AI governance: framework voor MSPs en IT-organisaties

Door Jasper van Horssen, Lead Auditor ISO 27001 · NIS2 Lead Implementer. Vakinhoudelijk gereviewd door Erik Bijkerk, Senior Consultant bij Dxfferent. Bijgewerkt juni 2026.

AI governance is het geheel van beleid, rollen, risicobeheersing en monitoring waarmee een organisatie AI aantoonbaar verantwoord inzet. Voor MSPs en IT-organisaties leunt een werkbaar framework op drie kaders: ISO/IEC 42001 (het certificeerbare AI-managementsysteem), het NIST AI Risk Management Framework (de governance-praktijk) en de EU AI Act (de wettelijke plicht). MSPs zitten daarbij in een dubbele rol: u bent deployer van AI-tooling en, zodra u AI in uw eigen dienstverlening verwerkt, schuift u op richting provider. Dat verdubbelt uw verplichtingen. In dit artikel leest u welke zes governance-pijlers u minimaal inricht, hoe die pijlers op ISO 42001 en de AI Act in elkaar haken, en met welk stappenplan u in vier tot zes maanden van losse AI-experimenten naar aantoonbare beheersing gaat.

Laatst bijgewerkt: 8 juni 2026. Belangrijke wijziging sinds eerdere publicaties: via de Digital Omnibus (voorlopig politiek akkoord van 7 mei 2026) worden de verplichtingen voor hoog-risico AI naar verwachting uitgesteld naar 2 december 2027 (zelfstandige Annex III-systemen) en 2 augustus 2028 (AI ingebed in gereguleerde producten). Tot dit akkoord formeel is aangenomen en in het Publicatieblad is gepubliceerd, blijft 2 augustus 2026 (artikel 113) juridisch de geldende datum. De AI-geletterdheidsplicht (sinds 2 februari 2025) en de handhaving op GPAI-modellen (vanaf 2 augustus 2026) blijven onverkort gelden.

Wat is AI governance, en waarom is het meer dan AI Act compliance?

AI governance is de organisatorische structuur die ervoor zorgt dat AI binnen uw organisatie in lijn met strategie en wet wordt ingezet, dat risico’s worden geidentificeerd voordat ze materialiseren, en dat besluiten aantoonbaar gestuurd worden. Vergelijk het met IT-governance of data-governance: het is geen project met een einddatum, maar een doorlopende discipline die in bestuur, management en operatie is ingebed.

Het verschil met AI compliance is wezenlijk. Compliance is het voldoen aan wettelijke en contractuele eisen op een meetmoment. Governance is de bredere structuur die compliance produceert en bovendien strategische en ethische keuzes stuurt. Goede governance levert compliance op; pure compliance zonder governance is fragiel, omdat ze stopt zodra de checklist is afgevinkt. Voor MSPs en IT-organisaties is aantoonbare AI governance bovendien een commercieel signaal: klanten nemen het steeds vaker op als contractuele eis in hun eigen leveranciersbeheer, juist omdat de AI Act hun verplicht hun toeleveringsketen te beheersen.

De drie kaders waarop een AI-governance framework rust

Een AI-governance framework hoeft niet from scratch ontworpen te worden. Er liggen drie internationaal erkende kaders klaar die elkaar aanvullen. Wie ze los gebruikt, dubbelt werk; wie ze stapelt, bouwt een framework dat zowel auditbaar als wettelijk dekkend is.

