De overtuiging dat “bedrijfsgegevens standaard betrouwbaar zijn” begint snel aan verval te raken. Gartner stelt dat naarmate de hoeveelheid door kunstmatige intelligentie (AI) gegenereerde informatie toeneemt en het steeds moeilijker wordt om deze te onderscheiden van door mensen gemaakte data, het datagovernance-beleid zal moeten evolueren richting “zero trust”.
Volgens het adviesbureau zal tegen 2028, 50% van de organisaties een zero trust-strategie voor data governance implementeren, gedreven door de proliferatie van “onverificateerde” AI-gegenereerde gegevens en de impact die dit kan hebben op operationele, financiële en compliance-beslissingen.
Waarom is het probleem niet langer slechts “kwaliteitsbeheer van data”?
Jarenlang lag de focus van data governance op bekende pijlers: herkomst, kwaliteit, databezitters, toegangsbeleid, classificatie, retentie en audit. De huidige ontwikkelingen brengen een nieuw perspectief: er komt steeds meer informatie in systemen zonder solide verificatie van de herkomst.
Gartner vat dit samen met een ongemakkelijke waarheid voor elke directie: organisaties kunnen niet langer “implicit vertrouwen” op data omdat ze ervan uitgaan dat deze door mensen is gemaakt. Wanneer bedrijfskanalen (documenten, tickets, kennisdatabanken, samenvattingen, rapporten, zelfs spreadsheets) worden gevoed met AI-gegenereerde inhoud, vervaagt de grens tussen “data” en “mogelijke tekst”.
Tezelfdertijd versnelt de markt zelf ook: volgens Gartner verwacht 84% van de CIO’s en technologische leiders in 2026 een toename in financiering voor generatieve AI, wat wijst op meer automatisering… en op grotere hoeveelheden geproduceerde informatie.
“Zero trust” toegepast op data governance: wat betekent dat in de praktijk?
In cybersecurity werd zero trust populair als een culturele en technische verandering: geen enkel gebruikersaccount, apparaat of datastroom wordt vanzelf vertrouwd, en continu wordt alles gevalideerd. Bij toepassing op datagovernance is het principe vergelijkbaar:
- Nee, geen enkele data wordt automatisch als “geschikt” beschouwd voor kritieke beslissingen, modeltraining, rapportages of automatiseringen.
- Authenticatie, verificatie en tracering zijn vereist (oorsprong, transformaties, verantwoordelijken, controles).
- Vertrouwen wordt verdiend door het verzamelen van signalen en bewijzen (metadata, certificeringen, handtekeningen, integriteitscontroles, audits).
Dit betekent niet dat alle data verdacht is, maar dat verificatie een operationele vereiste is, vooral wanneer de gegevens mogelijk afkomstig zijn of gewijzigd zijn door AI.
Tabel 1 — Typische risico’s van “onverificateerde data” en hoe zero trust dat aanpakt
| Risico | Voorbeeld in de praktijk | Wat een zero trust-aanpak vereist |
|---|---|---|
| Onzekere herkomst | Rapporten of procedures opgesteld door AI zonder verifieerbare bronnen | Herkomstlabeling + bewijzen van oorsprong + validatieverantwoordelijke |
| Onzichtbare inconsistenties | Samenvattingen die kritische nuances weglaten of verschillende versies mengen | Herkwalificatiecontroles + wijzigingsaudits + rolgebaseerde reviews |
| Automatisering op basis van onjuiste premissen | Actie-autoriteit of workflows gebaseerd op “mogelijke data” | Beleid voor “betrouwbare data” per gebruiksscenario + validaties vooraf |
| Reputatie- of compliance-risico | Interne of externe rapportages met niet-verifieerbare uitspraken | End-to-end traceerbaarheid + integriteitscontroles + bewijs bewaarklassen |
Het “model collapse”: wanneer AI van AI leert (en de realiteit verliest)
Gartner waarschuwt voor een effect dat al in onderzoek wordt besproken: als modellen steeds vaker worden getraind met data die door eerdere modellen is gegenereerd, neemt het risico op gevolgdegradatie toe, hetgeen bekendstaat als model collapse. Simpel gezegd: het systeem begint zijn eigen “benaderingen” te versterken en verliest informatie over de oorspronkelijke distributie, vooral bij zeldzame gevallen of randgevallen.
Hoewel dit risico vooral op modellen van toepassing is, heeft het voor organisaties directe praktische gevolgen: als bedrijfsgegevens besmet raken met niet-verifieerbare inhoud, wordt de kwaliteit van analytische systemen, automatisering en besluitvorming eveneens aangetast.
