De afgelopen jaren hielp generatieve AI veel organisaties bij het schrijven van teksten, analyseren van data en ondersteunen van besluitvorming. Nu verschuift de focus naar zogenoemde agentic AI. Dit zijn autonome digitale agents die context begrijpen, systemen verbinden en zelfstandig taken kunnen uitvoeren. Niet alleen adviseren, maar daadwerkelijk handelen.

Die ontwikkeling biedt enorme kansen voor productiviteit en innovatie. Tegelijkertijd stelt een en ander organisaties voor een fundamentele uitdaging: hoe houd je controle wanneer digitale collega's zelfstandig beslissingen nemen en processen uitvoeren?

Van AI-assistent naar digitale workforce

Microsoft positioneert de Frontier Suite als een combinatie van intelligentie en vertrouwen. Met technologieën zoals Work IQ krijgen Copilot en AI-agents toegang tot organisatiecontext, waaronder documenten, processen en samenwerkingspatronen. Hierdoor kunnen zij relevantere acties uitvoeren en beter aansluiten op de dagelijkse werkzaamheden van medewerkers.

Wave 3 van Microsoft 365 Copilot gaat daarin een stap verder. De focus verschuift van content-creatie naar agentic uitvoering binnen bestaande werkprocessen. De introductie van Copilot Cowork, ontwikkeld in samenwerking met Anthropic, laat deze ambitie goed zien. AI wordt daarmee niet langer alleen een hulpmiddel maar steeds meer een samenwerkingspartner.

Op dit moment ligt een belangrijk deel van de agentic strategie van Microsoft in Copilot Studio, waarmee men eenvoudig eigen agents kan bouwen. Met Copilot Studio kunnen business-gebruikers, procesexperts en citizen developers zonder diepgaande programmeerkennis agents bouwen die toegang hebben tot bedrijfsdata, applicaties en workflows. Dat versnelt innovatie aanzienlijk maar verlaagt tegelijkertijd de drempel om nieuwe agents te introduceren.

Toch zijn veel organisaties nog niet voorbereid op deze nieuwe trend. Dat heeft minder te maken met technologie en meer met governance, processen en verantwoordelijkheid.

Autonome metropool

Een organisatie met autonome agents laat zich vergelijken met een moderne metropool. De infrastructuur is aanwezig: cloud-platformen vormen de wegen, applicaties zijn de gebouwen en data stromen als energie door de organisatie.

Tot voor kort waren mensen de enige bewoners van deze digitale stad. Nu trekken er steeds meer autonome agents in. Ze werken 24 uur per dag, communiceren met systemen en voeren taken uit op een snelheid die mensen niet kunnen evenaren.

Maar wat gebeurt er wanneer iedere afdeling zijn eigen agents ontwikkelt? Zonder duidelijke regels ontstaat een digitale versie van stedelijke wildgroei. Agents gebruiken data waarvoor ze nooit bedoeld waren, nemen beslissingen buiten hun mandaat of verstoren processen elders in de organisatie.

Daarom vraagt een agentic organisatie om meer dan traditionele security-maatregelen. Organisaties moeten vooraf bepalen welke bevoegdheden agents krijgen, welke data zij mogen gebruiken en wanneer menselijke goedkeuring noodzakelijk blijft. Governance moet niet achteraf plaats vinden via controles en audits maar vanaf het begin onderdeel zijn van de architectuur.

Opkomst van Shadow AI 2.0

Deze uitdaging wordt versterkt door de opkomst van wat steeds vaker wordt omschreven als Shadow AI 2.0. Dankzij laagdrempelige ontwikkelplatformen kunnen medewerkers zelf AI-agents bouwen om specifieke problemen op te lossen. Dat stimuleert innovatie, maar creëert tegelijkertijd een nieuwe blinde vlek.

Veel van deze agents opereren buiten centraal toezicht. Ze blijven actief nadat hun maker de organisatie heeft verlaten of krijgen toegang tot gegevens die oorspronkelijk niet voor hen bedoeld waren. Het verschil met traditionele Shadow IT is dat agents niet passief zijn. Zij handelen zelfstandig en kunnen in korte tijd grote hoeveelheden data verwerken, communiceren met externe systemen of geautomatiseerde acties uitvoeren. Nadeel is dat eventuele problemen moeilijk terug te draaien zijn. Want dat vereist tijdig ingrijpen en dat is in deze situatie bijna onmogelijk.

Naarmate het aantal agents groeit, wordt centrale regie essentieel. Organisaties hebben behoefte aan een control plane waarin inzicht ontstaat in welke agents actief zijn, welke systemen zij gebruiken en welke risico's zij introduceren. Oplossingen zoals Agent 365 zijn ontwikkeld om die rol te vervullen en governance op schaal mogelijk te maken.

Identiteitscrisis van AI-agents

Zelfs met sterke governance blijft echter een belangrijke vraag bestaan: wie is verantwoordelijk wanneer een agent een fout maakt? In veel organisaties opereren AI-agents vandaag nog onder de identiteit van een menselijke gebruiker. Dat lijkt praktisch, maar creëert een fundamenteel accountability-probleem. Wanneer een agent midden in de nacht een ongeautoriseerde actie uitvoert, wijzen de logs naar een medewerker die mogelijk niet eens achter zijn computer zat.

Zolang agents geen eigen identiteit hebben, blijft het onmogelijk om menselijke en autonome acties volledig van elkaar te onderscheiden. Dat vormt niet alleen een beveiligingsrisico maar ook een uitdaging voor compliance, auditing en juridische verantwoording.

Daarom wordt digitale identiteit steeds belangrijker binnen de agentic enterprise. Met een eigen Agent ID krijgt een agent een afzonderlijke identiteit, eigen toegangsrechten en een eigen audit trail. Organisaties kunnen daardoor het principe van least privilege toepassen en agents uitsluitend toegang geven tot de systemen en gegevens die noodzakelijk zijn voor hun taak.

Deze aanpak vormt de basis voor een Zero Trust-model waarin iedere autonome actie expliciet kan worden gecontroleerd, gevalideerd en herleid.

Volgende stap naar een beheersbare agentic organisatie

De opkomst van agentic AI luidt een belangrijke verschuiving in de manier waarop organisaties werken in. De discussie gaat daardoor niet langer uitsluitend over de kracht van AI-modellen of de mogelijkheden van nieuwe tools.

De echte uitdaging ligt in bestuurbaarheid. Organisaties moeten leren omgaan met een hybride workforce waarin mensen en autonome agents naast elkaar opereren. Governance, identiteit en controle worden daarmee net zo belangrijk als de intelligentie van de technologie zelf.

De organisaties die hierin slagen, creëren niet alleen ruimte voor innovatie maar bouwen tegelijkertijd het vertrouwen dat nodig is om AI veilig en verantwoord op grote schaal in te zetten. Want in een wereld waarin digitale collega's steeds zelfstandiger worden, is autonomie alleen waardevol wanneer zij gepaard gaat met verantwoordelijkheid.

(Arnold Verhoeven, business development executive bij SoftwareOne)