Runtime Governance · Agentic AIRuntime governance · Agentic AI

Agentic AI Changes the Operating ModelAgentic AI verandert het besturingsmodel

12 min read · By Jeroen Janssen12 min leestijd · Door Jeroen Janssen

Published: July 14, 2026Gepubliceerd: 14 juli 2026

On 3 July 2026, the Monetary Authority of Singapore and the financial industry published Safeguards for Agentic Finance at Runtime (SAFR), with contributions from Ant International, Circle, HSBC, J.P. Morgan Chase, Manulife, Mastercard, OCBC and Visa. On 14 July, Kyvvu followed with Building Secure Agents at Scale, written by Prof. dr. Maurits Kaptein. Two white papers, from different disciplines, arriving at the same governing conclusion.Op 3 juli 2026 publiceerde de Monetary Authority of Singapore samen met de financiële sector Safeguards for Agentic Finance at Runtime (SAFR), met bijdragen van onder andere Ant International, Circle, HSBC, J.P. Morgan Chase, Manulife, Mastercard, OCBC en Visa. Op 14 juli volgde Kyvvu met Building Secure Agents at Scale, geschreven door prof. dr. Maurits Kaptein. Twee whitepapers, vanuit verschillende disciplines, met dezelfde bestuurlijke conclusie.

That conclusion first. Once an agent independently consults records, sends messages, initiates payments or changes systems, model approval up front and audit after the fact are no longer sufficient. During execution, the organisation must be able to do three things:Die conclusie eerst. Zodra een agent zelfstandig dossiers raadpleegt, berichten verstuurt, betalingen initieert of systemen wijzigt, zijn modelgoedkeuring vooraf en audit achteraf niet langer voldoende. De organisatie moet tijdens de uitvoering drie dingen kunnen:

  • establish authoritybevoegdheid vaststellen — who may perform which action on whose behalf;— wie mag namens wie welke handeling verrichten;
  • intervene before executioningrijpen vóór uitvoering — based on the proposed action, the path already taken and the current state of the organisation;— op basis van de voorgestelde actie, het reeds afgelegde pad en de actuele organisatietoestand;
  • produce evidencebewijs produceren — capable of answering the relevant governing or legal question afterwards.— waarmee later de relevante bestuurlijke of juridische vraag kan worden beantwoord.

Four publications from 2026 each bring part of that operating model into view. Runtime Governance for AI Agents: Policies on Paths defines the execution path as the object of governance. SAFR describes the institutional control architecture. Kyvvu shows where enforcement is technically strongest. And my own working paper, From Runtime Records to Legal Findings, examines when the resulting record contains enough structure to support a concrete finding. Together they point at the same shift: from policy before deployment and audit after execution to control at the moment the agent acts.Vier publicaties uit 2026 brengen ieder een deel van dat besturingsmodel in beeld. Runtime Governance for AI Agents: Policies on Paths definieert het uitvoeringspad als object van governance. SAFR beschrijft de institutionele controlarchitectuur. Kyvvu laat zien waar enforcement technisch het sterkst kan worden aangebracht. En mijn eigen working paper, From Runtime Records to Legal Findings, bepaalt wanneer het resulterende record voldoende structuur bevat om een concrete vaststelling te dragen. Samen wijzen zij op dezelfde verschuiving: van beleid vóór ingebruikname en audit na uitvoering naar controle op het moment waarop de agent handelt.

Full disclosure: I gave feedback on an earlier version of the Kyvvu white paper and am named in its acknowledgements. This article is my own reading of what these publications mean for how organisations govern AI.Voor de volledigheid: ik gaf feedback op een eerdere versie van de Kyvvu-whitepaper en word genoemd in de acknowledgements. Dit artikel is mijn eigen lezing van wat deze publicaties betekenen voor hoe organisaties AI besturen.