• ISO/IEC 42001:2023 is de eerste internationale norm voor een AI-managementsysteem (AIMS) en is, net als ISO 27001, certificeerbaar door een externe auditor. De volledige titel is “Information technology, Artificial intelligence, Management system”. De norm bevat Annex A met 38 AI-specifieke beheersmaatregelen, verdeeld over negen control-objectieven (A.2 tot en met A.10), die onder meer AI-impactbeoordeling, datamanagement, de AI-levenscyclus, leveranciers in de keten, verantwoorde-AI-praktijken en monitoring en logging afdekken. ISO 42001 levert de structuur: een Plan-Do-Check-Act-cyclus om AI-risico’s systematisch te beheersen.
• NIST AI Risk Management Framework 1.0 is door het Amerikaanse NIST gepubliceerd op 26 januari 2023. Het is vrijwillig en niet-certificeerbaar, maar inhoudelijk een uitstekende governance-praktijk. Het kent vier functies die elke organisatie herkent: GOVERN (cultuur, verantwoordelijkheid, beleid, dwars door alles heen), MAP (context, stakeholders, systeemgrenzen en mogelijke schade in kaart), MEASURE (kwantitatief en kwalitatief meten en monitoren van AI-risico) en MANAGE (middelen toewijzen aan de in kaart gebrachte en gemeten risico’s). NIST AI RMF maakt de governance-pijlers concreet en operationeel.
• EU AI Act (Verordening (EU) 2024/1689) is de wettelijke laag. Het is een verordening, geen richtlijn: ze werkt rechtstreeks in elke lidstaat en hoeft inhoudelijk niet in Nederlandse wetgeving te worden omgezet. Nederland regelt alleen het toezicht en de handhaving nationaal, via de Uitvoeringswet AI-verordening (op het moment van schrijven in consultatie). De inhoudelijke verplichtingen gelden dus al, ongeacht de stand van die uitvoeringswet. De AI Act definieert verboden praktijken, hoog-risico-systemen met zware eisen, transparantieverplichtingen en governance-eisen, en wijst rollen toe (provider, deployer, importeur, distributeur). De AI Act zegt wat moet; ISO 42001 en NIST AI RMF leveren het hoe.

De kaders overlappen sterk. ISO 42001 mapt direct op alle vier de NIST-functies, en beide mappen substantieel op de eisen van de AI Act, hoewel geen van beide specifiek voor de AI Act is ontworpen. Voor een MSP betekent dat: bouw uw governance op ISO 42001 als ruggengraat, gebruik NIST AI RMF om de pijlers in te vullen, en houd de AI Act ernaast als juridische toetslijst. Dat ISO 42001, NIST AI RMF en de AI Act elkaar inhoudelijk grotendeels dekken, is control voor control vergeleken en in begrijpelijke taal naast elkaar gezet.

Waarom MSPs een bijzondere positie hebben: deployer en bijna-provider tegelijk

De AI Act onderscheidt rollen, en uw verplichtingen hangen daarvan af. De meeste organisaties zijn deployer: ze gebruiken AI-systemen die een ander heeft gebouwd. MSPs en IT-organisaties zitten echter zelden in een zuivere rol.

• Als deployer gebruikt u AI-tooling: een copilot in uw RMM, AI-gedreven ticketclassificatie, anomaliedetectie in uw SOC, een chatbot op uw servicedesk. Voor hoog-risico-systemen brengt dat deployer-verplichtingen mee (artikel 26 AI Act): menselijk toezicht inrichten, de gebruiksinstructies volgen, inputdata bewaken en serieuze incidenten melden.
• Als near-provider schuift u richting providerschap zodra u AI in uw eigen dienstverlening verwerkt en die onder uw eigen naam aan klanten levert, of een bestaand AI-systeem substantieel aanpast. De AI Act behandelt wie een hoog-risico-systeem onder eigen merk op de markt brengt of wezenlijk wijzigt, als provider, met de bijbehorende zwaardere eisen rond technische documentatie, risicomanagement en conformiteit.

Het praktische gevolg: een MSP kan voor de ene dienst deployer zijn en voor de andere provider. Dat vraagt om een AI-register dat per AI-systeem de rol vastlegt, want de rol bepaalt het verplichtingenpakket. Wie dit niet expliciet maakt, loopt het risico providerseisen over het hoofd te zien op precies die diensten waarmee de organisatie zich onderscheidt.

Het Dxfferent AI-governance framework: zes pijlers

Een werkbaar framework voor een MSP of IT-organisatie rust op zes pijlers. Elke pijler is gekoppeld aan een ISO 42001-controlgebied en een AI Act-verplichting, zodat u in een oogopslag ziet waarom de pijler er is en welk bewijs de toezichthouder of auditor verwacht.

