Wat is AI governance?

Wat is AI governance? Uitleg, voorbeelden, AI Act en ISO 42001

AI governance is het geheel van beleid, rollen, processen en controles waarmee een organisatie AI-systemen verantwoord, beheerst en aantoonbaar inzet. Het belegt eigenaarschap, maakt besluitvorming traceerbaar en verbindt technische keuzes aan strategische sturing.

Deze gids bekijkt AI governance vanuit de praktijk van een Lead Auditor en implementatiepartner. De meeste artikelen leggen uit wát AI governance is. Wij richten ons op wat er in de praktijk misgaat wanneer organisaties het proberen in te richten. De inzichten zijn mede gebaseerd op ervaring als Lead Auditor namens DNV bij de eerste ISO 42001-certificering in Nederland.

Wat is AI governance?

AI governance beantwoordt één centrale vraag: wie is waarvoor verantwoordelijk bij de inzet van AI, en hoe maak je dat aantoonbaar? Het gaat over besturing, niet over de techniek zelf. Een model kan technisch uitstekend presteren en toch een governance-probleem vormen, namelijk wanneer niemand verantwoordelijk is voor wat het doet.

Het raamwerk verbindt vier dingen. Beleid legt vast wat de organisatie verantwoord vindt. Rollen bepalen wie besluit, wie risico’s beoordeelt en wie monitort. Processen sturen de levenscyclus van intake tot uitfasering. Controles beheersen de risico’s rond data, bias, uitlegbaarheid en beveiliging. Samen zorgen ze dat een AI-beslissing herleidbaar is naar een persoon, een onderbouwing en een moment.

Een voorbeeld maakt dat concreet. Stel dat een AI-systeem een aanvraag afwijst. Met governance is duidelijk welk model de beslissing nam, welke data het gebruikte, wie de inzet goedkeurde en hoe een betrokkene bezwaar maakt. Zonder governance bestaat die keten van verantwoording niet, en blijft een afwijzing een black box.

AI governance wordt geregeld verward met aangrenzende begrippen, terwijl het onderscheid in de praktijk uitmaakt. Data governance richt zich op de kwaliteit, herkomst en het beheer van data. Het vormt een bouwsteen onder AI governance, want een model is zo betrouwbaar als de data eronder. AI-ethiek gaat over de morele uitgangspunten zoals eerlijkheid, transparantie en non-discriminatie, die het beleid voeden. Model governance betreft het beheer van de modellen zelf: versiebeheer, validatie en het monitoren van prestaties na ingebruikname. AI governance is de overkoepelende functie die deze elementen samenbrengt en aan bestuurlijke besluitvorming koppelt. Wie alleen op ethiek stuurt, houdt goede bedoelingen zonder borging. AI governance verbindt de drie. In de praktijk betekent dat een heldere taakverdeling: de databeheerder bewaakt kwaliteit en herkomst, de modeleigenaar bewaakt validatie en prestaties, en de governancefunctie koppelt beide aan beleid en directiebeoordeling.

AI governance is een doorlopende functie, vergelijkbaar met de manier waarop informatiebeveiliging is verankerd in een managementsysteem. Het is geen project met een einddatum. Wie het los van bestaande structuren optuigt, houdt een papieren laag over die in de dagelijkse praktijk niet werkt.

Waarom AI governance steeds belangrijker wordt

Lange tijd waren AI-initiatieven afgebakende pilots zonder grote gevolgen. Dat beeld kantelt nu generatieve AI, copilots en autonome agents in echte productieprocessen terechtkomen. De vraag verschuift van “werkt het?” naar “kunnen we hiervoor instaan?”.

Drie krachten versnellen die verschuiving.

De afhankelijkheid neemt toe. Wanneer een AI-systeem meebeslist over kredietverlening, triage in de zorg of de selectie van kandidaten, raakt een fout direct mensen. De organisatie moet dan kunnen uitleggen hoe een uitkomst tot stand komt en wie hem mag corrigeren.

Het toezicht wordt strenger. In aanbestedingen en leveranciersbeoordelingen verschijnt aantoonbare AI governance als voorwaarde. Een organisatie zonder structuur loopt daar tegenaan op het moment dat een contract op het spel staat.