Four publications, one control loopVier publicaties, één besturingslus

The publications do not address exactly the same problem. That is precisely why they complement each other:De publicaties gaan niet over precies hetzelfde probleem. Juist daardoor vullen zij elkaar aan:

Governing questionBestuurlijke vraagAnswerAntwoord
What is the new control object?Wat is het nieuwe control-object?The execution path, not just the model or the single actionHet uitvoeringspad, niet alleen het model of de losse handeling
How should it be governed?Hoe moet daarop worden gestuurd?With deterministic policies applied before every relevant actionMet deterministische policies die vóór iedere relevante actie worden toegepast
Which institutional components are needed?Welke institutionele componenten zijn nodig?Agent identity, controls repository, disposition engine, audit logAgent identity, controls repository, disposition engine en auditlog
Where must the strongest technical control sit?Waar moet de sterkste technische controle zitten?In or directly around the trusted harness that actually executes the actionIn of direct rond de vertrouwde harness die de handeling daadwerkelijk uitvoert
When is the record usable as evidence?Wanneer is het record bruikbaar als bewijs?When it types the events and captures the relevant relations between themWanneer het gebeurtenissen typeert en de relevante relaties ertussen vastlegt

Together they close a loop: mandate → path-aware assessment → execute, observe, escalate or deny → meaningful evidence → evaluation and adjustment of the control system. Governance stops being a stack of preparatory documents and periodic reviews. It becomes an operational function that observes, decides, can intervene, and produces evidence for later accountability — while the work happens.Samen sluiten zij een lus: mandaat → padbewuste toetsing → uitvoeren, observeren, escaleren of weigeren → betekenisvol bewijs → evaluatie en aanpassing van het controlestelsel. Governance houdt op een stapel voorbereidende documenten en periodieke beoordelingen te zijn. Zij wordt een operationele functie die waarneemt, beslist, kan interveniëren en bewijs produceert voor latere verantwoording — terwijl het werk gebeurt.

What actually changes in the operating model?Wat verandert er concreet in het besturingsmodel?

Decision rights become machine-readable. A general approval or a user role is not enough. The organisation must record which agent may perform which actions on behalf of which principal, for how long, and under what conditions.Besluitrechten worden machineleesbaar. Een algemene toestemming of gebruikersrol volstaat niet. De organisatie moet vastleggen welke agent namens welke principal welke acties mag uitvoeren, gedurende welke periode en onder welke omstandigheden.

Processes get a pre-execution control point. Approval no longer happens only before deployment. Material actions are classified during execution as execute, observe, escalate or deny.Processen krijgen een pre-execution control point. Goedkeuring vindt niet alleen vóór ingebruikname plaats. Materiële acties worden tijdens de uitvoering geclassificeerd als uitvoeren, observeren, escaleren of weigeren.

Human oversight becomes an operational capacity. A human-in-the-loop is not a name in a process diagram. The organisation must provide sufficient review capacity, clear authority, response windows and a safe default.Menselijk toezicht wordt een operationele capaciteit. Een human-in-the-loop is geen naam in een procesdiagram. De organisatie moet voldoende beoordelingscapaciteit, duidelijke bevoegdheden, reactietijden en een veilige default organiseren.

Evidence becomes part of the process architecture. Logging is not added after implementation. The control must determine at design time which facts, classifications and relations will need to be demonstrable later.Evidence wordt onderdeel van de procesarchitectuur. Logging wordt niet pas na implementatie toegevoegd. De control moet tijdens het ontwerp al bepalen welke feiten, classificaties en relaties later aantoonbaar moeten zijn.

Governance becomes a closed loop. Findings from runtime evidence must lead to adjustment of mandates, controls, models, tools and process boundaries.Governance wordt een gesloten regelkring. Bevindingen uit runtime evidence moeten leiden tot aanpassing van mandaten, controls, modellen, tools en procesgrenzen.

The rest of this article walks through the four publications that, together, substantiate this shift.De rest van dit artikel loopt door de vier publicaties die deze verschuiving samen onderbouwen.

The control problem arises in the combination of actionsHet beheersingsprobleem ontstaat in de combinatie van handelingen

Most agent risks are not new. A destructive single action — deleting a file, wiring a payment — is an old problem with mature controls: identity and access management, least privilege, segregation of duties, transaction limits, isolation. Harmful content is not entirely new either: filters, classification and data-loss prevention exist for a reason.De meeste agentrisico’s zijn niet nieuw. Een destructieve losse handeling — een bestand verwijderen, een betaling uitvoeren — is een oud probleem met volwassen maatregelen: identity en access management, least privilege, functiescheiding, transactielimieten, isolatie. Ook schadelijke inhoud is niet volledig nieuw: filters, classificatie en data-loss prevention bestaan niet voor niets.

