ai-governance19 apr 20269 min leestijd

AI-governance: framework, rollen en tools voor het AI Act-tijdperk

MW
Malte Wagenbach

Founder & CEO, Matproof

Ook beschikbaar in:EnglishDeutschFrançaisEspañolItaliano

Inhoudsopgave

  1. 01Wat is AI-governance?
  2. 02Waarom 2026 het kantelpunt is
  3. 03De drie belangrijkste governance-frameworks
  4. 04Hoe de frameworks zich verhouden
  5. 05Kernrollen in AI-governance
  6. 06Het AI-governanceplaybook
  7. 07Tooling-landschap 2026
  8. 08Documentatiechecklist voor hoogrisico-AI-systemen
  9. 09Veel voorkomende valkuilen
  10. 10Hoe Matproof AI-governance aanpakt
  11. 11Waar morgen te starten
  12. 12Gerelateerde lectuur

In 2025 was "AI-governance" een conferentie-buzzword. In 2026 is het een vereiste op directieniveau. De EU AI Act treedt in de fase voor systemen met hoog risico in augustus 2026, ISO/IEC 42001 is inmiddels de feitelijke standaard voor AI-managementsystemen, en NIST AI RMF is de baseline geworden voor Amerikaanse ondernemingen. Elke organisatie die AI inzet — niet alleen ontwikkelt — heeft een formele governance-positie nodig. Deze gids legt wat, waarom en hoe uit.

Wat is AI-governance?

AI-governance is de structuur van beleid, rollen, processen en controles die ervoor zorgt dat AI-systemen verantwoord, wettig en in lijn met organisatiedoelen worden gebouwd en gebruikt. Het beantwoordt drie vragen:

  1. Welke AI-systemen zet de organisatie in, en op welk risiconiveau?
  2. Wie is verantwoordelijk voor elk systeem in elke levenscyclusfase?
  3. Welke controles zijn er om een veilige, wettige en eerlijke werking te waarborgen?

In tegenstelling tot data-governance (gericht op datakwaliteit en -gebruik) of IT-governance (infrastructuur), is AI-governance specifiek voor de gedragsmatige, statistische en black-box-aard van ML/LLM-systemen.

Waarom 2026 het kantelpunt is

Valt uw AI-gebruik binnen de reikwijdte van de EU AI-verordening?

Controleer uw AI-verordening-readiness

Drie regelgevingsgolven komen samen:

  1. EU AI Act — verboden AI-praktijken sinds februari 2025 verboden. Verplichtingen voor systemen met hoog risico van toepassing vanaf augustus 2026. GPAI-verplichtingen (general-purpose AI) al actief. Niet-naleving = tot 35 M€ of 7 % van de wereldwijde omzet.
  2. ISO/IEC 42001:2023 — AI-managementsysteemstandaard, natuurlijke neef van ISO 27001. Adoptie versnelt en klanten beginnen erom te vragen.
  3. Amerikaans Executive Order + staatswetten — versnipperd maar reëel: Colorado AI Act, NYC AI-bias-audits, Californische wetsupdates. Amerikaanse ondernemingen verlangen steeds vaker NIST AI RMF-uitlijning van leveranciers.

Plus operationele risicodrivers:

  • Spraakmakende AI-falen in financiën, werving, gezondheidszorg
  • Verhoogde verzekeringsscrutiny van AI-implementaties
  • Druk van aandeelhouders en raden voor verklaarbare, verdedigbare AI

Uw organisatie heeft waarschijnlijk meer AI dan u denkt. Baseline-assessments van Matproof vinden gemiddeld 27 verschillende AI/ML-systemen in een typisch bedrijf van 500 personen — van lead scoring in CRM tot CV-filtering in HR, de chatbot van klantenservice en de forecastfunctie van het analyseplatform.

De drie belangrijkste governance-frameworks

1. EU AI Act (wet, verplicht)

Geldt voor aanbieders en deployers van AI-systemen die op de EU-markt worden gebracht of waarvan de output in de EU wordt gebruikt. Risicogebaseerde classificatie:

  • Onaanvaardbaar risico — verboden (sociale scoring, subliminale manipulatie, real-time biometrie in openbare ruimten met uitzonderingen)
  • Hoog risico — strikte verplichtingen (conformiteitsbeoordeling, risicobeheer, datagovernance, transparantie, menselijk toezicht, nauwkeurigheid/robuustheid, logging, CE-markering)
  • Beperkt risico — transparantieverplichtingen (gebruikers informeren, content-labeling van deepfakes)
  • Minimaal risico — geen specifieke verplichtingen

Plus aparte track voor General Purpose AI-modellen (GPAI) inclusief foundation-modellen — met aanvullende verplichtingen voor "modellen met systemisch risico" (trainingsrekenkracht >= 10^25 FLOP).

Matproof biedt een volledige EU AI Act-module die alle 98 vereisten van de wet dekt.

