# AI-governance: de complete gids voor bestuurders en organisaties

AI-governance is het geheel van beleid, rollen en controles waarmee een organisatie stuurt op verantwoord, veilig en waardevol AI-gebruik. In 2026 is het geen IT-project meer, maar een bestuursverantwoordelijkheid. Door de EU AI Act, de vernieuwde Corporate Governance Code en de Verklaring Omtrent Risicobeheersing tekenen bestuurders nu persoonlijk voor de beheersing van hun AI-systemen.

Laatst bijgewerkt: 8 juli 2026. Auteur: Marc Diks.

## TL;DR

- AI-governance is in 2026 verschoven van de IT-afdeling naar de bestuurstafel: bestuurders zijn nu aantoonbaar verantwoordelijk voor de risico's van hun AI-systemen.
- Drie krachten dwingen dit af: de EU AI Act, de Verklaring Omtrent Risicobeheersing (VOR) in de Corporate Governance Code 2025, en aandeelhouders die via de VEB een AI-SWOT in het jaarverslag eisen.
- De AI Act-tijdlijn is verschoven: hoog-risicoverplichtingen (Annex III) gelden vanaf 2 december 2027, maar verboden praktijken en de AI-geletterdheidsplicht gelden al sinds 2 februari 2025.
- Belangrijkste actie: breng alle AI-systemen in kaart (inclusief Shadow AI), classificeer op risico, beleg toezicht expliciet.
- Grootste valkuil: AI-governance als eenmalig compliance-document behandelen in plaats van als doorlopend proces.

## Kernfeiten (met bron)

- De EU AI Act (Verordening (EU) 2024/1689) is in werking sinds 1 augustus 2024; verboden praktijken en de AI-geletterdheidsplicht (art. 4) gelden sinds 2 februari 2025. Bron: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Via de Digital Omnibus zijn hoog-risicoverplichtingen uitgesteld: Annex III naar 2 december 2027, Annex I naar 2 augustus 2028. Politiek akkoord 7 mei 2026, goedkeuring Europees Parlement 16 juni 2026. Bron: https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
- De AI-geletterdheidsplicht blijft bestaan maar is afgezwakt naar een inspanningsverplichting. Bron: https://www.stibbe.com/publications-and-insights/ai-act-reloaded-what-the-latest-ai-act-changes-mean-in-practice
- Watermerkplicht (art. 50 lid 2) voor bestaande systemen uitgesteld naar 2 december 2026; nieuw verbod op NCII- en CSAM-generatie vanaf 2 december 2026. Bron: https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
- Boetes onder de AI Act: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen. Bron: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- De Nederlandse Corporate Governance Code is op 20 maart 2025 geactualiseerd met de Verklaring Omtrent Risicobeheersing (VOR); nieuwe Monitoring Commissie benoemd 17 maart 2025 onder Rob van Wingerden. Bron: https://www.mccg.nl/documenten/2025/03/corporate-governance-code-2025
- De VOR geldt voor boekjaren die aanvangen op of na 1 januari 2025, met de eerste VOR over boekjaar 2025. Bron: https://governance-web.nl/nieuws/geupdatete-nederlandse-corporate-governance-code-2025-en-nieuwe-monitoring-commissie-benoemd/
- De Code is begin 2026 wettelijk verankerd via een AMvB; op 2 februari 2026 gepubliceerd besluit tot wijziging van het Besluit inhoud bestuursverslag. Bron: https://www.accountant.nl/nieuws/2026/2/corporate-governance-code-2025-en-vor-wettelijk-verankerd/
- De VEB benoemde in de Speerpuntenbrief 2025 "Impact generatieve kunstmatige intelligentie (AI)" als speerpunt en vraagt om een AI-SWOT in het bestuursverslag. Bron: https://www.veb.net/artikel/09715/veb-speerpuntenbrief-2025-waardecreatie-ai-en-livestreams

## Wat is AI-governance en waarom nu?

AI-governance is de manier waarop een organisatie beslist wie welke AI mag inzetten, onder welke voorwaarden, met welk toezicht en met welke verantwoording achteraf. Het beantwoordt vier vragen: welke AI gebruiken we, wie is verantwoordelijk, welke risico's accepteren we, en hoe tonen we aan dat we in control zijn.

Het is nu urgent om drie redenen: de EU AI Act is van kracht met bindende verplichtingen sinds februari 2025; de vernieuwde Corporate Governance Code dwingt via de VOR een expliciete bestuursuitspraak over risicobeheersing af; en aandeelhouders eisen via de VEB een AI-SWOT in het jaarverslag.

