SC-Logo2019_cmyk_2
Contact

Wie tekent voor wat de agent doet? Agent-governance voor het MKB

Agent-governance voor het MKB — autonomie, audit trail en kill-switch. Wie tekent voor wat uw AI-agent doet?
Vulpen op geparafeerd contract met audit-logboek op laptop in nuchter daglicht

Vrijdagmiddag, kantoor van een Nederlands installatiebedrijf. De inkoop-agent — sinds twee maanden in productie — heeft autonoom de wekelijkse bestelling bij de groothandel geplaatst. Geen probleem, dat had hij al twintig keer eerder gedaan. Behalve dat hij dit keer een bestelling van drie keer de normale waarde heeft doorgezet, omdat een prijsregel verkeerd werd uitgelegd. Maandagochtend staat er voor enkele tonnen aan voorraad in de hal die niemand bewust besteld heeft. Aan de bestuurstafel zit een ondernemer met de vraag die op steeds meer MKB-tafels langskomt: wie heeft daar eigenlijk voor getekend?

Bedrijfshal met gestapelde voorraad op gepolijste betonvloer in nuchter daglicht — illustratie bij de anekdote over een verkeerd geplaatste agent-bestelling
Maandagochtend in de hal: voorraad waar niemand bewust voor tekende.

Dit is niet een randgeval. Dit is het gemiddelde dilemma rondom AI-agents die acties uitvoeren — orders, mails, betalingen, planningen. Het bouwt zich op zodra een agent uit de chat-omgeving stapt en in het echte bedrijfsproces stappen begint te zetten.

Wat governance hier eigenlijk betekent

Governance bij AI-agents is geen IT-jargon en geen juridische sticker. Het is een combinatie van drie dingen, en wie er één van overslaat krijgt vroeg of laat de rekening:

  1. Een grens van autonomie. Per type actie leg je vast: wat mag de agent zelfstandig, wat moet langs een mens, en wat mag niet. “Bestellen tot 500 euro zelfstandig, daarboven goedkeuring projectleider” is een grens. “De agent regelt het wel” is geen grens.
  2. Een spoor van bewijs. Iedere actie die de agent neemt — input, redenering waar mogelijk, tool-aanroep, uitkomst — moet terugvindbaar zijn. Zonder audit trail kun je niet leren van fouten, niet aantonen dat je zorgvuldig handelt, en niet voldoen aan de eisen die vanaf augustus 2026 nadrukkelijker worden.
  3. Een stop-knop. Op het moment dat het misgaat — en dat moment komt een keer — moet iemand binnen vijf minuten kunnen ingrijpen: de agent pauzeren, de actie ongedaan maken waar dat kan, en de klant of leverancier op de hoogte stellen. Dat regel je vooraf, niet op het moment dat het al brandt.
Sleutel, open logboek en rode noodstop op grijs paneel — autonomie, audit trail en kill-switch in driehoekscompositie
Drie pijlers van agent-governance: grens van autonomie, audit trail, kill-switch.

Deze drie samen — autonomie, audit, kill-switch — zijn precies wat het Amerikaanse NIST in zijn AI Risk Management Framework onder “govern” en “manage” schaart, en wat de EU AI Act voor general-purpose AI sinds augustus 2025 als verplichting bij leveranciers heeft neergelegd. Voor het MKB als afnemer geldt: ook al bent u niet de leverancier, u bent wel verantwoordelijk voor de manier waarop u een agent in uw proces zet.

Waarom dit nu trending is

Drie ontwikkelingen vallen samen.

  • Agents nemen vaker actie. Voor de generatie van eind 2024 was een agent vooral een chat-vorm met losse tools. Sinds 2025 zijn computer-use, gestructureerde tool-aanroepen en lange-context-redenering productiewaardig genoeg dat agents zelfstandig multi-step processen draaien. Daarmee groeit de schade-radius bij fouten.
  • De EU AI Act komt in werking. De brede toepassing van de Verordening start op 2 augustus 2026. Voor general-purpose AI-modellen gelden de verplichtingen al sinds augustus 2025. Voor MKB-afnemers betekent dit dat documentatie, transparantie en risico-management bij leveranciers controleerbaar moet zijn — én dat u intern moet kunnen tonen dat u weet wat de agent doet.
  • De aansprakelijkheidsvraag wordt scherper. Geen klant wil de eerstvolgende casus zijn waarin een agent een verkeerd contract de deur uit stuurde of een betaling autoriseerde die niet had gemoeten. Verzekeraar, accountant en klant zelf kijken mee.

