AI-governance is geen synoniem voor AI-compliance. Compliance is de uitkomst: voldoet uw organisatie aan wet- en regelgeving? Governance is het systeem dat die uitkomst mogelijk maakt: wie besluit wat, wie escaleert wanneer, wie reviewt hoe vaak. Voor het Nederlandse MKB en mid-market wordt governance in 2026 een serieus thema. De EU AI Act maakt het verplicht (Artikel 9 risicobeheer, Artikel 26 deployer-verplichtingen), inkopers in finance en publieke sector vragen om ISO 42001-conforme structuren in due-diligence, en de operationele groei van AI in uw eigen organisatie maakt ad-hoc beslissen onhoudbaar.
Dit artikel geeft een werkbare AI-governance-structuur per organisatiegrootte. Drie archetypes, een RACI-matrix per archetype en de operationele cadans die uw governance levend houdt.
AI-governance vs AI Compliance vs ISO 42001
Drie termen die vaak door elkaar lopen. Helder onderscheid:
AI Compliance
WetHet naleven van wettelijke verplichtingen (EU AI Act, AVG, sectorregels). Een uitkomst, een staat van zijn: voldoet uw organisatie aan wat de wet vraagt?
AI-governance
SysteemHet bestuurssysteem dat compliance, ethiek en effectiviteit borgt. Wie beslist, wie reviewt, wie is verantwoordelijk, hoe escaleren we, hoe vaak kijken we terug. Een mechanisme, geen uitkomst.
ISO/IEC 42001
StandaardInternationale norm voor een AI-managementsysteem (AIMS, gepubliceerd december 2023). Geeft een gestandaardiseerde governance-structuur volgens Annex SL-managementsysteemstructuur. Vrijwillig en certificeerbaar.
Vereenvoudigd: compliance is wat u moet doen, governance is hoe u het doet, ISO 42001 is een mal voor het hoe. Een organisatie kan compliance zonder ISO 42001 halen. Zonder governance is compliance niet vol te houden. Dat is het centrale inzicht achter de Artikel 9-eis uit de AI Act: een doorlopend, gedocumenteerd en herzienbaar risicobeheersysteem. Geen losse acties. Een systeem.
Drie archetypes per organisatiegrootte
De vorm van AI-governance hangt af van wat u in huis heeft. Drie archetypes dekken het overgrote deel van het Nederlandse MKB en mid-market.
Archetype 1: kleinschalig MKB (5-25 medewerkers). Een directeur of bedrijfsleider, een handvol AI-tools (ChatGPT, Microsoft Copilot, AI-features in HR-software of CRM), geen aparte compliance-functie. Governance is hier persoonsgebonden: de directeur of een aangewezen senior medewerker is verantwoordelijk voor alle AI-besluiten. Risico: bottlenecks en stille drift wanneer de eigenaar te druk is om bij te houden welke nieuwe AI-functie in een SaaS-tool is geactiveerd.
Archetype 2: middelgroot MKB (25-100 medewerkers). Een management-team van drie tot vijf mensen, een groter palet aan AI-tools, vaak een interne IT-functie of een externe IT-partner. Hier wordt governance een rolverdeling: een AI-coordinator (vaak gecombineerd met DPO/FG of compliance officer), een AI-werkgroep met vertegenwoordigers uit IT, juridisch/HR en de operationele businesseigenaren. Risico: rollen op papier maar zonder cadans. Werkgroep komt vier keer per jaar bij elkaar zonder concrete agenda.
Archetype 3: mid-market en grote organisaties (100-1000+ medewerkers). Een formeel governance-comite, een AI-coordinator full-time of 0,5 fte, een AI-risico-eigenaar per businessunit, een interne audit-functie en vaak een externe certificeringsroute (ISO 42001 of vergelijkbaar). Governance is hier een operating model: decision rights, escalation paths, formele review-cadans, audit-mechanismen. Risico: zwaar en log, decision-by-committee, AI-innovatie loopt achter feiten aan.