The agent-specific control problem arises because the path is assembled during execution. An agent may read a customer record. The same agent may send an email. Neither permission is wrong on its own. But when the agent first reads confidential customer data and then works it into an outbound email, the result is a data breach that neither authorisation forbids. The violation is not in any one action. It is in the execution path.Het agent-specifieke beheersingsprobleem ontstaat doordat het pad tijdens de uitvoering wordt samengesteld. Een agent mag een klantdossier lezen. Dezelfde agent mag een e-mail versturen. Geen van beide bevoegdheden is op zichzelf onjuist. Maar wanneer de agent eerst vertrouwelijke klantgegevens leest en die daarna in een uitgaande e-mail verwerkt, ontstaat een datalek dat door geen van beide autorisaties wordt tegengehouden. De overtreding zit niet in één actie. Zij zit in het uitvoeringspad.

Path-dependent security is not a new concept: reference monitors, information-flow control and transaction monitoring have existed for decades, and Kyvvu explicitly presents its own approach as an application of the reference-monitor principle. What is new is that LLM-based agents assemble such paths dynamically, at scale, and under the influence of untrusted content. That forces established principles such as complete mediation and information-flow control to move from design-time control to runtime enforcement.Pad-afhankelijke beveiliging is als concept niet nieuw: reference monitors, information-flow control en transactiemonitoring bestaan al decennia, en Kyvvu presenteert zijn eigen aanpak expliciet als toepassing van het reference-monitorprincipe. Nieuw is dat LLM-gebaseerde agents zulke paden dynamisch, op grote schaal en onder invloed van onbetrouwbare inhoud samenstellen. Daardoor moeten bestaande principes zoals complete mediation en information-flow control verschuiven van ontwerpcontrole naar runtime enforcement.

The research paper Runtime Governance for AI Agents: Policies on Paths, by Maurits Kaptein, Vassilis-Javed Khan and Andriy Podstavnychy, makes this point precisely. A governance policy for agents must evaluate not only the agent’s identity and the proposed action, but also the path already taken and the shared state of the organisation. And the policy function should be deterministic: the same agent, the same path, the same proposed action and the same organisational state must produce the same decision. Otherwise the decision is not reproducible, and the audit trail becomes hard to defend.Het onderzoekspaper Runtime Governance for AI Agents: Policies on Paths van Maurits Kaptein, Vassilis-Javed Khan en Andriy Podstavnychy maakt dit punt precies. Een governancebeleid voor agents moet niet alleen kijken naar de identiteit van de agent en de voorgestelde handeling, maar ook naar het reeds afgelegde pad en naar de gedeelde toestand van de organisatie. En de beleidsfunctie moet deterministisch zijn: dezelfde agent, hetzelfde pad, dezelfde voorgestelde actie en dezelfde organisatietoestand moeten tot hetzelfde besluit leiden. Anders is de beslissing niet reproduceerbaar en wordt de audit trail moeilijk verdedigbaar.

This is not a plea to block everything. The paper frames runtime governance as a balance: let as many useful tasks succeed as possible, while keeping the expected risk of policy violations within the organisation’s risk appetite. Blocking everything is safe — and makes the investment in agents worthless.Dit is geen pleidooi om alles te blokkeren. Het paper formuleert runtime governance als een afweging: zoveel mogelijk nuttige taken laten slagen, terwijl het verwachte risico op beleidsovertredingen binnen de risicobereidheid van de organisatie blijft. Alles blokkeren is veilig — en maakt de investering in agents waardeloos.

Prompts influence which path an agent is likely to choose. Traditional authorisation bounds individual actions. A path-aware runtime control judges the next action in light of what has already happened during the task.Prompts beïnvloeden welk pad een agent waarschijnlijk kiest. Traditionele autorisatie begrenst afzonderlijke handelingen. Een padbewuste runtime control beoordeelt de volgende handeling in het licht van wat tijdens de taak al is gebeurd.

