Agentic AI is een nieuwe generatie kunstmatige intelligentie waarbij systemen niet alleen reageren op instructies, maar zelfstandig doelen stellen, beslissingen nemen en acties uitvoeren zonder voortdurende menselijke sturing. Onder de Europese AI Act vallen autonome AI-agents doorgaans in de categorie hoog-risico of worden ze beoordeeld als General Purpose AI-model, afhankelijk van hun toepassing en schaal. In dit artikel beantwoorden we de meest gestelde vragen over Agentic AI en de bijbehorende verplichtingen onder de AI Act.
Hoe verschilt Agentic AI van gewone AI-modellen?
Agentic AI verschilt van gewone AI-modellen doordat het systeem niet wacht op een instructie per stap, maar zelfstandig een reeks acties plant en uitvoert om een doel te bereiken. Waar een traditioneel AI-model een vraag beantwoordt of een taak uitvoert zodra het daartoe opdracht krijgt, neemt een Agentic AI-systeem zelf initiatief, evalueert tussenresultaten en past zijn aanpak aan.
Traditionele AI-modellen zijn reactief: ze verwerken input en geven output. Denk aan een chatbot die een vraag beantwoordt of een model dat een afbeelding classificeert. Agentic AI gaat een stap verder door meerdere stappen te combineren: het stelt een plan op, roept externe tools of systemen aan, verwerkt de resultaten en besluit vervolgens wat de volgende actie is. Dit maakt het systeem proactief en autonoom.
Een praktisch voorbeeld: een gewone AI-assistent beantwoordt de vraag "wanneer verloopt mijn contract?". Een Agentic AI-systeem zoekt zelfstandig het contract op, controleert de vervaldatum, vergelijkt dit met bedrijfsregels en stuurt vervolgens een verlengingsvoorstel naar de juiste medewerker, zonder dat iemand daartoe opdracht heeft gegeven.
Dit onderscheid is ook relevant voor organisaties die werken met Robotic Process Automation. Wat vroeger RPA heette, waarbij bots vaste instructies uitvoerden, evolueert naar Agentic AI: zelfdenkende assistenten die niet alleen instructies opvolgen, maar zelfstandig initiatief nemen en handelen op basis van context en doelstellingen.
Welke risicocategorie krijgen autonome AI-agents onder de AI Act?
Autonome AI-agents vallen onder de AI Act in de meeste gevallen in de categorie hoog-risico, zeker wanneer ze worden ingezet in domeinen als personeelsbeheer, toegang tot essentiële diensten, rechtshandhaving of kritieke infrastructuur. De exacte classificatie hangt af van het specifieke gebruik, niet van de technologie op zich.
De AI Act hanteert een risicoclassificatie met vier niveaus: verboden toepassingen, hoog-risico AI, AI met beperkt risico en AI met minimaal risico. Agentic AI-systemen worden beoordeeld op basis van hun toepassing en het domein waarin ze opereren.
- Hoog-risico (Annex III): Agents die besluiten nemen over kredietwaardigheid, sollicitanten beoordelen, patiëntendossiers beheren of noodoproepen afhandelen vallen automatisch in deze categorie.
- Beperkt risico: Agents die uitsluitend informatieve taken uitvoeren zonder directe impact op mensenrechten of veiligheid kunnen onder de lichtere transparantieverplichtingen vallen.
- Minimaal risico: Volledig interne procesautomatisering zonder contact met consumenten of gevoelige besluitvorming kan buiten de gereguleerde categorieën vallen.
Een belangrijk aandachtspunt is dat een Agentic AI-systeem dat profilering van natuurlijke personen uitvoert, altijd als hoog-risico wordt aangemerkt, ongeacht de context. Organisaties die twijfelen over de classificatie van hun systeem doen er goed aan dit proactief te documenteren, inclusief de onderbouwing waarom een systeem eventueel buiten de hoog-risico-categorie valt.
Welke concrete verplichtingen gelden voor aanbieders van Agentic AI?
Aanbieders van Agentic AI-systemen die als hoog-risico worden geclassificeerd, moeten voldoen aan een uitgebreide set verplichtingen op het gebied van risicobeheer, technische documentatie, menselijk toezicht en conformiteitsbeoordeling voordat het systeem op de markt wordt gebracht.
