Illinois voert eerste Amerikaanse wet in die AI-veiligheidsaudits verplicht: wat dit betekent voor GRC-teams
By Jean-Hugues Migeon
Op 7 juli 2026 ondertekende gouverneur JB Pritzker van Illinois Senate Bill 315, de Artificial Intelligence Safety Measures Act, waarmee Illinois de eerste Amerikaanse staat wordt die onafhankelijke, door derden uitgevoerde veiligheidsaudits verplicht stelt voor grote, geavanceerde AI-ontwikkelaars. De wet verplicht ook tot het melden van kritieke incidenten en tot publieke transparantierapportage – waarmee wat tot nu toe een vrijwillige en grotendeels zelfregulerende praktijk van AI-governance was, wordt omgezet in een bindende wettelijke verplichting.
Voor risk-, compliance- en auditprofessionals is dit niet zomaar weer een kop in een overvol nieuwsaanbod. Het is het eerste concrete voorbeeld van een Amerikaanse staat die AI-governanceprincipes omzet in een afdwingbaar auditmandaat met reĆ«le operationele gevolgen voor AI-ontwikkelaars – en dus ook voor elke organisatie die op hun modellen bouwt of ze inzet.
Wat SB 315 vereist
De Artificial Intelligence Safety Measures Act is van toepassing op ontwikkelaars van grootschalige, geavanceerde AI-modellen en introduceert drie kernverplichtingen:
- Onafhankelijke veiligheidsaudits. Jaarlijkse audits door derde partijen van de veiligheidspraktijken, in plaats van zelfverklaring.
- Melding van kritieke incidenten. Meldingsplicht wanneer AI-systemen een veiligheidsincident veroorzaken of daaraan bijdragen.
- Publieke transparantie. Rapportageverplichtingen die toezichthouders en het publiek inzicht moeten geven in hoe geavanceerde modellen worden getest en bestuurd.
Berichtgeving over de ondertekening heeft de wet neergezet als een poging om grote AI-labs op de eigen voorwaarden van de staat verantwoordelijk te houden. Welke politieke framing ook wordt gebruikt, de inhoud is duidelijk: audit- en bewijsvereisten die voorheen aspiraties waren, zijn nu wet in ten minste ƩƩn grote staat.
Waarom dit verder reikt dan Illinois
Het is onwaarschijnlijk dat Illinois de laatste staat is die deze richting inslaat. SB 315 komt op een moment waarop het Amerikaanse federale AI-beleid nog onzeker is, waardoor staten die leemte opvullen met hun eigen kaders – elk met een andere reikwijdte, drempelwaarden en auditvereisten. Voor GRC-teams betekent dit dat het compliancedoel niet langer ƩƩn federale standaard is, of zelfs een bekend kader zoals de Europese AI Act (zie ons gerelateerde artikel over de AVG en de AI Act); het is een groeiend lappendeken van verplichtingen per staat, die onderling sterk kunnen verschillen.
Organisaties die grote AI-modellen ontwikkelen, inzetten of simpelweg gebruiken, moeten verwachten dat dit patroon zich voortzet: meer staten zullen audit- en meldingsvereisten voorstellen die zijn gemodelleerd naar, of reageren op, de aanpak van Illinois. De operationele vraag verschuift van “voldoen wij aan AI-regelgeving?” naar “aan welke versie van AI-regelgeving, in welk rechtsgebied, en kunnen we dat aantonen?”
De praktische uitdaging: audit-gereedheid op schaal
Een wet die onafhankelijke veiligheidsaudits verplicht, werkt in de praktijk alleen als organisaties die worden geaudit tijdig geloofwaardig bewijs kunnen leveren van hun beheersmaatregelen, tests en incidentgeschiedenis. Juist daar zijn veel organisaties – zowel AI-ontwikkelaars als bedrijven die AI van derden inzetten – vandaag het minst op voorbereid. Governance-documentatie is vaak verspreid over teams, bewijs wordt reactief verzameld zodra een audit wordt aangekondigd, en er is geen continu overzicht van welke AI-systemen bestaan, welke risico's ze met zich meebrengen, of hoe ze zich verhouden tot de toepasselijke wettelijke vereisten. Tools zoals ExplAIn geven snel een eerste inschatting of de AI-tools die u al gebruikt, bestand zouden zijn tegen dat soort toetsing.
Naarmate meer rechtsgebieden bindende audit- en meldingsvereisten invoeren, zullen organisaties die AI-governance behandelen als een continue, bewijsgedreven discipline – in plaats van een jaarlijkse documentatie-exercitie – het best gepositioneerd zijn. Dat betekent het bijhouden van een actuele inventaris van AI-systemen, deze koppelen aan de kaders en regelgeving die van toepassing zijn, en auditbewijs actueel houden in plaats van het onder tijdsdruk te moeten reconstrueren.
Dit is precies het operationele model waarop het insAIght-platform van Anove is gebouwd: het helpt risk-, compliance- en auditteams een continu bijgewerkt, audit-gereed overzicht te houden van hun AI-landschap, getoetst aan kaders zoals de Europese AI Act, ISO/IEC 42001, het NIST AI RMF, en nu ook opkomende staatswetten zoals SB 315 in Illinois – zodat wanneer een toezichthouder, auditor of raad van bestuur om bewijs vraagt, het antwoord er al is.
De conclusie
Illinois heeft AI-governance verplaatst van principe naar bewijs. Voor GRC- en AI-riskprofessionals is SB 315 een voorproefje van waar de regelgevende verwachtingen overal naartoe bewegen: minder tolerantie voor zelfgerapporteerde verzekering, meer vraag naar onafhankelijk geverifieerd bewijs. Organisaties die nu continue, audit-gereede AI-governance opbouwen, staan er veel beter voor naarmate meer staten – en uiteindelijk federale of internationale instanties – het voorbeeld van Illinois volgen.
Bron: Government Technology, “Illinois Governor Signs Bipartisan AI Oversight Bill Into Law”
Meer weten
- insAIght – het AI-governance- en riskplatform van Anove voor continue, audit-gereede compliance.
- ExplAIn – controleer of de AI-tools die u gebruikt compliant zijn.
- AVG en AI Act: wat bedrijven in 2026 moeten weten – gerelateerde leesstof over overlappende regelgevende verplichtingen.
Boek een demo om te zien hoe insAIght uw AI-governance audit-gereed houdt, van SB 315 in Illinois tot elk ander kader op uw radar.