Hoe leid je AI in goede banen?
Dankzij ai is softwareontwikkeling niet meer het exclusieve domein van een afdeling experts. Iedereen kan met een privé-account Copilot op het werk gebruiken en vibecoden kunnen we dus allemaal. Hoe gaan bedrijven om met deze nieuwe realiteit? We vroegen het aan drie it-leiders: Marcel de Vries van Xebia Microsoft Services, Mark Sherwood van Wolters Kluwer en Tjerrie Smit van NN Group.
Tekst: Bouko de Groot Beeld: XEBIA / WOLTERS KLUWER / NN GROUP
Wij hebben ervoor gekozen om ai volledig te omarmen,’ begint Marcel de Vries, global md & cto van softwareleverancier Xebia Microsoft Services (#48 in de Computable 100). ‘We schrijven, maken en moderniseren software voor klanten, en we zien dat ai ons daarbij veel werk uit handen neemt. We hanteren een simpel adagium: we worden niet verslagen door ai, maar wel door mensen die ai gebruiken.’ Bij De Vries worden medewerkers speciaal opgeleid op het gebied van ai. ‘Voor GitHub Copilot, wat veel wordt gebruikt, hebben we ons eigen enablement programma ontwikkeld.’
Xebia heeft wereldwijd ongeveer zesduizend medewerkers, waarvan de meeste in consultancy en softwareontwikkeling werken. ‘Die leiden we zelf op en certificeren we zelf. Daarvoor hebben we de juiste guardrails en enterprise policies opgezet.’ Medewerkers moeten bijvoorbeeld een vragenlijst doorlopen om te bevestigen dat ze de basisregels kennen voor het gebruik van ai. Het belangrijkste daarbij is dat men geen privéaccount of gratis account gebruikt. ‘We nemen alleen mensen aan die we vertrouwen en in wie we geloven. We proberen niet alles dicht te timmeren met allerlei restricties, want het zijn it’ers die overal omheen kunnen. Het heeft geen zin jezelf voor de gek te houden met overbodige maatregelen. Beter is om ervoor te zorgen dat je mensen kunt vertrouwen dat ze de juiste dingen doen.’
‘Klanten willen dat consultants met ai werken en daardoor beter werk leveren en dat ze snappen waar ze het over hebben’
Marcel de Vries, global md & cto Xebia Microsoft Services
Hoe kijken cliënten daartegenaan? ‘We zien al dat klanten eisen stellen aan hun grote it-leveranciers,’ aldus De Vries. Hij constateert dat klanten willen dat consultants met ai werken en daardoor beter werk leveren en dat ze snappen waar ze het over hebben. Van de consultants die dat niet doen, verwacht men lagere tarieven, want dan betreft het geen top-notch werk.
Een ander veelbesproken aspect is cybersecurity. Want nu iedereen zelf kan coderen, zou je kunnen denken dat de droom van cybercriminelen is uitgekomen. Welke vibecoder houdt rekening met cybersecurity? Daar denkt De Vries anders over. ‘Wij hebben ingesteld dat de gegenereerde software rekening moet houden met de OWASP top 10 van security issues. Zo tackle je bepaalde kwetsbaarheden al vooraf in de code generatie. Denk aan input-validatie: input van een gebruiker mag je nooit vertrouwen en moet gevalideerd worden voordat er vervolgacties plaatsvinden. Onze code-generatie met Copilot heeft deze instructies ingebouwd, dus krijg je automatisch input-validatie als standaard onderdeel van de gegenereerde patronen. De secure coding practices kun je mooi inregelen in ai, wat voor consultants vaak meer een vangnet vormt dan wanneer ze dat vroeger handmatig moesten programmeren, want dan maakten ze meer fouten. Daarnaast hebben we extra tooling als nacontrole. Zodra code is ingecheckt en gevalideerd moet worden, zitten daar code-analysetools op, de dast- en sast-tools*, die controleren of het secure coding is. Ik merk niet dat dit consultants belemmert. Ai biedt juist een stukje ontzorging. Een extra vangnet, als je het goed inregelt.’
Zóveel enthousiasme, moet je dat temperen?
‘Technologie is vandaag de dag meer gedecentraliseerd dan ooit tevoren,’ zegt Mark Sherwood, cio bij uitgeverij Wolters Kluwer (#59 in de Computable 100). ‘Bijna iedereen kan een agent bouwen en als organisatie is dat iets dat we in goede banen willen leiden. Ik raad iedere organisatie aan om een gedegen governance-programma op te zetten met vooral guidance rond ethische vraagstukken. Beschrijf daarin op hoog niveau hoe processen moeten worden vormgegeven en welke regels en richtlijnen er gevolgd moeten worden. Het zonder enige vorm van begeleiding creëren of bouwen van programma’s is niet wenselijk.’
