Gelden er aparte regels voor AI-agents onder de EU AI Act? Het korte antwoord: nee. De AI Act (Verordening 2024/1689) kent geen agent-specifieke artikelen. AI-agent is een markt- en techniekterm, geen wettelijke categorie. Wat wél geldt, zijn de bestaande verplichtingen rond risicoclassificatie, transparantie en menselijk toezicht. Juist bij agents knellen die regels net iets scherper, want een agent handelt zelfstandiger dan een klassieke chatbot.
Nederlandse organisaties rollen in hoog tempo agents uit: Copilot-agents in Microsoft 365, custom GPT's, AI-stappen in n8n- of Zapier-workflows. Tegelijk is er nauwelijks Nederlandstalige uitleg over hoe de AI Act daarop van toepassing is. Dit artikel zet de stand van zaken op een rij: wat een agentic AI-systeem is, hoe u het classificeert, welke transparantie- en toezichtplichten gelden, plus wat de concept-richtsnoeren van de Europese Commissie van 8 mei 2026 hierover zeggen.
Wat is een agentic AI-systeem?
Een AI-agent is een AI-systeem dat niet alleen antwoorden genereert, maar zelfstandig taken uitvoert. Waar een chatbot wacht op uw vraag, plant een agent zelf stappen. Hij roept tools aan zoals e-mail, een agenda of een database en neemt onderweg beslissingen zonder dat een mens elke tussenstap goedkeurt. Die autonomie maakt agents nuttig. Ze maakt ze ook lastiger te overzien.
Groot of technisch hoeft het niet te zijn. Drie vormen die u waarschijnlijk herkent:
Copilot Studio-agents
Zelfgebouwde assistenten binnen Microsoft 365 die klantvragen beantwoorden, documenten samenvatten of taken in Teams oppakken.
Custom GPT's
Chatassistenten met eigen instructies en bedrijfsdocumenten, door medewerkers zelf aangemaakt en gedeeld met collega's.
AI-workflows in n8n of Zapier
Automatiseringen waarin een taalmodel bepaalt wat de volgende stap is: een mail versturen, een record aanmaken of een concept klaarzetten.
Voor de wet is het etiket niet relevant. Of u het nu een agent, assistent of workflow noemt: het blijft een AI-systeem in de zin van de AI Act. Welke verplichtingen erbij horen, hangt af van twee dingen: uw rol als aanbieder (provider) of gebruiksverantwoordelijke (deployer), plus de risicoclassificatie van wat het systeem doet. De basisuitleg van de wet en de vier risicocategorieën vindt u in de EU AI Act uitgelegd.
Is een AI-agent automatisch hoog-risico?
Nee. De AI Act classificeert op functie en beoogd doel, niet op techniek. Artikel 6 bepaalt samen met Bijlage III welke toepassingen hoog-risico zijn; voor AI in gereguleerde producten geldt Bijlage I. Nergens in die lijsten staat het woord agent. Beslissend is wat de agent doet, niet hoe autonoom hij het doet.
Twee voorbeelden maken het verschil concreet.
Wel hoog-risicoEen agent die binnenkomende sollicitaties analyseert en kandidaten voorselecteert, valt onder Bijlage III, punt 4 (werving en selectie). Hetzelfde geldt voor een agent die de kredietwaardigheid van natuurlijke personen beoordeelt: punt 5b van dezelfde bijlage. Dat deze systemen als agent zijn gebouwd, voegt aan de classificatie niets toe. De toepassing zelf staat op de lijst.
Geen hoog-risicoExact dezelfde agent-techniek die offerteconcepten opstelt, vergaderingen samenvat of uw inbox voorsorteert, komt in Bijlage III niet voor. Zo'n systeem valt in de categorie minimaal of beperkt risico. Wat overblijft is hooguit de transparantieplicht uit Artikel 50, waarover hieronder meer.
De praktijkles: beoordeel elke agent afzonderlijk op gebruiksdoel. Eén organisatie kan tien agents draaien waarvan er negen minimaal risico zijn, terwijl de tiende volledig onder het hoog-risicoregime valt. Hoe die beoordeling stap voor stap werkt, leest u in een hoog-risico AI-systeem classificeren.
Moet een agent zeggen dat hij AI is?
Ja, zodra hij met mensen communiceert. Artikel 50, lid 1 verplicht dat AI-systemen die met natuurlijke personen interacteren, kenbaar maken dat de gebruiker met AI te maken heeft. De uitzondering geldt alleen wanneer dat uit de context al overduidelijk is. Deze transparantieplicht gaat in op 2 augustus 2026. De Digital Omnibus, op 29 juni 2026 definitief aangenomen, heeft die datum niet verschoven.
Voor agents is dit spannender dan het klinkt. Een chatbot op uw website weet dat er een mens aan de andere kant zit. Maar een agent die zelfstandig e-mails beantwoordt, afspraken inplant of namens u met een ander systeem communiceert? Die weet lang niet altijd of zijn tegenpartij een mens is of een andere machine.