SAFR translates that principle into an institutional control systemSAFR vertaalt dat beginsel naar een institutioneel controlestelsel

SAFR was not imposed on the sector by MAS as new regulation. It was jointly developed by the financial industry under BuildFin.ai, MAS’s Financial AI Builder Programme, in which financial institutions, technology firms and research organisations collaborate on the responsible development and scalable deployment of AI in finance. That origin matters: SAFR is neither the vision of a single vendor nor a formal supervisory norm. It presents itself explicitly as an industry reference approach — a shared architecture institutions can experiment with, compare implementations against, and converge on for more interoperable controls.SAFR is niet door MAS als nieuwe regelgeving aan de sector opgelegd. Het is gezamenlijk ontwikkeld door de financiële industrie onder BuildFin.ai, het Financial AI Builder Programme van MAS, waarin financiële instellingen, technologiebedrijven en onderzoeksorganisaties samenwerken aan de verantwoorde ontwikkeling en schaalbare toepassing van AI in de financiële sector. Die ontstaansgeschiedenis is relevant: SAFR is geen visie van één leverancier, maar ook geen formele toezichtnorm. Het presenteert zichzelf nadrukkelijk als een industry reference approach — een gedeelde architectuur waarmee instellingen kunnen experimenteren, implementaties kunnen vergelijken en tot meer interoperabele controls kunnen komen.

SAFR builds on earlier lifecycle-governance work, including the MindForge handbooks, but targets a specific gap: the absence of a control mechanism between an agent’s decision and its execution. Every proposed action is packaged in a Governance Envelope: the action and its parameters, the action trace (the steps, tools and data that led to the proposal), and context such as agent identity, the applicable mandate and current system state. Four components then work together:SAFR bouwt voort op eerder lifecycle-governancewerk, waaronder de MindForge-handboeken, maar richt zich op een specifiek gat: de afwezigheid van een controlemechanisme tussen het besluit van een agent en de uitvoering ervan. Iedere voorgenomen handeling wordt verpakt in een Governance Envelope: de actie en haar parameters, de action trace (de stappen, tools en gegevens die tot het voorstel leidden) en context zoals agentidentiteit, het toepasselijke mandaat en de actuele systeemtoestand. Vier componenten werken vervolgens samen:

ComponentComponentGoverning functionBestuurlijke functie
Agent IdentityEstablish which registered agent is acting, under whose responsibilityVaststellen welke geregistreerde agent handelt en onder wiens verantwoordelijkheid
Controls RepositoryDetermine which mandates, limits, policy rules and legal requirements applyBepalen welke mandaten, grenzen, beleidsregels en wettelijke vereisten gelden
Disposition EngineAssess the proposed action and produce a binding outcomeDe voorgenomen handeling toetsen en een bindende uitkomst bepalen
Audit LogRecord the action, the rules applied, the decision and the outcome, tamper-evidentDe handeling, de toegepaste regels, het besluit en de uitkomst tamper-evident vastleggen

The Disposition Engine resolves every action to one of four outcomes: Auto-Execute (proceed), Observe (proceed, flagged for review), Escalate (hold until an authorised person decides) or Deny (rejected before execution). And SAFR is explicit on a point boards should note: in a multi-step workflow, an approval at one step carries no authority into the next. Every material action is re-assessed, because the path and the circumstances have moved on.De Disposition Engine brengt iedere actie terug tot één van vier uitkomsten: Auto-Execute (doorgaan), Observe (doorgaan, gemarkeerd voor beoordeling), Escalate (aanhouden totdat een bevoegde persoon beslist) of Deny (geweigerd vóór uitvoering). En SAFR is expliciet op een punt dat bestuurders moeten noteren: in een meerstapsproces geeft toestemming voor de ene stap geen enkele bevoegdheid voor de volgende. Iedere materiële handeling wordt opnieuw beoordeeld, omdat het pad en de omstandigheden inmiddels zijn veranderd.

