Kunstmatige intelligentie belooft werk uit handen te nemen. Voor het naleven van wetgeving pakt het vaak omgekeerd uit. Uit vers onderzoek van dataveerkrachtbedrijf Veeam onder 300 Nederlandse beslissers blijkt dat 62 procent van de organisaties verwacht dat AI het voldoen aan weerbaarheidswetgeving zoals NIS2 en DORA juist ingewikkelder maakt. Dat is geen abstracte zorg: de Nederlandse invulling van NIS2, de Cyberbeveiligingswet, treedt naar verwachting dit kwartaal in werking en maakt bestuurders persoonlijk aansprakelijk als de digitale weerbaarheid niet op orde is.
Tegelijk laat het onderzoek een lastig startpunt zien. Eén op de vijf Nederlandse organisaties (20 procent) werkt nog niet actief aan compliance, of komt pas in beweging zodra wetgeving dat afdwingt. Dat terwijl de Tweede Kamer het wetsvoorstel al heeft aangenomen en er na inwerkingtreding weinig tijd rest om maatregelen te treffen.
Waarom AI de nalevingslast opdrijft
De kern van het probleem is gebrek aan overzicht. Veel bedrijven weten niet precies welke AI-tools er binnen de organisatie draaien, tot welke data die toegang hebben, en welke risico's ze introduceren. NIS2 en DORA vragen juist om aantoonbare controle: wie is waarvoor verantwoordelijk, welke data stroomt waarheen, en hoe toon je aan dat je in control bent. Elke ongeziene AI-integratie vergroot precies die bewijslast.
Die druk neemt toe nu autonomere, agentgestuurde systemen zelfstandig binnen bedrijfsomgevingen opereren, soms met minimale menselijke tussenkomst. Gartner verwacht dat tegen eind 2026 zo'n 40 procent van de bedrijfsapplicaties AI-agents bevat. Voor het MKB is de reikwijdte breder dan veel ondernemers denken: tussen de 8.000 en 10.000 Nederlandse organisaties vallen rechtstreeks onder de Cyberbeveiligingswet, en tienduizenden toeleveranciers krijgen er indirect mee te maken via de eisen die hun klanten doorgeven.
En verlichting hoeft niet uit Brussel te komen. Het kabinet waarschuwde eerder dat de voorgestelde vereenvoudiging van NIS2 juist tot meer complexiteit en certificeringslast kan leiden, het tegenovergestelde van wat de Europese Commissie beoogt. De aanname dat AI of een simplificatieronde het werk lichter maakt, klopt hier dus van twee kanten niet.
De kloof tussen IT en directie
De opvallendste bevinding: IT en business kijken totaal verschillend naar AI. Waar 83 procent van de IT-leiders zegt dat hun organisatie AI-tools gebruikt, bevestigt slechts 56 procent van de zakelijke leiders hetzelfde. Meer dan een derde van de directie denkt dus dat er geen AI wordt ingezet, terwijl dat wel gebeurt.
Die blinde vlek werkt door in de risico-inschatting. IT-leiders noemen beïnvloeding door cybercriminelen (55 procent), datalekken of verlies van intellectueel eigendom (52 procent) en insider threats (32 procent) als grootste gevaren. Zakelijke leiders schatten die risico's structureel lager in, en 13 procent van hen ziet zelfs helemaal geen AI-gerelateerde compliancerisico's.
Dat verschil in perceptie is precies het probleem, benadrukt Edwin Weijdema, Field CTO EMEA bij Veeam. "Als risico's niet als risico worden gezien, krijgen ze doorgaans ook geen prioriteit in beleid, budget en besluitvorming", zegt hij over de kloof tussen IT en directie. "Daarmee groeit de kans dat AI-gebruik buiten de formele kaders plaatsvindt en dat organisaties minder aantoonbaar in control zijn richting wetgeving zoals NIS2 en DORA."

Beleid alleen is niet genoeg
Aan papieren voornemens ligt het niet. 82 procent van de Nederlandse organisaties heeft specifiek AI-beleid of ontwikkelt dat, en 76 procent controleert actief of tools volgens de interne richtlijnen worden gebruikt. Maar beleid zonder zicht op datastromen, eigenaarschap en risico's blijft een lege huls, zeker nu agentgestuurde systemen zelf beslissingen nemen.
Dat sluit aan bij een hardnekkig misverstand over AI en privacy: het risico zit zelden in het model, maar in de rommelige manier waarop organisaties al jaren met persoonsgegevens omgaan, die een AI-systeem alleen zichtbaar en schaalbaar maakt. "Zonder duidelijk eigenaarschap over data en transparantie in AI-processen worden verantwoordelijkheid en compliance erg lastig", aldus Weijdema. Zijn advies: terug naar de basis, met heldere afspraken over wie verantwoordelijk is voor data en met verklaarbare, controleerbare AI-processen.
IT-leiders zoeken de oplossing vooral in mensen en kennis: het delen van AI-use cases (48 procent), training voor verantwoord gebruik (42 procent) en opleidingen rond veerkracht en wetgeving (37 procent). Dat het loont, laat het onderzoek ook zien: organisaties die investeren in veerkracht herstellen zeven keer sneller van storingen, ervaren drie keer minder downtime en lijden vier keer minder dataverlies dan organisaties die dat nalaten.
Wat betekent dit voor jouw organisatie
De boodschap voor Nederlandse ondernemers is nuchter: AI invoeren zonder je datahuishouding en governance op orde te brengen, verplaatst het probleem niet, het vergroot het. De eerste stap is geen nieuwe tool, maar een eerlijke inventarisatie: welke AI draait er al, wie is ervoor verantwoordelijk, en welke data raakt het. Wie dat overzicht mist, ontdekt straks pas bij een incident of een audit hoe groot de kloof tussen beleid en praktijk is geworden. En met een Cyberbeveiligingswet die bestuurders persoonlijk aansprakelijk maakt, is dat een dure plek om je huiswerk te doen.
Veelgestelde vragen
Grip op AI en compliance
Ik help je AI invoeren met je datahuishouding en governance meteen op orde, van meedenken en inventarisatie tot bouwen en automatiseren, self-hosted waar dat kan, zodat je aantoonbaar in control blijft richting NIS2 en DORA.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
