← Back to Blog // COMPLIANCE

Het M3-framework: Mount, Monitor, Manage — Een praktische gids voor AI-compliance

Januari 2026 · 9 min leestijd

AI-compliance is een levenscyclus, geen vinkje

De meeste organisaties benaderen AI-compliance op dezelfde manier als IT-compliance tien jaar geleden: als een eenmalige audit. Controlemaatregelen definiëren, de beoordeling doorstaan, het certificaat opbergen en weer doorgaan tot de volgende vernieuwingsronde. Dit werkte — ternauwernood — toen systemen nog statisch waren. Maar AI-agenten zijn niet statisch. Ze leren, veranderen, nemen nieuwe gegevens op en hebben dagelijks interactie met duizenden gebruikers op onvoorspelbare manieren.

Het regelgevend landschap weerspiegelt deze realiteit. De EU AI Act verplicht doorlopend risicobeheer en monitoring na het in de handel brengen. ISO 42001 vereist cycli van continue verbetering. De AVG eist dat de gegevensverwerking rechtmatig blijft, niet alleen bij de ingebruikname maar gedurende de gehele levensduur van het systeem. Een eenmalige audit kan niet aan deze vereisten voldoen. Wat organisaties nodig hebben, is een governance-framework dat compliance behandelt als een continue operationele discipline — en niet als een project met een eindstreep.

Dat is precies waar het M3 Framework® voor is ontworpen.

Wat is het M3-framework?

Het M3-framework is een open compliance-standaard, gecreëerd door Julius Gromyko — een PECB-gecertificeerde ISO 42001 Implementer, ISO 27001 Foundation practitioner, ISO 31000 Risk Manager en AVG Functionaris voor Gegevensbescherming (DPO). Het is gepubliceerd op m3framework.org en is gratis voor intern gebruik door elke organisatie.

M3 staat voor de drie operationele fasen: Mount, Monitor, Manage. In plaats van compliance te koppelen aan één enkele verordening, biedt het framework een uniforme controlestructuur die meerdere regelgevingsregimes tegelijkertijd omvat — AVG, EU AI Act, ISO 27001, ISO 42001 en het NIST AI RMF. Dit betekent dat organisaties één operationele workflow onderhouden in plaats van vijf afzonderlijke compliance-checklists.

Het M3-framework is geen vervanging voor ISO 42001 of de AVG. Het is de operationele laag die compliance met al deze standaarden duurzaam, controleerbaar en continu maakt.

Het framework is voortgekomen uit praktische noodzaak. Bij het bouwen van Sinaptic® DROID+ — een platform dat AI-agenten inzet in de retail, gezondheidszorg, horeca, schoonheidssector, tandheelkunde en reissector — had Gromyko behoefte aan één enkele governance-structuur die tegelijkertijd voldeed aan de eisen van Europese toezichthouders, inkoopteams van grote bedrijven en compliance-officers in de gezondheidszorg. Geen enkel bestaand framework bood die uniforme operationele visie. M3 is gebouwd om dat gat te dichten.

Fase 1: Mount (Opstellen)

De Mount-fase omvat alles wat moet gebeuren voordat een AI-systeem live gaat. Dit is waar de governance begint — niet als een papieren werkelijkheid, maar als echte architectonische besluitvorming die bepaalt hoe het systeem zich in de praktijk zal gedragen.