## Waarom AI-governance op de bestuurstafel hoort

AI is verschoven van IT-experiment naar bestuursdossier. Het verschil zit in de verantwoordelijkheid: een IT-project kan mislukken zonder persoonlijke afrekening, een bestuursdossier niet. De VOR maakt risicobeheersing een publieke bestuursuitspraak, en aandeelhouders eisen inzicht in hoe AI waarde creëert of bedreigt. AI-governance is daarmee niet delegeerbaar naar een technische laag. Een bestuur dat niet begrijpt hoe de eigen algoritmes beslissen, kan de vereiste verantwoording niet afleggen.

Vergelijking IT-project versus bestuursdossier:

| Kenmerk | AI als IT-project (oud) | AI als bestuursdossier (2026) |
|---|---|---|
| Eigenaar | IT- of innovatieafdeling | Raad van bestuur, met toezicht RvC |
| Kernvraag | Werkt de techniek? | Zijn we aantoonbaar in control? |
| Risico | Projectrisico, budget | Bestuurdersaansprakelijkheid, reputatie |
| Verantwoording | Interne rapportage | Bestuursverslag, aandeelhoudersvergadering |
| Tijdshorizon | Per project | Doorlopend, jaarlijks verantwoord |

## Het wettelijke kader: AI Act, VOR en de Corporate Governance Code 2025

Drie regelingen bepalen samen wat AI-governance in Nederland juridisch betekent: de VOR dwingt de verantwoording af, de AI Act bepaalt de inhoudelijke eisen, en de Corporate Governance Code verankert het geheel in het bestuursverslag.

De EU AI Act hanteert een risicogebaseerde aanpak met vier categorieën: onacceptabel risico (verboden), hoog risico, transparantierisico en minimaal risico. Via de Digital Omnibus (Commissievoorstel 19 november 2025, politiek akkoord 7 mei 2026, goedkeuring Europees Parlement 16 juni 2026) zijn de zwaarste hoog-risicoverplichtingen uitgesteld.

Gewijzigde AI Act-tijdlijn:

| Verplichting | Oorspronkelijk | Na Digital Omnibus |
|---|---|---|
| Verboden praktijken + AI-geletterdheid (art. 4) | 2 februari 2025 | Ongewijzigd: sinds 2 februari 2025 |
| GPAI-verplichtingen | 2 augustus 2025 | Ongewijzigd: sinds 2 augustus 2025 |
| Transparantie (art. 50, grotendeels) | 2 augustus 2026 | Ongewijzigd: 2 augustus 2026 |
| Watermerken legacy-systemen (art. 50 lid 2) | 2 augustus 2026 | Uitgesteld naar 2 december 2026 |
| Nieuw verbod NCII- en CSAM-generatie | n.v.t. | Nieuw: vanaf 2 december 2026 |
| Hoog risico, standalone (Annex III) | 2 augustus 2026 | Uitgesteld naar 2 december 2027 |
| Hoog risico, ingebed (Annex I) | 2 augustus 2027 | Uitgesteld naar 2 augustus 2028 |
| Nationale AI-sandboxes | 2 augustus 2026 | Uitgesteld naar 2 augustus 2027 |

De AI-geletterdheidsplicht (art. 4) is niet geschrapt maar afgezwakt naar een inspanningsverplichting. Transparantieverplichtingen zijn niet uitgesteld. Boetes: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet.

De Verklaring Omtrent Risicobeheersing (VOR) is opgenomen in de op 20 maart 2025 geactualiseerde Corporate Governance Code. Het bestuur verklaart in het bestuursverslag over het niveau van assurance dat de interne risicobeheersings- en controlesystemen bieden voor operationele, compliance- en verslaggevingsrisico's. Een falend AI-systeem valt onder de operationele en compliancerisico's. De VOR geldt voor boekjaren vanaf 1 januari 2025.

De Code werkt volgens het pas-toe-of-leg-uit-principe. Aandeelhouders beoordelen zwakke verklaringen kritisch, en de VEB vraagt expliciet om een AI-SWOT in het jaarverslag.

