AI-code in productie: 9 rode vlaggen die je niet wilt missen

AI-tools kunnen je team sneller maken. Maar sneller is niet altijd veiliger.

Vooral niet als AI-code direct richting productie gaat.

Je hoeft geen developer te zijn om de risico’s te herkennen. Met deze 9 rode vlaggen kun je als manager, product owner of projectleider veel ellende voorkomen.

Waarom dit ertoe doet

Een AI-assistent kan in minuten code opleveren waar een team normaal uren over doet. Dat voelt als winst.

Maar als je fouten pas in productie ontdekt, betaal je die snelheid dubbel terug: met incidenten, vertraging, reputatieschade en herstelwerk.

Gebruik daarom deze simpele regel: AI-code mag snel zijn, maar nooit blind door de poort.

Rode vlag 1: Niemand kan uitleggen wat de code precies doet

Als niemand de logica echt begrijpt, heb je een onderhoudsprobleem op dag 1.

Wat je wél doet:

• Vraag om een korte functionele uitleg in gewone taal
• Laat 1 teamlid de code stap voor stap toelichten
• Geen uitleg = niet deployen

Rode vlag 2: Er zijn geen tests (of alleen happy-flow tests)

AI-code die “werkt op mijn laptop” is geen kwaliteitsbewijs.

Wat je wél doet:

• Minimaal unit tests op kritieke functies
• Minimaal 1 test voor randgevallen en foutscenario’s
• Failende tests blokkeren release

Rode vlag 3: Gevoelige data staat hardcoded in de code

API-keys, wachtwoorden of klantdata in code is een directe security-risico.

Wat je wél doet:

• Secrets alleen via secret manager of omgevingsvariabelen
• Scan op gelekte secrets vóór merge
• Rotate keys als er ook maar twijfel is

Rode vlag 4: Onbekende dependencies zijn klakkeloos toegevoegd

“Het werkt” is niet hetzelfde als “het is veilig en onderhoudbaar”.

Wat je wél doet:

• Beperk nieuwe packages tot wat echt nodig is
• Controleer populariteit, onderhoud en licentie
• Draai vulnerability scan op dependencies

Rode vlag 5: Geen security review op input/output

AI-gegenereerde code kan kwetsbaar zijn voor injecties, permissiefouten en datalekken.

Wat je wél doet:

• Valideer input streng
• Escape output waar nodig
• Laat security-check onderdeel zijn van Definition of Done

Rode vlag 6: Er is geen logging of monitoringplan

Zonder observability zie je problemen pas als klanten klagen.

Wat je wél doet:

• Log fouten en kritieke events
• Zet alerts op foutpercentages en latency
• Definieer wie reageert bij incidenten

Rode vlag 7: Geen rollback-pad

Als je niet snel terug kunt, wordt elk incident duurder.

Wat je wél doet:

• Release met feature flags of canary
• Documenteer rollback-stappen vooraf
• Oefen rollback op staging

Rode vlag 8: Compliance en governance zijn “voor later”

Vooral bij AI-gerelateerde systemen is “later” vaak te laat.

Wat je wél doet:

• Leg vast waar data vandaan komt en heen gaat
• Controleer of beleid/richtlijnen worden gevolgd
• Betrek security/compliance vroeg in het proces

Rode vlag 9: Er is geen menselijke eindverantwoordelijke

“De AI heeft het geschreven” is geen eigenaarschap.

Wat je wél doet:

• Wijs per release 1 owner aan
• Laat die owner expliciet akkoord geven
• Zonder owner geen productie-release

Praktische go/no-go checklist (2 minuten)

• Is de code inhoudelijk begrepen door een teamlid?
• Zijn kritieke tests aanwezig en groen?
• Zijn secrets en gevoelige data veilig afgehandeld?
• Zijn dependencies beoordeeld op risico en licentie?
• Is een security-check uitgevoerd?
• Is monitoring en alerting ingericht?
• Is rollback getest en gedocumenteerd?
• Is er een duidelijke owner voor deze release?

Score:

• 8x ja: go
• 6-7x ja: alleen met duidelijke mitigerende acties
• 5 of minder: no-go

Conclusie

AI-code in productie kan prima. Maar alleen als je snelheid combineert met basisdiscipline.

Je hoeft daarvoor geen technische specialist te zijn. Je hoeft vooral de juiste vragen te stellen op het juiste moment.