  • Reikwijdte en grenzen definiëren. Documenteer precies wat de AI-agent moet doen, wat hij nooit mag doen, welke gebruikersgroepen hij bedient en welke gegevensbronnen hij raadpleegt. Onduidelijkheid in de reikwijdte is de belangrijkste oorzaak van compliance-fouten.
  • Risico's identificeren en classificeren. Voer een gestructureerde AI-risicobeoordeling uit die aansluit bij de categorieën van ISO 42001 Annex B en de risicoclassificatieniveaus van de EU AI Act. Dit omvat risico's op bias (vooringenomenheid), hallucinaties, datalekken, kwaadaardige manipulatie en onbedoelde autonome beslissingen.
  • Koppelen aan wettelijke vereisten. Voor elk geïdentificeerd risico en controledoel biedt M3 een matrix die verwijst naar de overeenkomstige vereisten in de AVG (Artikelen 5, 13, 22, 25, 35), de EU AI Act (Artikelen 9, 10, 13, 14, 15), ISO 27001 (Annex A controls), ISO 42001 (Clausules 6–10 en Annex B) en het NIST AI RMF (functies Govern, Map, Measure, Manage).
  • Gegevensbeheer (Data Governance) vaststellen. Documenteer de herkomst van gegevens, verwerkingsdoeleinden, bewaartermijnen en toegangscontroles. Voor AI-agenten die gebruikmaken van Retrieval-Augmented Generation (RAG) houdt dit ook in dat wordt bepaald welke kennisbronnen vertrouwd zijn, hoe de invoer wordt gevalideerd en welke DLP-controles (Data Loss Prevention) worden toegepast.
  • Menselijk toezicht configureren. Definieer HITL-drempels (Human-in-the-Loop) — welke beslissingen menselijke beoordeling vereisen, welke autonoom kunnen plaatsvinden en welke escalatiepaden er zijn. Dit voldoet rechtstreeks aan de vereisten van Artikel 14 van de EU AI Act en Artikel 22 van de AVG.
  • Belanghebbenden in kaart brengen. Identificeer betrokkenen, verwerkingsverantwoordelijken, verwerkers, operators van het AI-systeem en beïnvloede personen. Elk integratiepunt wordt gecatalogiseerd met de bijbehorende compliance-verplichtingen.

De output van de Mount-fase is een compliance-pakket voor ingebruikname — een gestructureerde set documentatie die dient als de governance-basis van het systeem. Dit pakket is vanaf de eerste dag controleerbaar en wordt het referentiepunt voor alle volgende monitoring- en managementactiviteiten.

Fase 2: Monitor (Bewaken)

De Monitor-fase pakt het fundamentele tekort aan bij traditionele compliance: wat er gebeurt na de ingebruikname. AI-systemen blijven niet vanzelf compliant. Modellen veranderen ('drift'), gebruikersgedrag wijzigt, kennisbanken worden bijgewerkt en nieuwe kwetsbaarheden komen aan het licht. Zonder continue bewaking verwatert de in de Mount-fase vastgestelde compliance-basis binnen enkele weken.

  • Gedragsobservatie. Continue tracking van de antwoorden van de agent ten opzichte van de gedefinieerde reikwijdte. Blijven de antwoorden binnen het beoogde domein? Zijn er patronen van hallucinaties of feitelijke afwijkingen? Behandelt de agent uitzonderingen zoals bedoeld?
  • Detectie van afwijkingen (Drift). Geautomatiseerde waarschuwingen wanneer belangrijke prestatie-indicatoren — nauwkeurigheid, relevantie, veiligheidsscores, reactiesnelheid — afwijken van de acceptabele drempels. Drift kan geleidelijk zijn (veroudering van de kennisbank) of plotseling (kwaadaardige prompt-patronen), en beide vereisen verschillende responsprotocollen.
  • Loggen van beveiligingsgebeurtenissen. Elke interactie die een beveiligingscontrole activeert — blokkades door de Sinaptic Intent Firewall, DLP-interventies, pogingen tot prompt injection, detecties van datalekken — wordt gelogd met de volledige context voor forensisch onderzoek en rapportage aan toezichthouders.

De Monitor-fase verandert compliance van een periodieke beoordeling in een altijd actieve operationele functie. Het is het verschil tussen een organisatie die beweert compliant te zijn en een organisatie die dit op elk gewenst moment kan aantonen.

Fase 3: Manage (Beheren)

De Manage-fase sluit de cirkel van governance. Monitoring genereert gegevens; management zet die gegevens om in beslissingen, acties en verbeteringen. Dit is waar compliance een concurrentievoordeel wordt in plaats van een kostenpost.