De Europese Commissie publiceerde op 8 mei 2026 concept-richtsnoeren over de transparantieverplichtingen van Artikel 50. Daarin staat expliciet dat agentic AI-systemen onder Artikel 50, lid 1 vallen. Opvallend is de voorzorgsregel voor precies het scenario hierboven: kan de aanbieder niet betrouwbaar vaststellen of de agent met een mens interacteert, dan moet de agent zich in elke waarschijnlijke interactie als AI bekendmaken. Twijfel betekent dus: melden.
Eén kanttekening hoort daarbij. Het gaat om concept-richtsnoeren, geen vaststaand recht. De consultatie sloot op 3 juni 2026; een definitieve versie is er nog niet. De Commissie noemt haar overwegingen over agents zelf preliminair en het AI Office volgt de ontwikkelingen actief. De richting is wel duidelijk: een agent die met mensen communiceert, moet zich als AI kenbaar maken. De volledige uitleg van Artikel 50, inclusief de regels voor deepfakes en AI-content, staat in transparantie bij chatbots en deepfakes.
Wie houdt toezicht op een autonome agent?
Menselijk toezicht is bij agents misschien wel het belangrijkste thema. Een systeem dat zelfstandig handelt, vraagt om een mens die kan ingrijpen. De AI Act regelt dat voor hoog-risico AI langs twee sporen, elk gekoppeld aan een rol.
Artikel 14: ontwerpplicht voor de aanbiederWie een hoog-risico AI-systeem bouwt en op de markt brengt, moet het zo ontwerpen dat mensen er effectief toezicht op kunnen houden. Artikel 14, lid 4 noemt daarbij onder meer de mogelijkheid om in te grijpen in de werking of het systeem stop te zetten. De stopknop staat dus letterlijk in de wet, als ontwerp-eis voor de bouwer. Voor een autonome agent is dat geen papieren detail: zonder ingebouwde onderbreekbaarheid valt er niets te stoppen.
Artikel 26: gebruiksplichten voor uw organisatieZet u een hoog-risico agent in die een ander heeft gebouwd, dan bent u doorgaans de gebruiksverantwoordelijke. Vier verplichtingen springen er voor agents uit:
Toezicht door bekwame personen
Artikel 26, lid 2Wijs mensen aan met de competentie, opleiding en bevoegdheid om op de agent toe te zien.
Monitoring van de werking
Artikel 26, lid 5Volg hoe het systeem functioneert en grijp in bij signalen dat het anders werkt dan bedoeld.
Logbestanden bewaren
Artikel 26, lid 6Bewaar automatisch gegenereerde logs minstens zes maanden, voor zover ze onder uw controle vallen.
Werknemers informeren
Artikel 26, lid 7Informeer medewerkers en hun vertegenwoordigers voordat hoog-risico AI op de werkplek wordt ingezet.
Deze hoog-risicoverplichtingen voor Bijlage III-toepassingen gelden vanaf 2 december 2027. Die datum komt uit de Digital Omnibus, die de oorspronkelijke deadline van 2 augustus 2026 heeft verschoven. Voor AI in gereguleerde producten onder Bijlage I geldt 2 augustus 2028. Ruim de tijd dus? Niet echt. Toezichtstructuren, logging en bekwame mensen regelt u niet in een kwartaal.
Los daarvan geldt sinds 2 februari 2025 al de AI-geletterdheidsplicht van Artikel 4. Die verplichting werkt op organisatieniveau: iedereen die namens uw organisatie met AI werkt, moet daarvoor voldoende zijn toegerust. Wie agents configureert of hun output beoordeelt, hoort daar vanzelfsprekend bij.
Draait uw agent op ChatGPT of Claude?
Vrijwel elke agent draait op een general-purpose AI-model, zoals de modellen achter ChatGPT, Claude of Gemini. Voor die modellen gelden sinds 2 augustus 2025 de GPAI-verplichtingen uit hoofdstuk V van de AI Act. Goed om te weten: die verplichtingen rusten op de aanbieder van het model, niet op de organisatie die er een agent op bouwt of mee werkt. Wat modelaanbieders precies moeten leveren, leest u in de GPAI-verplichtingen uitgelegd.
Uw eigen verplichtingen verdwijnen daarmee niet. De classificatie van uw toepassing plus uw rol bepalen wat u zelf regelt, van transparantie tot toezicht. Kort gezegd: het model is gereguleerd aan de bron, het gebruik blijft uw verantwoordelijkheid.
Agent sprawl: het echte risico is het overzicht kwijtraken
Hoe groot wordt dit? Gartner waarschuwde in een persbericht van 28 april 2026 voor agent sprawl: wildgroei van agents die niemand centraal overziet. Het onderzoeksbureau beschrijft zes stappen om die wildgroei te beheersen en voorspelt dat een gemiddeld Fortune 500-bedrijf in 2028 meer dan 150.000 agents in gebruik heeft, tegen minder dan 15 in 2025.