SAFR also makes clear why “human-in-the-loop” is not a control by itself. An escalation must have an authorised recipient, be handled within a usable window, and fit the available review capacity — and an escalation nobody handles in time must fall back safely to blocking or further escalation. When a thousand agent actions per hour are escalated to a team that can review twenty, human control exists only in the process design. Runtime governance therefore changes staffing, decision authority and operational service levels, not just technology.SAFR maakt ook duidelijk waarom „human-in-the-loop” geen control op zichzelf is. Een escalatie moet een bevoegde ontvanger hebben, binnen een bruikbare termijn worden afgehandeld en passen binnen de beschikbare beoordelingscapaciteit — en een escalatie die niemand tijdig behandelt, moet veilig terugvallen op blokkeren of verder escaleren. Wanneer duizend agentacties per uur worden geëscaleerd naar een team dat er twintig kan beoordelen, bestaat menselijke controle alleen nog in het procesontwerp. Runtime governance verandert daarom niet alleen de technologie, maar ook personele bezetting, beslissingsbevoegdheden en operationele servicelevels.

That is the core of runtime governance: authority is not granted to the agent once. It is operationally re-established at every material action.Dat is de kern van runtime governance: bevoegdheid wordt niet eenmaal aan de agent gegeven. Zij wordt bij iedere materiële handeling opnieuw operationeel vastgesteld.

Kyvvu shows where that control must technically liveKyvvu laat zien waar die controle technisch moet zitten

SAFR describes which governance functions are needed. The Kyvvu white paper sharpens where they must be enforced. An agent consists, simplified, of two different parts: the model decides what the next step should be, and the harness — ordinary software — turns that proposal into a real tool call, API request or message. The model is probabilistic, steerable by the content it reads, and often supplied by an external vendor. The harness is deterministic code the organisation can inspect, test and instrument.SAFR beschrijft welke governancefuncties nodig zijn. De Kyvvu-whitepaper scherpt aan waar zij moeten worden afgedwongen. Een agent bestaat vereenvoudigd uit twee verschillende onderdelen: het model bepaalt wat de volgende stap zou moeten zijn, en de harness — gewone software — zet dat voorstel om in een echte tool call, API-aanroep of bericht. Het model is probabilistisch, beïnvloedbaar door de inhoud die het leest en vaak afkomstig van een externe leverancier. De harness is deterministische code die de organisatie zelf kan inspecteren, testen en instrumenteren.

Why does that distinction matter for governance? Because the model can also shape the description of its own intended behaviour. A careful injection can fabricate the action and the trace together — internally consistent, while quietly departing from the original task. SAFR acknowledges this risk explicitly: the Governance Envelope must be authenticated against its origin and cannot be treated as a self-evidently truthful report by the model. Kyvvu draws the architectural conclusion: the strongest control sits in-process, on the trusted side of the execution boundary, where every action the harness is actually about to execute is mediated before it takes effect.Waarom doet dat onderscheid ertoe voor governance? Omdat het model ook de beschrijving van zijn eigen voorgenomen gedrag kan vormgeven. Een zorgvuldige injectie kan de actie en de trace samen vervalsen — intern consistent, terwijl zij geruisloos afwijkt van de oorspronkelijke taak. SAFR erkent dit risico expliciet: de Governance Envelope moet worden geauthenticeerd tegen haar oorsprong en mag niet worden behandeld als een vanzelfsprekend waarheidsgetrouw verslag van het model. Kyvvu trekt daaruit de architectuurconclusie: de sterkste controle zit in-process, aan de vertrouwde kant van de uitvoeringsgrens, waar iedere handeling die de harness daadwerkelijk op het punt staat uit te voeren wordt gemedieerd voordat zij effect krijgt.

A precise distinction is needed here. Kyvvu’s critique is aimed primarily at gateways that inspect the traffic between model and harness. Such a gateway sees what the model declares it will do, but not necessarily what the harness actually executes. SAFR’s gateway integration sits on a different boundary: it intercepts the outbound action or API call before it reaches the executing system.Hier is een precies onderscheid nodig. Kyvvu bekritiseert vooral gateways die het verkeer tussen model en harness inspecteren. Zo’n gateway ziet wat het model verklaart te gaan doen, maar niet noodzakelijk wat de harness daadwerkelijk uitvoert. SAFR’s gateway-integratie bevindt zich op een andere grens: zij onderschept de uitgaande actie of API-call voordat deze het uitvoerende systeem bereikt.