  • Herstellen. Wanneer monitoring afwijkingen, schendingen of incidenten identificeert, biedt de Manage-fase gestructureerde workflows voor herstel. Dit omvat een oorzaakanalyse, plannen voor corrigerende maatregelen en verificatietesten voordat het systeem weer in productie wordt genomen.
  • Bijscholen en bijwerken. AI-agenten vereisen periodieke updates van de kennisbank, aanpassingen van scenario's en — in sommige gevallen — het opnieuw trainen van modellen. De Manage-fase regelt hoe deze wijzigingen worden gevalideerd, getest en doorgevoerd zonder nieuwe compliance-risico's te introduceren. Elke update volgt dezelfde governance-eisen uit de Mount-fase als de initiële ingebruikname.
  • Rapporteren. Genereer compliance-rapporten voor toezichthouders, auditors, directies en zakelijke klanten. M3 biedt rapport-sjablonen die bewijslast rechtstreeks koppelen aan wettelijke vereisten — waardoor de handmatige inspanning om operationele gegevens te vertalen naar compliance-taal verdwijnt.
  • Beoordelen en verbeteren. Voer periodieke managementbeoordelingen uit zoals vereist door ISO 42001 (Clausule 9.3) en ISO 27001 (Clausule 9.3). Deze beoordelingen evalueren de effectiviteit van het gehele governance-systeem, en niet alleen de prestaties van individuele agenten, en sturen de continue verbetering van controles, drempelwaarden en processen aan.
  • Incidentrespons. Wanneer zich een wezenlijk compliance-incident voordoet — een datalek, een schadelijke output van de AI, een onderzoek door een toezichthouder — biedt de Manage-fase draaiboeken voor respons die voldoen aan de meldingsplichten onder Artikel 33/34 van de AVG en de meldingsplichten voor ernstige incidenten onder de EU AI Act.

De Manage-fase zorgt ervoor dat governance niet alleen wordt nageleefd, maar ook actief wordt onderhouden. Het is de fase die volwassen AI-operaties onderscheidt van organisaties die nog maar één audit verwijderd zijn van de ontdekking dat hun compliance stilletjes is verlopen.

Waarom governance gedurende de levenscyclus wint van eenmalige audits

Het traditionele audit-model gaat ervan uit dat een systeem dat op maandag als compliant is beoordeeld, dat op dinsdag ook zal zijn. Voor AI-systemen is deze aanname fundamenteel onjuist.

AI-agenten ontwikkelen zich. Een op RAG gebaseerde agent die productcatalogi, medische literatuur of updates van regelgeving opneemt, is — door zijn ontwerp — een systeem dat zijn kennis en gedrag in de loop van de tijd verandert. Een audit die de kennisbank van de agent in januari heeft beoordeeld, zegt niets over wat de agent in maart weet.

Het dreigingslandschap verschuift. Er duiken voortdurend nieuwe technieken voor prompt injection, kwaadaardige patronen en methoden voor data-exfiltratie op. Beveiligingscontroles die zijn gevalideerd tijdens een jaarlijkse penetratietest kunnen worden omzeild door technieken die de volgende maand zijn ontwikkeld.

Regels worden strenger. De handhavingsfasen van de EU AI Act lopen door tot 2026 en daarna. De handhaving van de AVG blijft nieuwe precedenten scheppen. Organisaties die compliance behandelen als een vaststaand doel, zullen merken dat het doel is verschoven tegen de tijd dat hun volgende audit plaatsvindt.

Het M3-framework pakt dit aan door governance continu te maken door ontwerp. De Mount-fase stelt de basis vast. De Monitor-fase detecteert afwijkingen in real-time. De Manage-fase corrigeert de koers voordat afwijkingen overtredingen worden. De cyclus herhaalt zich — niet jaarlijks, maar continu.

Hoe Sinaptic® DROID+ het M3-framework implementeert

Elke inzet van een Sinaptic® DROID+ agent volgt standaard de M3-levenscyclus. Het framework is geen optionele toevoeging — het is ingebed in de operationele architectuur van het platform.