De sleutel: het identificeren en etiquetteren van door AI gegenereerde data
Gartner voorziet dat in bepaalde omgevingen de vraag zal toenemen om aan te tonen welke data “AI-vrij” zijn (dus niet door AI gegenereerd) of minstens te kunnen identificeren en etiquetteren. Het belangrijke verschil is dat deze eisen kunnen variëren per regio en sector, maar dat de technische capaciteit om herkomst aan te tonen en te verifiëren zich zal ontwikkelen tot een competitief voordeel (en in sommige gevallen een vereiste).
Een operationeel concept dat Gartner extra benadrukt: actief beheer van metadata (active metadata management). Het gaat niet alleen om het aanleggen van een catalogus, maar om het gebruik ervan voor:
- Analyse en detectie van verouderde of twijfelachtige data,
- Alerting wanneer een data-item opnieuw gecertificeerd moet worden,
- Automatisering van beslissingen (bijvoorbeeld het blokkeren van gebruik van een dataset die niet langer als “verifiëerd” wordt beschouwd).
Wat adviseert Gartner: vier strategische stappen om niet achter te blijven
Gartner raadt verschillende strategische acties aan die samen een pragmatische implementatie vormen:
- Aanstelling van een verantwoordelijke voor AI-governance
Een expliciete rol voor beleid zero trust toegepast op data, risico- en compliancebeheer, gecoördineerd met datateams en analytische professionals. - Transversale samenwerking stimuleren
Teams uit verschillende disciplines zoals cybersecurity, data/analytics en business om risico’s concreet te beoordelen: welke beslissingen hangen af van welke data en welke controles ontbreken. - Optimaliseren en actueel houden van bestaande governance
Niet vanaf nul beginnen: beleid voor beveiliging, ethiek, metadata en datagovernance bijwerken om de nieuwe factor “door AI gegenereerde inhoud” te integreren. - Praktijken voor actief metadata-beheer invoeren
Voor real-time hercertificatie, alerts, automatisering en volledige traceerbaarheid gedurende de levenscyclus van data.
Wat betekent dit voor CIO’s, CDO’s en security-verantwoordelijken?
In een traditioneel model bleef data governance vaak in het domein van “best practices” en volwassenheid. Met generatieve AI wordt het debat steeds meer op strategisch niveau gevoerd:
- Foutmarge: bij onzekerheid in data vergroot automatisering de kans op fouten.
- Snelheid: continue verificatie wordt noodzakelijk, niet alleen audits op langer termijn.
- Aansprakelijkheid: data moet duidelijke eigenaren en bewijzen hebben, geen louter “goede bedoelingen”.
- Veerkracht: de doelstelling is dat data in onzekere omgevingen gebruikt kan worden met garanties, ook wanneer AI massa’s inhoud produceert.
Veelgestelde vragen (FAQ)
Wat is “zero-trust data governance” en hoe verschilt het van zero trust in cybersecurity?
Het zero trust in cybersecurity richt zich op toegangscontrole (gebruikers, apparaten, netwerken). In data governance ligt de focus op geen enkele data automatisch als geldig beschouwen: het vereist verificatie van herkomst, tracering, hercertificatie en controles om een datapotentieel “geschikt” te verklaren afhankelijk van het gebruik.
Hoe kan men door AI gegenereerde inhoud binnen een organisatie etiketteren?
Meestal door middel van beleid en metadata: velden voor de herkomst (menselijk/AI/systeem), verantwoordelijke voor validatie, bewijzen (bron, transformaties) en regels die voorkomen dat “onverificateerde” data zonder review of minimale betrouwbaarheid in kritieke processen wordt gebruikt.
Wat is “model collapse” en waarom is het relevant, ook als mijn organisatie niet vanaf nul traint?
Het is relevant omdat een organisatie kan hergebruik maken van modellen, deze finetunen of systemen voeden met interne kennis. Als het bedrijfsrepository vol raakt met AI-inhoud die niet is geverifieerd, neemt het risico op kwaliteitsverlies van zoekmachines, assistenten, agents en analytische systemen toe.
Welke gebieden prioriteren doorgaans eerst een zero trust-benadering voor data?
Die met directe impact op resultaten en risico’s: financiën (rapportage en forecasting), juridische/compliance, operationele kritieke systemen, klantservice automatisering, en alle systemen waarvan acties afhangen van gegenereerde aanbevelingen of reacties.