That pattern, too, can provide enforcement — but only when all relevant actions are fully mediated and the gateway cannot be bypassed, when the classified action matches the real technical effect, and when the gateway knows enough state and path history. Native integration in the harness gives the strongest assurance, because the control has direct access to the actual action, the task state and the path already taken; SAFR accordingly recommends it for new agents and positions the gateway as a practical pattern for legacy and third-party systems. A gateway is therefore not observability by definition. The assurance depends on the boundary it sits on and on the completeness of the mediation.Ook dat patroon kan enforcement bieden — maar alleen wanneer alle relevante acties volledig worden gemedieerd en de gateway niet kan worden omzeild, wanneer de geclassificeerde actie overeenkomt met het werkelijke technische effect, en wanneer de gateway voldoende toestand en padgeschiedenis kent. Native integratie in de harness geeft de sterkste zekerheid, omdat de control daar direct toegang heeft tot de feitelijke actie, de taaktoestand en het reeds afgelegde pad; SAFR beveelt haar dan ook aan voor nieuwe agents en positioneert de gateway als praktisch patroon voor legacy- en third-partysystemen. Een gateway is dus niet per definitie observability. De assurance hangt af van de grens waarop hij staat en van de volledigheid van de mediatie.

The white paper also makes a distinction every governance conversation should adopt: observability is not enforcement. Seeing what an agent did does not mean you could have stopped it. And a record produced by the same mechanism that could have blocked the action is a fundamentally stronger piece of evidence than a log written by a bystander.De whitepaper maakt ook een onderscheid dat ieder governancegesprek zou moeten overnemen: observability is geen enforcement. Zien wat een agent deed, betekent niet dat u het had kunnen tegenhouden. En een record dat wordt geproduceerd door hetzelfde mechanisme dat de handeling had kunnen blokkeren, is fundamenteel sterker bewijs dan een log van een omstander.

A reliable audit log is not yet usable evidenceEen betrouwbare auditlog is nog geen bruikbaar bewijs

After identity, authority and runtime enforcement, a fourth question follows: can the organisation draw from the record the conclusion a board, auditor, supervisor or court actually needs? My working paper, From Runtime Records to Legal Findings, examines exactly that question.Na identiteit, bevoegdheid en runtime enforcement volgt een vierde vraag: kan de organisatie uit het geproduceerde record ook de conclusie trekken die een bestuurder, auditor, toezichthouder of rechter nodig heeft? Mijn working paper, From Runtime Records to Legal Findings, onderzoekt precies die vraag.

A tamper-evident log can prove that a record was not altered afterwards. It does not prove what the record establishes. Integrity and evidentiary force are different properties. To answer a specific factual question, the record needs at least two things: typing — a meaningful classification of events, data, actors and boundaries (this was personal data; that channel was external) — and relation — the relevant connection between events (provenance, delegated authority, validity at a point in time).Een tamper-evident log kan aantonen dat een record achteraf niet is gewijzigd. Het bewijst niet wat het record inhoudelijk vaststelt. Integriteit en bewijskracht zijn verschillende eigenschappen. Om een specifieke feitelijke vraag te kunnen beantwoorden heeft het record ten minste twee dingen nodig: typering — een betekenisvolle classificatie van gebeurtenissen, gegevens, actoren en grenzen (dit waren persoonsgegevens; dat kanaal was extern) — en relatie — het relevante verband tussen gebeurtenissen (herkomst, gedelegeerde bevoegdheid, geldigheid op een bepaald tijdstip).

This is a criterion of necessity, not a guarantee of truth. Typing and relations make a finding derivable from the record. They do not prove that the record is complete, that the classifications are correct, or that no relevant event is missing. A record can be semantically adequate and still factually deficient. But without that semantic structure, the relevant conclusion cannot in principle be derived from the record at all.Dit is een noodzakelijkheidscriterium, geen garantie op waarheid. Typering en relaties maken een vaststelling uit het record afleidbaar. Zij bewijzen niet dat het record volledig is, dat de classificaties correct zijn of dat geen relevante gebeurtenis ontbreekt. Een record kan dus semantisch geschikt en toch feitelijk gebrekkig zijn. Maar zonder die semantische structuur kan de relevante conclusie principieel niet uit het record worden afgeleid.

