Stel: jouw IT-partner zet morgen een AI-agent in die automatisch e-mails beantwoordt, bestanden verplaatst of toegang geeft tot systemen. Niemand heeft dat met je afgesproken. Niemand bewaakt wat die agent doet. En als er iets misgaat? Dan is de kans groot dat je opdraait voor de gevolgen.

ZDNet meldt dat een meerderheid van IT-managers erkent dat AI-agents sneller worden uitgerold dan dat er beheer of toezicht over bestaat. Slechts een klein deel zegt volledige controle te hebben. Voor kmo’s die IT uitbesteden, is dat geen ver-van-mijn-bed-verhaal. Het is een risico dat vandaag al bestaat.

Waarom AI-agents een concreet risico zijn voor kmo’s

AI-agents zijn stukken software die zelfstandig taken uitvoeren: ze zoeken informatie, sturen berichten, plannen afspraken of passen instellingen aan. Dat klinkt handig, maar het probleem zit precies in dat woord ‘zelfstandig’.

Een agent die draait in jouw IT-omgeving heeft vaak toegang tot bedrijfsdata, klantgegevens of financiële systemen. Als jouw IT-partner zo’n tool inzet zonder dat je dat weet, heb je ook geen zicht op wat die agent doet of fouten maakt. En contractueel? Dat is in de meeste uitbestedingsovereenkomsten simpelweg niet geregeld.

De risico’s zijn concreet en drieledig:

• Operationeel: een agent die de verkeerde actie uitvoert, kan processen platleggen of data overschrijven.
• Juridisch: onder de Europese AI-verordening (EU AI Act) draag je als organisatie mee de verantwoordelijkheid voor AI-toepassingen die in jouw naam draaien.
• Financieel: herstelkosten, boetes en reputatieschade worden niet automatisch verhaald op jouw IT-partner, tenzij het contract dat uitdrukkelijk vastlegt.

Het is ook eerlijk om te zeggen dat niet elke IT-partner nalatig is. Elk contract is anders. Maar als je niet weet wat er in jouw naam draait, kun je het risico ook niet inschatten.

Wat je IT-partner moet beloven: vijf contractitems om te eisen

Het goede nieuws: dit is afdichtbaar. De meeste IT-partners zijn bereid om duidelijke afspraken te maken, maar dan moet je het wel vragen. Wacht niet tot na een incident.

Vijf dingen die contractueel vastgelegd moeten zijn:

1. Deployment-goedkeuring: geen AI-agent wordt ingezet zonder jouw expliciete akkoord vooraf.
2. Toegangsbeheer: elke agent krijgt alleen toegang tot wat strikt noodzakelijk is voor de taak.
3. Monitoring: er bestaat een dashboard of periodieke rapportage die aangeeft welke agents actief zijn en wat ze doen.
4. Incident response: er is een procedure als een agent iets fout doet, inclusief wie je verwittigt en binnen welke termijn dat moet gebeuren.
5. Aansprakelijkheid: het contract vermeldt uitdrukkelijk wie verantwoordelijk is als een agent schade veroorzaakt, of het nu gaat om een datalek, operationele uitval of een complianceboete.

Sommige IT-partners bieden dit standaard aan. Anderen niet. Dat verschil maak je door het te vragen voordat de tools worden ingezet, niet erna. Zie het als dezelfde logica als een brandverzekering: je sluit die ook af voordat het brandt.

Drie vragen die je morgen kunt stellen

Je hoeft geen IT-expert te zijn om dit aan te pakken. Drie concrete vragen volstaan als vertrekpunt voor een gesprek met jouw IT-partner:

1. ‘Welke AI-agents draaien er vandaag in onze omgeving, en wie heeft die goedgekeurd?’
2. ‘Hoe worden we verwittigd als een agent gedrag vertoont dat afwijkt van wat verwacht wordt?’
3. ‘Staat in ons contract wie aansprakelijk is als een AI-agent een fout maakt of data lekt?’

Als het antwoord op een van die vragen vaag blijft, is dat zelf al een signaal. Een IT-partner die zijn eigen omgeving niet kan beschrijven, biedt ook geen grip op wat er in jouw naam draait.

Bij Clear IT bekijken we dit soort vragen regelmatig samen met klanten die twijfelen over wat hun huidige contract dekt. Soms zijn de antwoorden geruststellend. Soms niet. Maar je kunt pas handelen als je het weet. Vraag de antwoorden schriftelijk en bewaar ze.

Begin met vragen, niet met vertrouwen

AI-agents zijn nuttige tools, maar alleen als iemand weet dat ze draaien, wat ze doen, en wie verantwoordelijk is als het misgaat. Vraag jouw IT-partner om schriftelijke antwoorden op de drie vragen hierboven. Is het contract vaag? Laat het aanpassen. Is er geen monitoringrapportage? Eis er een. Dat is geen wantrouwen ten opzichte van jouw IT-partner. Het is gewoon verantwoord bedrijfsbeheer.

Veelgestelde vragen

Wat is een AI-agent precies?

Een AI-agent is software die zelfstandig taken uitvoert zonder dat een mens elke stap goedkeurt. Denk aan een tool die automatisch e-mails sorteert, afspraken plant of data opzoekt en verwerkt. Het verschil met gewone software is dat een agent zelf beslissingen neemt op basis van instructies.

Ben ik als bedrijfsleider aansprakelijk voor wat een AI-agent doet?

Onder de Europese AI-verordening draag je als organisatie mee de verantwoordelijkheid voor AI-toepassingen die in jouw naam of op jouw systemen draaien. Of jouw IT-partner ook aansprakelijk is, hangt af van wat er contractueel is afgesproken. Zonder duidelijke afspraken is de kans groot dat je het risico grotendeels zelf draagt.

Wat als mijn IT-partner zegt dat ze AI-agents al beheren?

Goed, maar vraag dan om bewijs: een overzicht van actieve agents, een beschrijving van het monitoringproces en de aansprakelijkheidsclausule in het contract. Wie dat niet kan tonen, biedt ook geen echte garantie. Vertrouwen is prima, maar schriftelijke bevestiging is beter.

Moet ik intern iemand aanduiden die dit opvolgt?

Dat is sterk aan te raden. Dat hoeft geen IT-expert te zijn. Iemand die als aanspreekpunt fungeert voor vragen aan de IT-partner en die de rapportages opvolgt, volstaat. Zonder intern aanspreekpunt schuift de verantwoordelijkheid stilaan volledig naar de IT-partner, en dat is zelden een goed idee.