Maarten Stolk: “Zonder AI governance ga je niet duizenden use cases naar productie brengen”

Maarten Stolk is CEO en mede-oprichter van Deeploy. In de media wordt Deeploy weleens een ‘AI-waakhond’ genoemd, maar Maarten heeft het liever over iets anders: grip. Grip op waar AI in je organisatie draait, wie verantwoordelijk is, welke risico’s je neemt en welke controls je nodig hebt om niet te blijven hangen in experimenten. Want als CISO’s en CIO’s veilige AI-adoptie in 2026 als topprioriteit zien, dan is simpelweg het doen van meer pilots niet genoeg.

“We hebben meer pilots dan de KLM”

Maarten ziet het bij veel organisaties: er wordt volop geëxperimenteerd, maar de echte impact blijft achter. Hij noemt het voorbeeld van een bedrijf dat het zelf bijna cynisch samenvatte: “Wij hebben meer pilots dan de KLM.” Volgens Maarten is dat niet omdat AI niets oplevert, maar omdat veel organisaties blijven steken in low-risk use cases: veilig, klein en weinig gedoe.

De echte winst zit juist in high-impact en high-risk toepassingen. Daar kun je pas echt zorg betaalbaar houden, overheid efficiënter maken of financiële processen slimmer inrichten. Maar dan moet je wel de randvoorwaarden regelen. Maarten: “Dat heet tegenwoordig governance; verantwoorde AI. Dat is ontzettend belangrijk, anders blijft het bij pilots en MVP’s.”

“Het is een zooitje… en vaak ontbreekt het overzicht”

Deeploy startte vijf jaar geleden vanuit een simpele observatie: AI in organisaties groeit sneller dan het overzicht. Maarten is daar ongefilterd over: “Het was echt een zooitje aan het worden en het is nog steeds op veel plekken best een beetje een zooitje. Teams bouwen op verschillende plekken modellen, kopen tooling in waar stiekem AI in zit, en ondertussen weet niemand precies wat waar draait.

Het gevolg is voorspelbaar: er is geen centrale monitoring, met een beetje geluk is het decentraal gemonitord, met een beetje pech wordt het gewoon niet gemonitord. Ownership is onduidelijk, documentatie ontbreekt en dingen die in softwareontwikkeling normaal zijn, zijn rondom AI nog niet ingericht.”

“Het voelt een beetje als het Wilde Westen van het internet, zo’n twintig jaar geleden. Het gaat al beter dan twee, drie jaar terug, maar het is nog nieuw en iedereen is nog aan het uitzoeken wie waarvoor verantwoordelijk is.”

Maarten merkt dat organisaties nog zoekende zijn naar de governance-rolverdeling. Hij zit vaak in roundtables met klanten en overal komt dezelfde vraag terug: ‘Waar hoort AI-governance thuis? Is het first line of second line of defense? Wat is de rol van security? Wat is de rol van compliance?’ Volgens Maarten gaat dat snel duidelijker worden. Hij verwacht dat ‘second line of defense’ meer in de lead komt en dat organisaties duidelijke AI governance profielen gaan inrichten. Pas als je weet waar verantwoordelijkheid ligt, kun je ook volwassen controls neerzetten en standaardiseren wat nu nog ad hoc gebeurt.

Governance doe je niet omdat je compliant wil zijn

Maarten ziet de discussie verschuiven van compliance naar governance. “Het ging een jaar geleden heel veel over compliance, het gaat nu veel meer over governance. Dat is geen semantiek. Governance is geen checkbox-oefening; het is wat je nodig hebt om op te schalen. Zonder data governance bouw je geen goede dataproducten en word je niet écht datagedreven. Voor AI geldt hetzelfde. Zonder AI governance ga je niet duizenden use cases naar productie brengen. Doe je dat toch, dan neem je als organisatie onwijs veel risico en je remt jezelf af, juist als je harder wilt innoveren.”