Without typing and relation, a log can show that a file was read and a message was sent. It cannot establish that protected data from that file left the organisation through that message. A timestamp plus the word “allowed” does not answer whether an authorised person could still intervene, whether a mandate was still valid when the agent used it, or whether information crossed an information barrier. I wrote about this earlier in Your Logs Are Tamper-Proof. They Still Can’t Answer the Question.Zonder typering en relatie kan een log laten zien dat een bestand is gelezen en een bericht is verstuurd. Het kan niet vaststellen dat beschermde gegevens uit dat bestand via dat bericht de organisatie hebben verlaten. Een timestamp plus het woord „allowed” beantwoordt niet de vraag of een bevoegde persoon nog kon ingrijpen, of een mandaat nog geldig was toen de agent het gebruikte, of dat informatie een information barrier is gepasseerd. Ik schreef daar eerder over in Jouw logs zijn manipulatiebestendig. Ze beantwoorden de vraag nog steeds niet.

Five questions a board must be able to answerVijf vragen die een bestuur moet kunnen beantwoorden

A board does not need to understand every policy rule or tool call. It does need to establish that the organisation can demonstrably answer five questions.Een bestuur hoeft niet iedere policyregel of tool call te begrijpen. Het moet wel kunnen vaststellen dat de organisatie vijf vragen aantoonbaar heeft beantwoord.

  1. Who is acting?Wie handelt? Every operational agent has a unique identity, a registered purpose, an owner, a current configuration and a risk classification.Iedere operationele agent heeft een unieke identiteit, een geregistreerd doel, een eigenaar, een actuele configuratie en een risicoclassificatie.
  2. Under what authority?Onder welke bevoegdheid? The delegation is explicit, bounded, machine-readable, time-limited and revocable. An agent cannot extend its own mandate by reasoning that an extra action is probably needed.De delegatie is expliciet, begrensd, machineleesbaar, tijdelijk geldig en herroepbaar. Een agent mag zijn eigen mandaat niet uitbreiden door te redeneren dat een extra handeling waarschijnlijk nodig is.
  3. Which combinations of actions are forbidden?Welke samenhangende handelingen zijn verboden? Controls look beyond the single action: at information already consulted, sources used, other agents, cumulative exposure and the purpose of the task.Controls kijken verder dan de losse handeling: naar eerder geraadpleegde informatie, gebruikte bronnen, andere agents, cumulatieve blootstelling en het doel van de taak.
  4. Where can the organisation intervene?Waar kan de organisatie ingrijpen? The control sits before the point where the action becomes irreversible. Escalation has an authorised recipient, sufficient context, a realistic response window and a safe default when nobody responds in time.De control bevindt zich vóór het punt waarop de handeling onomkeerbaar wordt. Escalatie heeft een bevoegde ontvanger, voldoende context, een realistische reactietijd en een veilige default wanneer niemand tijdig reageert.
  5. What can the organisation actually prove afterwards?Wat kan de organisatie achteraf werkelijk bewijzen? The record contains not just events and timestamps, but the classifications, authority relations, provenance and temporal connections needed to support the relevant conclusions.Het record bevat niet alleen gebeurtenissen en timestamps, maar ook de classificaties, bevoegdheidsrelaties, herkomst- en tijdsverbanden die nodig zijn om de relevante conclusies te dragen.

An organisation that cannot answer these questions may have policy, logging and dashboards. It does not yet have an operating model for agentic AI.Een organisatie die deze vragen niet kan beantwoorden, heeft misschien beleid, logging en dashboards. Zij heeft nog geen sluitend besturingsmodel voor agentic AI.

