Heel wat Belgische bedrijven hebben intussen AI in productie draaien. Een chatbot die klanten te woord staat, een tool die documenten samenvat, een model dat leads scoort, iets dat een leverancier vorig jaar installeerde. Het werkt — meestal. En niemand heeft ooit gecontroleerd of het eigenlijk wel veilig is.
Dat is de leemte die de AI Readiness Audit (AI-gereedheidsaudit) opvult. Het is een doorlichting met vaste prijs, over twee weken, van AI die u al heeft, en u krijgt een eerlijk schriftelijk oordeel: wat in orde is, wat riskant is, en wat eerst moet worden opgelost. €5.500, geen open uurtarief.
Deze post is de transparante versie van wat die twee weken werkelijk inhouden. Geen verkooppagina — de echte checklist. Als u beslist het zelf te doen in plaats van mij in te huren, prima. Het punt is dat iemand het controleert.
Waarom dit nu nodig is
De meeste productie-AI in Belgische kmo's werd niet gebouwd door een AI-specialist. Het werd toegevoegd door een generalistisch bureau, erop geschroefd door een SaaS-leverancier, of onder deadlinedruk in elkaar geknutseld door een capabele interne ontwikkelaar. Geen van hen zijn slechte mensen. Maar "het doet het goed in een demo" en "het is veilig om twee jaar in productie te draaien" zijn heel andere lat-hoogtes, en de kloof daartussen is precies waar audits hun honorarium verdienen.
Voeg daar de EU AI-wet-deadline van augustus 2026 aan toe en de GBA/APD (de Belgische gegevensbeschermingsautoriteit) die actief richtlijnen over GDPR en AI uitvaardigt, en "we hebben AI maar we hebben het nooit doorgelicht" houdt op een vaag onbehagen te zijn en wordt een reëel, gedateerd risico.
De zes dingen die ik werkelijk controleer
Een audit is geen gevoel. Het zijn elke keer dezelfde zes dimensies, eerlijk gescoord. Hier is elke dimensie en het probleem dat ik er het vaakst in vind.
1. Beveiliging
Waar zit de AI, en wat kan erbij? Ik kijk naar hoe het systeem blootgesteld is, hoe verzoeken geauthenticeerd worden, en — de belangrijkste — waar de inloggegevens zich bevinden.
Wat ik blijf vinden: API-sleutels voor dure modelleveranciers die in de browserbundel of een publieke repo staan, waar iedereen ze kan scrapen en uw factuur kan opdrijven. Prompt-injectiepaden waar een gebruiker het systeem kan overhalen om zijn instructies te negeren. Een interne tool die stilletjes bereikbaar is vanaf het open internet. Niets daarvan komt in een demo naar boven. Alles daarvan komt in een audit naar boven.
2. EU AI-wet-conformiteit
Ik classificeer elk AI-systeem op risiconiveau en controleer of de verplichtingen die eruit volgen werkelijk worden nageleefd. Dit is dezelfde classificatielogica waarover ik schreef in "Wat is hoog-risico AI?" — toegepast op uw systemen, op papier.
Wat ik blijf vinden: een wervings- of personeelsbeheertool die hoog-risico is onder de wet, draaiend zonder enige van de vereiste documentatie, logging of menselijk-toezicht-ontwerp. Of het omgekeerde — een bedrijf doodsbang dat zijn onschuldige chatbot een conformiteitsproject nodig heeft dat het niet nodig heeft. Beide worden opgelost met een eerlijke classificatie op papier.
3. Gegevensverwerking
Welke gegevens stromen de AI in, waar gaan ze naartoe, en wie ging daarmee akkoord? In het bijzonder: worden persoonsgegevens naar een extern model gestuurd, en is dat rechtmatig en gedocumenteerd onder de GDPR?
Wat ik blijf vinden: persoonsgegevens van klanten of werknemers die in een externe AI-tool gepompt worden zonder verwerkersovereenkomst, zonder registratie ervan, en zonder dat iemand heeft nagegaan of het mag. Dit is de kwestie waar de GBA/APD het meest om geeft, en het is degene waarvan bedrijven het meest verrast zijn te ontdekken dat ze het hebben.
4. Operationele gereedheid
Wat gebeurt er wanneer het stukgaat? Ik controleer monitoring, logging, foutafhandeling, en of iemand het überhaupt zou merken als de AI onzin begon te produceren.
Wat ik blijf vinden: geen logging van wat de AI werkelijk besliste, dus wanneer een klant klaagt is er geen manier om te reconstrueren wat er gebeurde. Geen waarschuwing wanneer de modelleverancier een storing heeft. Geen mens in de lus voor de gevallen die er een nodig hebben. Het systeem draait prima tot de dag dat het niet meer draait, en dan is er niets om op terug te vallen.
