GenAI zonder databeleid is geen efficiencywinst, maar een controle-risico dat zich vermomt als vooruitgang
De stille verschuiving
Er voltrekt zich momenteel een stille verschuiving binnen de accountancy.
Niet in de wetgeving.
Niet in de verslaggevingsregels.
Maar in de manier waarop wij omgaan met cliëntdata.
Generatieve AI wordt in hoog tempo omarmd. Taalmodellen helpen bij het samenvatten van memo’s, het herschrijven van notities, het structureren van risicoanalyses en soms zelfs bij het formuleren van controleaanpak. De belofte is helder: minder tijd kwijt aan tekst, meer focus op inhoud. Efficiency, verlichting van werkdruk, modernisering van het vak.
Maar onder deze belofte ligt een fundamentelere vraag die opvallend weinig wordt gesteld:
Waar bevindt zich de data eigenlijk wanneer wij GenAI gebruiken?
Mijn indruk en die hoor ik steeds vaker terug in gesprekken met jonge accountants en data-specialisten, is dat cliëntinformatie op uiteenlopende manieren wordt ingevoerd in taalmodellen. Soms via enterprise-omgevingen met contractuele afspraken. Soms via generieke (generatieve AI) tools. Soms via accounts waarvan niemand precies weet hoe de datastromen juridisch en technisch zijn ingericht.
Dat is geen randverschijnsel meer. Dat is dagelijkse praktijk.
En juist daar wringt het.
Vertrouwelijkheid is geen bijzaak
De kern van ons beroep is vertrouwen. Niet snelheid. Niet innovatie. Niet technologische flair.
Wij krijgen toegang tot de meest gevoelige informatie binnen organisaties: salarisgegevens, financieringsafspraken, overnameplannen, interne conflicten, fiscale posities, strategische memo’s. Dat vertrouwen is geen vanzelfsprekendheid; het is de basis waarop onze maatschappelijke rol rust.
Wanneer die informatie wordt verwerkt in een taalmodel, is dat dataverwerking. Ook als het “slechts” om samenvatten gaat. Ook als het gaat om het herschrijven van een managementletter. Ook als het model beweert niets te onthouden.
De vraag is niet of GenAI handig is. De vraag is of wij exact kunnen uitleggen wat er met die data gebeurt, waar deze wordt opgeslagen en wie er toegang toe heeft.
Als dat antwoord niet scherp is, hebben we geen innovatieproject. Dan hebben we een governancevraagstuk.
De AI-paradox in de audit
Er zit een ongemakkelijke paradox in dit onderwerp.
Wij controleren onze cliënten streng op interne beheersing. We toetsen autorisaties, beoordelen IT-general controls, analyseren datastromen, vragen naar logging, toetsen privacybeleid en kijken kritisch naar uitbestedingsrelaties.
Maar hoe scherp zijn wij op onze eigen AI-datastromen?
Hoeveel kantoren hebben een expliciet beleid dat vastlegt in welke AI-omgevingen cliëntdata mag worden verwerkt? Hoeveel kantoren hebben logging ingericht op AI-gebruik binnen controledossiers? Hoeveel kantoren hebben expliciet vastgelegd wie verantwoordelijk is voor AI-governance?
In veel discussies hoor ik vooral enthousiasme over mogelijkheden. Over tijdswinst. Over slimmere werkprogramma’s. Over ondersteuning van jonge talenten.
Wat ik minder hoor, is een fundamenteel debat over vertrouwelijkheid en datacontrole.
Dat is opvallend voor een beroep dat zichzelf definieert als hoeder van betrouwbaarheid.
Efficiency als rookgordijn
Efficiency is een verleidelijk argument. Zeker in een sector waar werkdruk hoog is en talent schaars.Maar efficiency mag nooit een rookgordijn worden waarachter fundamentele risico’s verdwijnen.
Zonder expliciet databeleid kan GenAI leiden tot een diffuse situatie waarin niemand precies weet:
- waar data zich bevindt,
- hoe lang deze wordt bewaard,
- of deze wordt gebruikt voor verdere modeloptimalisatie,
- en onder welke juridische kaders verwerking plaatsvindt.
Dat is niet per definitie verkeerd. Maar het is wel risicovol als het niet expliciet is doordacht en vastgelegd.Een controleaanpak waarin een black box is opgenomen die je zelf niet volledig begrijpt, ondermijnt de beheersing van het proces. En juist beheersing is de kern van assurance.
Het debat dat we nog niet voeren
Wat mij verbaast, is dat het publieke debat binnen de accountancy vooral gaat over de impact van AI op het verdienmodel, op de rol van juniors, op de toekomst van het vak.
Dat zijn interessante vragen. Maar ze zijn secundair.
De primaire vraag is: hoe borgen wij vertrouwelijkheid en datacontrole in een wereld waarin taalmodellen standaardonderdeel worden van onze werkpraktijk?
- Waar is de sectorbrede richtlijn?
- Waar is de gezamenlijke discussie over minimale randvoorwaarden?
- Waar is de expliciete koppeling met beroepsethiek?
Misschien is het onderwerp minder spectaculair dan een belofte van 30 procent tijdswinst. Maar het is wezenlijker.
Professionaliseren in plaats van versnellen
Laat één ding duidelijk zijn: dit is geen pleidooi tegen GenAI. Integendeel. De technologie biedt onmiskenbaar kansen om denkwerk te structureren, taal te verbeteren en repetitieve taken te verlichten.
Maar innovatie zonder randvoorwaarden is geen vooruitgang. Het is versnelling zonder stuur.
Een volwassen toepassing van GenAI in de accountancy begint niet bij prompts. Die begint bij beleid. Bij heldere afspraken over data-classificatie, toegestane omgevingen, verantwoordelijkheden en transparantie richting cliënten.
Pas als dat fundament staat, wordt AI een versterking van ons vak in plaats van een latent risico.
De echte toets
De toets is uiteindelijk eenvoudig.
Kunnen wij als accountants exact uitleggen waar cliëntdata zich bevindt wanneer wij GenAI gebruiken, hoe die wordt verwerkt en welke beheersmaatregelen daarop van toepassing zijn?
Als het antwoord daarop overtuigend en gedocumenteerd is, dan is AI een professionele stap vooruit.
Als het antwoord vaag blijft, dan is GenAI geen efficiencywinst, maar een controle-risico dat zich vermomt als vooruitgang.
Misschien is het tijd dat we dat debat expliciet gaan voeren.
