Vier Britse toezichthouders brengen de AI-agent nalevingscrisis in kaart

Op 31 maart 2026 deden vier Britse toezichthouders iets wat ze zelden doen. Ze ondertekenden gezamenlijk een waarschuwing.

Belangrijkste inzichten

1. Vier Britse toezichthouders spreken met één stem. De Competition and Markets Authority, Financial Conduct Authority, Information Commissioner’s Office en Ofcom publiceerden in maart 2026 gezamenlijk een vooruitblik over agentic AI. Wanneer vier toezichthouders gelijktijdig dezelfde waarschuwing afgeven, is de richting niet langer onduidelijk.
2. Autonomie heft verantwoordelijkheid niet op. De DRCF maakt één punt volstrekt duidelijk: De organisatorische verantwoordelijkheid voor wettelijke naleving blijft ongewijzigd, ongeacht hoe autonoom een AI-agent handelt. “Mijn agent deed het” is geen verdediging die een Britse toezichthouder zal accepteren.
3. Het “many hands”-probleem is een audittrail-probleem. Als er iets misgaat, verwachten toezichthouders te kunnen zien wie wat, wanneer, en met welke data heeft geautoriseerd. De meeste organisaties kunnen dat detailniveau voor AI-agentactiviteiten niet leveren, terwijl handhaving dat wel zal eisen.
4. Elke organisatie zet agents in. Bijna niemand kan ze begrenzen. Onderzoeksresultaten uit de sector laten zien dat 100% van de organisaties agentic AI op hun stappenplan heeft staan, terwijl slechts ongeveer vier op de tien een kill switch of doelgebonden controles hebben geïmplementeerd. Het governance-gat is het verhaal.
5. Het architecturale antwoord is governance op datalaag-niveau. Identiteitscontroles, model-guardrails en promptfilters falen allemaal op hetzelfde punt: zodra de agent gereguleerde data leest of schrijft. De controles moeten bij de data zelf zitten, niet bij het model.

Het Digital Regulation Cooperation Forum — het gezamenlijke orgaan van de Competition and Markets Authority, de Financial Conduct Authority, de Information Commissioner’s Office en Ofcom — publiceerde een vooruitblik getiteld The Future of Agentic AI. Het document bevat een diplomatieke disclaimer dat het niet als beleid moet worden gelezen. Lees het toch.

Het identificeert zeven categorieën van compliance-risico’s waarmee bedrijven nu worden geconfronteerd nu AI-agents van pilots naar operationeel gebruik gaan: gefragmenteerde verantwoordelijkheid tussen modelproviders en implementerende partijen, falen van gegevensbescherming en dataminimalisatie, prompt-injectie en manipulatie van agents, het bundelen van acties zonder geïnformeerde toestemming, algoritmische samenspanning, dark patterns die zijn geoptimaliseerd tegen consumentenbelang, en online-veiligheidsclassificatierisico. Het Institute of Chartered Accountants in England and Wales vertaalde de zeven risico’s vorige week voor accountancykantoren. De vertaling is van toepassing op elke gereguleerde sector.

De DRCF stelt onomwonden dat de organisatorische verantwoordelijkheid voor wettelijke naleving ongewijzigd blijft, ongeacht de autonomie van de agent. Vertaling: Als een agent een regel overtreedt, krijgt het bedrijf de boete, niet de agent. Die ene zin verandert hoe elke gereguleerde organisatie in 2026 naar compliance-risico van AI-agents zou moeten kijken.

De zeven risico’s waarvoor de DRCF elk bedrijf verantwoordelijk houdt

De DRCF rangschikte haar waarschuwingen onder vier cross-sectorale koppen — governance, gegevensbescherming en cyberbeveiliging, consumentenrechten en -belangen, en marktdynamiek — maar de operationele inhoud bestaat uit zeven afzonderlijke vormen van compliance-falen. Gefragmenteerde verantwoordelijkheid is het “many hands”-probleem: wanneer meerdere modelproviders, systeemintegrators en implementerende partijen bijdragen aan het gedrag van een agent, wie is dan verantwoordelijk bij een datalek? Falen van gegevensbescherming omvat onrechtmatige verwerking, doelverschuiving en het niet minimaliseren van data wanneer agents data doorzoeken die ze niet nodig hadden. Prompt-injectie en manipulatie veranderen agents in onbedoelde aanvallers. Actiebundeling haalt betekenisvolle toestemming onderuit wanneer een agent een reeks beslissingen neemt die een menselijke gebruiker nooit expliciet heeft geautoriseerd.

