Veel bedrijven worstelen met het vinden van de juiste balans tussen innovatie en governance. In het AI-tijdperk is die balans complexer dan ooit. Medewerkers willen snel nieuwe technologie inzetten om productiviteit en concurrentiekracht te vergroten, terwijl toezichthouders eisen stellen aan transparantie, datagebruik en risicobeheersing. In dit landschap is inzicht in data niet langer optioneel, maar een voorwaarde voor de geloofwaardigheid en het succes van organisaties op lange termijn.
De druk van regelgeving neemt toe
Toezichthouders erkennen dat succesvolle en veilige AI-initiatieven enkel zo effectief zijn als de regelgevende structuren waarbinnen ze opereren. Dit heeft geleid tot een groeiend aantal regelgevingskaders, waaronder de Digital Operational Resilience Act. De belangrijkste factor van deze regelgevingen is het beschermen van data en het minimaliseren van risico’s op ransomware, datalekken en systeemuitval.
Waar regelgeving zich aanvankelijk vooral richtte op door mensen beheerde IT-systemen, verschuift de focus nu naar geautomatiseerde processen en AI-modellen. Niet alleen menselijke fouten, maar ook de manier waarop AI data gebruikt en verwerkt, komt onder toezicht te staan. Organisaties moeten kunnen aantonen waar data vandaan komen, hoe deze worden gebruikt en welke output daaruit voortvloeit. Traceerbaarheid van datastromen en transparantie over modeltraining en besluitvorming zijn daarbij essentieel. Toezichthouders verwachten dat organisaties hun AI-processen kunnen uitleggen en documenteren. Dat betekent laten zien dat ze de controle hebben over datastromen en dat data veilig, verantwoord en volgens vastgestelde kaders wordeningezet.
Die verantwoordelijkheid ligt grotendeels bij IT-teams. Zij moeten ervoor zorgen dat AI-modellen verklaarbaar en controleerbaar blijven. Dit vraagt om een herziening van bestaand beleid rond privacy, toegangsrechten en datalevenscyclusbeheer. Tegelijkertijd moeten ze ruimte bieden voor innovatie, zonder concessies te doen aan beveiliging. In de praktijk blijkt dat lastig. Data worden vaak lukraak verzameld uit hybride en multicloudomgevingen. Het gevolg is beperkt inzicht in waar data zich bevinden, wie hier toegang tot heeft en hoe deze worden gebruikt. Dit maakt het aantonen van digitale verantwoording complex. Alleen organisaties die hun data echt begrijpen en beheersen kunnen die verantwoording gedegen afleggen.
Het risico van ongecontroleerd AI-gebruik
Het is begrijpelijk dat IT-teams terughoudend zijn om medewerkers vrij te laten experimenteren met nieuwe AI-tools. AI introduceert immers nieuwe datastromen en vergroot daarmee het risico op datalekken en verkeerd gebruik. Het gebruik van IT-tools door medewerkers is echter niet te voorkomen, dus moeten organisaties een manier vinden om ook deze risico’s te beheersen.
Dit fenomeen staat bekend als schaduw-IT. In het AI-tijdperk groeit dit uit tot schaduw-AI. Medewerkers experimenteren op grote schaal met AI-tools om efficiënter te werken, vaak zonder formele goedkeuring. Naarmate AI toegankelijker en gebruiksvriendelijker wordt, zal dit alleen maar toenemen. Schaduw-AI is daarmee geen tijdelijk probleem, maar een structurele realiteit.
Het overwinnen van schaduw-AI
De oplossing ligt niet in het verbieden van AI, maar in het beheersbaar maken van de risico’s. Organisaties moeten hun focus verleggen naar zichtbaarheid, datahygiëne en proactieve educatie.
Om dit te bereiken moeten IT-teams stapsgewijs te werk gaan. Start met kleinschalige pilotprojecten, beperkte datascopes of duidelijke kaders voor het classificeren van gevoelige informatie, en bouw hiermee kennis op. Deze ervaring dient als basis voor praktische richtlijnen die vervolgens kunnen worden opgeschaald.
Cruciaal bij deze aanpak staat zichtbaarheid. Organisaties moeten weten welke data ze hebben, waar deze zijn opgeslagen, wie ermee omgaat en hoe data tussen systemen bewegen. Deze inventarisatie helpt waardevolle data-assets te identificeren en te beschermen tegen inbreuken. Dit vormt de basis voor compliance, maar ook voor betere besluitvorming en verhoogde dataveerkracht.
Met dit inzicht kunnen back-up- en herstelstrategieën worden afgestemd op bedrijfskritische processen. Een goede datahygiëne versterkt niet alleen cybersecurity en bedrijfscontinuïteit, maar creëert ook het vertrouwen dat nodig is om AI verantwoord in te zetten. Dit zijn dezelfde disciplines die cybersecurity versterken en bedrijfscontinuïteit waarborgen, maar nu opgezet voor het AI-tijdperk.
Controle als versneller van innovatie
Schaduw-AI is onvermijdelijk, maar de risico’s zijn beheersbaar wanneer de juiste fundamenten zijn gelegd. Door te investeren in datazichtbaarheid en -hygiëne creëren organisaties ruimte voor veilige AI-experimenten. En in een tijdperk waarin vrijwel elk bedrijf AI-gedreven te werk gaat, is het behoud van controle over data geen last, maar juist de sleutel tot veilige, schaalbare en duurzame innovatie.
Dit is een ingezonden bijdrage van Veeam. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.