Responsible AI Platform

Agentic AI onder de EU AI Act: zo regel je de governance van autonome agents

··14 min leestijd

Een pensioenuitvoerder zet deze zomer een AI-agent live die binnenkomende deelnemersvragen zelfstandig afhandelt: de agent leest de mail, raadpleegt het deelnemersdossier, controleert de polisvoorwaarden, stelt een antwoord op en werkt het CRM bij. Bij de verzekeraar verderop draait een agent die schademeldingen voorsorteert en dossiers klaar zet voor de acceptant. Beide organisaties stellen dezelfde vraag aan hun CIO en compliance lead: onder welke regels valt dit eigenlijk, en wat moeten we nu inrichten?

Het directe antwoord: agentic AI valt gewoon onder de EU AI Act, zonder aparte categorie en zonder agent-specifiek regime. De definitie van een AI-systeem in artikel 3(1) noemt expliciet "varierende niveaus van autonomie", en daarmee dekt de verordening agents volledig, van eenvoudige chatassistent tot meerstaps-agent met toegang tot je kernsystemen. Welke verplichtingen gelden, hangt af van twee dingen: de risicocategorie van de taken die de agent uitvoert, en jouw rol in de keten. Daarbovenop geldt AVG artikel 22 nu al voor elke agent die zelfstandig besluiten met rechtsgevolgen neemt. Governance van agents is dus geen wachten op nieuwe regels, maar bestaande regels toepassen op een nieuwe vorm van autonomie.

Agentic AI onder de AI Act in vier zinnen

Er is geen apart agent-regime: agents zijn AI-systemen onder artikel 3(1) en volgen de gewone risicoladder. Per 2 augustus 2026 geldt artikel 50: agents die met mensen communiceren of content genereren moeten dat kenbaar maken. Een agent die hoog-risico taken uit Annex III uitvoert volgt de hoog-risico route richting 2 december 2027, en AVG artikel 22 begrenst nu al besluiten met rechtsgevolgen. De governance-kern: afgebakende permissies per agent, een bewuste keuze tussen human-in-the-loop en on-the-loop, logging van agent-acties, een kill switch en een plek in het AI-register.

Wat agentic AI is en waarom artikel 3(1) het al dekt

Agentic AI onderscheidt zich van een gewone chatbot door drie eigenschappen. De agent voert taken autonoom uit: hij krijgt een doel en bepaalt zelf de tussenstappen. Hij gebruikt tools: hij roept systemen, API's, databases en soms andere agents aan om die stappen te zetten. En hij redeneert in meerdere stappen: hij plant, evalueert tussenresultaten en stuurt bij. Een agent die een schademelding afhandelt leest de melding, vraagt het polissysteem uit, beoordeelt dekking, stelt een conceptbesluit op en zet een betaalopdracht klaar. Dat is wezenlijk iets anders dan een model dat een vraag beantwoordt.

Juridisch verandert die autonomie niets aan de kwalificatie. Artikel 3(1) definieert een AI-systeem als een machinaal systeem dat is ontworpen om met "varierende niveaus van autonomie" te werken en dat uit input afleidt hoe output te genereren die de fysieke of virtuele omgeving kan beinvloeden. Autonomie is dus geen randgeval maar een kernelement van de definitie. Een agent die zelfstandig tools aanroept en zijn omgeving wijzigt, zit daarmee eerder dieper in de definitie dan erbuiten. Wie beweert dat er voor agents nog geen regels bestaan, of juist een geheel eigen agent-regime verzint met verzonnen verplichtingen, zit er beide naast. De korte versie van deze kwalificatievraag, met voorbeelden per agent-type, staat in valt een AI-agent onder de EU AI Act.

De risicoladder toegepast op agents

De AI Act werkt met een risicoladder, en agents doorlopen die ladder net als elk ander AI-systeem. De relevante vraag is nooit "is dit een agent" maar "welke taken voert deze agent uit en met welke gevolgen".

