Vibe coding maakt van applicaties bouwen kinderspel. Heel wat werknemers experimenteren met AI-tools om hun werk efficiënter in te richten. Hoe bewaak je als bedrijf de grenzen, en wat met veiligheid van bedrijfsdata?
“Hoe maak je jouw bedrijf klaar voor een toekomst met AI?”, een vraag die Ron Pooters, directeur van de Microsoft Innovation Hub in Brussel, stelt tijdens een ronde tafel georganiseerd door ITdaily. “Vibe coding creëert een nieuw governance-vraagstuk dat sterk lijkt op de strijd van vroeger tegen de Microsoft Access-databanken die onder ieders bureau stonden”, stelt Dirk Deridder, CTO bij Smals. De meerwaarde van de experimentele fase mag niet onderschat worden, maar de governancelaag moet wel gelijke tred houden.
Rond de tafel zitten nog Bjorn Boisschot, Quality Engineering Manager bij Cegeka, Stijn Lambrechts, Global Delivery Lead Applications bij Cegeka en Pieter Vercammen, Solutions Architect bij Mendix. “Voor de eerste keer in twintig jaar voel ik dat ik weer dingen kan realiseren, omdat AI de heavy lifting voor mij overneemt”, vertelt Pooters, die van oorsprong ook softwareontwikkelaar is.
‘Vrijheid blijheid’
“Vrijheid is blijheid”, verkondigt Deridder. Vibe coding maakt van iedereen een ontwikkelaar. Met enkele goede prompts kan je al snel een (werkende) applicatie op poten zetten.
De experten rond de tafel stellen dat we ons nog in de exploratiefase bevinden, al schuilt er volgens Vercammen ook een gevaar in de snelheid waarmee mensen met weinig tot geen software-ervaring vandaag applicaties kunnen bouwen. “Daar kan je geen proces van laten afhangen.”
Shadow AI
“Citizen development heeft wel een belangrijk voordeel: een business-gebruiker die een pijnpunt herkent en zelf oplost, creëert vaak meer meerwaarde dan een formeel IT-traject”, aldus Deridder. Zo gebruikt Smals vibe coding enkel en alleen in de prototypefase om te achterhalen of een applicatie het beoogde doel kan behalen.
Een business-gebruiker die een pijnpunt herkent en zelf oplost, creëert vaak meer meerwaarde dan een formeel IT-traject.
Dirk Deridder, CTO bij Smals
“Wanneer een vibe-code-applicatie dan toch in productie gaat en beheer gegeven wordt aan IT, beginnen de problemen”, stelt Deridder. Lambrechts: “Functioneel werken de applicaties misschien prima, maar of ze voldoet aan non-functionele eisen rond bijvoorbeeld compliance, schaalbaarheid, performantie, disaster recovery en security, is een open vraag. Lambrechts spreekt uit ervaring.
“Wanneer we de vraag krijgen om een gevibe codede applicatie in beheer te nemen, is ons eerste antwoord ‘nee’, om een schrikeffect te creëren. Voordat we de applicatie effectief in beheer nemen, is er nog een analyse nodig om de veiligheidsgaten en andere kwalitatieve problemen in kaart te brengen en vervolgens een traject aan te bieden zodat de applicatie in lijn ligt met de standaarden. Pas nadien nemen we de applicatie in beheer.”
Rode vlag
Hoewel AI veel deuren kan openen, mag de kritische blik niet onderdoen. “Een ontwikkelaar die op een voormiddag duizend regels AI-gegenereerde code schrijft, leest die niet allemaal na”, stelt Lambrechts. “Het grootste risico is dan ook dat mensen niet meer kritisch genoeg zijn naar wat AI aanmaakt.”
De oplossing ligt volgens hem paradoxaal genoeg bij AI zelf: tooling die mee toezicht houdt en rode vlaggen opsteekt wanneer er problemen worden geïntroduceerd. “Als je dit evenwicht onder controle krijgt, kun je heel veel AI-winsten maken, ook in heel complexe omgevingen.”
Dataprobleem
Boisschot vreest bovendien voor een ander risico. “Heel wat bedrijven hebben vandaag hun basisdata of –informatie niet beschikbaar die nodig zijn om effectief AI-agenten op een deftige manier aan het werk te zetten.”
De basisprincipes rond dataclassificatie en toegangsrechten worden vergeten.
Bjorn Boisschot, Quality Engineering Manager bij Cegeka
Bovendien kan ook het omgekeerde gebeuren, waarbij er te veel of foutieve data ontdekt worden. “Je krijgt antwoorden van data waarvan je denkt: het is niet de bedoeling dat ik deze data kan zien. Ik zou ze nooit gevonden hebben, want ik zou niet weten waar ze staan”, aldus Boisschot.
Overzicht bewaken
“Bijna iedereen binnen een bedrijf gebruikt ondertussen wel een vorm van AI”, stelt Pooters. De ene werknemer voor HR-processen, de andere dan weer om code te genereren.
Terwijl medewerkers op eigen houtje AI-tools ontwikkelen voor hun productiviteit, verliest het management het overzicht. “De top van een bedrijf weet vaak niet hoe ze AI binnen hun organisatie moeten gebruiken”, vertelt Pooters.
Guardrails
Iedereen rond de tafel is het erover eens dat guardrails nodig zijn, maar dat ze vandaag nog grotendeels gefragmenteerd zijn. Guardrails bepalen wat mag en wat niet, welke security frameworks gelden en wat de regels van een bedrijf zijn.
“Wij zijn heel zwaar aan het investeren in geautomatiseerde guardrails in SDLC’s (Software Development Life Cycle), zodat wij een heel ecosysteem van AI-agenten hebben op de SDLC’s die controleren wat ontwikkel teams met AI maken”, vertelt Lambrechts.
Binnen het Power Platform van Microsoft is ook al een eerste aanzet zichtbaar: een vibe coding-interface waarmee je applicaties kan bouwen binnen het kader dat Power Apps zelf creëert, inclusief de bijbehorende guardrails. “Dit nieuwe platform is volop in ontwikkeling”, benadrukt Pooters.
Twee versnellingen
“Wie zonder strategie aan de slag gaat, bouwt hooguit een interessante case op, maar dat is een speld in een hooiberg”, vertelt Pooters. Volgens hem moeten bedrijven op twee versnellingen schakelen. “Een eerste belangrijke stap is om alle medewerkers toegang te geven tot goedgekeurde AI-tools met duidelijke richtlijnen.”
“Pas daarna kan je naar de tweede versnelling overschakelen”, merkt hij op. “Door stelselmatig te kijken waar AI kan differentiëren of nieuwe diensten lanceren die de concurrentie nog niet heeft. Veel bedrijven slaan die eerste stap over en willen meteen naar de tweede fase, terwijl de basis, een heldere strategie, er nog niet is.”
De exploratiefase kan waardevolle tooling opleveren, maar moet in toom gehouden worden door concrete guardrails op te leggen. “Je mag deze vrijheid blijheid-fase niet afremmen, maar bouw er wel een framework rond”, besluit Deridder.