Pijler 1: Beleid en strategische kaders

Een AI-beleidsstuk van vijf tot tien pagina’s, vastgesteld door het bestuur en minimaal jaarlijks herzien. Het behandelt minimaal: doel en scope, rollen en verantwoordelijkheden, acceptabel en verboden gebruik, het risicobeoordelingsproces, het inkoop- en intakeproces, transparantie richting betrokkenen, het monitoring- en incidentproces, en de AI-geletterdheidsplicht. Dit is de “policy”-laag van ISO 42001 (clause 5, control A.2 inzake AI-beleid) en de organisatorische basis onder NIST GOVERN.

Pijler 2: Rollen en verantwoordelijkheden

Governance valt of staat met benoemd eigenaarschap. Voor een MSP zijn dit de minimale rollen:

• Bestuur: stelt AI-strategie en risicobereidheid vast, keurt het AI-beleid formeel goed, ontvangt periodieke rapportage. Eindverantwoordelijk.
• CISO of AI-lead: dagelijkse coordinatie, beheert het AI-register, brengt AI-risico’s bij het bestuur, escaleert incidenten. Vaak gecombineerd met de CISO-rol.
• Business owner per AI-systeem: kent het werkproces, verantwoordelijk voor correct gebruik, beoordeelt de impact op de eigen afdeling.
• Functionaris Gegevensbescherming (FG): bewaakt de AVG-aspecten en de samenhang met DPIA en, waar de AI Act dat eist, de grondrechtenbeoordeling (FRIA).
• Technisch AI-expert: kent de systemen en hun beperkingen, levert bias- en performance-input. Mag voor het MKB extern zijn.
• Klantcontact (MSP-specifiek): communiceert met klanten over AI-features in de dienstverlening, beantwoordt vragen over hun AI Act-impact en verwerkt AI-clausules in contracten. Een commerciele rol, maar onmiskenbaar onderdeel van governance.

Dit dekt ISO 42001 control A.3 (interne organisatie en rollen) en NIST GOVERN. Voor de meeste MKB-MSPs is een aparte AI-commissie overbodig: een maandelijks AI-overleg tussen CISO, een business representative en de FG, met kwartaalrapportage aan het bestuur, volstaat. Een formele commissie loont pas bij meer dan vijf tot tien hoog-risico-systemen, bij AI als strategisch product, of bij aantoonbare externe druk van toezichthouder of klanten.

Pijler 3: Risico-inventarisatie via het AI-register

Het AI-register is de levende administratie van alle AI-systemen die u gebruikt of levert, ongeacht risiconiveau. Begin breed: wat niet in het register staat, monitort u niet. Per AI-systeem legt u vast:

• Naam, versie en leverancier.
• Use case en business owner.
• Rol onder de AI Act (provider, deployer, importeur, distributeur).
• AI Act-risicoclassificatie plus onderbouwing (verboden, hoog-risico, beperkt-risico met transparantieplicht, of minimaal risico).
• Verwerkte persoonsgegevens, met verwijzing naar het AVG-verwerkingsregister (artikel 30).
• Status van de grondrechtenbeoordeling (FRIA) en DPIA, met datum van laatste herziening.
• Trainingsdata-bron en update-cyclus.
• Monitoring-statistieken: accuracy, drift, incidenten.
• Datum laatste review en eerstvolgende heroverweging.

Dit is de kern van ISO 42001 (control A.4 inzake het beoordelen van impact en A.6 inzake de levenscyclus) en de praktische uitvoering van NIST MAP. Een register dat half is en niet wordt bijgewerkt, is erger dan geen register: het wekt de schijn van controle zonder de substantie. Voor een middelgrote organisatie zijn 50 tot 200 entries normaal, inclusief AI-features in standaard-SaaS, eigen modellen en AI in interne tooling.

Pijler 4: Leveranciers- en GPAI-beheer

De meeste AI die een MSP gebruikt, draait op general-purpose AI-modellen (GPAI) van derden. De AI Act legt sinds 2 augustus 2025 verplichtingen op aan GPAI-providers, en de Europese Commissie kan deze sinds 2 augustus 2026 handhaven met boetes tot 15 miljoen euro of 3 procent van de wereldwijde jaaromzet (artikel 101). Als deployer erft u die afhankelijkheid: u moet weten welke modellen onder uw diensten draaien, of de leverancier transparantie- en documentatieverplichtingen nakomt, en wat er met uw inputdata gebeurt.

