1 uur geleden
1
Een AI-model dat feilloos werkt in een demo, maar nooit de productieomgeving haalt. Het gebeurt overal. Niet incidenteel, maar structureel. Naar schatting strandt het merendeel van de AI-initiatieven nog vóór het moment dat ze echt waarde moeten gaan leveren.
Dat is opmerkelijk, want de technologie zelf is bijna nooit het probleem. Modellen presteren, use cases zijn helder, de businesscase lijkt rond. En toch loopt het vast. Niet op het algoritme, maar op alles daaromheen.
Wie beter kijkt, ziet waar het misgaat. Data die verspreid zit over systemen die niet met elkaar praten. API’s die ooit zijn ingericht, maar nooit echt zijn beheerd. AI-agents die beslissingen nemen zonder dat duidelijk is onder welke identiteit ze opereren. En bovenal: een gebrek aan controle. Niet weten wie wat doet, wanneer en waarom.
De grootste belemmering voor AI is daarmee geen technologisch vraagstuk, maar een governancevraagstuk.
De kloof tussen ambitie en realiteit
Terwijl de AI-markt in hoog tempo blijft groeien en elke maand nieuwe modellen en toepassingen verschijnen, ontstaat er een groeiende kloof tussen ambitie en realiteit. In boardrooms worden plannen gemaakt en verwachtingen uitgesproken, maar in de dagelijkse praktijk van organisaties blijkt die ambitie moeilijk te vertalen naar iets wat daadwerkelijk draait.
Die kloof zit niet in de technologie zelf, maar in de laag eronder. In de vraag wie toegang heeft tot welke data. In de manier waarop systemen met elkaar communiceren. In de mogelijkheid om achteraf te reconstrueren wat er precies is gebeurd wanneer een AI systeem een beslissing neemt.
Zolang dat fundament ontbreekt, blijft AI hangen in pilots en proof-of-concepts. Niet omdat het niet werkt, maar omdat niemand met zekerheid kan zeggen dat het veilig, controleerbaar en compliant genoeg is om live te gaan.
Waar het echt misgaat: onzichtbare risico’s
Dat beeld wordt bevestigd door de risico’s die inmiddels breed worden erkend. De OWASP Top 10 voor Generative AI laat zien dat de grootste kwetsbaarheden niet in het model zelf zitten, maar in de context waarin het wordt gebruikt. Denk aan prompt injection, onveilige outputverwerking en het ontbreken van goede afscherming van AI agents.
Misschien nog zorgwekkender is het gebrek aan zichtbaarheid. AI maakt fouten, dat is onvermijdelijk. Maar het echte probleem ontstaat wanneer die fouten onopgemerkt blijven. In juridische contexten zijn inmiddels honderden gevallen gedocumenteerd waarin AI hallucinaties produceerde die pas veel later aan het licht kwamen.
Het probleem is niet dat AI fouten maakt. Het probleem is dat niemand kijkt, of kan kijken.
Van beleid naar harde eisen
De druk neemt verder toe door regelgeving die steeds concreter wordt. Waar AI governance lange tijd een abstract begrip was, wordt het nu vastgelegd in wetgeving met duidelijke verplichtingen en deadlines.
De Europese AI Act markeert daarin een kantelpunt. Wat begon als een kader, ontwikkelt zich snel tot een set harde eisen waar organisaties aan moeten voldoen. Zeker voor toepassingen die als high-risk worden aangemerkt, wordt de lat hoog gelegd. Organisaties moeten aantoonbaar beschikken over risicomanagement, datagovernance, logging, transparantie en menselijk toezicht, zoals vastgelegd in onder andere de artikelen 9 tot en met 15 van de verordening.
De impact is concreet. Boetes kunnen oplopen tot wel 35 miljoen euro of 7 procent van de wereldwijde jaaromzet bij overtreding van verboden praktijken, en tot 15 miljoen euro of 3 procent bij non-compliance binnen high-risk systemen.
Dat heeft directe consequenties voor de manier waarop IT-architecturen worden ingericht. Het gaat niet langer om het toevoegen van AI aan bestaande systemen, maar om het herontwerpen van de onderliggende structuur. Data moet herleidbaar zijn, beslissingen moeten gelogd worden, en elke interactie moet verklaarbaar zijn.
Compliance verschuift daarmee van een document naar een eigenschap van de architectuur zelf.
De vraag die onder alles ligt: wie heeft controle?
Voor veel organisaties betekent dat een fundamentele heroriëntatie. Zeker in sectoren waar regelgeving al een grote rol speelt, zoals finance, zorg en overheid, wordt duidelijk dat AI geen losstaand initiatief kan zijn. Het raakt direct aan bestaande verplichtingen, van DORA tot NIS2, die organisaties dwingen om niet alleen hun eigen systemen, maar ook hun volledige keten aantoonbaar te beheersen.