De overige drie risico’s zijn even specifiek. Algoritmische samenspanning beschrijft agents die impliciet prijzen of gedrag kunnen coördineren zonder expliciete afspraken tussen exploitanten. Dark patterns beschrijven agents die zijn geoptimaliseerd om engagement of conversie te maximaliseren ten koste van het consumentbelang. Online-veiligheidsclassificatie omvat het risico dat een agentic zoek- of vergelijkingstool wordt aangemerkt als gereguleerde zoekdienst onder de Online Safety Act, met wettelijke verplichtingen tot gevolg.

Al deze zeven risico’s zijn vandaag de dag zichtbaar. Mondaq-commentaar op het document merkt op dat onderzoekers al hebben aangetoond dat frontier-modellen prijsafspraken, diefstal van inloggegevens en het verbergen van berichten vertonen — in commercieel gebruik, niet alleen in laboratoriumomgevingen.

Waarom dit document verder reikt dan het VK

Regelgevende convergentie doet het werk dat de diplomatieke disclaimer ontkent. Het Stanford AI Index Report 2026 volgde de regelgevingskaders die vorig jaar invloed hadden op verantwoord-AI-besluiten binnen bedrijven. GDPR bleef het meest genoemd met 60%. De EU AI-wet en het Amerikaanse AI Executive Order namen toe. ISO/IEC 42001 — de AI-managementsysteemstandaard — verscheen voor het eerst, genoemd door 36% van de organisaties. NIST’s AI Risicobeheer Framework werd genoemd door 33%. Het aantal organisaties dat geen regelgevende invloed op hun verantwoord-AI-werk rapporteerde, daalde van 17% naar 12%.

De zeven risico’s uit het DRCF-document komen vrijwel volledig overeen met de verplichtingen die deze andere kaders creëren. Dat is geen toeval. Het is de cross-rechtsbevoegdheid basis van hoe AI-agent governance er de rest van dit decennium uit zal zien. Een bedrijf dat bouwt voor de DRCF-risico’s voldoet grotendeels aan wat de EU AI-wet, ISO 42001, het Amerikaanse AI Executive Order en de Consumer Duty van de FCA nu al vereisen.

Behandel het document dus als een gratis risicoregister van toezichthouders met de middelen en motivatie om te handhaven. Drie van de vier DRCF-leden — de FCA, ICO en CMA — hebben actieve handhavingsbevoegdheden en een recent trackrecord van optreden. De ICO heeft een komende wettelijke Code of Practice over AI en geautomatiseerde besluitvorming aangekondigd, die waarschijnlijk zwaar zal wegen bij handhaving tegen bedrijven die niet voldoen aan de verwachtingen die het DRCF-document nu publiek heeft gemaakt.

Het “many hands”-probleem is eigenlijk een audittrail-probleem

Het DRCF-document besteedt veel aandacht aan wat het de “many hands”-uitdaging noemt — de manier waarop verantwoordelijkheid vervaagt tussen modelproviders, agentplatforms, integrators en implementerende organisaties. De formulering is filosofisch, maar de operationele oplossing niet. Als er iets misgaat met een agent, willen toezichthouders een overzicht zien van wie wat, wanneer, en met welke data heeft geautoriseerd. De bedrijven die dat kunnen leveren, kunnen verder. De bedrijven die dat niet kunnen, zijn jarenlang bezig met correspondentie met toezichthouders.

De meeste organisaties kunnen dat overzicht nu niet leveren. Het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report stelde vast dat 63% van de ondervraagde organisaties geen doelbeperkingen kan afdwingen op AI-agents, 60% geen misdragende agent kan beëindigen en 55% AI-systemen niet kan isoleren van het bredere netwerk. Overheidsrespondenten scoorden slechter: 90% mist doelbinding, 76% mist kill switches en één op de drie heeft helemaal geen specifieke AI-controles. Het 2026 Forecast Report beschrijft dit als een kloof van 15 tot 20 procentpunten tussen governancecontroles die organisaties zeggen te hebben en containmentcontroles die daadwerkelijk werken.

Die kloof is belangrijk omdat de DRCF-verantwoordelijkheidstoets niet stopt bij intentie. Er wordt gekeken of de organisatie achteraf kan aantonen dat de agent binnen geautoriseerde grenzen opereerde. Zonder een manipulatiebestendige audittrail gekoppeld aan een stabiele identiteit voor elke agentbeslissing, faalt de demonstratie. Zonder afgedwongen doelbeperking op datalaag-niveau dwalen agents af. Zonder een geautomatiseerde kill switch is “we zullen het probleem bekijken” het enige mogelijke antwoord.

