De 10% die niemand ziet: waarom enterprise softwareontwikkeling met AI kaders nodig heeft
Komt het volgende je bekend voor? Een ontwikkelaar laat op een event zien hoe hij of zij in twintig minuten een werkende applicatie bouwt met behulp van een genAI-tool (ook wel bekend als ‘vibe coding’). De zaal applaudisseert en de CIO knikt goedkeurend. Toch gaat hier iets mis. Niet omdat het een slechte demo is, maar omdat het eigenlijke probleem zit in dat wat er niet werd getoond: namelijk dat de andere negentig keer dat precies dezelfde prompt wordt gebruikt, het resultaat net iets anders is. Afwijkende cases die crashes veroorzaken. Een kwetsbaarheid die pas na drie maanden opduikt. Of een audit trail die ontbreekt wanneer de toezichthouder daarom vraagt.
AI-expert Andrej Karpathy noemt dit de ‘March of Nines’: het is niet moeilijk om met behulp van AI iets te bouwen dat 90% van de tijd goed werkt, dat kan in een middag. Maar voor een enterprise systeem is die 90% niet voldoende. Dat vereist 99,9% of hoger. En het pijnlijke feit is dat die laatste 9,9% om 99,9% te bereiken net zo veel werk kost als de eerste 90%. Bij een startup is 90% een proof-of-concept. In een bedrijf of overheidsinstelling is het een kritieke toepassing die niet goed werkt.
Bij enterprise softwareontwikkeling is gissen geen optie
De kern van het probleem ligt dieper dan percentages over de betrouwbaarheid: het gaat om de fundamentele werking van de technologie. Generatieve AI opereert op basis van waarschijnlijkheid. Het systeem analyseert patronen en voorspelt vervolgens: “Gebaseerd op miljoenen vergelijkbare voorbeelden is dit waarschijnlijk de correcte code”. Dat is geweldig voor de creativiteit en de snelheid. Maar ‘waarschijnlijk correct’ is toch echt een probleem als je een salarisadministratie draait of patiëntendossiers beheert.
Bij enterprise systemen gaat het om absolute zekerheid. Als gebruiker X op knop Y drukt, moet altijd hetzelfde gebeuren. Geen variatie, geen interpretatie en vooral geen ‘meestal wel goed’.
In de financiële of publieke sector gaat het nog een stap verder: hier zijn BIO-principes, AVG-eisen, NORA-richtlijnen én ketenverantwoordelijkheid niet optioneel maar verplicht. Een systeem dat 1% variatie introduceert, introduceert 100% audit- en beleidsrisico.
Deze tegenstelling wordt pijnlijk duidelijk als het gaat om regulering. DORA-compliance vraagt bijvoorbeeld om volledige traceerbaarheid. De AVG vereist exacte controle over persoonsgegevens. Leg dan maar eens aan een auditor uit dat jouw AI ‘meestal’ de juiste toegangsrechten toekent.
Architectuur, componenten en kaders
Betekent dit dat AI helemaal geen plek heeft in het ontwikkelen van enterprise software? Absoluut niet. Maar we moeten stoppen met AI te zien als een directe vervanging van ervaren ontwikkelaars en in plaats daarvan systemen ontwerpen waarbinnen AI veilig kan opereren. Dit is waar low-code platforms zoals Mendix om de hoek komen kijken. Niet als hype, maar als noodzakelijke infrastructuur. Ze functioneren als de veiligheidsarchitectuur of vangrails voor de mogelijkheden van AI.
In plaats van AI vrij te laten improviseren met code, maak je gebruik van voorgedefinieerde en geteste componenten. AI configureert en combineert die bestaande componenten. Vergelijk het met LEGO: je hebt de vrijheid om te bouwen wat je wil, maar binnen vaste, gecontroleerde kaders. Een AI kan niet ‘per ongeluk’ een database-connectie zonder encryptie creëren als het platform dat simpelweg niet toestaat.
