De afgelopen maanden werkten we bij TrustBound samen met organisaties uit de zorg, het onderwijs en de overheid aan één vraag: hoe maak je AI governance echt praktisch werkbaar?
Wat werkt in de dagelijkse praktijk van een gemeente, een ziekenhuis of een universiteit?
Wat we leerden: het is een uitdaging. AI-tools schieten als paddenstoelen uit de grond, experimenten verspreiden zich over afdelingen en ondertussen probeert een AI-commissie of AI-officer overzicht en grip te krijgen. Onze oplossing: een AI governance framework, ingebed in je bestaande GRC-aanpak.
Een AI governance framework is een gestructureerde aanpak waarmee je als organisatie bepaalt hoe AI-toepassingen worden ontwikkeld, ingezet en bewaakt. Het legt vast wie wat beslist, op basis van welke criteria, en hoe je dat aantoonbaar maakt. Over de volledige levenscyclus van een AI-systeem, van ontwerp tot uitfasering. Zo zorg je dat AI veilig, transparant en in lijn met wet- en regelgeving zoals de AI Act wordt toegepast.
Met de EU AI Act stelt Europa duidelijke eisen aan organisaties die AI ontwikkelen, gebruiken of aanbieden. De wet werkt met risicocategorieën: van minimaal risico tot hoog risico en verboden toepassingen. Afhankelijk van jouw rol (aanbieder of deployer) gelden er verschillende verplichtingen.
Voor hoog-risicosystemen, en een groot deel van AI-toepassingen in sectoren als zorg, onderwijs en overheid valt daaronder, gelden strikte eisen:
Klinkt goed, maar het voelt ook nog heel abstract. Want waar begin je? Het antwoord luidt: met structuur.
Veel organisaties beginnen met het schrijven van AI-beleid. Dat is een prima eerste stap. Maar een beleidsdocument regelt nog niets. Het echte werk zit in de uitvoering: toepassingen vastleggen, risico's beoordelen, verantwoordelijkheden beleggen en daar ook op sturen.
Dat vraagt om meer dan een Word-document. Het vraagt om processen die werken in de dagelijkse praktijk: voor de HR-afdeling die een nieuwe tool aanschaft, de FG die wil weten welke AI-systemen persoonsgegevens verwerken, en het bestuur dat aantoonbaar in control wil zijn.
In de praktijk zien we dat AI-initiatieven vaak verspreid ontstaan binnen organisaties. Een experiment bij marketing, CoPilot bij HR of een analyse-tool bij operations. De registratie daarvan belandt vervolgens in losse Excel-bestanden, Teams-notities of e-mails die niemand meer terugvindt.
Dat werkt, zolang het AI-gebruik klein blijft. Maar zodra meerdere afdelingen AI gebruiken, verlies je snel het overzicht. Wie is verantwoordelijk? Welke data wordt gebruikt? Welke risico's zijn beoordeeld? Welke maatregelen zijn afgesproken?
Zonder structuur ontstaat er ruis. En ruis is over het algemeen een slechte raadgever bij compliance. Zeker als toezichthouders straks gaan kijken of jij je AI-huishouding op orde hebt.
Wat we veel zien is dat AI behandeld wordt als apart project: een AI-register, een policy, een AI-comité dat los van de rest opereert. In de praktijk werkt dat niet schaalbaar. En het botst ook met wat de AI Act vraagt: namelijk dat je AI-risico's expliciet koppelt aan je bestaande governance, interne controles en compliance.
Wij adviseren daarom AI governance te inbedden in je bestaande GRC-structuur:
Door AI niet naast, maar ín je GRC-aanpak te plaatsen, voorkom je dubbel werk, inconsistent beleid en het risico dat AI-projecten hun eigen spelregels gaan hanteren, los van de rest van de organisatie.
Kortom: geen apart AI-clubje erbij, maar AI als volwaardig onderdeel van hoe je als organisatie al stuurt op governance, risico en compliance.
Een praktisch AI governance framework helpt je om structuur aan te brengen. Dat doe je met een aantal concrete bouwstenen:
Deze aanpak sluit bovendien aan op bestaande standaarden, zoals ISO 42001. Dat maakt integratie met bestaande GRC-processen een stuk makkelijker (en efficiënter!) dan wanneer je AI als losse silo opzet.
Dit inzicht hebben we niet zelf bedacht achter een bureau. Het is de uitkomst van een werkgroep AI governance binnen het TrustBound-netwerk, waarin we de afgelopen maanden samen met organisaties uit verschillende sectoren hebben onderzocht hoe we AI governance echt praktisch werkbaar kunnen maken. Eerst conceptueel (wat moet er geregeld zijn, hoe verhoudt zich dat tot de rest, wat is er al?), daarna concreet in het TrustBound-platform.
Gaandeweg werd steeds duidelijker: AI governance werkt alleen als het integraal onderdeel is van de bestaande GRC-processen binnen een organisatie. Niet ernaast, maar erin.
En dat is natuurlijk ook precies waar een GRC-platform zijn waarde bewijst. In plaats van losse spreadsheets en handmatige rapportages houd je alles bij op één plek: AI-toepassingen gekoppeld aan verwerkingen, leveranciers of bedrijfsmiddelen, risico’s verbonden aan bestaande beheersmaatregelen, workflows voor goedkeuringen en herbeoordelingen, en rapportages waarmee management, compliance en audit kunnen sturen.
En als je al werkt met een GRC-platform voor informatiebeveiliging of privacy, hoef je niet opnieuw te beginnen: je bouwt verder op wat er al staat.
Waar we nu staan? De werkgroep loopt door en we werken momenteel met een bèta-panel aan verdere validatie van het AI governance framework in de praktijk. Op korte termijn hopen we hier meer over te kunnen delen.
Wat is het verschil tussen een AI-register en een AI governance framework?
Een AI-register is één onderdeel van een groter geheel: het legt vast welke AI-toepassingen je als organisatie gebruikt. Een AI governance framework regelt het complete plaatje: wie verantwoordelijk is, hoe je risico's beoordeelt, welke beheersmaatregelen je treft en hoe je dat aantoonbaar maakt. Zonder framework blijft een register een opzichzelfstaande lijst zonder sturing of opvolging.
Ben ik als gemeente of zorginstelling verplicht om te voldoen aan de AI Act?
Ja. Een groot deel van de AI-toepassingen in de publieke sector (denk aan systemen rond sociale voorzieningen, HR, zorgtriage of fraudedetectie) valt onder de categorie 'hoog risico'. Dat betekent heel concrete verplichtingen: risicoanalyses uitvoeren, AI-systemen registreren, logging bijhouden en human oversight borgen.
Hoe helpt een AI governance framework om te voldoen aan de EU AI Act?
Het framework vertaalt de eisen van de EU AI Act naar concrete rollen, processen, risicoanalyses en controles, zodat je als organisatie systematisch kan aantonen dat je AI‑toepassingen of AI-gebruik veilig, uitlegbaar en compliant zijn.
Ik wil alvast aan de slag met het TrustBound AI Governance Framework, kan dat?
Op dit moment werken we met een bèta-panel aan validatie van het framework. Die panel bestaat uit professionals uit verschillende sectoren die ervaring hebben met AI governance en met TrustBound GRC. Wil jij hier ook een actieve rol in spelen, neem dan contact met ons op via contact@trustbound.com.