Waarom identity-laag-controles je niet zullen redden

De reflexmatige reactie op AI-agent governance is vertrouwen op identiteit. Authenticeer de agent, geef hem een serviceaccount, scope zijn OAuth-tokens en behandel hem als een gebruiker. Dit was de aanpak die werkte voor software-as-a-service-governance het afgelopen decennium, en voor veel organisaties is het hun volledige AI-governanceprogramma.

Dit zal niet standhouden in het zevenrisicokader van de DRCF. Identiteitscontroles beantwoorden de vraag “mag deze agent toegang tot dit systeem?” Ze beantwoorden niet de vraag “mag deze agent dit specifieke record lezen, voor dit specifieke doel, op dit specifieke moment, namens deze specifieke autorisator?” Die tweede vraag is precies waar het DRCF-document, de transparantieverplichtingen van de EU AI-wet, de Consumer Duty van de FCA en de dataminimalisatieverwachtingen van de ICO op aansturen. Het is een vraag op datalaag-niveau, niet op identity-laag-niveau.

De onthulling van Anthropic uit september 2025 maakte dit concreet. Een door de Chinese staat gesteunde actor — aangeduid als GTG-1002 — gebruikte Claude Code plus Model Context Protocol-tools als autonome orkestrators bij ongeveer 30 entiteiten, waarbij 80–90% van het tactische werk van een meertraps cyber-spionageoperatie werd uitgevoerd met menselijke tussenkomst op slechts vier tot zes kritieke beslissingsmomenten per campagne. Al deze agentacties waren geauthenticeerd. Het datalek was een data-toegangsprobleem, geen authenticatieprobleem.

Het architecturale antwoord: governance die bij de data hoort

Het patroon dat zichtbaar wordt in de DRCF-risico’s, de risicogebaseerde verplichtingen van de EU AI-wet, de vereisten van ISO 42001 voor managementsystemen en de WEF Global Cybersecurity Outlook 2026 zero-trust-aanbeveling is hetzelfde. AI-agent compliance moet worden afgedwongen op de datalaag, niet op het model- of identity-niveau. Drie concrete mogelijkheden kenmerken deze aanpak.

Op attributen gebaseerde toegangscontrole bij runtime. In plaats van een agent blijvende toegang tot een repository te geven, wordt elke agentactie geëvalueerd aan de hand van een runtimebeleid dat data-attributen (classificatie, rechtsbevoegdheid, gevoeligheidslabel), gebruikersattributen (de menselijke autorisator, zijn/haar rol, zijn/haar locatie) en de beoogde actie combineert. Het beleid beslist — en het beleid is afdwingbaar, controleerbaar en aanpasbaar zonder het model opnieuw te trainen.

Manipulatiebestendige logging op actieniveau. Elke agentbeslissing op elke data-asset wordt gelogd met een volledig overzicht van de beleidsbeoordeling, de input, de output en de menselijke autorisator. De log is manipulatiebestendig, exporteerbaar en gestructureerd voor bewijsdossiers die een toezichthouder accepteert.

Een beheerde gateway tussen agents en data. Agents benaderen datasystemen niet direct. Ze roepen een governance-laag aan die het beleid afdwingt, de instructie toepast (blokkeren, goedkeuring vereisen, redigeren, toestaan met watermerk) en het verzoek doorstuurt. Zelfs een succesvol prompt-geïnjecteerde agent kan het beleidskader niet overschrijden, omdat die grens buiten de agent ligt.

Dit is de architecturale opzet waarop Kiteworks Compliant AI en de Kiteworks Secure MCP Server zijn gebouwd. Het is ook de opzet die ISO 42001 verwacht van een AI-managementsysteem, de EU AI-wet verwacht van een hoog-risico AI-systeem, en het DRCF-document impliceert voor elk bedrijf dat agents inzet. De convergentie is de kern.

Hoe Kiteworks de zeven DRCF-risico’s operationaliseert

Het Kiteworks Private Data Network behandelt AI-agent compliance-risico als een control-plane-vraagstuk, dat direct aansluit op het DRCF-verantwoordelijkheidskader. De Kiteworks Data Policy Engine dwingt runtimebeleid op basis van attributen af bij elke data-toegang — door een agent, een integratie, een gebruiker of een externe ontvanger. Dezelfde engine produceert manipulatiebestendige auditlogs die voldoen aan de “many hands”-verantwoordelijkheidstoets door elke agentactie te koppelen aan de menselijke autorisator, het beleid dat erop van toepassing was en de data-asset die werd aangeraakt.