Praktisch betekent dit: contractueel transparantie en logging afdwingen bij uw AI-leveranciers, hun rol en risicoklasse opnemen in uw AI-register, en de keten-aspecten meenemen in uw bestaande leveranciersbeoordeling. Dit dekt ISO 42001 control A.10 (third-party en supply chain) en NIST GOVERN en MAP. Voor MSPs is dit dubbel relevant, omdat uw eigen klanten u op precies dezelfde manier zullen bevragen.

Pijler 5: Monitoring, incidentrespons en meldplicht

AI-incidenten verschillen van klassieke IT-incidenten. Het gaat niet alleen om beschikbaarheid (systeem ligt eruit), maar ook om correctheid (systeem werkt, maar produceert verkeerde output) en bias (output bevoor- of benadeelt systematisch). Een AI-incidentprocedure regelt minimaal detectie, beoordeling (is het een serieus incident onder de AI Act?), containment, communicatie, root-cause-analyse en herstel met lessen-leren.

De meldplicht voor serieuze incidenten met hoog-risico AI staat in artikel 73 AI Act. De provider, of waar van toepassing de deployer, meldt aan de markttoezichthouder binnen strikte termijnen, gerekend vanaf het moment van bekend worden: uiterlijk 15 dagen in het algemeen, uiterlijk 10 dagen bij overlijden van een persoon, en uiterlijk 2 dagen bij een wijdverbreide inbreuk of een ernstige verstoring van kritieke infrastructuur. Een eerste, onvolledig rapport mag om de termijn te halen, gevolgd door een volledig rapport.

Voor MSPs die in NIS2-sectoren actief zijn, overlapt dit met de NIS2-meldplichten (24 uur vroege waarschuwing, 72 uur melding, 1 maand eindrapport). U hoeft niet dubbel hetzelfde feit te melden, maar u moet wel aantoonbaar aan beide regimes voldoen, met aparte routes en aparte termijnen. Dit dekt ISO 42001 control A.9 (monitoring en logging) en NIST MEASURE en MANAGE.

Pijler 6: AI-geletterdheid (artikel 4)

Sinds 2 februari 2025 verplicht artikel 4 van de AI Act providers en deployers om een toereikend niveau van AI-geletterdheid te borgen bij medewerkers en bij personen die namens hen met AI werken, dus ook externe inhuur. De plicht geldt voor elke organisatie die AI professioneel inzet, inclusief het bedrijf dat alleen Copilot of ChatGPT gebruikt. De wet schrijft geen specifiek curriculum voor, maar wel een passende mate van begrip, afgestemd op rol en context. De handhaving start vanaf 2 augustus 2026.

Een gelaagde aanpak werkt in de praktijk het beste: een basis-e-learning van 30 tot 45 minuten voor iedereen, verdieping per rol (managers, business owners, data scientists) en minimaal een jaarlijkse refresher. Documenteer wie wat heeft gevolgd, met datum en certificaat. Bij een toezichtsbezoek wordt dit expliciet gecontroleerd. Dit dekt ISO 42001 control A.4 inzake resources en competentie en NIST GOVERN.

Hoe de zes pijlers op ISO 42001 en de AI Act mappen

De kracht van een framework zit in de koppeling: elke governance-activiteit is herleidbaar naar een norm-control en een wettelijke verplichting. Dat is precies het bewijsdossier dat een auditor (ISO 42001) of een toezichthouder (AI Act) verwacht.

De mapping in deze tabel is een praktische ordening op basis van de Annex A-controlobjectieven van ISO 42001 en de vier NIST-functies; de exacte control-nummering kan per implementatie en per laatste norm-revisie licht verschuiven. Behandel de tabel als routekaart, niet als formele conformiteitsverklaring.