2. ISO/IEC 42001:2023 (vrijwillige norm, certificeerbaar)

Eerste wereldwijde norm voor AI-managementsystemen, gepubliceerd december 2023. Structuur parallel aan ISO 27001:

  • Context van de organisatie
  • Leiderschap en betrokkenheid
  • Planning (risicobeoordeling, doelstellingen)
  • Ondersteuning (middelen, competentie, bewustwording, communicatie, documentatie)
  • Werking (operationele controles voor de AI-levenscyclus)
  • Prestatiebeoordeling
  • Verbetering

Bijlage A bevat 38 controles in 9 domeinen (datakwaliteit, transparantie, menselijk toezicht, AI-systeem-impactbeoordeling, enz.).

Geschikt voor: organisaties die een certificeerbare governance-positie zoeken. Auditkantoren certificeren er al tegen.

3. NIST AI RMF 1.0 (vrijwillig framework)

AI Risk Management Framework van het Amerikaanse National Institute of Standards and Technology. Vier functies:

  • Govern — organisatiebeleid, rollen, verantwoordelijkheden
  • Map — context, risico's, impact
  • Measure — kwantificeren, testen, volgen
  • Manage — prioriteren, mitigeren, reageren

Niet certificeerbaar, maar breed geadopteerd als Amerikaanse baseline. NIST publiceert ook het AI RMF Playbook met praktische templates.

Geschikt voor: organisaties in de Amerikaanse markt, teams die zich uitlijnen met federale procurement-verwachtingen.

Hoe de frameworks zich verhouden

Voor de meeste organisaties ziet de stack er zo uit:

  • EU AI Act — wettelijke baseline (bij EU-markt)
  • ISO/IEC 42001 — operationeel managementsysteem (certificeerbaar, aantoonbaar aan klanten)
  • NIST AI RMF — praktische risicobeoordeling en technische controles (vaak ingebed in de 42001-implementatie)

ISO 42001 vervangt de AI Act niet, en NIST AI RMF vervangt ISO 42001 niet — ze overlappen. Een volwassen organisatie heeft alle drie operationeel met gedeelde onderliggende bewijslast.

Kernrollen in AI-governance

Een duidelijke RACI (Responsible, Accountable, Consulted, Informed) voorkomt de typische chaos:

AI-Governancecomité (bestuurs- of directieniveau)

  • Verantwoordelijk voor AI-strategie en risicobereidheid
  • Keurt deployments van hoogrisico-systemen goed
  • Beoordeelt AI-portfolio per kwartaal

AI Ethics Officer / AI Risk Lead

  • Eigenaar van de dagelijkse governance
  • Onderhoudt het AI-systeeminventarisatie
  • Voert impactbeoordelingen uit
  • Rapporteert aan het Governancecomité

AI-systeemeigenaars (per systeem)

  • Verantwoordelijk voor specifieke systeemuitkomsten
  • Monitoren performance, bias, drift
  • Verantwoordelijk voor documentatie

Data Science / ML Engineering

  • Bouwen en testen systemen volgens governancevereisten
  • Implementeren controles (bias-tests, verklaarbaarheid, logging)

Legal / Compliance

  • Regulatoire mapping (AI Act, sectorale regels)
  • AI-disclosure naar klanten
  • AI-specifieke contracten

Functionaris voor gegevensbescherming (FG)

  • AVG-snijvlak (automatische besluitvorming, art. 22)
  • Legitimiteit van databronnen voor training
  • DPIA-triggers voor AI-systemen

Security / CISO

  • Modelbeveiliging (adversariële robuustheid, prompt injection)
  • Infrastructuurbeveiliging
  • Integratie met bredere securitygovernance

Het AI-governanceplaybook

Fase 1 — Discovery (eerste 60 dagen)

  • AI-systeeminventarisatie — elk model, elke use case, elke shadow AI
  • Classificeer naar risiconiveau (AI Act of intern schema)
  • Identificeer databronnen en retentie
  • Identificeer deployers, aanbieders, integrators per systeem
  • Stel baseline-metrics op (nauwkeurigheid, fairness, performance)

Fase 2 — Governance-opzet (dagen 30-90)

  • AI-Governancecomité opgericht
  • AI-beleid gepubliceerd (acceptabel gebruik, goedkeuringsproces)
  • Risicobeoordelingsmethode gekozen (meestal NIST AI RMF gemapt)
  • Documentatietemplates (model cards, data cards, impactbeoordelingen)
  • Tooling gekozen (GRC-platform met AI-module)

Fase 3 — Controles-implementatie (dagen 60-180)

  • Hoogrisico-systemen met volledige conformiteitsbeoordeling (AI Act)
  • Bias-tests en fairness-metrics geïmplementeerd
  • Menselijke toezichtcontroles per systeem gedocumenteerd
  • Logging en monitoring voor productie-AI-systemen
  • Incidentrespons voor AI-specifieke gebeurtenissen (bias drift, prompt injection, data poisoning)

Fase 4 — Continue operatie (lopend)

  • Kwartaalreview van portfolio door Governancecomité
  • Jaarlijkse herbeoordeling per systeem
  • Onboardingproces voor nieuwe systemen gehandhaafd
  • Incidentlogs beoordeeld
  • Metrics gerapporteerd aan bestuur

Tooling-landschap 2026

AI-governance-tooling is in verschillende categorieën gefragmenteerd:

