AI Governance· 8 min read· Custos AI

AI-governance is geen afdeling. Het is een architectuur.

De meeste AI-governance bij Europese bedrijven is een veertig pagina's tellend beleidsdocument dat niemand leest en niemand handhaaft. Het werkende alternatief is structureel. Je stuurt AI niet met een commissie — je stuurt het met de vormgeving van je infrastructuur. Één platform, één goedgekeurde providerlijst, één handhavingspunt. Het beleid wordt een bijproduct van de architectuur, niet andersom.

TL;DR

  • De meeste AI-governance-documenten bij mkb worden eenmalig rondgestuurd en nooit geauditeerd — waardoor ze aansprakelijkheden zijn, geen verweren
  • Echte AI-governance draait op drie architectuurlagen: Eigenaarschap, Handhaving, Bewijs
  • Een gecentraliseerde AI-werkruimte verandert governance van een compliancelast in een standaardtoestand
  • Dit is het verschil tussen een beleid hebben en compliant zijn — en toezichthouders kennen dat verschil
  • Het Custos Architecture-First Governance Model past dit patroon toe op bedrijven zonder dedicated Chief AI Officer

Het veertig pagina's tellende beleid dat niemand leest

Neem een typisch scenario. De compliance officer van een zorgdienstverlener in Eindhoven met 80 medewerkers stuurt de definitieve versie van het AI Acceptable Use Policy naar de directeur. Eenenveertig pagina's. Zeventien secties. Kruisverwijzingen naar de AVG, de EU AI Act, ISO 42001 en het bestaande informatiebeveiligingsbeheersysteem.

Het kostte haar zes weken om te schrijven.

Het is, naar elke professionele maatstaf, een competent document. En het is waardeloos.

Drie maanden later stelt de auditor bij een routinematige DPO-audit een simpele vraag: "Laat me zien welke medewerkers welke AI-tools hebben gebruikt in februari. Laat me zien dat je beleid is gevolgd."

Niemand kan antwoord geven. Er zijn geen logs. Er is geen centraal systeem. Het beleid zei dat medewerkers "uitsluitend goedgekeurde AI-tools voor zakelijke doeleinden mogen gebruiken" — maar er is geen technisch mechanisme om dat af te dwingen, geen lijst van goedgekeurde tools die iemand actief bijhoudt, en geen registratie van wie wat heeft gebruikt.

Het beleid bestaat. De governance niet.

Dit patroon is de standaardtoestand van AI-governance bij Europees mkb in 2026. En het is de reden waarom de meeste AI-beleidsplannen het bij de eerste audit al afleggen. We schreven over het bredere probleem — medewerkers die AI-tools buiten elk kader gebruiken — in ons artikel over shadow AI en de onzichtbare AVG-boete. Dit artikel gaat verder waar dat ophield: wat je er daadwerkelijk aan doet.

Waarom dit bij elk bedrijf dat het probeert misgaat

Het zorgbedrijf doet wat elk welwillend mkb-bedrijf doet als "AI-governance" op de agenda belandt. Ze wijzen het toe aan een persoon. Die persoon schrijft een document. Het document wordt rondgestuurd. Iedereen voelt zich beter.

En er verandert werkelijk niets aan hoe het bedrijf functioneert.

De reden is structureel, niet menselijk. Een beleidsdocument heeft geen tanden. Het beschrijft gedrag zonder het te produceren. In een bedrijf van 30, 80 of 200 medewerkers is er niemand wiens taak het is om rond te lopen en te controleren of het beleid wordt nageleefd. Er is geen handhavingslaag tussen de geschreven tekst en wat er werkelijk op de schermen van medewerkers gebeurt.

Dus doen medewerkers wat het snelst is. Ze plakken een contract in ChatGPT Plus omdat hun persoonlijke abonnement al openstaat. Ze gooien een CV in Gemini omdat dat betere samenvattingen maakt. Ze gebruiken Perplexity voor casusonderzoek omdat een collega het aanbeval. Elk van die keuzes is individueel redelijk. Samen vormen ze precies het patroon dat het beleid moest voorkomen.

Wacht. Lees dit nog eens.