Waar gaat het mis in de meeste bedrijven? In een grote organisatie heb je wereldwijd teams die AI bouwen, gebruiken en inkopen. De grootste uitdaging is dan niet één model beter monitoren, maar überhaupt weten wat er allemaal bestaat. Volgens Maarten moet dat ergens terugkomen: registreren, assessment doen, monitoren. Deeploy fungeert als de paraplu over al die modellen heen, zodat je centraal een control framework kunt neerzetten. Vanuit dat framework bouw je documentatie op, richt je controls in en voeg je monitoring toe. Niet als losse eilandjes, maar organisatiebreed.

Bij kleinere organisaties ligt de pijn anders. Met honderd man heb je vaak nog redelijk overzicht over wat er speelt. Dan draait het volgens Maarten meer om diepte: “Je moet die monitoring hebben, dat je constant weet wat die modellen aan het doen zijn, zodat je kunt ingrijpen en verbeteren.”

“Security is vaak een ondergeschoven kindje”

Maarten ziet security nog te weinig als trekkende kracht in AI-adoptie. De vraag komt meestal uit GRC (wetgeving/risico) of uit data/AI/ML-teams (innovatie). En dat levert een ongemakkelijke situatie op: “Je bent verantwoordelijk voor innovatie, maar je moet ook je eigen werk gaan keuren.”

Maarten pleit daarom voor AI governance als eigen functie binnen organisaties, zoals data governance dat ook is geworden. Dat betekent niet dat een CISO het naar zich toe moet trekken, maar wel dat security betrokken moet zijn, vooral op vragen die nu te makkelijk worden overgeslagen. Hij noemt er één heel concreet: ‘Waar gaat die data uiteindelijk naartoe?’ Want generative AI wordt vaak ‘lekker handig’ binnen bestaande suites gebruikt, terwijl je fundamenteel misschien helemaal niet wilt dat data naar bepaalde plekken verdwijnt.

Een ander terugkerend thema is of we afhankelijk worden van een paar grote closed-source aanbieders, of schuiven we richting meer open source en kleinere modellen? Hij denkt dat dat tweede belangrijker wordt. “Niet omdat de grote assistenten verdwijnen, die blijven nuttig, maar omdat specifieke use cases vragen om controle en efficiëntie. Kleinere modellen die specifiek getraind of gefinetuned zijn, kun je vaker zelf hosten. Je hebt veel meer controle, het is efficiënter, minder snel te duur, en je weet beter wat er met data gebeurt. We gebruiken nu eigenlijk veel te grote modellen voor specifieke taken en we hebben er weinig controle op als we heel eerlijk zijn.”

Investeer in governance, anders blijf je hangen

Maarten benadrukt dat Deeploy niet is gestart omdat de AI Act eraan kwam. “Toen wij begonnen hadden we nog nooit van de AI Act gehoord. Het vertrekpunt was destijds intrinsiek: we moeten AI veel breder inzetten op plekken waar het echt iets toevoegt en dat moet verantwoord kunnen.

Over vijf jaar hoop ik dat we als samenleving zoveel efficiënter en effectiever werken omdat AI echt schaalbaar is toegepast. En ik hoop ook dat Deeploy daarbij helpt door het overzicht en de controle te houden over al die AI-systemen. Maar, let op: zonder governance blijf je steken in een hoop experimenteerwerk, een hoop pilots én een hoop ongelukkige mensen.”

Vergelijkbare berichten

Maarten Stolk: “Zonder AI governance ga je niet duizenden use cases naar productie brengen”

“We hebben meer pilots dan de KLM”

“Het is een zooitje… en vaak ontbreekt het overzicht”

Governance doe je niet omdat je compliant wil zijn

“Security is vaak een ondergeschoven kindje”

Investeer in governance, anders blijf je hangen

Cybersecurity Spotlight: de kracht van verbinding voor startups in Cybersecurity

Petra Oldengarm: “Stop met het opvoeden van MKB’ers in security”

Nederlandse organisaties geven zichzelf een 7,1 voor cyberweerbaarheid

Rutger Leukfeldt: “Het begrijpen van menselijke motivatie is cruciaal om de cyberwereld te doorgronden.”

Queeny Rajkowski, VVD Tweede Kamerlid: “Cybersecurity wordt in de politiek vaak over het hoofd gezien.”

Anouk Vos: “Omdenken en een open blik is nodig voor innovatie.”