ConclusionConclusie

Agentic AI does not demand an entirely new universe of governance. Most building blocks exist: identity, authorisation, segregation of duties, transaction limits, logging, incident management, human approval. What changes is how they must work together, and when. An agent chooses its path during execution. So the organisation can no longer rely on policy up front, fixed permissions and audit after the fact. It must assess the actual action at the moment it is proposed, in light of the path that preceded it, and produce a record that can later answer the relevant questions.Agentic AI vraagt niet om een volledig nieuw universum van governance. De meeste bouwstenen bestaan al: identiteit, autorisatie, functiescheiding, transactielimieten, logging, incidentmanagement, menselijke goedkeuring. Wat verandert, is de manier waarop zij moeten samenwerken, en wanneer. Een agent kiest zijn pad tijdens de uitvoering. Daardoor kan de organisatie niet langer volstaan met beleid vooraf, vaste bevoegdheden en audit achteraf. Zij moet de feitelijke handeling beoordelen op het moment dat zij wordt voorgesteld, in het licht van het pad dat eraan voorafging, en een record produceren dat later de relevante vragen kan beantwoorden.

An agent does not get to act because the model has a convincing plan. It gets to act when the organisation can establish, before execution, that the action falls within its mandate and its permitted path — and can prove, afterwards, on what basis it was executed.Een agent mag niet handelen omdat het model een overtuigend plan heeft. Hij mag handelen wanneer de organisatie vooraf kan vaststellen dat de handeling binnen zijn bevoegdheid en het toegestane pad valt, en achteraf kan bewijzen op welke grond zij is uitgevoerd.

That shift reaches beyond the security architecture. It moves the moment of governing: decision rights, oversight capacity, process design and evidence all shift towards the moment the agent acts.Die verschuiving reikt verder dan de beveiligingsarchitectuur. Zij verlegt het moment van besturen: besluitrechten, toezichtcapaciteit, procesinrichting en bewijs schuiven allemaal op naar het moment waarop de agent handelt.

About our own work — skip this box and the rest of the article stands on its ownOver ons eigen werk — sla dit kader over en de rest van het artikel blijft op zichzelf staan

Where Apparens fits in this pictureWaar Apparens in dit beeld past

The Kyvvu white paper puts every claim about its own product in a clearly marked box. We think that is the right convention, so we follow it here.De Kyvvu-whitepaper zet iedere claim over het eigen product in een duidelijk gemarkeerd kader. Wij vinden dat de juiste conventie, dus volgen we haar hier.

The AI Control Index is not a runtime policy engine, an agent security kernel or an identity platform. It does not mediate tool calls and it does not block payments. Its function lies in the control architecture and assurance: determining which controls are needed, where they must operate, who is responsible for them, and what evidence must demonstrate that they work. Runtime governance is one necessary control family within that whole.De AI Control Index is geen runtime policy engine, geen agent security kernel en geen identityplatform. Hij medieert geen tool calls en blokkeert geen betalingen. Zijn functie ligt in de controlarchitectuur en assurance: bepalen welke controls nodig zijn, waar zij moeten werken, wie ervoor verantwoordelijk is en welk bewijs hun werking moet aantonen. Runtime governance is daarbinnen één noodzakelijke controlfamilie.

The free AI Control Index provides the shared control framework: it shows which control families an organisation must cover, including mandates, runtime governance, human oversight, logging and evidence. The AI Control Index app helps apply that framework to a concrete decision: it connects risk, control, owner and evidence, and makes visible which conclusion is defensible and which is not yet. And the book, Executive Accountability in the Age of AI, covers the organisational cause behind the control gaps: why visibility is not control, why an assigned role does not create real accountability, and why an audit log is not yet a governing answer.De gratis AI Control Index biedt het gemeenschappelijke controleraamwerk: hij laat zien welke controlfamilies een organisatie moet afdekken, waaronder mandatering, runtime governance, menselijk toezicht, logging en evidence. De AI Control Index-app helpt dat raamwerk toepassen op een concrete beslissing: zij verbindt risico, control, eigenaar en bewijs en maakt zichtbaar welke conclusie verdedigbaar is en welke nog niet. En het boek, Bestuurlijke verantwoordelijkheid in het tijdperk van AI, behandelt de organisatorische oorzaak achter de control gaps: waarom zichtbaarheid geen beheersing is, waarom een toegewezen rol nog geen werkelijke verantwoordelijkheid creëert en waarom een auditlog nog geen bestuurlijk antwoord vormt.

SourcesBronnen