Het beleid faalde niet omdat het slecht geschreven was. Het faalde omdat een beleid het verkeerde instrument is voor dit probleem.

De toezichthouders hebben dit punt al gemaakt

Dit is geen theoretische zorg. De Autoriteit Persoonsgegevens, de Franse CNIL en de Duitse BfDI hebben elk in 2024-2025 richtsnoeren uitgebracht waarin onbeheerd AI-gebruik door medewerkers expliciet wordt aangemerkt als patroon dat handhaving rechtvaardigt. De juridische redenering bouwt voort op AVG-artikelen 5, 24 en 32 — dataminimalisatie, verantwoordelijkheid van de verwerkingsverantwoordelijke en beveiliging van de verwerking. Daar bovenop voegt de EU AI Act transparantie- en verantwoordelijkheidsverplichtingen toe die meeschalen met de risicocategorie van het AI-gebruik.

De rode draad door al deze richtsnoeren: intentie is niet relevant. Of een medewerker een klantcontract opzettelijk, per ongeluk of omdat IT het nooit had verboden in een consument-AI-tool heeft geplakt — de werkgever draagt de aansprakelijkheid. Het beleidsdocument dat bewijst "we hebben het ze verteld" is geen verweer. Bewijs van actieve maatregelen is dat wel.

Governance is niet wat je schrijft. Het is wat er standaard gebeurt.

Grote ondernemingen kunnen doen alsof dit anders is. Zij hebben complianceteams, auditafdelingen, IT-beveiligingsfunctionarissen en soms een Chief AI Officer. Elk van die rollen bestaat om geschreven intentie om te zetten in operationele werkelijkheid. Een beleid bij een bank met 10.000 medewerkers is slechts de top van een hoge stapel mechanismen die het beleid werkelijk maken.

Bij een accountantskantoor met 30 medewerkers is er geen stapel. Er is het beleidsdocument, en er is wat medewerkers maandagochtend doen. De kloof daartussen is onbeheerd.

Het werkende alternatief is architecturaal. In plaats van regels schrijven en hopen dat mensen die volgen, verander je de vorm van de infrastructuur zodat de regels standaard worden afgedwongen. Niemand hoeft het zich te herinneren. Niemand hoeft het te controleren. De enige manier om AI te gebruiken op het werk is de conforme manier, omdat het systeem zo werkt.

Dit is geen nieuw idee in beveiliging. Het is hoe moderne bedrijven wachtwoorden beheren (SSO), netwerktoegang regelen (identiteitsgebonden VPN) en bestanden delen (beheerde SaaS met DLP). Je schrijft geen beleid dat zegt "medewerkers moeten sterke wachtwoorden gebruiken". Je implementeert een wachtwoordmanager die zwakke wachtwoorden onmogelijk maakt. Governance door architectuur.

AI-governance in 2026 staat op hetzelfde omslagpunt als wachtwoorden in 2012. De meeste mkb-bedrijven behandelen het nog steeds als een beleidsmatig probleem. De koplopers behandelen het al als een architectuurprobleem.

Het Custos Architecture-First Governance Model

Toegepast op AI specifiek resulteert de architecturale aanpak in drie lagen. We noemen het het Architecture-First Governance Model. Het is de minimale structurele inzet die een bedrijf nodig heeft voor verdedigbare AI-governance zonder een specifiek governance-programma.

Laag 1 — Eigenaarschap. Elke AI-actie is gekoppeld aan een geïdentificeerde gebruiker. Geen teamaccount. Geen gedeelde sleutel. Eén persoon, één identiteit, één audittrail. Dit klinkt triviaal. Het is het meest voorkomende enkelpunt van mislukking in mkb-AI-gebruik, omdat de meeste teams een ChatGPT-account of Gemini Workspace-plan delen. Als je een actie niet aan een persoon kunt koppelen, kun je het niet beheersen.

Laag 2 — Handhaving. Regels die alleen als tekst bestaan zijn geen regels. Regels die door het platform worden afgedwongen zijn dat wel. Handhaving betekent: alleen vooraf goedgekeurde LLM-providers zijn beschikbaar; budgetlimieten per gebruiker worden geblokkeerd vóór de API-aanroep, niet daarna; providertoegang wordt beheerd door administrators, niet door gebruikers. De medewerker heeft niet de optie om om het beleid heen te werken, want de opties daarvoor zijn niet beschikbaar in het product.

