Noodzakelijke opslag staat aan. Analytics laden alleen na toestemming. Meer informatie
Stel je een auditvoorbereiding voor de EU AI Act voor. Je opent je AI-governanceplatform en laat een indrukwekkend register zien: elk AI-systeem geregistreerd, geclassificeerd, gedocumenteerd, met policy-workflows eraan vast. Dan stelt de auditor een simpele vraag: "Wie werkt er dagelijks met deze systemen, en hoe bewijzen jullie dat die mensen daarvoor toegerust zijn?"
Op die vraag valt de meeste AI-governance stack stil. En het is geen klein gat. Het is ruwweg de helft van wat de EU AI Act van organisaties verwacht die AI inzetten.
Platforms als Credo AI, OneTrust AI Governance, Holistic AI en IBM watsonx.governance zijn gebouwd voor governance op systeemniveau. Daar zijn ze goed in:
Draai je tientallen AI-systemen verspreid over meerdere afdelingen, dan is deze laag geen luxe. Het is de enige praktische manier om overzicht te houden op een groeiend AI-portfolio. Niets in dit artikel pleit daartegen.
Maar let op wat elk punt op die lijst gemeen heeft: de eenheid van governance is het systeem. Het model, de use case, de vendor, de dataset. Mensen komen in deze platforms voor als workflow-goedkeurders en risk owners, niet als onderwerp van het bewijs zelf.
De EU AI Act reguleert niet alleen AI-systemen. De wet reguleert expliciet de relatie tussen systemen en de mensen die ermee werken.
Artikel 4 verplicht aanbieders en gebruiksverantwoordelijken om te zorgen voor een toereikend niveau van AI-geletterdheid bij medewerkers en anderen die namens hen met AI-systemen werken, rekening houdend met hun technische kennis, ervaring, opleiding en training, en de context waarin de systemen worden gebruikt.
Artikel 26 legt daar verplichtingen voor gebruiksverantwoordelijken bovenop: organisaties die hoog-risico AI-systemen inzetten moeten menselijk toezicht beleggen bij mensen met de nodige competentie, opleiding en bevoegdheid. Artikel 14 eist dat hoog-risico systemen ontworpen zijn voor effectief menselijk toezicht, maar dat ontwerp werkt alleen als de mensen die toezicht houden ook weten waar ze op moeten letten.
Start met de 5-minuten scan en zie waar je AI-geletterdheid nog niet bewijsbaar is.
Lees die drie artikelen samen en er verschijnt een patroon. De wetgever gaat ervan uit dat je voor elk AI-systeem in scope kunt beantwoorden:
Een systeemregister kan geen van deze vragen beantwoorden. Een voltooiingsrapport uit een generiek e-learningportaal ook niet, want dat is niet gekoppeld aan systemen, rollen of verplichtingen. De vraag "is deze persoon klaar om met dit systeem te werken" valt precies tussen de twee tools die de meeste organisaties hebben.
Mensenbewijs is een keten, en elke schakel moet houden:
Dit is de keten waar LearnWize omheen gebouwd is. Het register en de risicoclassificatie leven op dezelfde plek als de roltoewijzingen, de training, de certificaten en de manipulatiebestendige audit log. Rondt iemand een track af, dan landt het bewijs per persoon, per systeem. En met het Trust Center deelt een organisatie een live bewijspagina met wie er ook maar om vraagt, in één link.
Het verschil zie je het scherpst als je vergelijkt wat elke laag op tafel kan leggen als iemand om bewijs vraagt.
Een GRC-platform laat zien:
Een mensenbewijsplatform laat zien:
Stel je huidige stack beide lijsten met vragen. De meeste organisaties ontdekken dat ze de eerste lijst redelijk kunnen beantwoorden en de tweede lijst helemaal niet.
Dat hangt af van je omvang, en eerlijkheid telt hier.
Ben je een grote organisatie met een breed AI-portfolio, dan ja. Een GRC-platform voor systeemgovernance plus een mensenbewijslaag is het complete plaatje. De twee concurreren niet, ze vullen elkaar aan. Je GRC-tool bewijst dat de systemen bestuurd worden. Je mensenlaag bewijst dat het personeel er klaar voor is. Auditors en enterprise-klanten vragen steeds vaker naar beide.
Ben je een middelgrote organisatie met een handvol AI-use-cases, dan is een volledige GRC-suite vaak overkill. Je hebt nog steeds een register en risicoclassificatie nodig, want elke verplichting vloeit daaruit voort, maar je hebt geen enterprise-workflowmachinerie eromheen nodig. Daarom heeft LearnWize een ingebouwd AI-register met classificatiewizard: genoeg systeemgovernance om de bewijsketen te verankeren, zonder de enterprise-overhead.
Wat je niet moet doen is een GRC-platform kopen en aannemen dat de mensenkant daarmee geregeld is. Dat is niet zo, en het gat wordt zichtbaar op precies het verkeerde moment: in een audit, een RFP of een OR-vergadering.
Een concreet voorbeeld. Een organisatie registreert haar recruitment-screeningtool in het LearnWize AI-register. De classificatiewizard loopt de beslisboom van de EU AI Act door en komt uit op hoog-risico, Annex III. De verplichtingen verschijnen, inclusief geletterdheid en menselijk toezicht. HR-rollen worden aan het systeem gekoppeld, recruiters krijgen een rolgebaseerde track over het beoordelen van AI-shortlists, hiring managers een track over toezicht en escalatie. Voltooiingen, certificaten en refreshdata landen automatisch in de audit log.
Stuurt een klant een RFP-vraag over EU AI Act-readiness, dan deelt de organisatie haar Trust Center-link: systemen in scope, risicoprofiel, teamdekking, certificaten. Eén pagina, live data, geen spreadsheet-archeologie. Benieuwd hoe dat eruitziet? Bekijk een live bewijspagina.
Dat is het verschil in één zin: governance-tools bewijzen je systemen, wij bewijzen je mensen.
Begin met zicht op de mensenkant, want daar hebben de meeste organisaties niets. Doe de readiness scan om te zien waar je team staat op AI-geletterdheid en Artikel 4-bewijs. Wil je de volledige keten in 30 dagen, van register tot deelbaar bewijs, kijk dan naar de EU AI Act Evidence Sprint.
En draai je al Credo AI of OneTrust: houd dat vooral. Breng ons de mensenkant. Dat is de helft waar je auditor de volgende keer naar vraagt.