Deloitte: AI-agents lopen veiligheidsprotocollen voorbij

Lisa Visser · 2026-01-28

Een nieuw rapport van Deloitte slaat alarm. Bedrijven implementeren AI-agents sneller dan hun veiligheidsprotocollen en waarborgen kunnen bijhouden. Dat leidt tot serieuze zorgen over beveiliging, dataprivacy en aansprakelijkheid. Volgens het onderzoek gaan agentische systemen zo snel van pilot naar productie dat traditionele risicocontroles, ontworpen voor meer mensgerichte operaties, de beveiligingseisen niet meer aankunnen. ### Het cijfermatige bewijs Slechts 21% van de organisaties heeft strikt toezicht of governance voor AI-agents geïmplementeerd, ondanks de toenemende adoptie. Terwijl 23% van de bedrijven aangeeft momenteel AI-agents te gebruiken, wordt verwacht dat dit stijgt naar 74% in de komende twee jaar. Het aandeel bedrijven dat deze technologie nog niet heeft geadopteerd, zal in dezelfde periode dalen van 25% naar slechts 5%. Het echte gevaar? Slecht bestuur. Deloitte benadrukt niet dat AI-agents inherent gevaarlijk zijn, maar stelt dat de echte risico's verband houden met slechte context en zwakke governance. Als agents als eigen entiteiten opereren, worden hun beslissingen en acties al snel ondoorzichtig. Zonder robuust bestuur wordt het moeilijk om ze te beheren en bijna onmogelijk om verzekeringen tegen fouten af te sluiten. Ali Sarrafi, CEO van Kovant, ziet de oplossing in 'governed autonomy': "Goed ontworpen agents met duidelijke grenzen, beleid en definities die op dezelfde manier worden beheerd als een onderneming elke werknemer beheert, kunnen snel werken aan laag-risicowerk binnen duidelijke grenzen, maar escaleren naar mensen wanneer acties gedefinieerde risicodrempels overschrijden." ### Waarom AI-agents robuuste grenzen nodig hebben AI-agents presteren misschien goed in gecontroleerde demo's, maar ze worstelen in echte bedrijfsomgevingen waar systemen gefragmenteerd kunnen zijn en gegevens inconsistent. Sarrafi merkt op over het onvoorspelbare karakter van AI-agents in deze scenario's: "Wanneer een agent te veel context of reikwijdte tegelijk krijgt, wordt het vatbaar voor hallucinaties en onvoorspelbaar gedrag." "Productieklare systemen beperken daarentegen de beslissings- en contextomvang waar modellen mee werken. Ze ontleden operaties in smallere, gefocuste taken voor individuele agents, waardoor gedrag voorspelbaarder en gemakkelijker te controleren wordt. Deze structuur maakt ook traceerbaarheid en interventie mogelijk, zodat fouten vroegtijdig kunnen worden opgespoord en op de juiste manier kunnen worden geëscaleerd in plaats van cascade-fouten te veroorzaken." ### Aansprakelijkheid voor verzekerbare AI Met agents die echte acties ondernemen in bedrijfssystemen, worden risico en compliance anders bekeken. Met elke geregistreerde actie worden de activiteiten van agents duidelijk en evalueerbaar, waardoor organisaties acties in detail kunnen inspecteren. Zo'n transparantie is cruciaal voor verzekeraars, die terughoudend zijn om ondoorzichtige AI-systemen te dekken. Dit detailniveau helpt verzekeraars te begrijpen wat agents hebben gedaan en welke controles erbij betrokken waren, waardoor het gemakkelijker wordt om risico's in te schatten. Met menselijk toezicht voor risicokritieke acties en controleerbare, herspeelbare workflows kunnen organisaties systemen produceren die beter beheersbaar zijn voor risicobeoordeling. ### AAIF-standaarden: een goede eerste stap Gedeelde standaarden, zoals die worden ontwikkeld door de Agentic AI Foundation (AAIF), helpen bedrijven verschillende agentsystemen te integreren. Maar de huidige standaardisatie-inspanningen richten zich op wat het eenvoudigst te bouwen is, niet op wat grotere organisaties nodig hebben om agentische systemen veilig te laten werken. Sarrafi zegt dat ondernemingen standaarden nodig hebben die operationele controle ondersteunen, en die omvatten: - Toegangsrechten - Goedkeuringsworkflows voor hoog-impactacties - Controleerbare logs en observeerbaarheid Zo kunnen teams precies zien wat er gebeurt en waar nodig ingrijpen. Want laten we eerlijk zijn: snelheid is belangrijk, maar veiligheid is essentieel. De bedrijven die AI-agents met zichtbaarheid en controle implementeren, zullen uiteindelijk de concurrentie voorblijven, niet degene die ze het snelst implementeren. Het gaat erom de balans te vinden tussen innovatie en beheersbaarheid. En dat begint met erkennen dat governance niet achteraf mag komen, maar vanaf dag één deel moet uitmaken van je AI-strategie.