Laag 3 — Bewijs. Governance zonder bewijs is een bewering. Governance met bewijs is een verweer. Elk verzoek, elke provider, elke gebruiker, elk tijdstempel — vastgelegd in een onveranderlijk auditlog, minimaal 12 maanden bewaard, met één klik te exporteren voor een toezichthouder, auditor, verzekeraar of cliënt die erom vraagt. Het bewijs is de governance. Als het niet kan worden geproduceerd, heeft governance niet plaatsgevonden.

Deze drie lagen vereisen geen beleidsdocument. Ze vereisen een infrastructuurkeuze. Eenmaal gemaakt schrijft het beleid zichzelf — in één alinea, niet veertig pagina's, omdat de architectuur het beleid is.

Hoe dit er in de praktijk uitziet

Terug naar het zorgbedrijf. Na de auditbevinding schrijven ze geen beter beleid. Ze veranderen de architectuur.

Elke medewerker die AI-toegang nodig heeft wordt uitgenodigd in één werkruimte. De werkruimte heeft vier LLM-providers ingeschakeld (OpenAI, Anthropic, Google, Mistral) omdat dat de providers zijn met zero data retention op API-niveau — een basis die we uitgebreid hebben behandeld in ons artikel over waarom zero data retention de standaard is die niemand heeft aangevinkt. Elke gebruiker heeft een maandelijks budgetlimiet — doorgaans €30 tot €80 afhankelijk van de rol — afgedwongen vóór de API-aanroep de provider bereikt, niet daarna. De beheerder heeft een alleen-lezen-weergave van elk verzoek van het hele team.

Het nieuwe AI-beleid is één pagina. Er staat: "AI-gebruik voor zakelijke doeleinden loopt via de Custos-werkruimte. Persoonlijke AI-accounts zijn niet toegestaan voor klantdata. Vragen hierover? Vraag de FG."

Dat is het. De rest is architectuur.

Wanneer de volgende DPO-audit aankomt, valt dezelfde vraag: laat me zien wie welke AI-tool heeft gebruikt in februari. Dit keer exporteert de beheerder het log. Drie klikken. Klaar.

De ongemakkelijke implicatie

Als architecture-first governance werkt, lost de meeste governance-industrie het verkeerde probleem op. Het veertig pagina's tellende beleidstemplate, het AI-governance-volwassenheidsraamwerk, het ISO 42001-implementatieproject — dit zijn producten die ervan uitgaan dat governance iets is wat je doet. Ze zijn nuttig voor organisaties die groot genoeg zijn om een governance-functie te hebben.

Voor de overige 99% van de Europese bedrijven is governance iets wat je infrastructuur doet. En dat verandert wat je koopt.

Je koopt geen beleidstemplate. Je huurt geen governance-consultant. Je kiest een AI-platform waar de governance al ingebouwd zit. Het platform is de governance. Het beleid is één alinea die het platform erkent.

Daarom levert Custos AI rolgebaseerde toegang, auditlogging, providerallowlists en harde budgetlimieten per gebruiker als standaardfuncties in elk plan — niet als enterprise-toevoegingen. Dit zijn geen features. Dit is de architectuur van governance. Als ze niet in het product zitten, is er geen governance, wat de salespresentatie ook zegt.

Maar er is een addertje onder het gras

Architecture-first governance beantwoordt het wat en het hoe. Het beantwoordt niet de moeilijkere vraag: wie is verantwoordelijk als de architectuur faalt?

Een platform kan regels handhaven, elke actie loggen en bewijs op aanvraag leveren. Het kan geen verantwoordelijkheid toewijzen. Wanneer een senior manager een salarisspreadsheet in de goedgekeurde werkruimte plakt om een samenvatting te vragen — in strijd met expliciet beleid — en dat een datalek wordt, logt de architectuur wat er is gebeurd: wie, wanneer, welk bestand, welke provider. Maar de verantwoordelijkheidsvraag ligt nog steeds bij een persoon. En de meeste mkb-bedrijven hebben niet nagedacht over wie dat is.