Verboden praktijken: de bovenste grens

De verboden praktijken van artikel 5 gelden sinds 2 februari 2025. Voor de meeste zakelijke agents is dit terrein ver weg, maar autonomie maakt het makkelijker om er ongemerkt tegenaan te lopen. Een agent die klantgedrag analyseert en zelfstandig zijn beinvloedingsstrategie aanscherpt, kan richting manipulatieve technieken schuiven die wezenlijke gedragsverstoring veroorzaken. Een agent die kwetsbaarheden van specifieke groepen uitbuit, bijvoorbeeld ouderen in een verkoopfunnel, raakt hetzelfde verbod. Hier staan de hoogste boetes op: tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet, via de toezichthouder. Het praktische gevolg voor governance: begrens niet alleen wat de agent mag doen, maar ook hoe hij mag overtuigen.

Hoog risico: agents met Annex III-taken

Een agent wordt hoog-risico wanneer hij taken uitvoert die in Annex III staan. Denk aan een agent die sollicitanten voorselecteert of beoordeelt, een agent die kredietbeslissingen voorbereidt, of een agent die aanvragen voor essentiele diensten triageert. De autonomie verandert de kwalificatie niet, de taak bepaalt. Voor die zelfstandige Annex III-systemen gelden de hoog-risico verplichtingen door de Digital Omnibus per 2 december 2027; dat pakket is politiek akkoord maar medio 2026 nog niet in het Publicatieblad verschenen, dus behandel die datum als richtpunt en niet als definitief. Voor AI ingebed in gereguleerde producten uit Annex I geldt 2 augustus 2028.

De hoog-risico route betekent voor een agent onder meer: risicobeheer, datakwaliteit, technische documentatie, logging, en menselijk toezicht volgens artikel 14. Dat laatste artikel is formeel een hoog-risico eis, maar het is meteen ook het beste praktische anker voor alle autonome agents: wie artikel 14 als ontwerpprincipe hanteert, toezicht dat effectief is en niet slechts ceremonieel, bouwt agents die ook onder lichtere categorieen verdedigbaar zijn.

Artikel 50: transparantie per 2 augustus 2026

De eerstvolgende harde deadline voor vrijwel elke agent is artikel 50, van kracht per 2 augustus 2026 en niet uitgesteld. Twee onderdelen raken agents direct. Ten eerste de disclosure-plicht: mensen die met een AI-systeem communiceren moeten daarover geinformeerd worden, tenzij dat uit de context al duidelijk is. Een agent die zelfstandig mails beantwoordt, telefonisch afspraken maakt of in een klantportaal chat, moet dus kenbaar maken dat de klant met AI te maken heeft. Ten tweede de markering van gegenereerde content: door de agent geproduceerde tekst, audio of beeld moet als zodanig herkenbaar en machineleesbaar gemarkeerd zijn, met specifieke regels voor publiek gedeelde teksten en deepfakes. Voor agents die namens je organisatie extern communiceren is dit de verplichting om deze maand te toetsen.

De GPAI-laag onder elke agent

Vrijwel elke agent draait op een general-purpose AI-model. De GPAI-verplichtingen voor modelaanbieders gelden sinds 2 augustus 2025, en de handhaving met boetebevoegdheden wordt scherp per 2 augustus 2026. Voor jou als inzettende organisatie betekent dit vooral: je mag van je modelaanbieder documentatie en transparantie verwachten, en je moet weten op welk model je agents draaien. Onderscheid daarbij drie lagen: de aanbieder van het onderliggende model, de aanbieder van het agentplatform of framework waarmee de agent is gebouwd, en de organisatie die de agent inricht en inzet. Verplichtingen op modelniveau liggen bij de eerste laag; wat jij met de agent doet, bepaalt je eigen verplichtingen op systeemniveau.

