de praktijk. - AI-toezicht en de taakverdeling bij verzekeraars: sectorspecifiek toezicht.
Kosten en risico - Grip op AI-kosten: governance zonder kostenbeheersing loopt vast. - AI vendor lock-in en de kill switch: afhankelijkheid als bestuursrisico.
Verzekeren en fraude - SynthID, C2PA en het stoppen van verzekeringsfraude: governance in de fraudepraktijk. - Voice-AI die klantenservice menselijker maakt: transparantie aan de klantkant.
Over Marc Diks
Marc Diks schrijft over AI, governance en de praktijk van verantwoord AI-gebruik, met een achtergrond van meer dan 25 jaar in verzekeren en een rol aan de bestuurstafel. Hij bouwt zelf AI-toepassingen en kijkt naar AI door de bril van risico, aansprakelijkheid en klantvertrouwen. Meer over zijn achtergrond lees je op de over-pagina.
Wil je wekelijks mijn kijk op AI en bestuur in je inbox? Schrijf je in voor de nieuwsbrief. Twijfel je of de AI Act op jou van toepassing is? Gebruik de AI Act Impact Scanner.
Bronnen
- Verordening (EU) 2024/1689 (EU AI Act), EUR-Lex: eur-lex.europa.eu (opent in nieuw venster)
- Corporate Governance Code 2025, Monitoring Commissie: mccg.nl (opent in nieuw venster)
- Speerpuntenbrief 2025, VEB: veb.net (opent in nieuw venster)
- Politiek akkoord Digital Omnibus (7 mei 2026), Consilium: consilium.europa.eu (opent in nieuw venster)
- Digital Omnibus on AI, legislative train, Europees Parlement: europarl.europa.eu (opent in nieuw venster)
- EU AI Act Omnibus Agreement, analyse verschoven deadlines, Gibson Dunn: gibsondunn.com (opent in nieuw venster)
- EU legislators agree to delay for high-risk AI rules, Hogan Lovells: hoganlovells.com (opent in nieuw venster)
- AI Act reloaded, Stibbe: stibbe.com (opent in nieuw venster)
- Geactualiseerde Corporate Governance Code 2025 en nieuwe Monitoring Commissie, Governance-web: governance-web.nl (opent in nieuw venster)
- Corporate Governance Code 2025 en VOR wettelijk verankerd, Accountant.nl: accountant.nl (opent in nieuw venster)