Dat is het diepere shadow AI-probleem — het probleem dat niet verdwijnt als je je tooling centraliseert. We behandelen het uitgebreid hier:

Schaduw-AI: de onzichtbare AVG-boete bij kleine bedrijven

Frequently asked questions

Wat is AI-governance in gewone taal?
AI-governance is het geheel van regels, maatregelen en verantwoordelijkheidsstructuren dat bepaalt hoe een organisatie AI gebruikt. In de praktijk gaat het over drie vragen: wie mag welke AI-tools gebruiken, welke data ze daarin mogen stoppen, en wie verantwoordelijk is als er iets misgaat. Goede governance maakt die antwoorden zichtbaar, afgedwongen en aantoonbaar — niet alleen opgeschreven.
Hebben kleine bedrijven echt AI-governance nodig?
Ja — en aantoonbaar meer dan grote ondernemingen, niet minder. Grote organisaties hebben complianceteams om auditbevindingen op te vangen. Een bedrijf met 30 medewerkers niet. Eén onbeantwoordbare vraag van een cliënt, toezichthouder of verzekeraar kan een contract, een certificering of een contractverlenging kosten. De afwezigheid van een Chief AI Officer verwijdert de governance-verplichting niet. Het verwijdert alleen de voor de hand liggende persoon om het te regelen.
Wat is het verschil tussen een AI-beleid en AI-governance?
Een beleid is een document. Governance is een systeem. Het beleid beschrijft wat mensen moeten doen; governance zorgt ervoor dat ze het werkelijk doen en laat bewijs achter als ze dat doen. Een beleid zonder handhaving is een aansprakelijkheid — het bewijst dat het bedrijf de regels kende en ze toch niet toepaste. Toezichthouders in Nederland, Frankrijk en Duitsland gebruikten precies deze redenering in richtsnoeren uit 2024-2025.
Hoe implementeert Custos AI architectuur-eerste AI-governance?
Custos AI is een gecentraliseerde multi-LLM-werkruimte met drie ingebouwde architectonische governance-lagen: Eigenaarschap (elke gebruiker gekoppeld aan een identiteit, elk verzoek gelogd), Handhaving (alleen vooraf goedgekeurde LLM-providers beschikbaar, harde budgetlimieten afgedwongen vóór de API-aanroep), en Bewijs (volledig auditspoor, 365 dagen bewaring, exporteerbaar voor audits). Bedrijven die Custos gebruiken hoeven geen veertig pagina's AI-beleid te schrijven — de governance wordt uitgevoerd door het platform.
Vereist de EU AI Act formele AI-governance?
Voor de meeste mkb-bedrijven vereist de EU AI Act (gefaseerd ingevoerd in 2025-2026) geen formeel governance-programma. Maar hij vereist wel transparantie, verantwoordelijkheid en gedocumenteerde technische maatregelen, met name voor AI gebruikt in HR, juridische, financiële of gezondheidszorgcontexten. AVG Artikelen 5, 24 en 32 voegen hieraan toe. In de praktijk heeft elk bedrijf dat AI gebruikt voor het verwerken van persoonsgegevens aantoonbare maatregelen nodig — die architectuur-eerste governance levert, zonder de papierwerk-overhead van een dedicated programma.
Wat zijn de drie lagen van het Custos Architecture-First Governance Model?
Eigenaarschap (elke AI-actie gekoppeld aan een geïdentificeerde gebruiker, met een beheerder die verantwoordelijk is voor de werkruimte), Handhaving (provider-allowlist, budgetlimieten per gebruiker afgedwongen vóór de API-aanroep, geen mogelijkheid om het platform te omzeilen), en Bewijs (onveranderlijk auditlog, 365 dagen bewaring, één klik exporteren voor toezichthouders, auditors of verzekeraars). Samen zetten deze drie lagen governance om van een geschreven intentie in een operationele realiteit.
C

Custos AI

The Custos AI team

Custos AI is a GDPR-proof multi-LLM platform for European businesses. We write about AI governance, GDPR compliance and safe AI use for small and medium companies.

Related reading