‘De vraag moet niet alleen zijn “kunnen we het maken”, maar ook “moeten we het ook doen” ’
Mark Sherwood, cio Wolters Kluwer
Met de nieuwe mogelijkheden is het makkelijk voor mensen om veel energie te steken in hun eigen favoriete projecten. ‘Dat is vanuit innovatieoogpunt prima,’ weet Sherwood, ‘maar we moeten er ook voor zorgen dat we goed zicht hebben op de concrete gerealiseerde waarde voor het bedrijf en hierover ook kunnen rapporteren. De vraag moet niet alleen zijn “kunnen we het maken”, maar ook “moeten we het ook doen”. Het moet nuttig zijn en meetbare, kwantitatieve waarde creëren.’ Wat hem betreft valt of staat dat met de basis op orde hebben. ‘De manier van werken zou hetzelfde moeten zijn als bij het uitvoeren van projecten, zoals we dat altijd hebben gedaan. Jaren geleden leerden we vanuit it-perspectief dat de fundamenten van een project helder moeten zijn voordat we het diepe induiken. We moeten onze mensen helpen het project te begrijpen en tot overeenstemming te komen over waarom we het doen, welke waarde we ermee creëren en hoe we iedereen erbij betrekken. Zoals bij heel veel projecten waar mensen bij betrokken zijn, is change management cruciaal.’
Toch kan je al dat enthousiasme prima de vrije teugel geven en daarmee zelfs je cybersecurity verbeteren. Zo organiseert Sherwood jaarlijks een hackathon. ‘Dit jaar hadden we een recordaantal deelnemers en ongeveer 95 procent van de ideeën was gericht op ai, hoewel het event niet specifiek een ai-thema had.’ Verder heeft Wolters Kluwer een Innovation Forum opgezet om ideeën uit verschillende groepen te verzamelen en te beoordelen. ‘Zo is er sprake van een gestructureerde aanpak, in plaats van honderden losse initiatieven. Ons doel is om te focussen op een paar projecten met hoge waarde en die uitzonderlijk goed uit te voeren, in plaats van de budgetten te verspreiden over talloze kleinere initiatieven. Deze aanpak heeft een heel positieve invloed gehad op de betrokkenheid in mijn team: het laat zien dat we luisteren en dat we geven om wat mensen inbrengen. En dat ben niet alleen ik, het is het hele leiderschapsteam en de hele organisatie. We hebben veel meer vrijwilligers dan ik had verwacht, die allemaal deel willen uitmaken van dit innovatieforum.’
Er is ook nagedacht over het volhouden van dat innovatiemomentum. ‘Veel ideeën worden in ere gehouden met het label ‘niet nu’ in plaats van ‘afgewezen’. Goedgekeurde ideeën krijgen de financiering en mankracht, zoals extra medewerkers, om verder te komen. Deze aanpak helpt ons prioriteren op basis van roi en impact, waardoor we ons kunnen concentreren op oplossingen die er echt toe doen.’
‘Wij bieden collega’s een interne NN ChatGPT playground en versie van Copilot aan, waar ze veilig kunnen experimenteren met ai’
Tjerrie Smit, chief analytics officer NN Group
Leiding moet vooroplopen voor ai-succes
Ook bij verzekeraar NN Group weet men het momentum vast te houden. ‘Wij bieden collega’s bijvoorbeeld een interne NN ChatGPT playground en de interne versie van Copilot binnen Microsoft 365 aan, waar ze veilig kunnen experimenteren met ai, zonder dat bedrijfsdata buiten de organisatie terechtkomt of wordt gebruikt om mee te trainen,’ vertelt Tjerrie Smit, chief analytics officer. ‘Zo stimuleren we innovatie, maar houden we grip op security en compliance.’ Maar het managen van ai-enthousiasme vraagt om meer dan alleen regels, het vraagt om leiderschap en cultuur, vertelt Smit. ‘Het succes van ai wordt niet bepaald door technologie, maar door mensen.’ Daarom investeert ook NN Group fors in ai-literacy met een programma voor alle medewerkers om hen te trainen in wat ai betekent en hoe ze het kunnen toepassen in hun dagelijkse werk.
‘Leiderschap speelt hierin een cruciale rol,’ vervolgt Smit. ‘Het enthousiasme moet van bovenaf worden aangewakkerd. Als een directie het belang van ai niet uitdraagt, gebeurt er niets. We zorgen dat het management het voorbeeld geeft, investeert in kennis en openstaat voor feedback uit de organisatie. Alleen zo blijft het enthousiasme behouden en zorgen we dat ai-toepassingen echt waarde toevoegen.’ De resultaten zijn concreet: ‘Ai use cases zijn niet langer een geloof maar realiteit. Dat komt omdat we ai op schaal toepassen en steeds meer integreren in de kern van onze processen. Hierdoor kunnen we klanten en intermediairs sneller, makkelijker en beter helpen. De toepassingen zijn eindeloos en agentic ai is heel geschikt voor processen in de financiële sector.’ Bij Smit wordt elke use case vooraf getoetst op businesswaarde en risico’s, zodat efficiencywinst niet leidt tot hogere kosten elders. ‘Het blijft een balans, maar de praktijk laat zien dat verantwoord innoveren loont.
* Sast staat voor static application security testing: analyse broncode of binaries zonder de applicatie uit te voeren. Dast staat voor dynamic application security testing: test tijdens runtime om kwetsbaarheden in de werkende software te vinden.
