Case 07 · Governance

Governance, ingebouwd.

Hoe AI-governance en EU AI Act-readiness in de eerste negentig dagen als Head of AI passen. Een ontwerpers-kijk op governance, gestoeld op zeven jaar werk in gereguleerde sectoren bij Roche, ING en Philips, en twee jaar productie-AI runnen met responsible-AI-principes ingebouwd in de architectuur.

Rol: Head of AI, governance-lead
Duur: Eerste negentig dagen, daarna continu
Team: Head of AI, plus legal, security en één productvertegenwoordiger
Verticaal: Elke organisatie die AI in de EU draait na 2 augustus 2026

AI-governance-kaart: Inventaris links, Risicoclassificatie in het midden, Menselijk toezicht en audit rechts, met een continue compliance-band die de drie verbindt.

De deadline

Op 2 augustus 2026 wordt de EU AI Act volledig van toepassing. Hoog-risico AI-systemen zullen gedocumenteerde controles, ontworpen menselijk toezicht, audit trails en een compliance-positie nodig hebben die toetsing doorstaat. De meeste scale-ups zijn er nog niet klaar voor, en velen hebben nog geen helder beeld van welke AI er binnen hun eigen organisatie draait.

Dit is het governance-programma dat ik in de eerste negentig dagen leid, parallel aan de rollout in Case 03. Governance is een ontwerpprobleem en hoort in het centrum van een AI-programma, niet aan de rand.

Drie blinde vlekken

Geen AI-inventaris. De meeste organisaties kunnen niet op één pagina opnoemen welke AI er draait, welke data elk systeem aanraakt, wie hem bezit, en wat de faalvorm is. Zonder inventaris is classificatie onmogelijk. Zonder classificatie is compliance onmogelijk.
Menselijk toezicht als disclaimer. Een voettekst die zegt "door AI gegenereerd, controleer alstublieft" is geen toezicht. Echt toezicht is een ontwerppatroon. Gedefinieerde reviewmomenten, ontworpen approval-interfaces, gedocumenteerde override-paden, een werkende escalatie als het systeem onzeker is.
Training verward met compliance. Een uur-module overleeft geen audit, en hij overleeft niet het moment dat een medewerker een AI-systeem verkeerd gebruikt. Training is een programma, geen slideshow.

De eerste negentig dagen

Dag 1 tot 30. Inventaris en classificatie. Samen met engineering, product en legal breng ik elk AI-systeem in kaart dat in de organisatie draait. Interne tooling, klantgerichte features, vendor-integraties, de AI binnen de SaaS die het team al gebruikt. Elk krijgt een record. Wat het doet, welke data erin gaat, welke beslissing eruit komt, wie hem bezit.

Elk systeem wordt geclassificeerd tegen de Act. Minimaal, beperkt, hoog risico, verboden. De hoog-risico-systemen zijn degene waaromheen we zorgvuldig ontwerpen.

Dag 31 tot 60. Ontworpen menselijk toezicht en documentatie. Voor elk hoog-risico-systeem ontwerp ik de toezichtlaag samen met het team. Waar ziet een mens de output van de AI voordat die actie onderneemt. Wat kan hij overrulen, en wat gebeurt er dan. Hoe wordt de beslissing gelogd. Hoe valt het systeem terug wanneer het vertrouwen te laag is.

Dit is ontwerpwerk, geen juridisch werk. Het is hetzelfde soort werk dat ik bij Roche deed, ontwerpen voor farmaceutische workflows waar een verkeerd UI veiligheidsgevolgen had. Krijg de interactie goed en de audit trail volgt.

Documentatie in deze fase is het deel dat teams vergeten. Technische documentatie, gebruiksinstructies, records van ontwerpbeslissingen. De Act vereist dit voor elk hoog-risico-systeem. De kosten om het later te schrijven zijn vele malen hoger dan de kosten om het nu te schrijven.

Dag 61 tot 90. Training en continue compliance. AI-geletterdheid is een programma. Ik ontwerp het op dezelfde manier als de gepaarde training in Case 03. Rol-gebaseerd, verankerd in echte flows. Engineers leren de technische en ontwerptechnische beperkingen. Klantgerichte teams leren wat ze wel en niet kunnen beloven. Het leiderschap leert de regulatoire positie en wat er op het spel staat.

Continue compliance is de andere helft. De inventaris is een levend document. Elke nieuwe feature wordt geclassificeerd voordat hij wordt uitgerold. Elke vendor-integratie krijgt een verse blik. Elke modelwissel krijgt een sign-off.

Vijf niet-onderhandelbare principes

Governance is een ontwerpprobleem. Het kan niet achteraf op een live systeem worden vastgeschroefd.
Menselijk toezicht is echt, of het is niets. Disclaimers tellen niet.
Data residency en dataminimalisatie zijn architecturale keuzes, geen bijgedachten.
Responsible AI is een productprincipe. Bij Memortium wordt "identiteit is bepalend, bij twijfel niet leveren" in code afgedwongen met ArcFace-validatie. Geen poster, een gate in de pipeline.
Compliance op zichzelf is geen concurrentievoordeel, maar het verliezen is een nadeel. Act-ready bedrijven in augustus 2026 zullen in gereguleerde markten kunnen verkopen zonder maanden van wrijving.

Waar dit vandaan komt

De methodiek komt uit het gereguleerde werk dat ik eerder heb gedaan. Roche, waar elke UI-beslissing compliance-implicaties had. ING, waar regelgevingseisen niet optioneel waren. Philips, waar databehandeling een eerste-orde-zorg was. En Memortium, waar het responsible-AI-principe in de architectuur zit in plaats van in de marketingcopy.

Governance en de rollout in Case 03 zijn niet gescheiden. Een rollout die governance negeert produceert een systeem dat in augustus 2026 duur moet worden herontworpen. Een governance-programma dat niet verankerd is in echt productwerk produceert papierwerk dat niemand respecteert. De Head of AI-stoel is waar beide bij elkaar gehouden worden.