Thought leaders

Waarom AI-governance blijft falen

mm
Gepubliceerd op

Het probleem is niet dat organisaties geen AI-beleid hebben. Het is dat die beleidsregels niets doen.

Er is ergens tussen het netjes opgemaakte PDF en het geïmplementeerde model een intentie die verdampt. Teams improviseren. Uitzonderingen accumuleren. Governance verandert van een systeem in een onderhandeling – en in gereguleerde industrieën zoals de gezondheidszorg en de levenswetenschappen is die kloof niet alleen gênant. Het is een operationele aansprakelijkheid.

De oplossing is niet meer documentatie. Het is governance behandelen als software.

De governancekloof is al meetbaar

AI-adoptie is dramatisch versneld, terwijl de governance-infrastructuur niet heeft kunnen bijhouden. Een onderzoek van Ernst & Young uit september 2025 toonde aan dat slechts 10% van de bedrijven volledig klaar is om AI-systemen te auditen. Tegelijkertijd vond nieuw onderzoek van Ponemon dat 92% van de organisaties zegt dat generatieve AI de manier waarop medewerkers toegang hebben tot en informatie delen, heeft veranderd, maar slechts 18% heeft AI-governance volledig geïntegreerd in insider-risicoprogramma’s.

Het patroon is consistent: AI is al ingebed in het dagelijks werk. Toezicht loopt nog achter. En hoe langer governance in documentvorm blijft, hoe groter die kloof wordt.

Governance die werkt

Het concept is bedrieglijk eenvoudig: als een governance-eis een build niet kan mislukken, kan het geen productie beschermen.

Echte governance heeft invoer, uitvoer, handhavingspunten en waarneembare resultaten. Het loopt continu – niet elk kwartaal. En kritisch, het produceert bewijs als een bijproduct van het werk, niet als een aparte compliance-ritueel dat later wordt toegevoegd.

Het operationele model ziet er als volgt uit:

Beleid → Controles → Bewijs → Metrieken

Beleidsregels definiëren de intentie. Controles dwingen gedrag af. Bewijs bewijst de uitvoering. Metrieken valideren de resultaten. Dit is geen nieuw idee – het is precies hoe mature beveiligings- en compliance-systemen al werken. De verschuiving is het toepassen van dezelfde logica op AI.

Controles zijn geen suggesties. Bewijs is geen documentatie. En als een controle handmatige inspanning vereist om bewijs te produceren, is het geen controle. Het is een hoop.

Risicogroepen, geen risicetheater

Niet elk AI-systeem verdient dezelfde scrupuleuze controle. Het behandelen van een laagrisicointern hulpmiddel met dezelfde strengheid als een klinisch beslissingsondersteunend model is hoe organisaties ofwel tot stilstand komen of zich onnodig blootstellen.

De NIST AI Risk Management Framework, uitgegeven in 2023, biedt een fundamentale structuur voor het denken hierover – door AI-risico’s in kaart te brengen over vier functies: Govern, Map, Measure en Manage. Een functioneel ondernemingsgovernancemodel bouwt op deze logica voort met praktische risicogroepen:

Groep Omvang Controles
Minimaal Interne hulpmiddelen, geen gevoelige gegevens Registratie, lichte controles
Beperkt Gebruikergericht, matig risico Documentatie, promptbeoordeling, beveiligingstesten
Hoog Gereguleerd of hoog-impactbeslissingen Formele risicobeoordeling, auditlogboek, strikte wijzigingscontrole
Verboden Onaanvaardbare gebruikscases Geblokkeerd bij ontwerp en implementatie

Wat dit engineeringteams geeft, is iets wat ze zelden krijgen van governanceprocessen: duidelijkheid. Niet “wat moeten we doen?” maar “welke groep is dit, en wat activeert dat?”

Goede governance verwijdert onduidelijkheid. Grote governance verwijdert discussie.

Beleid als code: van advies tot uitvoerbaar

Beleidsregels die in documenten zijn geschreven, zijn advies. Beleidsregels die in pipelines zijn gecodeerd, zijn afdwingbaar.