5. Codekwaliteit
Ik lees de integratiecode. Is hij onderhoudbaar, of is het één functie van 800 regels die maar één persoon begrijpt en die persoon is vertrokken?
Wat ik blijf vinden: de AI-logica zo strak in de interface verweven dat u een prompt niet kunt wijzigen zonder de interface te riskeren. Geen tests rond het gedeelte dat geld per oproep kost. Brosse string-parsing van modeloutput die breekt zodra het model iets anders verwoordt. Het werkt vandaag; het is een blok aan het been zodra het moet veranderen.
6. Kosten en schaalbaarheid
Wat kost dit om te draaien, en wat gebeurt er met dat getal als het gebruik verdrievoudigt? Ik kijk naar hoe oproepen gebundeld en gecachet worden, en of u een topmodel betaalt voor werk dat een goedkoper model prima zou doen.
Wat ik blijf vinden: elk verzoek dat het duurste model aanspreekt zonder caching, zodat voor dezelfde vraag honderd keer wordt betaald. Kosten die draaglijk zijn bij het volume van vandaag en alarmerend bij dat van volgend jaar. Eenvoudige winsten die echt geld waard zijn, meestal.
Hoe de twee weken besteed worden
Zodat u weet wat u koopt, hier is de vorm ervan:
- Dag 1–2: Kickoff en toegang. Ik breng elk AI-systeem dat u draait in kaart — inclusief degene die mensen vergaten te vermelden. De schaduw-AI is vaak waar het risico zich verbergt.
- Dag 3–8: De grondige doorlichting. Ik werk de zes bovenstaande dimensies door voor elk systeem, lees de code, traceer de gegevensstromen, en classificeer elk systeem onder de AI Act.
- Dag 9–10: Het schrijven. U krijgt een schriftelijke audit — bevindingen gerangschikt op ernst — plus een herstelplan: wat te repareren, in welke volgorde, en een ruwe inschatting van de inspanning per item. Geen presentatie van 40 dia's. Een document waarmee u aan de slag kunt.
Het opleverdocument is bewust onomwonden. Groen waar het werkelijk in orde is, rood waar het dat niet is, en een geprioriteerde lijst zodat u niet naar twintig problemen staart en u afvraagt welk ervan ertoe doet. Het hele punt is dat u eindigt met precieze kennis van waar u staat.
Wat u met het resultaat doet
Drie eerlijke uitkomsten, en alle drie zijn prima:
- "Grotendeels groen." Goed — nu weet u dat het veilig is, op papier, wat de moeite waard is voordat een auditor of een GBA/APD-klacht ernaar vraagt. De meeste bedrijven zitten deels hier.
- "Een paar rode punten, beheersbaar." Het gangbare geval. Het herstelplan vertelt u wat eerst te repareren, en u kunt het intern doen of WDC het laten doen. Geen verplichting om mij voor de reparaties te gebruiken — de audit staat op zichzelf.
- "Dit vraagt echt werk." Zeldzaam, maar het gebeurt. Beter het te leren uit een audit van twee weken dan uit een inbreuk of een toezichthouder. Het plan verandert een eng onbekende in een eindige takenlijst.
Waarom ik een vaste prijs hanteer
Een vaste prijs van twee weken en €5.500 bestaat om één reden: vertrouwen. Een open audit op uurbasis geeft de auditor een prikkel om meer uren te vinden. Een vaste prijs betekent dat ik gemotiveerd ben om grondig én klaar te zijn — om u efficiënt de waarheid te vertellen en verder te gaan. U kent de kost voordat u begint, wat precies de zekerheid is die een Belgische kmo-leider wil en zelden krijgt bij dit soort werk.
De conclusie
Als u AI in productie heeft en niemand heeft het ooit doorgelicht, draagt u een risico dat u niet kunt zien — in beveiliging, in conformiteit, of in een kostenpost die op het punt staat te groeien. Een audit hoeft geen grote, enge opdracht te zijn. Twee weken, een vast honorarium en een eerlijk document zijn meestal alles wat nodig is om "ik weet niet zeker of onze AI veilig is" te veranderen in "hier is precies waar we staan en wat we eerst repareren."
Ik schrijf een korte, praktische nieuwsbrief voor Belgische bedrijven — echte engineering, de EU AI-wet, en AI-integratie, in begrijpelijke taal en zonder hype. Schrijf u hieronder in als dat nuttig is.
En als u AI draait en een eerlijk oordeel wilt over of het veilig is, is dat precies waar de AI Readiness Audit voor is — begin met een gesprek.