De bestuurlijke aansprakelijkheid groeit mee. Een directie die AI inzet zonder beheersing, kan zich na een incident moeilijk verschuilen achter onwetendheid. Toezichthouders verwachten dat het bestuur weet welke AI-systemen draaien en welke risico’s daaraan vastzitten. Daarnaast komt de Europese AI Act dichterbij, die verantwoorde inzet voor een groeiende groep organisaties een wettelijke verplichting maakt.

Wat gebeurt er zonder AI governance?

Dit is waar de theorie concreet wordt. In onze audits zien we steeds dezelfde patronen terugkomen wanneer governance ontbreekt. Drie daarvan komen het vaakst voor.

Het eerste patroon is shadow AI. Medewerkers gebruiken tools zoals ChatGPT of Microsoft Copilot op eigen initiatief, buiten het zicht van IT en bestuur. Een organisatie die Copilot breed uitrolde, ontdekte tijdens de beoordeling dat niemand wist welke gegevens het systeem mocht raadplegen en wie toezag op het gebruik. De techniek werkte prima. De beheersing ontbrak volledig. Een eenvoudig kader met gebruiksregels, een aanspreekpunt en periodieke evaluatie bracht de grip terug.

Het tweede patroon is de bevinding die wij het vaakst noteren: een maatregel zonder eigenaar. Iemand heeft een AI-systeem gebouwd en in gebruik genomen. Vraag je wie verantwoordelijk is voor foutieve uitkomsten, dan blijft het stil. Bij een zorginstelling ondersteunde een AI-toepassing de triage. Niemand was aangewezen om afwijkende uitkomsten te beoordelen, en de uitlegbaarheid richting zorgverleners was niet geborgd. Voor deze sector speelt bovendien NEN 7510, de norm voor informatiebeveiliging in de zorg. De oplossing zat in het beleggen van eigenaarschap en het inbouwen van menselijk toezicht in het zorgproces.

Het derde patroon is de opgeschaalde pilot. Een succesvolle proef wordt uitgerold zonder dat de governance is meegegroeid. De verantwoordelijkheden blijven informeel, de datakwaliteit is niet geborgd en de risico’s zijn nooit formeel beoordeeld. De oorzaak ligt zelden in de technologie zelf en vaker in de afwezigheid van sturing. Dat deel is herstelbaar, mits je er vroeg bij bent.

Het gevolg is telkens hetzelfde. De organisatie ontdekt het probleem pas op het verkeerde moment: bij een incident, een audit of een vraag van een toezichthouder. Vroege inrichting haalt die verrassing weg.

De vijf bouwstenen van AI governance

Een werkend governance-model rust op vijf bouwstenen. Ontbreekt er één, dan valt de rest uiteen in losse documenten.

  • Beleid: de uitgangspunten voor verantwoorde AI, vastgesteld en gedragen door de directie. Het beschrijft welke toepassingen zijn toegestaan, welke verboden zijn en welke risicobereidheid de organisatie hanteert;
  • Rollen: heldere verantwoordelijkheden voor inzet, risicobeoordeling, naleving en toezicht, met per systeem een aangewezen eigenaar;
  • Risico’s: een gestructureerde beoordeling van datakwaliteit, bias, uitlegbaarheid en de gevolgen voor betrokkenen, vastgelegd in een risicoregister dat per systeem wordt bijgehouden;
  • Lifecycle: beheersing over de hele levenscyclus, van intake en validatie tot monitoring, wijzigingsbeheer en uitfasering. Een model dat ongemerkt verandert, vraagt om hernieuwde beoordeling;
  • Monitoring: doorlopend toezicht op prestaties en afwijkingen, met AI als vast agendapunt in de directiebeoordeling.

Deze bouwstenen werken alleen wanneer ze zijn vastgelegd en worden nageleefd. In de praktijk betekent dat een beslisregister, een risicoregister voor AI-systemen en een periodieke evaluatie. Pas dan kun je aantonen dat de governance werkt.