Decision rights: wie beslist over wat
Bij elk archetype moeten vijf besluitcategorieen worden belegd. De RACI-matrix (Responsible, Accountable, Consulted, Informed) is hiervoor de standaard. Wordt veel gezien in ISO 42001-implementaties, in NIST AI RMF-projecten en bij grotere Nederlandse organisaties met een volwassen governance-structuur.
Voor archetype 1 vereenvoudigt het: een persoon is Responsible en Accountable, anderen worden Informed.
Voor archetype 2 en 3 is een echte matrix nodig. Een werkbaar uitgangspunt:
Goedkeuring nieuwe AI-tool
BesluitR: businesseigenaar. A: AI-coordinator. C: IT, DPO/FG. I: directie.
Risicoclassificatie hoog-risico ja/nee
BesluitR: AI-coordinator. A: directie. C: extern juridisch. I: businesseigenaar.
Vrijgave hoog-risico AI in productie
BesluitR: AI-coordinator. A: directie. C: DPO/FG, IT-security, externe auditor waar relevant. I: businesseigenaar.
Escalatie AI-incident
BesluitR: AI-coordinator. A: directie. C: DPO/FG, juridisch, communicatie. I: alle betrokken businesseigenaren.
Periodieke review en update
BesluitR: AI-coordinator. A: AI-werkgroep. C: businesseigenaren. I: directie.
R staat voor wie het werk doet, A voor wie eindverantwoordelijk is (een persoon, niet een comite), C voor wie geconsulteerd wordt voor het besluit valt, I voor wie op de hoogte wordt gebracht. De grootste valkuil: meer dan een A per besluit. Onduidelijke eindverantwoordelijkheid voorspelt vertraging.
Operating model: de operationele cadans
Een AI-governance-structuur leeft alleen als ze in de agenda staat. Drie cadansen voor archetype 2 en 3, oplopend in frequentie:
Kwartaal-review werkgroep
Werkgroep komt elk kwartaal bijeen: nieuwe AI-tools sinds vorige keer, status hoog-risico systemen, eventuele incidenten, voortgang op AI-geletterdheid, deadline-monitoring (AI Act, Digital Omnibus, sectorrichtsnoeren).
Halfjaarlijkse strategische review
Een keer per halfjaar agendeert directie AI-governance op managementniveau: zijn we nog op koers, wat moet bijgestuurd, welke investeringen vraagt het komende halfjaar.
Jaarlijkse externe blik
Een externe partij (auditor, ISO 42001-certificeerder, juridisch expert) toetst het systeem jaarlijks tegen actuele wet- en regelgeving. Voor mid-market vaak gekoppeld aan ISO-certificeringscyclus.
Tussen reviews door werkt het systeem op signalen: een nieuwe AI-tool wordt aangemeld, geclassificeerd en in het register opgenomen. Een incident wordt gemeld, onderzocht en als lessons learned in de eerstvolgende kwartaal-review besproken. Toezichthouders willen bewijs van beide: de structuur en de toepassing.
Escalation paths: wanneer escaleert u
AI-incidenten zijn niet allemaal gelijk. Een hallucinatie in een interne tekst is iets anders dan een hoog-risico AI-systeem dat een verkeerd kredietbesluit neemt. Een werkbaar escalatie-model kent drie niveaus.
Niveau 1: operationeel. De eindgebruiker meldt aan AI-coordinator of businesseigenaar. Geen verdere escalatie tenzij patroon. Voorbeeld: een marketeer constateert dat de chatbot-flow regelmatig fouten maakt in productinformatie.
Niveau 2: tactisch. AI-coordinator beoordeelt en betrekt DPO/FG. Wordt besproken in de eerstvolgende werkgroep-bijeenkomst. Voorbeeld: een leverancier van een AI-tool kondigt aan de architectuur te wijzigen, met mogelijke impact op risicoclassificatie.
Niveau 3: kritiek. Directe escalatie naar directie en juridisch. Mogelijk klantcommunicatie, mogelijk meldplicht. Voorbeeld: een verboden praktijk uit Artikel 5 wordt geconstateerd, of een hoog-risico systeem laat structureel bias zien tegen een beschermde categorie.