AI-governanceplatforms (MLOps + governance)

  • Credo AI — governance-specifiek, sterke policy-engine
  • Holistic AI — modelrisico + governance
  • Fiddler AI — observability met governance-features
  • Arthur — ML-observability met governance
  • Collibra AI Governance — datacentrische governance uitgebreid naar AI

Compliance-platforms met AI-modules

  • Matproof — AI Act + ISO 42001 + NIST AI RMF gemapt, in EU gehost
  • Vanta — gedeeltelijke AI Act-dekking
  • Drata — gedeeltelijk
  • Secureframe — gedeeltelijk

Modelgerichte tools

  • MLflow, Weights & Biases, Neptune — experiment-tracking met governance-metadata
  • AWS SageMaker Model Registry, Azure ML Model Registry, GCP Vertex Model Registry — cloud-native model cards

Bias- en fairness-tests

  • IBM AI Fairness 360 (open source)
  • Fairlearn (open source)
  • Aequitas (open source)
  • Commercieel: Credo AI, Holistic AI

LLM-specifiek

  • LangSmith, Langfuse — LLM-observability
  • Guardrails AI — runtime-controles
  • Protect AI, Lakera — prompt injection / adversariële tests

Typische mid-market stack: compliance-platform (bv. Matproof) + model registry (cloud-native) + bias-tests (open source) + LLM-observability (LangSmith/Langfuse) + incidentbeheer (Jira).

Documentatiechecklist voor hoogrisico-AI-systemen

Volgens Bijlage IV van de EU AI Act vereist een hoogrisico-systeem:

  • Algemene beschrijving van het AI-systeem, beoogd doel en gebruikersinstructies
  • Gedetailleerde beschrijving van de elementen en het ontwikkelproces
  • Informatie over monitoring, werking en controle
  • Beschrijving van het risicobeheersysteem
  • Beschrijving van wijzigingen tijdens de levenscyclus
  • Lijst van toegepaste geharmoniseerde normen
  • Kopie van de EU-conformiteitsverklaring
  • Gedetailleerde beschrijving van het post-market monitoringplan

Dit is substantieel — typisch een 40-80 pagina's technische documentatie per hoogrisico-systeem. Tooling die automatisch genereert vanuit pipeline-metadata is een echte efficiëntiewinst.

Veel voorkomende valkuilen

  1. Shadow AI onderschatten — businessunits zetten constant AI in via SaaS-functies. Uw "3 AI-systemen" zijn waarschijnlijk 20.
  2. LLM behandelen als "gewoon weer ML" — prompt injection, datalekken, hallucinatie hebben geen analoog in klassieke ML-governance.
  3. Geen post-deployment monitoring — de risicovolste modellen zijn de modellen die niemand na lancering bekijkt.
  4. Framework shoppen — één framework kiezen en de rest negeren. De meeste organisaties hebben er 2-3 gestapeld nodig.
  5. Governance als afvinkvakje — als governance geen slechte deployments blokkeert, is het theater.

Hoe Matproof AI-governance aanpakt

De AI-governance-module van Matproof combineert drie lagen in één platform:

  • EU AI Act-module — alle 98 vereisten gestructureerd als controles, met Bijlage IV-documentatie automatisch gegenereerd uit uw systeeminventarisatie
  • ISO/IEC 42001-mapping — dezelfde evidence voldoet aan beide frameworks; uitgelijnd met onze bredere ISO 27001-aanbieding
  • NIST AI RMF-uitlijning — Govern/Map/Measure/Manage-functies gemapt op uw controles

Plus cross-mapping naar AVG, DORA en bredere security-frameworks, zodat één control-investering rendeert over de hele regelgevingsportfolio.

In EU gehost (Frankfurt). AVG-native. Gebouwd door een Duits team voor Europese AI-governancevereisten.

EU AI Act-readinessbeoordeling — 15 minuten, gratis, met gescored rapport.

Waar morgen te starten

  1. Inventarisatie — lijst elk AI-systeem op, bekend of vermoed, in de hele organisatie. Geen perfecte lijst — een startpunt.
  2. Classificeren — zelfs een grove risicocategorisatie (hoog/midden/laag) laat zien waar te focussen.
  3. Framework kiezen — AI Act bij EU-markt, ISO 42001 als certificeerbaar gewenst, NIST bij Amerikaanse focus.
  4. Comité oprichten — zelfs drie personen die per kwartaal reviewen is beter dan nul.
  5. Eén hoogrisico-systeem goed doen — bouw de template vanuit een echte case, schaal daarna.

AI-governance in 2026 is geen vraag van of, maar of u het bewust doet of reactief na het eerste incident.

Gerelateerde lectuur

AI governanceAI governance frameworkAI governance softwareNIST AI RMFISO 42001EU AI Act complianceAI compliance

AI-verordening-gereedheidsassessment

Controleer uw AI-compliance vóór augustus 2026

Start de gratis assessment

Klaar om compliance te vereenvoudigen?

Wees audit-ready in weken, niet maanden. Bekijk Matproof in actie.

Demo aanvragen