AI governance bij ingekochte AI

De grootste governance-uitdaging zit vaak in ingekochte AI in plaats van in zelfgebouwde modellen. De meeste organisaties gebruiken Microsoft Copilot, ChatGPT Enterprise, Gemini of Claude. De leverancier bouwt en traint het model. De organisatie die het inzet, blijft verantwoordelijk voor de uitkomsten. Dat onderscheid wordt vaak over het hoofd gezien.

Governance van leveranciers-AI vraagt om eigen controles. Beoordeel per leverancier waar data terechtkomt, welke verwerkersovereenkomst geldt en welke informatie de leverancier biedt over training, beperkingen en beveiliging. Leg vast wie binnen de organisatie de inzet goedkeurt en monitort. De organisatie die het systeem gebruikt, draagt de verantwoordelijkheid voor een verkeerde uitkomst, ook wanneer een externe partij het model leverde.

AI governance en de AI Act

De Europese AI Act, formeel Verordening (EU) 2024/1689, is het eerste brede wettelijke kader voor kunstmatige intelligentie. De verordening trad op 1 augustus 2024 in werking en kent een gefaseerde toepassing, waarbij de eisen oplopen met het risico van het systeem. Verboden toepassingen, hoogrisico-systemen, systemen met transparantieverplichtingen en toepassingen met minimaal risico krijgen elk hun eigen regime.

Voor hoogrisico-systemen gelden de zwaarste eisen: risicomanagement, datakwaliteit, technische documentatie, logging en menselijk toezicht. Deze eisen zijn organisatorisch van aard en vragen om governance.

Of een toepassing als hoogrisico telt, hangt af van het gebruiksdoel. Annex III van de verordening somt de categorieën op, waaronder AI in werving, onderwijs, kritieke infrastructuur en rechtshandhaving. Een organisatie bepaalt de classificatie via een gestructureerde beoordeling per use-case en legt de uitkomst vast. Die classificatie bepaalt welke verplichtingen gelden.

De tijdlijn voor hoogrisico-systemen is in 2026 verschoven. Onder de Digital Omnibus on AI, het wijzigingsvoorstel waarover de Europese instellingen in mei 2026 een voorlopig akkoord bereikten, schuiven de hoogrisico-verplichtingen op. Voor zelfstandige Annex III-systemen geldt 2 december 2027, voor in producten ingebedde Annex I-systemen 2 augustus 2028. De overige transparantieverplichtingen, ook voor deployers, blijven gelden vanaf augustus 2026.

Dat uitstel is geen reden om te wachten. De extra tijd is bedoeld om standaarden en toetsingsinstrumenten af te ronden. De wetgever gaat ervan uit dat de voorbereiding al loopt. De AI Act bepaalt wát een organisatie moet beheersen. Hoe je dat organiseert, vult de verordening niet in. AI governance is die organisatorische invulling. Zonder een werkend model blijft naleving een momentopname die bij de eerste wijziging weer wegzakt.

AI governance en ISO 42001

ISO 42001 is de internationale norm voor een AI-managementsysteem, gepubliceerd als ISO/IEC 42001:2023. Waar de AI Act voorschrijft wát je moet beheersen, geeft de norm het raamwerk hóe. De norm vraagt om beleid, een risicobeoordeling, vastgelegde rollen, doelstellingen en een directiebeoordeling.

ISO 42001 volgt dezelfde High Level Structure als ISO 27001 en ISO 9001. Dat heeft een praktisch voordeel. Een organisatie met een bestaand managementsysteem kan AI governance daarop aanhaken. De risicobeoordeling, interne audit en directiebeoordeling bestaan dan al, en worden uitgebreid met de AI-dimensie. Voor zorginstellingen sluit dit aan op NEN 7510.

In de praktijk neemt een implementatie doorgaans enkele maanden in beslag, afhankelijk van de uitgangssituatie en het aantal AI-systemen. De audit toetst niet alleen of de documenten kloppen. Een Lead Auditor kijkt of de directiebeoordeling daadwerkelijk plaatsvindt, of de interne audit iets oplevert en of risico’s worden herbeoordeeld. Governance die alleen op papier bestaat, valt bij die toets door de mand.