De belangrijkste verplichtingen voor aanbieders van hoog-risico Agentic AI zijn:
- Risicomanagementsysteem: Een doorlopend systeem dat risico’s identificeert, beoordeelt en mitigeert gedurende de hele levenscyclus van het systeem.
- Technische documentatie: Gedetailleerde documentatie over de werking, trainingsdata, prestaties en beperkingen van het systeem, conform de eisen van de AI Act.
- Menselijk toezicht: Het systeem moet zo zijn ontworpen dat mensen effectief kunnen ingrijpen, de werking kunnen begrijpen en het systeem indien nodig kunnen uitschakelen.
- Robuustheid en nauwkeurigheid: Aantoonbare technische maatregelen om consistente prestaties en weerstand tegen manipulatie te garanderen.
- Registratie in de EU-databank: Hoog-risico AI-systemen moeten worden geregistreerd in de centrale Europese databank voordat ze worden ingezet.
- Conformiteitsverklaring: Een formele verklaring dat het systeem voldoet aan alle toepasselijke eisen van de AI Act.
Wanneer een organisatie een bestaand Agentic AI-systeem aanpast, zijn naam erop zet of het beoogde gebruik zodanig wijzigt dat het systeem hoog-risico wordt, wordt die organisatie zelf aanbieder met alle bijbehorende verplichtingen. Dit is een cruciaal punt voor organisaties die standaard AI-platforms inzetten en aanpassen voor eigen gebruik.
Wat zijn de transparantieverplichtingen voor AI-agents richting eindgebruikers?
AI-agents die interacteren met mensen moeten eindgebruikers duidelijk informeren dat ze met een AI-systeem communiceren, tenzij dit evident is uit de context. Deze transparantieverplichting geldt al bij beperkt-risico AI en wordt strenger naarmate het systeem autonomer en ingrijpender is.
Voor Agentic AI gelden specifieke transparantie-eisen die verdergaan dan de basisverplichting om te melden dat het om AI gaat:
- Gebruikers moeten begrijpen welke beslissingen door het systeem worden genomen en op basis waarvan.
- Bij hoog-risico AI-systemen moeten gebruikers worden geïnformeerd over de mogelijkheden en beperkingen van het systeem.
- Wanneer een Agentic AI-systeem emoties simuleert of menselijk gedrag imiteert, moet dit expliciet worden gemeld.
- Gebruikers moeten altijd de mogelijkheid hebben om contact op te nemen met een mens, zeker bij beslissingen die hun rechten of belangen raken.
Voor organisaties die Agentic AI inzetten in klantcontact is dit bijzonder relevant. Een AI-agent die zelfstandig klachten afhandelt, bestellingen verwerkt of informatie verstrekt over diensten moet helder communiceren over zijn aard en zijn beperkingen. Dit beschermt niet alleen de eindgebruiker, maar beperkt ook het juridische risico voor de inzettende organisatie.
Wanneer treedt de AI Act in werking en wat zijn de deadlines?
De AI Act treedt gefaseerd in werking. De eerste verplichtingen zijn al van kracht, en de meeste relevante deadlines voor hoog-risico AI-systemen, waaronder Agentic AI, vallen in 2026 en 2027. Organisaties die nu nog niets hebben ondernomen, lopen achter op schema.
De belangrijkste mijlpalen zijn:
- 2 februari 2025: De verboden praktijken van Artikel 5 zijn van kracht, evenals de verplichting tot AI-geletterdheid binnen organisaties (Artikel 4).
- 2 augustus 2025: Verplichtingen voor General Purpose AI-modellen, de boetebepalingen en de governancestructuur zijn actief. Nationale toezichthouders moeten zijn aangewezen.
- 2 augustus 2026: De meeste verplichtingen voor hoog-risico Annex III-systemen treden in werking. Dit is de meest relevante deadline voor de meeste Agentic AI-toepassingen in klantcontact en bedrijfsprocessen.
- 2 augustus 2027: Verplichtingen voor hoog-risico AI als veiligheidscomponent van gereguleerde producten worden actief. GPAI-modellen die vóór augustus 2025 op de markt waren, moeten uiterlijk op deze datum conform zijn.
