Deloitte: AI-agents schieten veiligheid voorbij

Lisa Visser · 2026-01-28

Een nieuw rapport van Deloitte slaat alarm. Bedrijven implementeren AI-agents sneller dan hun veiligheidsprotocollen en waarborgen kunnen bijhouden. Dat leidt tot serieuze zorgen over beveiliging, dataprivacy en aansprakelijkheid. Volgens het onderzoek gaan agentische systemen zo snel van pilot naar productie, dat traditionele risicocontroles het niet meer bijbenen. Die controles waren ontworpen voor meer mensgerichte operaties en kunnen de veiligheidseisen nu niet meer aan. Slechts 21% van de organisaties heeft strikt toezicht of governance voor AI-agents geïmplementeerd. En dat terwijl het gebruik ervan enorm toeneemt. Momenteel gebruikt 23% van de bedrijven AI-agents, maar dat zal naar verwachting stijgen naar 74% in de komende twee jaar. Het aandeel bedrijven dat de technologie nog niet heeft geadopteerd, zal in diezelfde periode dalen van 25% naar slechts 5%. ### Waarom slecht bestuur het echte gevaar is Deloitte benadrukt niet dat AI-agents inherent gevaarlijk zijn. Het echte risico schuilt in slechte context en zwak bestuur. Als agents als eigen entiteiten opereren, worden hun beslissingen en acties al snel ondoorzichtig. Zonder robuuste governance wordt het moeilijk om ze te beheren en bijna onmogelijk om je tegen fouten te verzekeren. Volgens Ali Sarrafi, CEO van Kovant, is het antwoord 'governed autonomy'. “Goed ontworpen agents met duidelijke grenzen, beleid en definities – beheerd zoals een bedrijf elke werknemer beheert – kunnen snel werken aan laag-risicotaken binnen duidelijke grenzen. Maar ze escaleren naar mensen wanneer acties gedefinieerde risicodrempels overschrijden.” “Met gedetailleerde actielogs, observeerbaarheid en menselijke goedkeuring voor beslissingen met grote impact, stoppen agents met mysterieuze bots te zijn. Ze worden systemen die je kunt inspecteren, auditen en vertrouwen.” Zoals Deloitte's rapport suggereert, zal de adoptie van AI-agents de komende jaren versnellen. Alleen bedrijven die de technologie met zichtbaarheid en controle implementeren, krijgen de overhand op concurrenten. Niet degene die ze het snelst implementeren. ### Waarom AI-agents robuuste grenzen nodig hebben AI-agents presteren misschien goed in gecontroleerde demo's, maar ze worstelen in echte bedrijfsomgevingen. Daar zijn systemen vaak gefragmenteerd en kunnen gegevens inconsistent zijn. Sarrafi merkte op over het onvoorspelbare karakter van AI-agents in deze scenario's. “Wanneer een agent te veel context of reikwijdte in één keer krijgt, wordt het vatbaar voor hallucinaties en onvoorspelbaar gedrag.” “Productieklare systemen beperken daarentegen de beslissings- en contextruimte waarmee modellen werken. Ze ontleden operaties in smallere, gefocuste taken voor individuele agents. Dat maakt het gedrag voorspelbaarder en makkelijker te controleren. Deze structuur maakt ook traceerbaarheid en interventie mogelijk, zodat fouten vroeg kunnen worden opgespoord en geëscaleerd. Zo voorkomen we kettingreacties van fouten.” ### Aansprakelijkheid voor verzekerbare AI Omdat agents echte acties in bedrijfssystemen ondernemen, worden risico en compliance anders bekeken. Met elke actie die wordt vastgelegd, worden de activiteiten van agents duidelijk en evalueerbaar. Organisaties kunnen acties dan in detail inspecteren. Die transparantie is cruciaal voor verzekeraars. Zij zijn terughoudend om ondoorzichtige AI-systemen te dekken. Dit detailniveau helpt verzekeraars te begrijpen wat agents hebben gedaan en welke controles er waren. Het maakt het makkelijker om risico's in te schatten. Met menselijk toezicht voor risicokritieke acties en controleerbare, herspeelbare workflows kunnen organisaties systemen produceren die beter beheersbaar zijn voor risicobeoordeling. ### AAIF-standaarden: een goede eerste stap Gedeelde standaarden, zoals die worden ontwikkeld door de Agentic AI Foundation (AAIF), helpen bedrijven verschillende agentsystemen te integreren. Maar de huidige standaardisatie-inspanningen richten zich op wat het eenvoudigst te bouwen is. Niet op wat grotere organisaties nodig hebben om agentische systemen veilig te laten werken. Sarrafi zegt dat bedrijven standaarden nodig hebben die operationele controle ondersteunen. Standaarden die onder meer moeten omvatten: - Toegangsrechten - Goedkeuringsworkflows voor acties met grote impact - Controleerbare logs en observeerbaarheid Zo kunnen teams de systemen effectief beheren en risico's beperken. Het gaat erom de balans te vinden tussen autonomie en controle. Want laten we eerlijk zijn, de technologie wacht niet op ons. We moeten meebewegen, maar wel met onze ogen open. Het is een beetje zoals leren fietsen. Je geeft een kind niet meteen een racefiets op een drukke weg. Je begint met zijwieltjes, duidelijke grenzen en veel toezicht. Zo moet het ook met AI-agents. Stap voor stap, met de juiste veiligheidsmaatregelen.