Waar begin je? Een stappenplan in vier fasen

Een framework op papier is geen governance. De volgorde waarin u het invoert, bepaalt of het werkt. Voor een MSP of IT-organisatie die nog weinig heeft ingericht, is dit de meest pragmatische route.

1. Inventariseer (week 1 tot 3): bouw het AI-register en vul het breed. Elke AI-tool, elk AI-feature in uw SaaS-stack, elk eigen model. Leg per systeem de rol (deployer of provider) en een voorlopige risicoklasse vast. Dit alleen al maakt zichtbaar waar u, vaak onverwacht, near-provider bent.
2. Beleg en stel beleid op (week 3 tot 6): wijs de zes rollen toe, stel het AI-beleid vast en laat het bestuur het formeel goedkeuren. Notuleer die goedkeuring: dat document is later uw bewijs van bestuurlijke betrokkenheid.
3. Classificeer en beoordeel (week 6 tot 12): classificeer elk systeem definitief op AI Act-risico, voer waar nodig een FRIA en DPIA uit, en richt het monitoring- en incidentproces in. Sluit de meldroutes van artikel 73 aan op uw bestaande incidentmanagement.
4. Borg en train (week 12 tot 24): rol de AI-geletterdheidstraining uit, leg de leveranciersafspraken contractueel vast, en zet de governance in een vaste cyclus met kwartaalrapportage aan het bestuur. Vanaf hier is governance een proces, geen project.

De prioriteit ligt bewust op het register en het beleid: zonder zicht op uw AI-landschap en zonder bestuurlijk mandaat blijft elke volgende stap losse symptoombestrijding. In onze adviespraktijk zien we dat organisaties die met een volledig register beginnen, de overige stappen aanzienlijk sneller doorlopen, omdat de scope dan vaststaat (praktijkinschatting van Dxfferent, geen externe statistiek).

De deadlines die er medio 2026 echt toe doen

Rond de AI Act circuleren veel data. Sinds de Digital Omnibus is een deel daarvan verschoven. Dit is de stand medio 2026, zodat u uw planning op de juiste mijlpalen baseert.

• 2 februari 2025 (geldt): verbod op onaanvaardbare AI-praktijken en de AI-geletterdheidsplicht (artikel 4) zijn van toepassing.
• 2 augustus 2025 (geldt): de governanceregels en verplichtingen voor GPAI-modellen zijn van toepassing.
• 2 augustus 2026 (komt eraan): de handhavingsbevoegdheden van de Commissie en het AI Office treden in werking, inclusief boetes voor GPAI-providers (artikel 101: tot 15 miljoen euro of 3 procent omzet). De boetes voor verboden praktijken lopen op tot 35 miljoen euro of 7 procent omzet (artikel 99). Ook de handhaving op AI-geletterdheid start vanaf deze datum.
• 2 december 2027 (uitgesteld): de verplichtingen voor zelfstandige hoog-risico AI-systemen (Annex III) worden van toepassing. Dit was eerder 2 augustus 2026 en is via de Digital Omnibus verschoven.
• 2 augustus 2028 (uitgesteld): de verplichtingen voor hoog-risico AI ingebed in gereguleerde producten (Annex I).

Het politieke akkoord over de Digital Omnibus is op 7 mei 2026 bereikt; de formele vaststelling en publicatie in het Publicatieblad worden voor 2 augustus 2026 verwacht. De wijziging treedt pas juridisch in werking bij die publicatie. Juridische analyses bevestigen de verschuiving van de hoog-risico-deadlines naar 2 december 2027 en 2 augustus 2028 en het uitstel van de kerncompliance-termijnen. Het uitstel is geen reden om te wachten: de geletterdheidsplicht en de GPAI-handhaving gelden onverkort, en governance is niet in een kwartaal opgezet.

Volwassenheidsmodel: waar staat u nu?

Een framework werkt het best als u weet vanaf welk punt u vertrekt. Dit vijftrapsmodel geeft een eerlijke nulmeting.