In 2026 zijn de meeste organisaties dus al verplicht te voldoen aan de eisen voor hoog-risico AI. Wie nu begint met het in kaart brengen van zijn AI-systemen en het opstellen van de vereiste documentatie, heeft voldoende tijd om compliant te zijn.
Wat zijn de boetes bij niet-naleving van de AI Act?
De boetes voor niet-naleving van de AI Act zijn aanzienlijk en volgen een drietrapsstructuur. De zwaarste sancties gelden voor verboden AI-praktijken en kunnen oplopen tot 35 miljoen euro of 7% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
De drie niveaus van de boetestructuur zijn:
- Verboden praktijken (Artikel 5): Maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet. Dit geldt bijvoorbeeld voor manipulatieve AI-systemen of social scoring door overheden.
- Overige non-conformiteit: Maximaal 15 miljoen euro of 3% van de wereldwijde jaaromzet. Dit omvat het niet voldoen aan de verplichtingen voor hoog-risico AI, zoals ontbrekende documentatie of onvoldoende menselijk toezicht.
- Onjuiste informatie aan autoriteiten: Maximaal 7,5 miljoen euro of 1% van de wereldwijde jaaromzet.
Voor kleine en middelgrote ondernemingen geldt telkens het laagste van het percentage of het vaste bedrag, wat enige bescherming biedt voor kleinere organisaties. Handhaving ligt bij nationale markttoezichtautoriteiten, met het Europese AI Office als toezichthouder voor General Purpose AI-modellen. Finland was in januari 2026 de eerste lidstaat die formele handhavingsbevoegdheden toekende aan zijn nationale autoriteit.
Hoe Pegamento helpt met Agentic AI en AI Act compliance
Wij begrijpen dat de combinatie van nieuwe AI-technologie en complexe regelgeving overweldigend kan voelen. Bij Pegamento helpen we organisaties om Agentic AI verantwoord en effectief in te zetten, met oog voor zowel de zakelijke waarde als de wettelijke verplichtingen onder de AI Act.
Wat wij concreet bieden:
- Agentic AI-oplossingen voor klantcontact: Zelfdenkende assistenten die repeterende vragen afhandelen, routeren en escaleren, zodat je medewerkers zich kunnen richten op complexe vraagstukken.
- Transparantie en menselijk toezicht ingebouwd: Onze systemen zijn ontworpen met de AI Act in gedachten, inclusief duidelijke gebruikerscommunicatie en effectieve mogelijkheden voor menselijke interventie.
- Geen kostbaar maatwerk, maar slimme combinatie van bewezen modules: We bouwen oplossingen op maat met standaard bouwblokken die al voldoen aan de relevante compliance-eisen.
- Alles onder één dak: Van advies en implementatie tot beheer en ondersteuning, zonder dat je meerdere leveranciers hoeft te managen.
- ISO 27001 gecertificeerd: Onze aanpak voldoet aan de hoogste standaarden voor informatiebeveiliging, aangevuld met ISO 9001 en ISO 26000 certificering.
Wil je weten hoe Agentic AI voor customer service jouw organisatie kan helpen, en hoe je dit compliant doet? Neem contact op en we denken graag met je mee.
Veelgestelde vragen
Hoe begin ik met het in kaart brengen van mijn Agentic AI-systemen voor AI Act compliance?
Start met een AI-inventarisatie: maak een overzicht van alle AI-systemen die je organisatie gebruikt, aanpast of aanbiedt, en beoordeel per systeem het toepassingsdomein en de mate van autonomie. Koppel dit aan de risicocategorieën uit de AI Act om te bepalen welke verplichtingen van toepassing zijn. Documenteer je bevindingen meteen, want die onderbouwing is zelf al een vereiste bij hoog-risico systemen. Wie nu begint, heeft ruim de tijd om vóór de deadline van augustus 2026 volledig compliant te zijn.
Wat als ik een standaard AI-platform van een externe leverancier gebruik en dat aanpas voor mijn eigen organisatie?