Een ontwikkelteam hoeft geen specialist te zijn in vectordatabases, transformer-architecturen of promptengineering. Ze werken op het niveau van businesslogica en workflows, en het low-code platform handelt de technische complexiteit af. Dit zorgt voor democratisering van AI: niet iedereen kan het zomaar zonder richtlijnen gebruiken, maar wel veel meer mensen dan nu.
Van onleesbare code naar een begrijpelijk model
Er speelt bij AI-programmeren nog een ander probleem, dat vaak over het hoofd wordt gezien: begrip. Stel dat een AI duizend regels Python-code voor een goedkeuringsproces genereert. Die code werkt, maar er gaan drie dingen mis. Ten eerste: alleen een ervaren senior developer die Python goed beheerst, is in staat om de code te debuggen. Ten tweede: de businessanalist die het proces eigenlijk moet goedkeuren, ziet alleen onleesbare code. En ten derde: zes maanden later, wanneer niemand meer weet waarom bepaalde keuzes zijn gemaakt, wordt het aanpassen van de code een gok, met alle risico’s van dien.
Visuele ontwikkeling lost dit probleem op door logica inzichtelijk te maken. Het proces wordt een flowchart: een diagram of model dat iedereen kan lezen en begrijpen. De CFO kan zien hoe goedkeuringsprocessen verlopen. De compliance officer kan auditflows checken. De softwarearchitect kan de integraties beoordelen. Dit gaat niet over een versimpeling voor de mensen die ‘niet technisch genoeg’ zijn. Dit is hoe professionele software-engineering moet werken, namelijk het systeem inzichtelijk en begrijpelijk maken voor alle stakeholders. AI kan vervolgens daarvoor worden ingezet waar het goed in is, namelijk snelheid en suggesties. Mensen houden toezicht op wat er daadwerkelijk wordt gebouwd.
Eerst ontwerpen, dan pas bouwen
Als het gaat om de rol van AI bij softwareontwikkeling is er een belangrijke verschuiving in de werkwijze nodig: gebruik AI vóórdat de code wordt geschreven. Traditioneel begint de ontwikkeling van een enterprise-applicatie met businessrequirements die door de softwarearchitect worden vertaald naar technische specificaties, die vervolgens worden omgezet in code. Bij elke vertaalslag kunnen er fouten insluipen. Door AI in de ontwerpfase te gebruiken, help je stakeholders om precies te formuleren wat ze willen, nog voordat één regel code is geschreven.
Het gesprek verandert dan van ‘kun je dit bouwen?’ naar ‘is dit wat je bedoelt?’ AI helpt bij het visualiseren van scenario’s en bij het identificeren van afwijkende cases, en kan alternatieven voorstellen. Maar de definitieve keuze blijft bij de mens. Pas daarna gaat AI aan de slag met het daadwerkelijk genereren van de applicatielogica, binnen vooraf opgestelde afspraken en richtlijnen.
Wat dit betekent voor jouw organisatie
De vraag is niet of AI enterprise applicatieontwikkeling gaat veranderen; dat gebeurt al. De vraag is of jouw organisatie in staat is om dat potentieel in goede banen te leiden, zonder daarbij de controle te verliezen.
Voor de financiële sector en de overheid komt daar nog een tweede vraag bij: kun je AI inzetten zonder de BIO, AVG, NORA en DORA te schenden? Zonder dat variabiliteit in gedrag leidt tot ongelijke behandeling of beleidsrisico?
Karpathy's observatie blijft staan: productie-waardige AI komt eraan, maar we zijn er nog niet. Slimme organisaties bouwen nu al de structuren die de snelheid van AI combineren met betrouwbaarheid die de enterprise nodig heeft. Ze investeren niet alleen in AI-tools, maar in de platforms die ervoor zorgen dat die tools veilig gebruikt kunnen worden.
Want uiteindelijk gaat het er niet om hoeveel regels code AI per minuut kan schrijven. Het draait om hoeveel van die code morgen nog steeds werkt, uitlegbaar is, voldoet aan wet- en regelgeving en door je team kan worden begrepen en onderhouden. Dat is de 10% die demo’s niet laten zien en precies de 10% waar het bij enterprise IT om draait.
Door: Menno Odijk (foto), Field CTO Mendix