Certificering is niet altijd verplicht, maar wel waardevol. Het levert een onafhankelijke bevestiging dat de governance aantoonbaar werkt. Organisaties die een concrete use-case verantwoord willen inrichten zonder direct te certificeren, kunnen een implementatietraject op basis van de kernvereisten van de norm gebruiken als tussenstap naar volledige 42001-gereedheid.

Hoe volwassen is jouw AI governance?

Volwassenheid is de eerlijkste graadmeter voor de staat van je AI governance. Het beschrijft of de inrichting incidenteel, gestructureerd of aantoonbaar beheerst is. Veel maturity-modellen werken met vijf niveaus, van ad hoc op niveau 1 tot continu verbeterend op niveau 5.

In de praktijk zien we de afstand tussen zelfbeeld en realiteit vaak terug. Organisaties schatten hun volwassenheid op niveau 3, terwijl de feitelijke inrichting op niveau 2 zit. Het verschil zit zelden in de techniek. Het zit in eigenaarschap, in vastgelegde besluitvorming en in de vraag of iemand de risico’s periodiek herbeoordeelt. Niveau 3 geldt vaak als het minimum waarop certificering haalbaar wordt.

Een maturity assessment maakt die afstand zichtbaar en vertaalt hem naar een roadmap. Zo’n meting kost doorgaans twee tot drie weken. Wil je weten waar je organisatie staat, dan biedt het AI Maturity Model een gestructureerde meting tegen de eisen van ISO 42001.

Veelgemaakte fouten die wij in de praktijk zien

Vanuit onze audit- en implementatiepraktijk komen telkens dezelfde fouten terug. Herken je er een, dan is dat het beginpunt voor verbetering.

  1. AI inrichten los van bestaande governance. Initiatieven ontstaan los van het ISMS, het privacybeleid en het risicoraamwerk. Daardoor mist de verbinding tussen technische keuzes en bestaande beheersing. Aanhaken op een bestaand managementsysteem voorkomt dit.
  2. Beleid zonder eigenaarschap. Er is een AI-beleid, maar niemand is aanspreekbaar per systeem. Beleid dat niemand toepast, is administratie. Leg per systeem een eigenaar vast.
  3. Governance als documentlaag. De organisatie bouwt een set documenten om een audit door te komen. In de dagelijkse praktijk stuurt niemand erop. Bij de eerste wijziging zakt het weer weg. Governance hoort thuis in de dagelijkse bedrijfsvoering.
  4. Volwassenheid overschatten. Het zelfbeeld ligt een niveau hoger dan de realiteit, waardoor risico’s onbenoemd blijven en de roadmap te kort schiet. Een onafhankelijke meting corrigeert dat beeld.
  5. Geen menselijk toezicht bij hoog-impact beslissingen. Een AI-systeem ondersteunt bijvoorbeeld triage in de zorg, maar de uitlegbaarheid richting zorgverleners en de controle op foutieve uitkomsten zijn niet geborgd.
  6. Datakwaliteit en data governance overslaan. Het model krijgt de schuld van slechte uitkomsten, terwijl de oorzaak in de data zit die niemand beheert. Zonder databeheer geen betrouwbare AI.
  7. Te laat beginnen. De organisatie wacht op de deadline van de AI Act in plaats van nu structuur aan te brengen. Dat maakt de inrichting duurder en gehaaster dan nodig.

Hoe begin je met AI governance?

Een verantwoorde start hoeft niet groot te zijn. De volgende stappen leggen een fundament dat meegroeit met de organisatie.

  • Breng in kaart welke AI-systemen al in gebruik zijn, inclusief de toepassingen die buiten de IT-afdeling zijn ontstaan;
  • Beoordeel per systeem het risico voor betrokkenen, de organisatie en de naleving van wet- en regelgeving;
  • Beleg eigenaarschap en leg de besluitvorming vast in een beslis- en risicoregister;
  • Verbind de inrichting aan een bestaand managementsysteem, bijvoorbeeld op basis van ISO 27001 of NEN 7510;
  • Plaats AI op de agenda van de directiebeoordeling en evalueer periodiek.