## De bouwstenen van een AI-governance framework

Een AI-governance framework bestaat uit zes bouwstenen die op elkaar ingrijpen:

1. Inventarisatie: breng elk AI-systeem in kaart, inclusief zelf aangeschafte tools.
2. Classificatie: deel elk systeem in volgens de risicocategorieën van de AI Act.
3. Beleid en beslisregels: leg vast welk gebruik en welke data zijn toegestaan, en wie goedkeurt.
4. Toezicht en rollen: beleg de verantwoordelijkheid, vaak via een multidisciplinair AI-comité.
5. Data en bias: controleer trainingsdata op vooroordelen en gevoelige gegevens, documenteer met het oog op uitlegbaarheid.
6. Monitoring en verantwoording: neem AI-risico's op in risicomanagement en veranker het oordeel in de VOR.

Governance-zelfcheck:
- Is er een actuele inventarisatie van alle AI-systemen, inclusief zelf aangeschafte tools?
- Is elk systeem geclassificeerd volgens de risicocategorieën van de AI Act?
- Is er beleid dat vastlegt welke data wel en niet in AI-tools mag?
- Is er één verantwoordelijke of comité dat nieuwe AI-initiatieven vooraf toetst?
- Zijn medewerkers die met AI werken aantoonbaar getraind (AI-geletterdheid)?
- Zijn de AI-risico's opgenomen in het risicomanagement en de VOR?

## Shadow AI: waarom beleid alleen niet werkt

Shadow AI is het gebruik van AI-tools buiten het zicht van IT en bestuur. Het is de blinde vlek waarop de meeste frameworks stuklopen: je kunt geen governance voeren over systemen die je niet kent. Simpelweg blokkeren werkt averechts, omdat medewerkers uitwijken naar privé-accounts. Effectiever is begrijpen wie AI gebruikt en waarvoor, en veilige alternatieven aanbieden. AI-governance is daarmee ook een gedragsvraagstuk, niet alleen een juridisch vraagstuk.

## Wie is aansprakelijk als AI faalt?

De eindverantwoordelijkheid ligt bij de raad van bestuur, met toezicht van de raad van commissarissen. De VOR versterkt dit: door zich publiekelijk te committeren aan een oordeel over de eigen risicobeheersing, kan een bestuur bij een groot incident sneller worden aangesproken op onbehoorlijk bestuur of misleidende verslaggeving (onder meer artikel 2:249 BW). Onwetendheid over de eigen AI-systemen is geen houdbaar verweer.

Rolverdeling:

| Orgaan | Rol bij AI-governance | Kernvraag |
|---|---|---|
| Raad van bestuur (RvB) | Eindverantwoordelijk voor beleid en uitvoering | Zijn we aantoonbaar in control over onze AI? |
| Raad van commissarissen (RvC) | Toezicht en klankbord | Baseert het bestuur zijn VOR op echt bewijs? |
| AI-comité of Risk | Toetst initiatieven, bewaakt beleid | Voldoet dit systeem aan onze eisen? |
| Business en medewerkers | Verantwoord gebruik in de praktijk | Gebruik ik dit binnen de afspraken? |

De RvC mag niet passief afwachten. De behoefte aan technologische kennis in de raad (de tech-savvy commissaris) neemt toe.

## AI-governance door de verzekeringsbril

In verzekeren, dat draait op risico-inschatting, fraudedetectie, claimafhandeling en klantvertrouwen, wordt governance tastbaar. Een fraudedetectiemodel is een klassiek hoog-risicosysteem: het beslist mee over de rechten van een individu. Zonder governance kan zo'n model klantgroepen benadelen, met discriminatie en reputatieschade als gevolg. Met governance leg je vast hoe je op bias controleert, hoe menselijk toezicht is geregeld, en hoe je een beslissing uitlegt. De kern van de nieuwe eis is uitlegbaarheid: kun je aan een klant of toezichthouder uitleggen waarom het model deze beslissing nam?

## De grootste misverstanden over AI-governance

- Misverstand: AI-governance is iets voor de IT-afdeling. In werkelijkheid is het een bestuursverantwoordelijkheid.
- Misverstand: door het uitstel van de AI Act hebben we tot eind 2027 de tijd. In werkelijkheid gelden verboden praktijken, AI-geletterdheid en de meeste transparantieregels al.
- Misverstand: als we een AI-beleid schrijven, zijn we compliant. In werkelijkheid is een document geen controle.
- Misverstand: AI-governance is puur defensief. In werkelijkheid vragen aandeelhouders juist om de kansenkant.
- Misverstand: 'we wisten niet dat dat systeem AI gebruikte' beschermt ons. In werkelijkheid is onwetendheid geen verweer meer.
- Misverstand: een privacy-toets (AVG) dekt de AI-risico's al af. In werkelijkheid stelt de AI Act eigen eisen die verder gaan dan privacy.