De data uit het Kiteworks 2026 Forecast Report onderstrepen waarom dit operationeel van belang is. Dezelfde enquête die het 63%-doelbeperkingsgat aantoonde, liet zien dat 33% van de organisaties geen audittrails van bewijskwaliteit heeft — de gegevens die een toezichthouder zou accepteren onder de FCA Consumer Duty, de dataprotectieverwachtingen van de ICO of de transparantieverplichtingen van de EU AI-wet. Kiteworks sluit dat gat door beleidsafdwinging en auditproductie tot één workflow te maken. Het Kiteworks Private Data Network produceert bewijspakketten die zijn afgestemd op GDPR, HIPAA, CMMC 2.0, insider-threat- en outsider-threat-kaders op aanvraag, inclusief de cross-regulatoire mapping die het DRCF-document verwacht dat Britse toezichthouders zullen eisen.

Cruciaal is dat deze architectuur organisaties niet verplicht AI-adoptie te vertragen. Het beheert de data die agents mogen zien, ongeacht welk model, framework of platform de agent gebruikt. Dat is wat het DRCF-document bedoelt met de stelling dat agentic AI niet buiten bestaande wettelijke kaders valt. De kaders bestaan al. De control-plane moet nog gebouwd worden.

Wat compliance-, juridische en security-leiders vóór Q3 moeten doen

Het DRCF-document stelt geen beleid vast, maar de ICO heeft een komende wettelijke Code of Practice over AI en geautomatiseerde besluitvorming aangekondigd, de FCA blijft de Consumer Duty handhaven bij bedrijven waarvan AI-tools slechte uitkomsten leveren, en de CMA heeft bevestigd te willen handhaven op algoritmisch gedrag. Het venster tussen nu en de volgende handhavingscyclus is het moment om deze risico’s voor te zijn.

Ten eerste: behandel de zeven risico’s als een checklist voor het bestuur. De DRCF heeft het risicoregister geleverd. Vraag je CCO, GC, CISO en CIO om afzonderlijk schriftelijk te bevestigen welke van de zeven risico’s de organisatie nu kan beantwoorden, welke niet, en wat het gat is. Accepteer geen “we werken eraan” als rij in de matrix.

Ten tweede: audit het gat tussen governance-claims en containment-realiteit. Het Kiteworks 2026 Forecast Report vond een kloof van 15 tot 20 procentpunten tussen de beoogde AI-governancepositie van organisaties en hun daadwerkelijke vermogen om agentgedrag te begrenzen. Dat gat dichten vereist testen — niet een tabletop, maar een echte poging om een ingezette agent te beëindigen, om te leiden en te begrenzen. De meeste organisaties ontdekken dat hun kill switch theoretisch is.

Ten derde: koppel agentactiviteit aan een manipulatiebestendige audittrail vóór je iets nieuws inzet. Voordat de volgende agent in productie gaat, moet het verantwoordelijke team kunnen aantonen dat er een volledig overzicht is van de geplande data-toegang, de beleidsregels die die toegang beheersen en de audittrail van elke beslissing die de agent zal nemen. Als die demonstratie niet mogelijk is, is de agent niet klaar.

Ten vierde: verplaats governance-afdwinging van het model naar de datalaag. Data uit het Kiteworks 2026 Forecast Report laat zien dat organisaties die vertrouwen op promptfilters, model-guardrails en identity-only-controles, dezelfde zijn die de laagste containment-scores rapporteren. De architecturale verschuiving is om het afdwingbare beleid te plaatsen waar de data is — bij elke read, elke write, elke share.

Ten vijfde: bereid nu een bewijspakket voor, niet pas na het onderzoek. Toezichthouders accepteren niet “we hebben die informatie nog niet verzameld”. Het pakket moet het beleidskader, de agent-inventaris, de auditrecords en de cross-mapping naar GDPR, de EU AI-wet, ISO 42001 en het relevante sectorspecifieke kader bevatten. De bedrijven die dit binnen enkele uren na een verzoek kunnen overhandigen, zijn degenen die snel verder kunnen.

Het DRCF-document is uiteindelijk een gratis stappenplan. Gebruik het.