• Niveau 1, Ad hoc: geen beleid, geen register, AI wordt incidenteel gebruikt zonder governance.
• Niveau 2, Reactief: er is een AI-inventaris en een beleidsstuk, maar de implementatie is fragmentarisch.
• Niveau 3, Procesmatig: governance loopt in vaste cycli (intake, classificatie, FRIA, monitoring), het bestuur ontvangt periodieke rapportage, AI-incidenten worden gestructureerd afgehandeld. Dit is het minimum om aantoonbaarheid en handhavingsrisico te beheersen.
• Niveau 4, Gemanaged: ISO 42001-certificering of equivalent, KPI’s op AI-effectiviteit, integratie met productontwikkeling en risk management.
• Niveau 5, Continu verbeterend: AI-governance is een strategische capability die bijdraagt aan concurrentievoordeel; leveranciers en partners worden mede-gestuurd via governance-eisen.

De meeste Nederlandse MSPs zitten medio 2026 op niveau 1 of 2. Niveau 3 is het verstandige doel: het beheerst het handhavingsrisico op de plichten die nu al gelden (geletterdheid, GPAI, transparantie) en zet u in de startpositie voor de hoog-risico-eisen die in 2027 en 2028 van kracht worden. In onze adviespraktijk begeleiden we organisaties doorgaans in vier tot zes maanden van niveau 1 of 2 naar niveau 3, en in acht tot tien maanden naar niveau 4 (praktijkinschatting van Dxfferent).

Integratie met ISO 27001: bouw voort, begin niet opnieuw

AI governance staat niet op zichzelf. Heeft u al een ISO 27001-omgeving, dan deelt ISO 42001 daarmee de hele managementlaag (context, leiderschap, planning, ondersteuning, evaluatie, verbetering). U bouwt de AI-laag dus bovenop een bestaand ISMS, niet ernaast. In onze adviespraktijk zien we voor MSPs en IT-organisaties drie integratiepatronen:

• ISO 27001 plus AI-laag: u heeft een ISO 27001-certificaat en voegt AI-beleid en AI-register toe binnen het bestaande ISMS. Een lichte uitbreiding, geen apart certificaat.
• ISO 27001 plus ISO 42001: u certificeert ISO 42001 als parallel managementsysteem dat de managementlaag van ISO 27001 deelt. Twee certificaten, geintegreerd onderhoud. Voor de meeste MSPs en SaaS-leveranciers het optimum tussen aantoonbaarheid en beheerlast.
• NEN 7510 plus ISO 27001 plus ISO 42001: zorgleveranciers stapelen drie kaders tot een volledig geintegreerd managementsysteem met aparte certificering per discipline.

Omdat ISO 42001 dezelfde high-level-structuur volgt als ISO 27001, is de marginale inspanning om de AI-laag toe te voegen voor een al gecertificeerde organisatie aanzienlijk kleiner dan een AIMS from scratch. Dat maakt ISO 27001 niet alleen een securitybasis, maar ook de meest efficiente springplank naar aantoonbare AI-governance.

Lees ook

• Wat is de AI Act? De Europese AI-verordening uitgelegd
• AI-impact assessment: zo voert u een FRIA gestructureerd uit
• Boetes en aansprakelijkheid: wat AI Act en NIS2 voor het bestuur betekenen

Veelgestelde vragen over AI governance

Wat is het verschil tussen AI governance en AI compliance?

AI compliance is het voldoen aan wettelijke en contractuele eisen op een meetmoment. AI governance is de bredere organisatorische structuur die compliance mogelijk maakt en bovendien strategische, ethische en operationele AI-keuzes stuurt. Goede governance levert compliance op; pure compliance zonder governance is fragiel, omdat ze stopt zodra de checklist is afgevinkt.

Welke kaders gebruik ik voor een AI-governance framework?

Drie kaders vullen elkaar aan: ISO/IEC 42001:2023 levert de certificeerbare managementstructuur (38 Annex A-controls), het NIST AI Risk Management Framework levert de governance-praktijk (de functies GOVERN, MAP, MEASURE, MANAGE), en de EU AI Act levert de wettelijke verplichtingen met boetes. Bouw op ISO 42001 als ruggengraat, vul in met NIST AI RMF en toets tegen de AI Act.

Is ISO 42001 verplicht?