Wie deze stappen zet, heeft de basis op orde voordat een externe partij of een deadline daarom vraagt. Dat is de kern van risicogestuurd werken: vroeg ingrijpen, voordat een probleem ontstaat. Heb je al systemen draaien zonder duidelijke eigenaar, dan is een maturity assessment de snelste manier om te zien waar je organisatie staat en welke stappen het meest opleveren. Wil je de inrichting gestructureerd aanpakken, dan biedt iQomply begeleiding bij AI governance.

Veelgestelde vragen over AI governance

Hieronder de vragen die organisaties ons het vaakst stellen.

Wat is AI governance precies?

AI governance is het geheel van beleid, rollen, processen en controles waarmee een organisatie AI-systemen verantwoord, beheerst en aantoonbaar inzet. Het legt vast wie verantwoordelijk is, houdt besluiten traceerbaar en koppelt de inzet van AI aan bestuurlijke sturing. De nadruk ligt op besturing van AI, niet op de techniek.

Is AI governance verplicht?

Voor veel organisaties wordt het dat. De Europese AI Act stelt verplichtingen aan de inzet van AI, oplopend met het risico van het systeem. De verordening schrijft voor dat organisaties risico’s beheersen en eigenaarschap beleggen. AI governance is de manier om aan die eisen te voldoen en ze aantoonbaar te maken, ook waar certificering niet verplicht is.

Wat is het verschil tussen AI governance en ISO 42001?

AI governance is de bredere organisatorische functie. ISO 42001 is de internationale norm die daar een gestructureerd raamwerk voor biedt, het AI-managementsysteem. De norm vertaalt governance naar concrete eisen rond beleid, risicobeoordeling, rollen en directiebeoordeling. Je kunt AI governance inrichten zonder te certificeren, maar de norm geeft houvast en onafhankelijk bewijs.

Wat is shadow AI?

Shadow AI is het gebruik van AI-tools door medewerkers buiten het zicht en de controle van IT en bestuur. Denk aan het invoeren van bedrijfsgegevens in publieke chatbots. Het risico zit in onbeheerd datagebruik en het ontbreken van toezicht. Governance brengt dit gebruik in beeld en stelt er kaders omheen.

Hoe verhoudt AI governance zich tot informatiebeveiliging?

AI governance bouwt voort op informatiebeveiliging, maar voegt een dimensie toe. ISO 27001 borgt de beveiliging van informatie. AI governance richt zich daarnaast op bias, uitlegbaarheid, datakwaliteit en de gevolgen van geautomatiseerde besluiten. In de praktijk haak je AI governance aan op een bestaand ISMS, zodat risicobeoordeling en directiebeoordeling worden uitgebreid in plaats van gedupliceerd.

Hoe begin ik met AI governance?

Begin met overzicht: breng in kaart welke AI-systemen in gebruik zijn, inclusief shadow AI. Beoordeel per systeem het risico, beleg eigenaarschap en leg besluitvorming vast in een register. Verbind de inrichting aan een bestaand managementsysteem en plaats AI op de agenda van de directiebeoordeling. Zo ontstaat een fundament dat meegroeit.

Wanneer gelden de hoogrisico-eisen van de AI Act?

De hoogrisico-verplichtingen zijn in 2026 uitgesteld via de Digital Omnibus on AI. Voor zelfstandige Annex III-systemen geldt 2 december 2027, voor in producten ingebedde Annex I-systemen 2 augustus 2028. De overige transparantieverplichtingen blijven gelden vanaf augustus 2026. De extra tijd is bedoeld voor voorbereiding, niet voor uitstel van de start.

Bart de Man
Bart de Man

Bart de Man is oprichter van iQomply. Hij helpt directies en CISO's om informatiebeveiliging, governance en AI verantwoord in te richten in managementsystemen die de organisatie versterken. Zijn werk bestrijkt onder meer ISO 27001, NEN 7510, ISO 42001 en ISO 22301. Bart is gecertificeerd Lead Auditor voor deze normen.

Artikelen: 39

Gerelateerde berichten