Tijdens de Mount-fase wordt elke agent ingezet met een gedocumenteerde definitie van de reikwijdte, risicoclassificatie, gegevensstroom en een register van belanghebbenden. HITL-drempels worden per scenario geconfigureerd — van volledige autonomie bij antwoorden op veelgestelde vragen over producten tot verplichte menselijke goedkeuring bij doorverwijzingen in de gezondheidszorg of financieel advies. Integratiepunten met systemen van de klant (Shopify, HubSpot, Booksy, HL7 FHIR) worden gecatalogiseerd met hun specifieke compliance-verplichtingen.

Tijdens de Monitor-fase biedt het white-label admin-paneel van Sinaptic® DROID+ real-time dashboards voor de kwaliteit van gesprekken, beveiligingsgebeurtenissen, drift-statistieken en compliance-KPI's. De Sinaptic® Intent Firewall handhaaft continu de kaders — blokkeert pogingen tot prompt injection, voorkomt datalekken en houdt het gedrag van de agent binnen de gedefinieerde grenzen. Elke interventie wordt gelogd en is beschikbaar voor controle.

Tijdens de Manage-fase voeren operators van het platform periodieke beoordelingen uit met behulp van de M3-rapportage-sjablonen. Updates van de kennisbank volgen gecontroleerde RAG-pipelines met handhaving van Sinaptic DLP. Procedures voor incidentrespons zijn vooraf geconfigureerd en corrigerende maatregelen worden gevolgd tot aan de verificatie. Het white-label admin-paneel bevat volledige audit-logs, RBAC-controles en compliance-rapportages die klanten rechtstreeks aan hun toezichthouders kunnen presenteren.

Sinaptic® DROID+ voldoet niet alleen aan de standaarden — het brengt ze in de praktijk via het M3-framework, waardoor compliance verandert van een periodieke last in een continu operationeel voordeel.

Aan de slag met het M3-framework

Het M3-framework is ontworpen voor praktische toepassing, niet voor theoretische elegantie. Zo kunt u beginnen:

  • Bezoek m3framework.org. De documentatie van het framework, de controles en de sjablonen zijn openbaar gepubliceerd en gratis voor intern gebruik. Geen licentiekosten, geen registratie nodig.
  • Begin met Mount. Kies één AI-systeem in uw organisatie — bij voorkeur degene met het hoogste risico — en doorloop de Mount-fase: definieer de reikwijdte, classificeer risico's, koppel aan regelgeving, stel gegevensbeheer vast en configureer menselijk toezicht. Deze oefening alleen al zal governance-tekortkomingen blootleggen waarvan u het bestaan niet wist.
  • Instrumenteer monitoring. Zodra de Mount-basis is gelegd, implementeert u de monitoring-controles. Zelfs basis-logboekregistratie en alarmering zullen uw compliance-status drastisch verbeteren in vergelijking met periodieke handmatige beoordelingen.
  • Sluit de cirkel met Manage. Plan uw eerste managementbeoordeling. Gebruik de gegevens uit de monitoring om concrete verbeteringen door te voeren. Documenteer alles — deze documentatie is wat auditors en toezichthouders zullen beoordelen.

Conclusie

AI-compliance is geen eindbestemming — het is een operationele discipline. Regelgeving zal blijven veranderen. AI-systemen zullen blijven leren en veranderen. Dreigingslandschappen zullen blijven verschuiven. De enige duurzame aanpak is een governance-framework dat compliance behandelt als een continue levenscyclus: Stel het systeem op (Mount) met de juiste controles. Bewaak (Monitor) het in real-time. Beheer (Manage) het door middel van gestructureerde evaluatie- en verbetercycli.

Het M3-framework biedt die levenscyclus. Het is open, gratis voor intern gebruik en sluit aan bij de vijf belangrijkste regelgevingsregimes voor zakelijke AI. Of u nu gebruikmaakt van Sinaptic® DROID+ of uw eigen systeem bouwt, M3 geeft uw organisatie één operationeel kader dat versnipperde compliance-checklists vervangt door continue, controleerbare governance.

De organisaties die voorop zullen lopen in AI, zijn niet degene met de meest geavanceerde modellen. Het zijn degene met de meest volwassen governance. M3 is hoe u daar komt.