Onderzoek van OutSystems uit 2026 onder 1.900 IT-leiders schetst hetzelfde beeld. Van de ondervraagden maakt 94 procent zich zorgen over agent sprawl. Slechts 18 procent heeft een actuele inventaris van de eigen agents. Een centraal beheerplatform? Dat heeft 12 procent.
Nederlandse MKB-cijfers zijn dit niet, maar het mechanisme is hier hetzelfde. Elke medewerker met een Microsoft 365-licentie kan een Copilot-agent bouwen. Elke marketeer kan een custom GPT aanmaken en delen. Zonder afspraken ontstaat een verzameling agents waarvan niemand weet wat ze doen, met welke data ze werken of wie erop toeziet. Herkent u het patroon? Het is de agent-variant van shadow AI.
Verplicht de AI Act u dan om een agentregister bij te houden? Nee, die letterlijke plicht staat nergens in de wet. Maar de verplichtingen die er wél staan, kunt u zonder inventaris niet aantoonbaar naleven. Classificeren per systeem, transparantie inregelen, toezicht beleggen, logs bewaren: alles begint bij weten welke agents er draaien.
Wat betekent dit praktisch voor uw organisatie?
De kern is goed te overzien. U hoeft agents niet te verbieden. U moet weten wat er draait en per agent de juiste regels toepassen.
- Inventariseer welke agents er draaien, inclusief Copilot-agents en custom GPT's die medewerkers zelf hebben gebouwd.
- Classificeer elke agent op gebruiksdoel: raakt hij een Bijlage III-toepassing zoals werving of kredietbeoordeling?
- Controleer of elke agent die met mensen communiceert zich vóór 2 augustus 2026 als AI kenbaar maakt.
- Beleg per agent wie toezicht houdt en wie mag ingrijpen of uitschakelen.
Het volledige stappenplan, inclusief welke gegevens u per agent vastlegt en hoe u nieuwe agents via een vast proces binnenlaat, staat in ons artikel over een AI-agentregister opzetten. Wilt u het aanvraagproces voor nieuwe tools structureren, kijk dan naar AI-tools goedkeuren zonder te vertragen. De bredere aanpak van rollen, beleid en borging staat in de praktijkgids AI-governance.
Veelgestelde vragen
Is een AI-agent hoog-risico onder de AI Act?
Niet automatisch. De AI Act kent geen aparte categorie voor agents; de classificatie volgt het gebruiksdoel via Artikel 6 plus Bijlage III. Een agent die sollicitanten voorselecteert of kredietwaardigheid beoordeelt, is hoog-risico. Dezelfde techniek voor offerteconcepten of interne samenvattingen is dat niet.
Moet mijn chatbot-agent zeggen dat hij AI is?
Ja. Artikel 50, lid 1 verplicht AI-systemen die met mensen interacteren om dat kenbaar te maken, tenzij het uit de context al overduidelijk is. De plicht geldt vanaf 2 augustus 2026 en is door de Digital Omnibus niet uitgesteld.
Moet ik een register van mijn AI-agents bijhouden?
Een letterlijke registerplicht voor agents staat niet in de AI Act. Zonder inventaris kunt u in de praktijk alleen niet aantonen dat classificatie, transparantie en toezicht per agent op orde zijn. Ons stappenplan voor een agentregister laat zien hoe u dat pragmatisch inricht.
Gelden de GPAI-regels voor mijn agent op GPT of Claude?
Die regels gelden sinds 2 augustus 2025 voor de aanbieder van het onderliggende model, zoals OpenAI of Anthropic. Als gebruiker van een agent op zo'n model hoeft u de GPAI-verplichtingen niet zelf na te leven. Uw rol en de classificatie van uw toepassing bepalen wat u wél regelt.
Vanaf wanneer gelden de AI Act-regels voor agents?
Gefaseerd, net als voor alle AI-systemen. De AI-geletterdheidsplicht (Artikel 4) geldt sinds 2 februari 2025, de GPAI-regels sinds 2 augustus 2025. De transparantieplicht van Artikel 50 start op 2 augustus 2026. De hoog-risicoverplichtingen volgen op 2 december 2027 (Bijlage III) en 2 augustus 2028 (Bijlage I).
Eerst overzicht, dan de details
AI-agents vragen geen nieuwe compliance-aanpak, wel een consequente toepassing van de bestaande. Wie nu een inventaris opbouwt en per agent het gebruiksdoel classificeert, is klaar voordat de transparantieplicht op 2 augustus 2026 ingaat. De rest volgt in een beheersbaar tempo richting december 2027.
De gratis Risicoscanner van AIComplianceHub laat in vijf minuten zien welke AI Act-verplichtingen voor uw organisatie gelden. Registreer uw agents daarna in uw AI-register, classificeer ze per gebruiksdoel en leg vast wie toezicht houdt. Zo blijft agentic AI een aanwinst in plaats van een blinde vlek.