De meeste AI-governance is theater (en wat wél werkt)
Mario Beck

De meeste AI-governance is theater (en wat wél werkt)

Mario Beck

2026-06-09


Ik zeg het ongemakkelijke deel hardop. De meeste AI-beleidsdocumenten die ik zie zijn geen governance. Het is theater.

Ze zijn geschreven om compliant te lijken, niet om echt iets te controleren. Ze kalmeren een auditor, een board en vinken een vakje af. Ondertussen werken de mensen die het echte werk doen er elke dag omheen. Het document ligt in een shared drive. Het gedrag dat het zou moeten vormen verandert nooit.

Dit is geen people-probleem. Jullie team is niet roekeloos. Jullie proberen jullie werk te doen met de beste tools die beschikbaar zijn, en op dit moment zijn de beste tools één AI-prompt verwijderd. De kloof tussen wat jullie beleid zegt en wat jullie mensen echt doen is jullie echte risico. En voor de meeste bedrijven is die kloof enorm.

Het beleid dat niemand leest

Begin met de cijfers, want ze zijn erger dan de meeste leiders denken.

In ISACA's AI Pulse Poll 2026 onder meer dan 3.400 digital trust professionals gelooft 90% dat medewerkers AI al gebruiken in hun organisatie. Slechts 38% zegt dat hun bedrijf een formeel, uitgebreid AI-beleid heeft. Een kwart heeft helemaal geen actief beleid.

Lees dat nog eens. Gebruik is al de norm. Echt beleid is nog steeds de uitzondering.

Het is niet alleen een papieren-beleid-probleem. In de Microsoft Work Trend Index 2026, een enquête onder 20.000 kenniswerkers in 10 landen, zegt slechts één op de vier ondervraagde AI-gebruikers (26%) dat hun leiderschap duidelijk en consistent op één lijn zit over AI. Als de regels vaag zijn van bovenaf, vullen mensen de kloof met welke tool ook het snelst is.

En de data beweegt al. In het Cyberhaven AI Adoption and Risk Report 2026, gebaseerd op telemetrie van 222 bedrijven en ruwweg twee miljoen kenniswerkers, gaat het bij 39,7% van alle medewerkerinteracties met AI-tools om gevoelige data. Gemiddeld komt dat neer op eens per drie dagen per medewerker.

Het typische beeld in 2026 is dit: AI zit verweven in het dagelijkse werk, formeel beleid ontbreekt op de meeste plekken nog of is incompleet, leiderschapsafstemming is dun, en gevoelige data stroomt al naar tools die je misschien nooit hebt goedgekeurd. Een PDF in een shared drive is geen governance. Het is een document dat een board geruststelt terwijl het echte gedrag ongestuurd blijft.

Waarom verboden het erger maken

De reflex, zodra een leider dit ziet, is aanscherpen. De tools blokkeren op de firewall. De strenge mail sturen. Iemand een voorbeeld maken.

Ik snap de reflex. Het is ook de snelste manier om het zicht te verliezen dat je net had.

Als je een publieke tool verbiedt, gaan mensen niet terug naar het trage werk. Ze gebruiken hun telefoon. Een privélaptop. Snel even plakken thuis. Het gebruik verdwijnt niet. Jouw vermogen om het te zien wel. Het Cyberhaven-rapport 2026 vond dat ongeveer een derde van de medewerkers AI-tools via persoonlijke accounts gebruikt, en daarmee SSO, logging en retentie omzeilt waar je van dacht dat die actief waren.

Dat is de valkuil van shadow AI. Een verbod voelt als controle. In de praktijk verandert het zichtbaar, bestuurbaar gedrag in onzichtbaar, onbestuurbaar gedrag. Je ruilt een probleem dat je kunt managen in voor eentje dat je niet eens kunt zien.

Het doel was nooit nul AI. Het is nul blinde vlekken. En nul blinde vlekken krijg je niet door eerlijkheid gevaarlijk te maken.

Wat wél werkt: eerst ontdekken, dan sturen

Hier is de reframing die ik met elke security lead deel. Je kunt niet sturen wat je niet ziet, en je ziet niets als mensen denken dat de waarheid zeggen hen in de problemen brengt. Dus draai de gebruikelijke volgorde om. Discovery eerst, beleid als laatste.

Echte governance volgt een simpele boog.