Op dezelfde manier waarop infrastructuur wordt geverifieerd voordat deze wordt geïmplementeerd, kunnen AI-systemen worden geblokkeerd door geautomatiseerde controles die verifiëren of een gebruikscase is geregistreerd, of vereiste documentatie bestaat, of evaluatieresultaten voldoen aan gedefinieerde drempels, en of toegang tot gevoelige gegevens volgt het principe van minimale rechten. Deze controles worden uitgevoerd in CI/CD. Ze wachten niet op een commissie. Ze zijn niet afhankelijk van iemands geheugen of goedwillendheid.

Open Policy Agent – een project van de Cloud Native Computing Foundation – demonstreert precies hoe regels kunnen worden versiebeheerd, beoordeeld en consistent afgedwongen in engineering-ecosystemen. Het patroon is begrepen. De kloof is dat AI-teams dit niet toepassen.

Het veiligste AI-systeem is niet dat met de beste beleidsregels. Het is het systeem dat technisch niet in staat is om die te breken.

LLM-specifieke controles: waar het interessant wordt

Generatieve AI introduceert een categorie risico’s waar traditionele governance-kaders niet voor zijn ontworpen – promptinjectie, outputmanipulatie, toolmisbruik. Dit zijn geen randgevallen. Het zijn structurele eigenschappen van hoe LLM’s werken, en zoals Unite.AI’s coverage van agentic AI-governance heeft opgemerkt, wordt de governancekloof nog groter naarmate AI-systemen overgaan van het beantwoorden van vragen naar het nemen van acties.

Effectieve governance voor GenAI-systemen vereist controles die specifiek zijn ontworpen voor LLM-gedrag: strikte scheiding van systeeminstructies en gebruikersinvoer, gecontroleerde tooltoegang en allowlists, outputvalidatie voordat deze wordt uitgevoerd, beveiliging tegen datadiefstal en veilige standaardinstellingen voor gracieuze fouten.

Deze corresponderen direct met gedocumenteerde kwetsbaarheidsklassen in de OWASP Top 10 voor LLM-toepassingen – een communitygedreven kader dat nu meer dan 600 bijdragende experts uit 18 landen dekt. LLM-governance gaat minder over wat het model weet en meer over wat het systeem het toestaat te doen.

Bewijs is infrastructuur, geen papierwerk

Auditors vertrouwen geen intentie. Ze vertrouwen records.

In een systeem waar governance werkt, wordt bewijs automatisch gegenereerd: modelkaarten die de bedoelde gebruik en beperkingen beschrijven, gegevensdocumentatie die de herkomst dekt, evaluatierapporten die prestaties en bekende risico’s laten zien, logboeken die beslissingen en wijzigingen vastleggen. Deze artefacten bestaan niet voor audits. Ze bestaan omdat het systeem ze nodig heeft om te functioneren.

De sterkste auditpositie is wanneer bewijs al bestaat voordat iemand ernaar vraagt. Dit is geen theorie – regulators bewegen zich al in deze richting. Zoals recente analyse over verdedigbare AI-governance opmerkt, zijn de vragen die regulators binnenkort zullen stellen niet langer alleen “hebt u het bewaard?” maar “kunt u bewijzen wat er is gebeurd, onder welk beleid, met welke gegevens en met wiens autoriteit?”

Het echte argument: governance als versneller

De hardnekkige mythe is dat governance en snelheid tegenover elkaar staan. In de praktijk vertraagt slecht ontworpen governance teams. Goed ontworpen governance verwijdert wrijving.

Wanneer controles zijn gestandaardiseerd, checks zijn geautomatiseerd en verwachtingen zijn gecodeerd, stoppen teams met onderhandelen en beginnen ze met bouwen. Releases worden voorspelbaarder. Beslissingen vereisen geen heldendaden van een kleine groep specialisten die de beleidsdocumenten hebben gememoriseerd.

Governance schaalt wanneer het infrastructuur is. Het schaalt niet wanneer het vibes is.

Het doel was nooit controle voor controle. Het is momentum zonder chaos – en de organisaties die dit goed doen, zijn niet die met de meest uitgebreide PDF. Ze zijn degene die het juiste gedrag het makkelijkste pad hebben gemaakt.

mm

Sitaram Srivatsavai is een thought leader in CRM engineering met 18+ jaar ervaring op het gebied van CRM, iOS en webplatforms. Leidt wereldwijde teams die grote ondernemingssoftware leveren, met een focus op architectuurbeoordelingen, automatiseringsmodernisering en het waarborgen van betrouwbaarheid, naleving van regelgeving en schaalbare prestaties.