AI-governance voor vibe coding is het vermogen om controle te houden over zelfgebouwde AI-tools die medewerkers creëren met publieke AI-diensten zoals ChatGPT en Claude, zonder tussenkomst van IT. Die governance bestaat uit drie lagen: platformgovernance, organisatorische governance en endpoint-governance. De meeste organisaties hebben er hooguit één ingericht. De andere twee zijn een open deur naar datalekken, complianceschendingen en operationele fouten.
In mijn vorige artikel beschreef ik hoe vibe coding zich als een stille tsunami door organisaties verspreidt. Dat artikel raakte een zenuw: ruim 15.000 views en tientallen berichten van directeuren die zeiden: "Dit herken ik." Maar de vervolgvraag was steeds dezelfde: "Wat moet ik dan concreet regelen?"
Dit artikel geeft dat antwoord.
Waarom je huidige aanpak niet werkt
De meeste organisaties die al iets aan AI-governance doen, focussen op hun dataplatform. Logisch. Daar zit je gestructureerde data, daar draaien je modellen, daar kun je rechten instellen en audit trails bijhouden.
Maar vibe coding speelt zich niet af op je dataplatform.
Het speelt zich af op de laptop van je planner. In de browser van je operations manager. Op het persoonlijke ChatGPT-account van je kwaliteitsmedewerker. Buiten elk systeem dat je IT-afdeling beheert.
En de cijfers zijn inmiddels onmiskenbaar. Bijna de helft van alle medewerkers gebruikt AI-tools zonder goedkeuring van hun werkgever. En 76% van alle organisaties heeft al bevestigde shadow AI-incidenten gehad.
Je platformgovernance kan perfect ingericht zijn. Als je daar stopt, mis je twee derde van het probleem.
De drie lagen die je nodig hebt
Bij BrainStax werken we met Mens, Data, Technologie, het framework waarbij mens, data en technologie in balans worden gebracht voordat AI waarde levert. Dat framework vertaalt zich direct naar drie governance-lagen. Alle drie onmisbaar. Geen enkele op zichzelf voldoende.
Laag 1: Platformgovernance
Dit is je datafundament. Hier regel je dat de data die je medewerkers gebruiken betrouwbaar, eenduidig en gecontroleerd is. Access control, lineage tracking, modelversioning, audit trails.
Wij bouwen dit op BrainGrounds, ons dataplatform gebouwd op Azure Databricks. De kracht zit in Unity Catalog als centraal governance-systeem: wie heeft toegang tot welke data, waar komt die data vandaan, en wat is ermee gedaan.
Dit is de laag die de meeste organisaties als eerste aanpakken. En terecht. Zonder betrouwbaar datafundament zijn alle AI-toepassingen, of ze nu door IT of door een medewerker met ChatGPT zijn gebouwd, gebaseerd op drijfzand.
Maar dit is slechts de basis.
Laag 2: Organisatorische governance
Dit is het mens-stuk. En hier begint het bij de meeste organisaties al te haperen.
Hebben je medewerkers duidelijke richtlijnen over welke data ze wel en niet mogen invoeren in publieke AI-tools? Weten ze wat soevereine data betekent, dat bedrijfsdata volledig onder eigen controle moet blijven en niet gedeeld wordt met publieke AI-diensten of derden? Is er een classificatie die aangeeft welke bedrijfsinformatie nooit een publiek model in mag?
Bij de meeste organisaties is het antwoord nee.
En dat terwijl het probleem niet kwaadwillendheid is. Medewerkers willen sneller werken. Ze zoeken oplossingen. Onderzoek laat zien dat ongeautoriseerd AI-gebruik met 89% daalt zodra organisaties goede alternatieven bieden. Mensen willen niet om IT heen werken. Ze willen gewoon niet wekenlang wachten op een oplossing die ze zelf in een middag kunnen bouwen.
De oplossing is niet verbieden. De oplossing is kanaliseren. Een privaat AI-taalmodel dat exclusief draait op eigen data, zonder dat informatie naar externe partijen gaat, neemt de belangrijkste reden voor shadow AI weg: de noodzaak om bedrijfsdata door publieke modellen te jagen.
Laag 3: Endpoint- en tool-governance
Dit is de laag waar bijna niemand naar kijkt. En het is precies de laag waar vibe coding het hardst toeslaat.
Welke AI-tools draaien er op de laptops van je medewerkers? Welke browser-extensies hebben AI-functionaliteit? Welke data gaat er dagelijks naar welke publieke modellen? Onderzoek uit 2026 toont dat 47% van alle generatieve AI-gebruikers via persoonlijke accounts werkt, volledig buiten enterprise-controles om. En de gemiddelde organisatie ervaart meer dan 200 shadow AI-incidenten per maand waarbij gevoelige data naar externe diensten vloeit.
Het Moltbook-incident uit februari dit jaar laat zien waar dit toe leidt. Een compleet platform, volledig gebouwd met vibe coding, zonder één regel handmatig geschreven code. Beveiligingsfirma Wiz ontdekte een openstaande database met 1,5 miljoen authenticatietokens en 35.000 e-mailadressen. De oorzaak was geen geavanceerde aanval. Het was AI-gegenereerde code die werd uitgerold zonder security review.
En dat is het patroon: AI-gegenereerde code bevat bijna drie keer zoveel beveiligingskwetsbaarheden als code die door mensen is geschreven. Bij een scan van 5.600 vibe-coded applicaties werden meer dan 2.000 kwetsbaarheden gevonden, honderden blootgestelde API-keys en bijna 200 gevallen van gelekte persoonsgegevens.
Zonder beleid dat voorkomt dat bedrijfsdata de organisatie verlaat, zonder goedgekeurde toollijsten en zonder monitoring vlieg je blind.
Wat er gebeurt als je een laag mist
Alleen laag 1? Je platform is schoon, maar je medewerkers bouwen schaduw-tools op ongecontroleerde data ernaast.
Alleen laag 2? Je hebt beleid, maar geen technisch fundament om het af te dwingen en geen zicht op wat er op endpoints gebeurt.
Alleen laag 3? Je blokkeert tools, maar medewerkers vinden workarounds omdat er geen goed alternatief is.
Je hebt alle drie nodig. In balans. Mens, Data, Technologie.
De wereld wacht niet op jouw governance-framework
Dit is de realiteit: OpenAI, Anthropic, Google en tientallen andere spelers maken hun tools elke maand krachtiger en toegankelijker. De drempel voor je medewerkers om zelf software te bouwen daalt continu. En de snelheid waarmee zij een oplossing vinden voor hun dagelijkse frustraties zal altijd hoger liggen dan de snelheid van je IT-afdeling.
Je kunt dat als bedreiging zien. Of je kunt het als signaal zien dat het tijd is om de randvoorwaarden te creëren waarbinnen die energie veilig en waardevol wordt.
Wij helpen organisaties om fricties te elimineren met soevereine data, een privaat AI-taalmodel en een dataplatform dat als fundament dient voor alle AI-toepassingen. Zodat je medewerkers wél sneller kunnen werken. Maar dan op jouw data, binnen jouw governance, onder jouw controle.
Wil je weten hoe die drie lagen er voor jouw organisatie uitzien? Plan een gesprek van 30 minuten. Geen pitch, geen demo. Een eerlijk gesprek over waar het schuurt en wat het kost.
Stay ahead!