Stap 1 - Ontdekken. Voordat je één regel schrijft, breng in kaart hoe AI echt wordt gebruikt. Geen namen, geen straf, alleen een helder beeld. Voor welke taken gebruiken mensen AI? Welke data wordt geplakt? Welke daarvan is gevoelig, propriëtair of gereguleerd? Waar gaat het naartoe, en wie kan het daar zien? Je jaagt niemand op om de schuldige te zijn. Je zoekt de twee of drie workflows waar gevoelige data stilletjes de deur uit loopt.

Stap 2 - Beveiligen. Nu kun je handelen op realiteit in plaats van giswerk. Stel duidelijke datagrenzen met een simpele rood/oranje/groen-lijst die een drukke persoon zich echt kan herinneren. Groen mag vrij. Oranje vraagt voorzichtigheid. Rood gaat nooit in een externe tool. Zet dan één goedgekeurde tool neer die echt goed is, zodat mensen de workaround niet nodig hebben. Een korte, duidelijke lijst wint van een beleid van 40 pagina's dat niemand opent.

Stap 3 - Sturen. Pas nu schrijf je de lichte regels. Noem een owner, zodat het iemands taak is en niet niemands. Stel outcome-based regels ("geen klantdata in externe tools") in plaats van broze toolverboden die verouderd zijn op de dag dat je ze publiceert. Review maandelijks, want de tools veranderen maandelijks.

Let op de volgorde. De meeste mislukte programma's beginnen bij stap 3, met een document. De programma's die risico echt verlagen beginnen bij stap 1, met een kaart.

Voer amnestie uit, geen crackdown

Het moeilijkste deel van discovery is menselijk, niet technisch. Mensen vertellen je niet hoe ze echt werken als ze denken dat het hen een reprimande oplevert.

Maak dus een deal met ze. Zeg je team duidelijk: "We weten dat hier AI wordt gebruikt. We zijn niet hier om iemand te straffen. We willen begrijpen hoe, zodat we jullie iets veilig en echt goeds kunnen geven." En meen het.

Als je het als amnestie voert, gebeuren drie dingen. Mensen vertellen de waarheid over hoe ze echt werken. Je vindt de echte risico's in plaats van de ingebeelde. En je bouwt het vertrouwen op dat je later nodig hebt wanneer je guardrails uitrolt. Angst drijft gedrag ondergronds. Amnestie brengt het aan het licht, waar je het eindelijk kunt sturen.

Je kunt niet fixen wat mensen bang zijn toe te geven.

Wat het kost als je het fout doet

Als dit nog klinkt als een zachte, nice-to-have-oefening, kijk dan naar wat de onzichtbare versie kost.

Cyberhaven-telemetrie uit 2026 vond dat 82% van de 100 meest gebruikte GenAI-apps op het werk als medium tot kritiek risico worden geclassificeerd. Dat is geen theoretisch risicoregister. Het is wat jullie mensen echt gebruiken terwijl jullie nog debatteren over de beleidstekst.

ISACA's poll 2026 voegt een andere operationele kloof toe: 56% van de digital trust professionals weet niet hoe lang het zou duren om een AI-systeem te stoppen na een security-incident. Als je het niet snel kunt uitzetten, kun je niet containen wat erdoorheen is gelekt.

De reden dat dit zo hard aankomt is dezelfde reden waarom verboden falen. Als data via een tool beweegt die niemand in kaart heeft gebracht, weet je niet wat eruit ging, waar het naartoe ging of wie het kan zien. Je kunt niet containen wat je nooit in kaart hebt gebracht. De goedkoopste controle hier is ook de saaiste: zichtbaarheid. Vind het gebruik, breng de data in kaart, geef mensen een veilig pad. Dat kost veel minder dan opruimen achteraf.

De eerlijke versie van AI-governance

Stop met documenten schrijven die niemand leest. Begin met in kaart brengen hoe het werk echt gebeurt, en bouw guardrails rond het echte gedrag in plaats van het gedrag dat je graag zou willen.

Dat is de hele verschuiving. Governance-theater beschermt de gevoelens van het board. Echte governance beschermt het bedrijf. Het ene is een PDF. Het andere is een gewoonte: ontdekken, beveiligen, sturen, en herhalen wanneer de tools veranderen.

Als je een vliegende start wilt, heb ik de no-blame discovery die wij gebruiken, inclusief de zeven vragen en de rood/oranje/groen-datalijst, opgeschreven als gratis worksheet. Je kunt het via onze newsletter hier ophalen.

En als je het liever doornespreekt, mijn DMs staan open.

Houd me op de hoogte

Eén bruikbare e-mail per week over soevereine AI, governance en enterprise AI die werkt. Meld je aan en ontvang de gratis Sovereign AI Playbook.

Meld je aan op onze nieuwsbriefpagina