De drempel tussen niveau 2 en 3 is in de praktijk lastig. Vuistregel: zodra een incident kan resulteren in schade aan personen, juridische aansprakelijkheid of meldplichten onder AVG of AI Act, is het niveau 3.
Veelvoorkomende valkuilen
Vier patronen die we in de praktijk tegenkomen bij Nederlandse MKB- en mid-market-organisaties.
Governance op papier, niet in agenda. Een mooi document met rollen en cadansen, maar de werkgroep-bijeenkomsten worden afgezegd of zijn slappe agenda-vulling zonder besluiten. Symptoom: niemand kan zonder voorbereiding noemen wat er bij de laatste werkgroep is besloten.
RACI zonder owner. Iedereen Consulted, niemand Accountable. Resultaat: trage besluitvorming, falen door collectieve verantwoordelijkheid. Symptoom: bij een vraag of besluit duurt het lang voor iemand zich opwerpt.
AI-coordinator als bottleneck. Een persoon die alles moet weten en alles moet goedkeuren. Bij ziekte of vertrek stort het systeem in. Symptoom: een naam komt steeds terug, geen back-up of plaatsvervanger.
Geen koppeling met bestaande managementsystemen. Een aparte AI-governance los van ISO 27001, ISO 9001 of bestaand risicomanagement. Resultaat: dubbel werk, inconsistente besluiten, audit-fatigue. Symptoom: dezelfde risico's komen in meerdere systemen verschillend gecategoriseerd terug.
Hoe verhoudt dit zich tot de AI Act
De AI Act eist op drie plekken expliciet governance-elementen.
Artikel 9: risicobeheersysteem. Voor aanbieders van hoog-risico AI: een gedocumenteerd, doorlopend en herzienbaar risicobeheersysteem dat de hele levenscyclus dekt. Dit is governance in optima forma.
Artikel 26: deployer-verplichtingen. Voor gebruiksverantwoordelijken van hoog-risico AI: menselijk toezicht borgen, logbestanden bewaren, incidenten melden, gebruiken volgens de instructies van de aanbieder. Vraagt een toegewezen verantwoordelijke en een meld-procedure.
Artikel 27: FRIA. Voor specifieke deployers (publieke sector, financiele dienstverlening): een Fundamental Rights Impact Assessment voor bepaalde hoog-risico systemen. Vraagt een besluit-proces en documentatie-routine.
Voor MKB met alleen minimaal- of beperkt-risico AI zijn Artikel 9 en 27 niet direct van toepassing. Artikel 26 raakt u zodra u een hoog-risico tool als deployer inzet, bijvoorbeeld een AI-screeningstool in werving. Artikel 4 (AI-geletterdheid) en de transparantieplicht uit Artikel 50 raken vrijwel iedereen.
Wat verandert er onder Digital Omnibus
Het Digital Omnibus-akkoord van 7 mei 2026 schuift de juridische deadline voor hoog-risico Bijlage III van 2 augustus 2026 naar 2 december 2027 (mits formeel aangenomen vóór OJ-publicatie). Voor uw governance betekent dat extra ruimte voor implementatie, geen reden om de structuur uit te stellen. Drie redenen om nu te beginnen ondanks het uitstel.
AI-geletterdheid (Art. 4) en verboden praktijken (Art. 5) gelden onveranderd vanaf februari 2025. Uw governance moet hier al op staan. Een werkende AI-werkgroep en een aangewezen AI-coordinator zijn de basis-voorwaarde voor naleving op die twee artikelen.
Transparantieplicht uit Artikel 50 schuift onder het akkoord vier maanden door, niet meer. Een chatbot of AI-content op uw website moet uiterlijk 2 december 2026 als zodanig kenbaar zijn. Wie hier ad-hoc op anticipeert, ontdekt in november 2026 dat er meerdere kanalen onder vallen.