De rolverdeling in de keten

Bij agents is de keten zelden simpel. Een typische opzet: een Amerikaans lab levert het model, een SaaS-partij levert het agentplatform, en jouw organisatie configureert de agent met eigen prompts, tools, permissies en data. Wie is dan aanbieder en wie gebruiksverantwoordelijke?

Het uitgangspunt: de partij die het AI-systeem ontwikkelt en in de handel brengt is aanbieder, de organisatie die het onder eigen verantwoordelijkheid inzet is gebruiksverantwoordelijke. Maar artikel 25 kan die rollen verschuiven. Wie een agent onder eigen naam of merk op de markt brengt, wie een substantiele wijziging aanbrengt in een hoog-risico systeem, of wie het beoogde doel van een systeem zo verschuift dat het hoog-risico wordt, kan zelf aanbieder worden, met alle bijbehorende verplichtingen. Voor organisaties die zelf agents bouwen op GPAI-modellen is dit de kernvraag: een intern gebouwde agent die je alleen zelf gebruikt maakt je doorgaans geen aanbieder in de zin van in de handel brengen, maar zodra je die agent aan klanten of derden aanbiedt, of een ingekochte agent een Annex III-taak geeft die de leverancier niet had voorzien, verandert je positie. De drie routes en de contractuele gevolgen staan uitgewerkt in wanneer word je zelf aanbieder onder artikel 25.

Leg die rolverdeling per agent vast voordat er iets misgaat, niet erna. Welke partij in de keten welke fout moet herstellen, en wie de toezichthouder aanspreekt als een agent schade veroorzaakt, hangt direct aan deze kwalificatie; hoe dat uitpakt bij incidenten leest u in wie is verantwoordelijk als een AI-agent fouten maakt.

AVG artikel 22 geldt nu al

Wie de AI Act-kalender afwacht, mist de grens die er al jaren staat. AVG artikel 22 geeft betrokkenen het recht om niet onderworpen te worden aan uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbaar aanzienlijke gevolgen. Een agent die zelfstandig een uitkering toekent of afwijst, een claim afhandelt, een contract beeindigt of een aanvraag weigert, zit precies in dat domein. Dan is menselijke tussenkomst vereist die betekenisvol is: iemand met de bevoegdheid en de informatie om het besluit daadwerkelijk te heroverwegen, geen mens die alleen op doorvoeren klikt. De richtsnoeren over geautomatiseerde besluitvorming die de EDPB hanteert zijn hier expliciet over, en de Autoriteit Persoonsgegevens kijkt in Nederland actief naar algoritmische besluitvorming. Voor pensioenuitvoerders en verzekeraars is dit de eerste toets voor elke agent: raakt de output rechten van deelnemers of verzekerden, dan is volledige autonomie nu al geen optie.

Het governance-kader voor agents

De regels hierboven vertalen zich in een governance-kader dat je per agent toepast. Zes bouwstenen.

Scope en permissies per agent

Behandel elke agent zoals je een nieuwe medewerker met systeemtoegang behandelt: least privilege. Definieer per agent het doel, de toegestane taken, de tools en systemen die hij mag aanroepen, de data waar hij bij kan en de acties die hij nooit zelfstandig mag uitvoeren, zoals betalingen boven een drempel of het versturen van externe communicatie zonder review. Een agent zonder afgebakende permissies is niet te beoordelen en niet te verantwoorden.

Human-in-the-loop of on-the-loop

Kies per agent en per taaktype bewust het toezichtsmodel. Human-in-the-loop betekent dat een mens elke actie of elk besluit goedkeurt voordat het effect heeft; dat is passend bij besluiten met gevolgen voor personen, en bij AVG artikel 22 vaak simpelweg vereist. Human-on-the-loop betekent dat de agent zelfstandig werkt terwijl een mens monitort en kan ingrijpen; dat past bij taken met laag risico en hoge volumes. Leg de keuze en de onderbouwing vast, en toets of het toezicht effectief is: heeft de toezichthoudende medewerker de tijd, de informatie en het mandaat om in te grijpen, of tekent hij feitelijk bij het kruisje? Artikel 14 geeft hiervoor het denkraam, ook waar het formeel nog niet verplicht is. En toezicht vergt kundige mensen: AI-geletterdheid van agent-gebruikers is sinds 2 februari 2025 een maatregelen-plicht onder artikel 4, waarvoor platforms als LearnWize trainingen met bewijsdossier bieden.