Wat het niet is

Even afbakenen waar de markt regelmatig mis op zit:

  • Het is niet hetzelfde als IT-security. Een goed beveiligd netwerk houdt aanvallers buiten. Het houdt geen agent tegen die binnen-de-rechten een verkeerde bestelling plaatst.
  • Het is geen puur juridisch dossier. Een advocaat schrijft geen prompts. Aansprakelijkheid is een gevolg, geen oplossing — u heeft mensen nodig die de techniek en het proces samen vormgeven.
  • Het is geen vinkje achteraf op een dashboard. Een logboek dat niemand leest is geen audit trail. Pas op het moment dat er iets misgaat blijkt of het bewijs bruikbaar is.
  • Het is geen excuus om alles handmatig te houden. “We laten de agent alleen voorstellen doen” lost niets op als de mens vervolgens blind aftekent. Goede governance wijst juist de plekken aan waar menselijk oordeel wel nodig is.

Drie signalen dat u dit nu moet regelen

In gesprekken met MKB-directies komen drie signalen telkens terug die vrijwel onveranderlijk wijzen op een tekort aan governance:

  1. Niemand kan binnen vijf minuten een terugblik leveren van wat de agent recent voor het bedrijf heeft gedaan. Geen overzicht is geen audit trail.
  2. De agent staat in productie zonder gedocumenteerde grenzen. Er is alleen een systeemprompt en wat losse afspraken. Bij personeelswisseling verdwijnt de helft van de kennis met de medewerker mee.
  3. Er is geen vooraf-afgesproken handeling voor een misser. “Dan bellen we de leverancier wel” is een hoopvolle wens, geen plan.

Komt één van de drie u bekend voor, dan is de checklist hieronder een redelijke eerste stap.

Wat dit voor het MKB praktisch betekent

Geen alarm. De meeste MKB-bedrijven kunnen agent-governance in een paar middagen in een werkbaar startpunt zetten — geen ISO/IEC 42001-certificering, wel een minimale set van afspraken, logboeken en stopknoppen die u écht gebruikt. De kunst is dat u het vooraf inricht, niet nadat de eerste verkeerde bestelling in de hal staat.

Wij hebben de signalen en de minimale set samengevat in een korte checklist: “Tekent u nog voor wat uw AI-agent doet?”. Eén A4’tje, geen verkooppraatje. Wilt u er na het invullen over doorpraten, dan plannen we een uur. Geen verkopers-script — een gesprek tussen ondernemer en ontwikkelaar.

Voor wie is dit niet?

Eerlijk afgebakend: dit artikel is niet voor u als u nog geen enkele AI-agent in productie heeft. Begin dan eerst met een eenvoudige tool-use case waarin de agent voorstellen doet en niets autonoom uitvoert. De governance-vraagstukken hierboven ontstaan pas op het moment dat een agent actie neemt. Heeft u al wel agents in productie, of staat er een live-gang op de planning, dan is dit precies het gesprek dat u wilt voorbereiden.

Download de checklist — “Tekent u nog voor wat uw AI-agent doet?”

Eén A4’tje met de minimale set: grens van autonomie, audit trail en kill-switch. Geen verkooppraatje. Loop de tien punten langs en zie waar uw bedrijf staat.

Download checklist (PDF)

Liever direct doorpraten? Plan een uur met Sam Spies — geen verkopers-script, een gesprek tussen ondernemer en ontwikkelaar.

Bronnen

Verifieerbare bronnen voor de claims en concepten in dit artikel.

  1. EU AI Act — Verordening (EU) 2024/1689. Brede toepassing per 2 augustus 2026; verplichtingen voor general-purpose AI sinds augustus 2025. eur-lex.europa.eu/eli/reg/2024/1689
  2. NIST AI Risk Management Framework (AI RMF 1.0). Functies govern, map, measure, manage — gebruikt voor de structuur autonomie/audit/kill-switch. nist.gov/itl/ai-risk-management-framework
  3. ISO/IEC 42001:2023 — AI management systems. Internationale norm voor AI-management; in dit artikel benoemd als referentiekader, niet als verplichting voor MKB. iso.org/standard/81230.html
  4. Anthropic — “Building effective agents” (december 2024). Engineering-gids voor agent-ontwerp; gebruikt voor de begrippen computer-use, tool-loops en human-in-the-loop. anthropic.com/research/building-effective-agents

Laatste bron-controle: 14 mei 2026. De installatiebedrijf-scène in dit artikel is geen klantcase, maar een geneutraliseerd voorbeeld van een patroon dat we in de markt zien.

Recente berichten