Klanten en inkopers vragen er nu al om. Tenders van overheid, banken en grote enterprises bevatten in 2026 standaardvragen over AI-governance, AI-register, ISO 42001-status en AI-incidentprocedures. Wie het systeem pas in 2027 opzet, mist tenders in 2026.
Een MKB-startsjabloon
Voor archetype 1 en 2 een sjabloon dat in een uur is in te vullen.
- Een AI-coordinator (naam, rol, mailadres)
- Een plaatsvervanger (naam, rol, mailadres)
- Een AI-werkgroep van drie tot vijf mensen (vakgebieden: IT, juridisch/HR, businesseigenaren)
- Een vaste agenda voor de kwartaal-review (nieuwe tools, lopende risico's, voortgang AI-geletterdheid)
- Een meld-mailadres voor AI-incidenten en een eenvoudige escalatie-tabel (niveau 1, 2, 3)
- Een jaarlijkse review-datum die in de agenda van directie staat
Dit is geen ISO 42001-implementatie. Wel een werkbare basis. Wie later certificering wil halen, bouwt hierop voort.
Hoe AIComplianceHub helpt
In AIComplianceHub bouwt u een AI-register, AI-beleid en e-learning waarmee uw governance operationeel wordt. Het Governance-dashboard toont per kwartaal voortgang per pijler (geletterdheid, register, documentatie, transparantie). De gratis Risicoscanner geeft u in vijf minuten een eerste beeld van uw AI-risicoprofiel, de basis voor uw eerste governance-cyclus.
Veelgestelde vragen
Is AI-governance hetzelfde als AI-compliance?
Nee. Compliance is een uitkomst (voldoen aan wet en regelgeving), governance is het systeem dat die uitkomst mogelijk maakt en houdbaar maakt. Een organisatie kan compliance halen zonder formele governance, maar zonder governance is compliance niet vol te houden.
Heb ik ISO 42001 nodig voor goede AI-governance?
Nee. ISO 42001 is een vrijwillige norm die een gestandaardiseerde governance-structuur geeft. Voor MKB met minimaal- of beperkt-risico AI is een lichte governance-opzet zoals beschreven in dit artikel voldoende. ISO 42001 wordt waardevol bij groei naar mid-market, bij hoog-risico AI of bij B2B-eisen van inkopers in finance, zorg en publieke sector.
Wie wijs ik aan als AI-coordinator?
Voor MKB vaak de DPO/FG of compliance officer. Voor mid-market een aparte rol of een 0,5 fte naast IT-management. Vereisten: voldoende mandaat om besluiten te nemen, basale AI-kennis (Artikel 4 AI-geletterdheid), affiniteit met juridisch werk, communicatie-vaardig naar directie en businesseigenaren. Niet per se een techneut.
Hoe vaak moet een AI-werkgroep bij elkaar komen?
Kwartaal voor archetype 2 en 3. Voor archetype 1 (kleinschalig MKB) volstaat een halfjaarlijkse review met de directeur en een externe sparring partner. Belangrijk: niet alleen frequentie maar ook agenda. Een werkgroep zonder vaste agenda-onderdelen (nieuwe tools, status risico's, voortgang AI-geletterdheid) verzandt.
Hoe verhoudt AI-governance zich tot data governance?
Data governance gaat over wie eigenaar is van welke data, hoe data wordt geclassificeerd en hoe kwaliteit wordt geborgd. AI-governance bouwt daarop voort: AI-systemen draaien op data, dus uw AI-besluitvorming is alleen zo betrouwbaar als uw data governance. In de praktijk integreren mid-market organisaties beide in een gezamenlijke governance-structuur.
Moet de DPO ook AI-coordinator zijn?
Niet verplicht, wel logisch in MKB-context. De DPO/FG heeft al ervaring met DPIA's, met privacy-by-design en met communicatie naar betrokkenen. Veel van die expertise is direct toepasbaar op AI-governance. Voor mid-market en grote organisaties is splitsing zinvoller: de DPO blijft AVG-eigenaar, de AI-coordinator wordt eigenaar van de AI Act-naleving plus governance. Beide rollen werken nauw samen.