Agent sprawl: de nieuwe shadow IT

AI-agents komen vaak niet binnen via een groot strategisch programma. Ze beginnen kleiner. Een medewerker maakt een agent die mails samenvat. Een team bouwt een workflow die offertes voorbereidt. Iemand koppelt een chatbot aan interne documenten. Een afdeling experimenteert met automatische rapportages. Het werkt, het bespaart tijd en het voelt logisch om ermee door te gaan. Tot niemand meer precies weet hoeveel agents er draaien. Dat is het moment waarop agent sprawl ontstaat: een groeiend landschap van AI-agents, scripts, workflows en koppelingen die nuttig zijn begonnen, maar langzaam buiten het zicht van de organisatie raken.

En daarmee lijkt het sterk op iets wat we al kennen: shadow IT.

Van handige oplossing naar onzichtbaar risico

Shadow IT ontstond doordat teams sneller wilden werken dan de centrale IT-afdeling kon leveren. Ze gebruikten eigen tools, spreadsheets, cloudapps en automatiseringen. Vaak met goede intenties. Vaak ook met echte productiviteitswinst. Maar na verloop van tijd ontstonden vragen.

• Wie heeft toegang?
• Waar staat de data?
• Welke versie is leidend?
• Wat gebeurt er als iemand vertrekt?
• Wie grijpt in als iets misgaat?

Met AI-agents komen daar nieuwe vragen bij. Welke acties mag een agent zelfstandig uitvoeren? Op basis van welke bronnen neemt hij beslissingen? Welke prompts, instructies en rechten gebruikt hij? Wie is eigenaar van de output? Hoe controleren we of hij nog doet wat de bedoeling is?

Een gewone SaaS-tool bewaart meestal informatie of ondersteunt een proces. Een AI-agent kan ook handelen. Dat maakt de impact groter.

Waarom agent sprawl zo snel kan ontstaan

AI-agents zijn aantrekkelijk omdat ze dicht op het werk zitten. Ze lossen geen abstract IT-probleem op, maar een concreet dagelijks probleem: een paar voorbeelden:

• Een salesmedewerker wil sneller klantinformatie verzamelen.
• Een recruiter wil cv’s laten samenvatten.
• Een consultant wil notities omzetten naar acties.
• Een manager wil automatisch updates uit systemen halen.

Dat soort toepassingen voelt klein en praktisch. Daardoor lijkt het risico ook klein. Maar agents worden zelden geïsoleerd gebruikt. Ze krijgen toegang tot documenten, mailboxen, CRM-systemen, projecttools of databases. Ze worden gekoppeld aan andere workflows. Ze krijgen prompts die bijna beleidsregels worden. En ze maken output waarop mensen gaan vertrouwen. Voor je het weet, heeft de organisatie niet één AI-initiatief, maar tientallen kleine AI-initiatieven naast elkaar. Niet per se verkeerd. Wel kwetsbaar als niemand het geheel ziet.

Het probleem is niet autonomie, maar onduidelijkheid

AI-agents hoeven niet allemaal centraal dichtgetimmerd te worden. Dat zou juist de waarde eruit halen. De kracht zit in snelheid, nabijheid en experiment. Het probleem ontstaat wanneer autonomie niet gekoppeld is aan eigenaarschap.

• Een agent zonder eigenaar is een risico.
• Een agent zonder toegangsbeleid is een risico.
• Een agent zonder logging is een risico.
• Een agent zonder evaluatie is een risico.
• Een agent die ooit nuttig was, maar niemand meer begrijpt, is zeker een risico.

De vraag is dus niet: “Mogen teams AI-agents gebruiken?” De betere vraag is: “Hoe zorgen we dat teams AI-agents kunnen gebruiken zonder dat overzicht, veiligheid en verantwoordelijkheid verdwijnen?”

Wat organisaties nodig hebben

Agent governance hoeft niet zwaar of bureaucratisch te beginnen. Sterker nog: als het te zwaar wordt, gaan mensen eromheen werken. Dan creëer je precies het shadow-probleem dat je wilde voorkomen.

Een praktische basis bestaat uit een paar simpele afspraken.

1. Maak agents zichtbaar: Begin met een register. Welke agents bestaan er? Waarvoor worden ze gebruikt? Welke systemen raken ze? Wie is eigenaar?

2. Leg eigenaarschap vast: Elke agent heeft een functionele eigenaar nodig. Niet alleen een technisch contact, maar iemand die verantwoordelijk is voor het doel, de werking en de risico’s.

3. Beperk toegang bewust: Een agent moet niet meer rechten krijgen dan nodig. Zeker niet “voor het gemak” brede toegang tot mailboxen, drives of klantdata.

4. Log belangrijke acties: Als een agent informatie ophaalt, beslissingen voorbereidt of acties uitvoert, wil je kunnen terugzien wat er is gebeurd.

5. Evalueer periodiek: Agents veranderen mee met processen, data en teams. Wat vandaag klopt, kan over drie maanden achterhaald zijn.

6. Maak stoppen normaal: Niet elke agent hoeft te blijven bestaan. Tijdelijke experimenten mogen tijdelijk zijn. Opruimen is onderdeel van volwassen gebruik.

De rol van IT verandert

Bij klassieke shadow IT werd IT vaak gezien als rem. Bij AI-agents werkt dat niet meer. De behoefte aan experiment is te groot en de technologie ontwikkelt te snel. IT, security en management moeten daarom niet alleen poortwachter zijn, maar ook ontwerper van veilige speelruimte.

Dat betekent: duidelijke kaders, herbruikbare bouwblokken en laagdrempelige begeleiding. Teams moeten weten wat mag, wat niet mag en wanneer ze hulp moeten vragen. Zo voorkom je dat governance voelt als controle achteraf. Het wordt dan onderdeel van het ontwerp vanaf het begin.

Begin klein, maar begin bewust

De meeste organisaties hoeven niet morgen een volledig agent governance framework te hebben. Maar wachten tot het landschap onoverzichtelijk is, maakt alles moeilijker. Begin met de agents die er al zijn. Breng ze in kaart. Kijk naar toegang, eigenaarschap en impact. Bepaal welke toepassingen laag risico zijn en welke extra aandacht nodig hebben. Van daaruit kun je groeien.

Want agent sprawl ontstaat niet omdat mensen onverantwoord bezig zijn. Het ontstaat omdat goede ideeën sneller groeien dan de afspraken eromheen. Daar ligt de kans.

Organisaties die nu leren hoe ze AI-agents overzichtelijk, veilig en praktisch inzetten, bouwen niet alleen meer controle in. Ze bouwen ook vertrouwen op. En vertrouwen is precies wat nodig is om AI niet alleen uit te proberen, maar echt onderdeel te maken van het werk.

 

Begin klein, maar houd overzicht.
Als je met AI-agents aan de slag wilt, zorg dan dat eigenaarschap, toegang en controle vanaf het begin meedoen. Orbis Neo helpt je daar praktisch bij.