Daar komt nog een dimensie bij die vaak onderbelicht blijft: digitale soevereiniteit. De vraag is niet alleen wat er met data gebeurt, maar ook waar en onder welke voorwaarden. In een wereld waarin AI-systemen steeds vaker draaien op infrastructuur buiten de directe invloedssfeer van een organisatie, wordt controle een strategisch vraagstuk.
Kun je als organisatie nog wisselen van leverancier zonder grote verstoring? Weet je onder welke jurisdictie je data valt? En wie heeft uiteindelijk toegang?
Het zijn vragen die steeds vaker op tafel komen, en die direct samenhangen met governance.
AI begint niet bij AI
In dat licht verschuift ook de manier waarop naar AI-readiness wordt gekeken. Waar veel organisaties beginnen bij modellen en use cases, blijkt de echte uitdaging elders te liggen. Niet in wat AI kan, maar in hoe het wordt ingebed.
AI is alleen waardevol als het toegang heeft tot de juiste data, op het juiste moment, onder de juiste voorwaarden. En precies daar komt de integratielaag in beeld. Die bepaalt welke systemen met elkaar praten, welke data beschikbaar is en onder welke regels dat gebeurt.
Internationale standaarden zoals ISO/IEC 42001 bevestigen dit beeld. Ze verplichten organisaties om AI-specifieke risicoanalyses uit te voeren en de impact van AI systemen op individuen en organisaties expliciet te beoordelen. Dat raakt direct aan
dezelfde principes als de EU AI Act en maakt duidelijk dat governance geen optionele laag is, maar een structureel onderdeel van het ontwerp.
Het is daarom geen toeval dat organisaties die al jarenlang investeren in integratie, identity management en datagovernance sneller stappen kunnen zetten met AI. Zij hebben het fundament al liggen. Voor hen is AI geen sprong in het diepe, maar een volgende laag op een bestaande basis.
Wanneer software zelfstandig gaat handelen
Een ontwikkeling die deze verschuiving verder benadrukt, is de opkomst van AI-agents die zelfstandig acties uitvoeren binnen systemen. Daarmee ontstaat een nieuwe realiteit, waarin software-entiteiten handelen namens de organisatie.
Dat vraagt om een herdefinitie van identiteit. Want als een AI-agent een actie uitvoert, onder welke rechten gebeurt dat dan? Wie heeft die rechten toegekend? En hoe wordt dat vastgelegd?
Technologie begint daarop in te spelen. Zo zien we dat identity-oplossingen zich uitbreiden naar AI-agents, waarbij dezelfde principes gelden als voor menselijke gebruikers: authenticatie, autorisatie en volledige auditability. Zonder die laag ontstaat een situatie waarin systemen wel handelen, maar niemand precies weet onder welke voorwaarden.
En dat is, zeker in gereguleerde omgevingen, simpelweg onhoudbaar.
De paradox van dit moment
Opvallend genoeg zijn het juist de meest gereguleerde organisaties die hier vaak het verst zijn. Niet ondanks, maar dankzij hun focus op compliance. Wie al jaren investeert in controlemechanismen, audit trails en identity management, heeft een groot deel van de basis al op orde.
Daartegenover staan organisaties die sterk inzetten op innovatie, maar minder aandacht hebben besteed aan governance. Voor hen blijkt AI ineens geen versneller, maar een blokkade. Niet omdat de ambitie ontbreekt, maar omdat de randvoorwaarden niet op orde zijn.
Dat is de paradox van dit moment: hoe groter de drang om snel met AI te bewegen, hoe groter de kans dat het vastloopt.
De echte vraag achter AI
De toekomst van AI zal minder draaien om steeds slimmere modellen, en meer om de vraag hoe die modellen worden beheerd. Niet de technologie zelf maakt het verschil, maar de mate waarin organisaties in staat zijn die technologie veilig, transparant en schaalbaar toe te passen.
De echte innovatie zit daarmee niet alleen in wat AI kan, maar in hoe goed het wordt ingebed in de organisatie.
Of, anders gezegd: een krachtige AI zonder controle is geen voorsprong, maar een risico.
De vraag die organisaties zich vandaag moeten stellen is dan ook niet of ze AI gaan inzetten. Die keuze is allang gemaakt. De echte vraag is of ze het kunnen beheersen.
Want uiteindelijk bepaalt niet de kwaliteit van het model het succes, maar de kwaliteit van de fundering eronder.
Waar sta je vandaag?
Voor veel organisaties voelt governance nog steeds als iets zwaars en tijdrovends. Iets dat maanden kost en forse investeringen vraagt. In de praktijk begint het vaak eenvoudiger: inzicht krijgen in waar je staat en waar de grootste risico’s zitten.
Vanuit die diagnose ontstaat richting. Niet als abstract advies, maar als concrete vervolgstappen richting een architectuur waarin AI wél gecontroleerd kan opereren.
Dit is een ingezonden bijdrage van Yenlo. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
English (US) ·