Logging en traceerbaarheid

Elke agent-actie moet reconstrueerbaar zijn: welke input kwam binnen, welke tussenstappen en tool-aanroepen deed de agent, welke output volgde en wie of wat die heeft goedgekeurd. Zonder die logging kun je incidenten niet onderzoeken, vragen van een toezichthouder niet beantwoorden en artikel 22-verzoeken van betrokkenen niet serieus behandelen. Voor hoog-risico agents wordt logging een harde eis; voor alle andere agents is het de basis van elke verdedigbare inzet.

Incidenten en de kill switch

Autonomie vraagt om een noodrem. Richt per agent in: een kill switch waarmee je de agent per direct kunt stoppen of zijn permissies kunt intrekken, een incident-proces dat vastlegt wie beoordeelt, wie communiceert en wanneer je de leverancier of toezichthouder informeert, en een rollback-plan voor acties die de agent al heeft uitgevoerd. Test de kill switch periodiek, net als een BCM-oefening.

Periodieke review

Agents veranderen sneller dan klassieke systemen: het onderliggende model krijgt updates, prompts worden bijgesteld, tools komen erbij. Plan per agent een periodieke review waarin je toetst of het feitelijke gedrag nog past bij het vastgelegde doel en de permissies, of de risicoclassificatie nog klopt, en of de artikel 25-vraag opnieuw beantwoord moet worden omdat doel of werking is verschoven.

Agents in het AI-register

Neem elke agent op in je AI-inventarisatie, met doel, model, platform, rolverdeling, risicoclassificatie, toezichtsmodel en eigenaar. Een agent die niet in het register staat, bestaat voor je governance niet, en juist agents worden vaak decentraal en snel uitgerold. Hoe je zo'n register opzet en actueel houdt, staat in ons artikel over het AI-register en de inventarisatie.

Wat je deze maand doet

Vier acties passen in vier weken. Eerst: inventariseer alle agents die draaien of in pilot zijn, inclusief de schaduw-agents die teams zelf op agentplatforms hebben gebouwd, en zet ze in het register. Tweede: toets elke klantgerichte agent aan artikel 50, want de deadline van 2 augustus 2026 staat vast; regel de disclosure en de markering van gegenereerde content nu. Derde: screen elke agent op AVG artikel 22 en op Annex III-taken; agents die besluiten met rechtsgevolgen raken krijgen per direct betekenisvolle menselijke tussenkomst, agents met Annex III-taken gaan het hoog-risico voorbereidingstraject in richting december 2027. Vierde: leg per agent permissies, toezichtsmodel, logging en kill switch vast in een agent-standaard, zodat elke volgende agent langs dezelfde lat gaat.

De volledige tijdlijn en alle verplichtingen per rol staan in onze AI Act Explorer. Organisaties die dit structureel willen aanpakken, van agent-inventarisatie tot toezichtsontwerp en ketencontracten, kunnen terecht bij de agentic AI governance aanpak van Embed AI.

Veelgestelde vragen over agentic AI en de EU AI Act

Bronnen

Europese Commissie: AI Act Service Desk: implementation timeline (geraadpleegd juli 2026)
Article 29 Working Party / EDPB: Guidelines on Automated individual decision-making and Profiling (WP251rev.01) (geraadpleegd juli 2026)
Autoriteit Persoonsgegevens: Toezicht op AI en algoritmes (geraadpleegd juli 2026)