Wie begin 2026 een technologie-event bezoekt, kent het beeld. Een ontwikkelaar toont hoe in amper twintig minuten een applicatie ontstaat met behulp van generatieve AI. De demo oogt indrukwekkend, het publiek applaudisseert en de CIO ziet vooral snelheid en efficiëntie. Toch zit het probleem niet in wat wordt getoond, maar in wat buiten beeld blijft.
Wat je niet ziet, zijn de momenten waarop exact dezelfde prompt een ander resultaat oplevert. De uitzonderingen die een applicatie doen vastlopen. De kwetsbaarheid die pas maanden later opduikt. Of het ontbreken van een audit trail wanneer een toezichthouder daarom vraagt. Dat is de keerzijde van wat vandaag vaak “vibe coding” wordt genoemd.
AI-expert Andrej Karpathy omschrijft dit als de March of Nines. Met AI is het relatief eenvoudig om iets te bouwen dat in 90% van de gevallen correct werkt. Dat kan op een namiddag. Maar voor overheids- en enterprisesystemen is 90% onvoldoende. Waar een webshopstoring vooral omzet kost, kan onvoorspelbaar gedrag in een overheidssysteem betekenen dat een burger onterecht geen uitkering krijgt of een ondernemer een vergunning misloopt.
Daarom ligt de lat hier op 99,9% betrouwbaarheid of hoger. En precies die stap van “meestal goed” naar “altijd correct” vraagt evenveel inspanning als alles daarvoor. Wat voor een startup een proof-of-concept is, wordt in de publieke sector en bij grote ondernemingen al snel een kritieke toepassing die niet mag falen.
Waarom ‘waarschijnlijk correct’ niet volstaat
De kern van het probleem zit in de manier waarop generatieve AI werkt. Het systeem analyseert patronen in grote hoeveelheden data en voorspelt wat “waarschijnlijk de juiste code” is. Dat levert snelheid op, maar “waarschijnlijk correct” is problematisch wanneer het gaat over loonverwerking, vergunningen of patiëntgegevens.
In missiekritieke omgevingen moet hetzelfde scenario altijd tot exact hetzelfde resultaat leiden. Geen variatie, geen interpretatie. Zeker in de Belgische publieke en financiële sector is die voorspelbaarheid geen luxe, maar een vereiste. Kaders zoals de Baseline Informatiebeveiliging Overheid (BIO), deAlgemene Verordening Gegevensbescherming (AVG)en architecturale richtlijnen zoals deVlaamse Referentie Architectuur (VRA)en het federale BE-GovEA-raamwerk (Belgian Government Enterprise Architecture)zijn bindend.
Zodra een systeem zelfs maar 1% variatie introduceert, ontstaat een volledig audit- en beleidsrisico. Europese regelgeving zoals de Digital Operational Resilience Act (DORA) vereist volledige traceerbaarheid en controleerbaarheid van IT-systemen. Het is moeilijk uit te leggen aan een auditor dat een AI-systeem “meestal” de juiste toegangsrechten toekent. Bovendien zijn overheidsorganisaties verplicht om risicovolle algoritmes te registreren, wat bij ongecontroleerde AI-code vrijwel onmogelijk is.
AI heeft kaders nodig
Betekent dit dat AI geen plaats heeft in overheids- of enterprise softwareontwikkeling? Integendeel. Maar het vraagt een andere benadering. AI is geen vervanging voor ervaren ontwikkelaars; het is een versneller binnen duidelijke grenzen.
Low-code platforms spelen daarin een sleutelrol. Niet als hype, maar als noodzakelijke infrastructuur. Ze bieden een architecturaal kader waarin AI kan werken zonder fundamentele regels te schenden. In plaats van AI vrij code te laten improviseren, wordt gewerkt met vooraf gedefinieerde en geteste componenten. AI combineert die bouwstenen, maar kan niet buiten de lijntjes kleuren.
De vergelijking met LEGO is treffend: de vrijheid om te bouwen is groot, maar de blokken liggen vast. Een AI kan geen onbeveiligde database-connectie aanmaken als het platform dat niet toelaat. Ontwikkelteams focussen op businesslogica en processen, terwijl het platform de technische complexiteit afhandelt.
Begrijpelijkheid telt mee
Naast betrouwbaarheid is begrijpelijkheid cruciaal. Wanneer een AI duizenden regels code genereert, kan die technisch correct zijn, maar ondoorzichtig voor beleidsmedewerkers, compliance officers of zelfs collega-ontwikkelaars. En wanneer later aanpassingen nodig zijn, wordt het risico groter.
Visuele ontwikkeling maakt logica inzichtelijk via modellen en flows die voor alle betrokkenen leesbaar zijn. Beleidsmedewerkers zien hoe beslissingen tot stand komen, compliance kan controles uitvoeren en architecten beoordelen integraties. AI ondersteunt met snelheid en suggesties, maar mensen behouden de regie.
Eerst ontwerpen, dan bouwen
Een belangrijke verschuiving is de timing van AI-gebruik. Door AI al in de ontwerpfase te gebruiken, kunnen scenario’s worden verkend vóór er code bestaat. Het gesprek verschuift van “kunnen we dit bouwen?” naar “is dit exact wat we bedoelen?”. De uiteindelijke keuzes blijven bij mensen; AI ondersteunt binnen afgesproken kaders.
Wat dit betekent voor organisaties
De vraag is niet of AI missiekritieke softwareontwikkeling verandert. Dat gebeurt al. De vraag is of organisaties dat potentieel kan benutten zonder de controle te verliezen. Zeker voor Belgische overheden en grote ondernemingen geldt: hoe zet je AI in zonder BIO, AVG, VRA, BE-GovEA of DORA te schenden?
Uiteindelijk draait het niet om hoeveel regels code AI kan schrijven, maar om hoeveel daarvan morgen nog correct werkt, begrijpelijk is en voldoet aan wet- en regelgeving. Dat is het deel dat demo’s zelden tonen, maar precies daar wordt het verschil gemaakt in overheids- en enterprise-IT.
Door: Menno Odijk, Field CTO Mendix
0 reacties