Nieuws
3 min leestijd
AI-codeertools zijn bij grote bedrijven vrijwel standaard geworden. Uit het rapport State of AI-Powered Software Development van softwarebeveiligingsbedrijf Black Duck blijkt dat de adoptie onder enterprise-organisaties inmiddels 97 procent bedraagt. Ontwikkelaars gebruiken de tools dagelijks, en de verwachting is dat het gebruik de komende jaren verder toeneemt.
Toch loopt het beheer van die tools flink achter. Slechts een derde van de ontwikkelteams heeft governance-beleid geïmplementeerd voor het gebruik van AI-gegenereerde code. Dat betekent dat de overgrote meerderheid van de organisaties wel AI inzet bij softwareontwikkeling, maar zonder vastgelegde kaders voor veiligheid, kwaliteitscontrole of aansprakelijkheid.
Opvallend is dat de teams die hun governance wél op orde hebben, betere resultaten rapporteren. Zij melden hogere efficiëntie en minder incidenten rondom codekwaliteit, zo blijkt uit het Black Duck-rapport.
De kloof tussen gebruik en beleid is niet nieuw in de technologiewereld, maar bij AI-codeertools is die kloof bijzonder groot. Waar organisaties er normaliter jaren over doen om nieuwe ontwikkelomgevingen uit te rollen, zijn AI-assistenten zoals GitHub Copilot, Cursor en vergelijkbare tools in korte tijd diep doorgedrongen in de dagelijkse werkpraktijk van ontwikkelteams.
Die snelheid maakt het lastig voor IT-afdelingen en juridische teams om bij te blijven. Vragen over intellectueel eigendom van AI-gegenereerde code, over de herkomst van trainingsdata en over aansprakelijkheid bij fouten blijven in veel organisaties onbeantwoord. Black Duck wijst erop dat dit niet alleen een juridisch risico vormt, maar ook een operationeel risico: zonder duidelijke richtlijnen weten ontwikkelaars niet welke tools zijn toegestaan, onder welke voorwaarden en hoe zij met de output moeten omgaan.
Governance voor AI-gegenereerde code omvat doorgaans een combinatie van technische en organisatorische maatregelen. Denk aan:
Organisaties die dit soort maatregelen hebben ingevoerd, blijken volgens het rapport niet alleen veiliger te opereren, maar ook efficiënter. Dat laatste lijkt contra-intuïtief, maar de verklaring is dat duidelijke kaders ontwikkelaars juist meer vrijheid geven om tools te gebruiken zonder voortdurende twijfel over de toelaatbaarheid.
Het ontbreken van governance brengt concrete risico's met zich mee. AI-modellen genereren code op basis van grote hoeveelheden trainingsdata, waaronder publieke codebases. Daardoor kan gegenereerde code onbedoeld fragmenten bevatten die vallen onder een licentie die niet compatibel is met de beoogde toepassing, zoals een GPL-licentie in commerciële software.
Daarnaast zijn er veiligheidsvraagstukken. AI-modellen reproduceren soms bekende kwetsbaarheden uit hun trainingsdata, zonder dat de ontwikkelaar zich daarvan bewust is. Zonder gestructureerde review-processen kunnen zulke kwetsbaarheden onopgemerkt in productie belanden.
Black Duck, dat zich als bedrijf richt op softwarecompositieanalyse en beveiliging, heeft een direct belang bij het thema. Dat neemt niet weg dat de gesignaleerde kloof tussen adoptie en beheer wordt herkend door een bredere groep onderzoekers en brancheorganisaties.
Voor Nederlandse bedrijven en startups speelt dit thema ook. De AVG stelt eisen aan hoe organisaties omgaan met persoonsgegevens, ook wanneer die als invoer worden gebruikt voor AI-tools. Wie als ontwikkelaar klantdata invoert in een externe AI-assistent zonder duidelijk beleid, loopt het risico in strijd te handelen met databeschermingsregels.
Daarnaast komt de EU AI Act steeds dichterbij. Hoewel de wet zich primair richt op het gebruik van AI-systemen in risicovolle toepassingen, zal de bredere aandacht voor AI-verantwoording organisaties dwingen om ook hun interne ontwikkelpraktijken te documenteren en te verantwoorden.
Voor founders en technische directeuren is het rapport een aanleiding om te inventariseren welke AI-tools hun teams gebruiken en of daar beleid voor bestaat. De cijfers van Black Duck suggereren dat in twee van de drie gevallen het antwoord op die laatste vraag nee is.
Het Amsterdamse alpha.one heeft €1,8 miljoen groeikapitaal opgehaald, geleid door Orange Mills Ventures. Het bedrijf gebruikt neurowetenschap om de effectiviteit van marketingcontent te voorspellen en wil het platform uitbreiden met een actieve optimalisatie-engine.
Anthropic heeft haar Fable-model afgesloten voor gebruikers buiten de VS, waaronder Europeanen. Het is een van de eerste keren dat een geavanceerd Amerikaans AI-model expliciet wordt beperkt tot Amerikaanse staatsburgers.
Nederland is op 23 juni 2026 toegetreden tot Pax Silica, een door de VS geleide alliantie die de chipketen wil diversifiëren en de afhankelijkheid van één regio wil verminderen. Nederland is het vijftiende lid; ook Zuid-Korea, Japan en het Verenigd Koninkrijk zijn aangesloten.