Zodra je een bestaand AI-systeem aanpast, je eigen naam erop zet, of het beoogde gebruik zodanig wijzigt dat het systeem in een hoog-risico categorie terechtkomt, word jij juridisch gezien de aanbieder met alle bijbehorende verplichtingen. Dit betekent dat je zelf verantwoordelijk bent voor de technische documentatie, het risicomanagementsysteem en de conformiteitsverklaring. Controleer daarom altijd contractueel welke compliance-verantwoordelijkheden bij jou en welke bij de oorspronkelijke leverancier liggen.
Geldt de AI Act ook voor Agentic AI-systemen die uitsluitend intern worden gebruikt, zonder contact met klanten?
Ja, de AI Act maakt geen onderscheid tussen intern en extern gebruik als het gaat om hoog-risico toepassingen. Een intern Agentic AI-systeem dat bijvoorbeeld sollicitanten beoordeelt, personeelsbeslissingen ondersteunt of toegang tot interne systemen beheert, valt gewoon onder de hoog-risico verplichtingen. Alleen volledig interne procesautomatisering zonder gevoelige besluitvorming én zonder impact op mensenrechten kan mogelijk buiten de gereguleerde categorieën vallen. Laat dit altijd juridisch toetsen voordat je aanneemt dat jouw systeem buiten scope valt.
Wat is het verschil tussen een 'aanbieder' en een 'gebruiker' onder de AI Act, en waarom maakt dat uit?
Een aanbieder is de partij die een AI-systeem ontwikkelt, op de markt brengt of in gebruik stelt, terwijl een gebruiker (in de AI Act 'deployer' genoemd) het systeem van een ander inzet voor eigen doeleinden. Aanbieders dragen de zwaarste verplichtingen, zoals conformiteitsbeoordeling en registratie in de EU-databank. Gebruikers hebben lichtere maar nog steeds concrete verplichtingen, zoals het zorgen voor menselijk toezicht en het informeren van eindgebruikers. Het onderscheid is cruciaal omdat veel organisaties onbewust de rol van aanbieder op zich nemen door aanpassingen aan ingekochte AI-systemen.
Hoe zorg ik ervoor dat 'menselijk toezicht' in de praktijk echt werkt en niet slechts een papieren vereiste is?
Effectief menselijk toezicht betekent dat medewerkers het systeem begrijpen, de uitkomsten kunnen beoordelen én daadwerkelijk kunnen ingrijpen wanneer nodig. Dat vereist training in AI-geletterdheid (ook al een verplichting per februari 2025), duidelijke escalatieprocedures en technische mogelijkheden om het systeem te pauzeren of te overschrijven. Vermijd de valkuil van 'toezicht op papier' waarbij een medewerker formeel verantwoordelijk is maar in de praktijk niet in staat is om de beslissingen van het systeem te begrijpen of te corrigeren.
Kan een Agentic AI-systeem van risicocategorie veranderen als ik het gebruik uitbreid naar nieuwe toepassingen?
Absoluut, en dit is een veelgemaakte fout in de praktijk. Een systeem dat begint als beperkt-risico informatietool kan hoog-risico worden zodra je het inzet voor besluitvorming over krediet, personeel of toegang tot diensten. Elke significante uitbreiding van het gebruik vereist een hernieuwde risicoanalyse en mogelijk een volledig nieuwe conformiteitsbeoordeling. Bouw daarom een intern proces in waarbij nieuwe toepassingen van bestaande AI-systemen altijd worden getoetst aan de AI Act-classificatie voordat ze worden uitgerold.
Wat zijn de meest voorkomende fouten die organisaties maken bij de voorbereiding op de AI Act?
De drie meest voorkomende fouten zijn: ten eerste het te laat starten, waardoor de vereiste documentatie en risicoanalyses ontbreken bij de deadline; ten tweede het onderschatten van de eigen rol als aanbieder bij aanpassingen aan ingekochte AI-platforms; en ten derde het behandelen van compliance als eenmalig project in plaats van een doorlopend proces. De AI Act vereist een levend risicomanagementsysteem dat meegaat met de ontwikkeling van het systeem, niet een document dat eenmalig wordt opgesteld en vervolgens in een la verdwijnt.