Nee. ISO/IEC 42001 is een vrijwillige, certificeerbare norm, geen wet. De EU AI Act is de wettelijke verplichting. ISO 42001 is wel de meest gestructureerde manier om aantoonbaar aan governance-eisen te voldoen, en een certificaat is een sterk signaal naar toezichthouders en klanten. Het dekt echter niet automatisch alle AI Act-verplichtingen: behandel het als fundament, niet als bewijs van volledige AI Act-naleving.

Geldt de hoog-risico AI-deadline van 2 augustus 2026 nog?

Er ligt een voorlopig akkoord om uit te stellen, maar juridisch geldt 2 augustus 2026 nog. Via de Digital Omnibus (voorlopig politiek akkoord 7 mei 2026) worden de verplichtingen voor zelfstandige hoog-risico AI-systemen (Annex III) naar verwachting uitgesteld naar 2 december 2027, en voor hoog-risico AI ingebed in gereguleerde producten (Annex I) naar 2 augustus 2028. Zolang dit akkoord niet formeel is aangenomen en gepubliceerd, blijft 2 augustus 2026 (artikel 113) de geldende datum. De geletterdheidsplicht (sinds 2 februari 2025) en de handhaving op GPAI-modellen (vanaf 2 augustus 2026) blijven sowieso onverkort gelden.

Is een MSP provider of deployer onder de AI Act?

Vaak allebei, per dienst verschillend. Bij het gebruiken van AI-tooling van derden bent u deployer, met deployer-verplichtingen voor hoog-risico-systemen (artikel 26). Zodra u AI in uw eigen dienstverlening verwerkt en onder eigen naam levert, of een bestaand AI-systeem substantieel aanpast, schuift u richting providerschap met zwaardere eisen. Leg de rol daarom per AI-systeem vast in uw AI-register, want de rol bepaalt het verplichtingenpakket.

Binnen welke termijn moet ik een serieus AI-incident melden?

Onder artikel 73 AI Act meldt de provider, of waar van toepassing de deployer, een serieus incident met een hoog-risico AI-systeem aan de markttoezichthouder: uiterlijk 15 dagen na bekend worden in het algemeen, uiterlijk 10 dagen bij overlijden van een persoon, en uiterlijk 2 dagen bij een wijdverbreide inbreuk of ernstige verstoring van kritieke infrastructuur. Een eerste, onvolledig rapport mag om de termijn te halen, gevolgd door een volledig rapport.

Hoe verhoudt AI governance zich tot NIS2?

NIS2 stelt cybersecurity-eisen aan essentiele en belangrijke entiteiten. Voor AI-systemen die kritieke diensten ondersteunen, overlappen incidentmanagement, ketenbeveiliging en risicobeheer. Een werkende AI-governance levert NIS2-relevante documentatie en processen, vooral op AI-leveranciersbeheer en incidentrespons. U hoeft niet dubbel hetzelfde feit te melden, maar u moet wel aantoonbaar aan beide regimes voldoen, met aparte termijnen (NIS2: 24 uur, 72 uur, 1 maand; AI Act artikel 73: 2, 10 of 15 dagen).

Van framework naar aantoonbaarheid

Een AI-governance framework is pas waardevol als het aantoonbaar is. De zes pijlers, gekoppeld aan ISO 42001 en de AI Act, leveren precies het dossier dat een auditor of toezichthouder verwacht: beleid met bestuurlijke goedkeuring, een gevuld AI-register, vastgelegde rollen, leveranciersafspraken, een werkend incidentproces en een trainingsregister.

Wilt u weten waar u staat? Een AI-governance gap-assessment van vier tot zes weken brengt uw AI-landschap in kaart, classificeert uw systemen op AI Act-risico en rol, en toetst uw inrichting tegen ISO 42001. Dxfferent voert dit traject uit met ISO 27001 als referentiekader, levert een AI-register met rol- en risicoclassificatie plus een prioriteitenrapport voor het bestuur, en wijst de snelste route naar niveau 3. Als advisory GRC- en Autotask-partner begeleiden we MSPs en IT-organisaties bij het opzetten van het framework; certificeren doet uw aangewezen certificerende instelling.