## Hoe pak je AI-governance aan? (stappenplan)

1. Inventariseer alle AI, inclusief Shadow AI.
2. Classificeer elk systeem op risico.
3. Wijs één verantwoordelijke of comité aan, met mandaat.
4. Stel concreet beleid en beslisregels op.
5. Regel AI-geletterdheid, ook voor eindgebruikers en bestuur.
6. Richt data- en biascontrole in als doorlopend proces.
7. Veranker het in risicomanagement en de VOR.

## Veelgestelde vragen

Wat is AI-governance in het kort?
AI-governance is het geheel van beleid, rollen, processen en controles waarmee een organisatie stuurt op verantwoord, veilig en waardevol AI-gebruik. In 2026 is het primair een bestuursverantwoordelijkheid.

Is AI-governance wettelijk verplicht in Nederland?
Er is geen losse wet met die titel, maar de facto is het verplicht via de EU AI Act en de Corporate Governance Code 2025 (VOR).

Wat is de Verklaring Omtrent Risicobeheersing (VOR)?
Een verklaring in het bestuursverslag over het niveau van assurance dat de interne risicobeheersings- en controlesystemen bieden voor operationele, compliance- en verslaggevingsrisico's. Geldt voor boekjaren vanaf 1 januari 2025.

Geldt de EU AI Act nog vanaf augustus 2026?
Deels. Hoog-risicoverplichtingen zijn uitgesteld (Annex III naar 2 december 2027, Annex I naar 2 augustus 2028), maar verboden praktijken, AI-geletterdheid en de meeste transparantieregels gelden al of blijven op 2 augustus 2026.

Wie is aansprakelijk als een AI-systeem schade veroorzaakt?
De raad van bestuur, met toezicht van de raad van commissarissen. De VOR vergroot de kans op bestuurdersaansprakelijkheid. Onwetendheid is geen verweer.

Wat is Shadow AI en waarom is het een governance-risico?
Het gebruik van AI-tools buiten het zicht van IT en bestuur. Je kunt geen governance voeren over systemen die je niet kent; blokkeren werkt averechts.

Wat is het verschil tussen AI-governance en de AI Act?
De AI Act is een wet met concrete eisen. AI-governance is breder: hoe een organisatie AI bestuurt, met de AI Act als één input naast de Code, de VOR en aandeelhouderseisen.

Hoe begin ik met AI-governance in mijn organisatie?
Begin met een inventarisatie van alle AI-systemen, classificeer op risico, wijs een verantwoordelijke aan, stel beleid op, regel AI-geletterdheid, richt data- en biascontrole in, en veranker het in risicomanagement en de VOR.

## Bronnen

- EU AI Act, Verordening (EU) 2024/1689: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
- Consilium, akkoord Digital Omnibus AI (7 mei 2026): https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
- Europees Parlement, Digital Omnibus on AI (legislative train): https://www.europarl.europa.eu/legislative-train/package-digital-package/file-digital-omnibus-on-ai
- Gibson Dunn, Omnibus postponed high-risk deadlines: https://www.gibsondunn.com/eu-ai-act-omnibus-agreement-postponed-high-risk-deadlines-and-other-key-changes/
- Hogan Lovells, delay for high-risk AI rules: https://www.hoganlovells.com/en/publications/eu-legislators-agree-to-delay-for-highrisk-ai-rules
- Stibbe, AI Act reloaded (AI-geletterdheid): https://www.stibbe.com/publications-and-insights/ai-act-reloaded-what-the-latest-ai-act-changes-mean-in-practice
- Monitoring Commissie, Corporate Governance Code 2025: https://www.mccg.nl/documenten/2025/03/corporate-governance-code-2025
- Governance-web, geactualiseerde Code 2025 en VOR: https://governance-web.nl/nieuws/geupdatete-nederlandse-corporate-governance-code-2025-en-nieuwe-monitoring-commissie-benoemd/
- Accountant.nl, Code 2025 en VOR wettelijk verankerd: https://www.accountant.nl/nieuws/2026/2/corporate-governance-code-2025-en-vor-wettelijk-verankerd/
- VEB, Speerpuntenbrief 2025: https://www.veb.net/artikel/09715/veb-speerpuntenbrief-2025-waardecreatie-ai-en-livestreams

Canonical: https://www.marcdiks.nl/ai-governance
Auteur: Marc Diks