Fusies en overnames helpen organisaties om snel te groeien. Tegelijkertijd brengen ze verschillende systemen, beleidsregels en werkwijzen samen, wat veilige AI-adoptie complexer maakt. Het is begrijpelijk dat managementteams tijdens een fusie of overname vooral focussen op financiële resultaten, operationele integratie en waardecreatie. Governance krijgt daarbij vaak minder aandacht, terwijl juist daar de basis wordt gelegd voor een veilige en gecontroleerde inzet van AI.
Tools zoals Microsoft 365 Copilot werken namelijk met de data, toegangsrechten en beleidsregels die op dat moment aanwezig zijn. Inconsistenties zijn niet alleen een uitdaging zijn voor IT-teams, maar beïnvloeden ook hoe AI informatie vindt, interpreteert en beschikbaar maakt. Zonder duidelijke governance wordt het lastiger om grip te houden op wie toegang heeft tot welke informatie en hoe die binnen de organisatie wordt gebruikt. AI veroorzaakt deze problemen niet, maar maakt ze wel zichtbaar. Verschillen in toegangsrechten, datakwaliteit en beleidsregels die voorheen op de achtergrond bleven, komen sneller aan de oppervlakte zodra AI met informatie uit de hele organisatie aan de slag gaat.
In deze blog bekijken we waarom governance tijdens fusies en overnames vaak achterblijft bij AI-ambities én hoe dat veilige, doordachte AI-adoptie in de weg staat.
De groei versnelt en daarmee neemt ook de complexiteit toe
Groei door acquisitie brengt meer samen dan bedrijven
Grensoverschrijdende groei is voor veel organisaties de norm geworden. Met steun van private equity bouwen zij bedrijvengroepen uit die actief zijn in meerdere landen en juridische entiteiten. Dat biedt schaalvoordelen en nieuwe groeikansen, maar betekent ook dat verschillende systemen, processen en manieren van werken moeten worden samengebracht.
Integratie vraagt meestal veel tijd
Na een fusie verloopt technologische consolidatie zelden volgens een strak plan. Organisaties blijven vaak werken met afzonderlijke Microsoft 365-tenants, eigen endpointbeveiligingsoplossingen, lokale complianceprocessen en verschillende standaarden voor gegevensclassificatie. Daardoor ontstaan verschillen in volwassenheid. Sommige bedrijfsonderdelen hebben governance goed ingericht, terwijl andere nog afhankelijk zijn van verouderde tools, overgeërfde toegangsrechten en informele werkwijzen.
Bij een fusie krijg je de governanceproblemen er vaak gratis bij
Niet alle verschillen verdwijnen met een handtekening. Ook nadat organisaties zijn samengebracht, blijven verschillen in beleid, toegangsrechten en beheersmaatregelen vaak bestaan. Dat fenomeen staat bekend als governance lag.
Het ene bedrijf heeft bijvoorbeeld een volwassen aanpak voor het classificeren van gevoelige informatie, terwijl het andere gevoelige data nauwelijks labelt. De ene regio hanteert strikte toegangscontroles. In een andere regio wordt nog gewerkt met brede groepen die jaren geleden zijn ingesteld en sindsdien niet meer zijn herzien.
Dat vertaalt zich in de praktijk naar afzonderlijke of slechts gedeeltelijk geïntegreerde Microsoft 365-tenants, verschillende standaarden voor gegevensclassificatie, inconsistent beleid en uiteenlopende niveaus van toegangsbeheer. Ook gescheiden IT-leiderschapsstructuren, regionale verschillen in complianceprocessen en verouderde tools die langer in gebruik blijven dan gepland zijn geen uitzondering. Niets hiervan is ongebruikelijk. Het hoort bij de realiteit van veel fusies en overnames. AI verandert daar weinig aan, maar werkt wel met de verschillen die zijn blijven bestaan. Daardoor worden inconsistenties die eerder op de achtergrond bleven sneller zichtbaar.
Waar governance achterblijft, vindt AI zijn eigen weg
De adoptie van AI verloopt vaak sneller dan de harmonisatie van governance. Teams willen experimenteren, leiders willen snel waarde realiseren en medewerkers zoeken naar manieren om efficiënter te werken. Wanneer duidelijke kaders ontbreken, vinden zij vaak hun eigen weg. Zo ontstaat ruimte voor shadow AI.
AI readiness geeft management meer inzicht
In Becoming Frontier: Leading the Next Phase of AI zoomen we in op de opkomst van shadow AI. Wanneer teams zelf AI-tools gaan gebruiken zonder duidelijke kaders of toezicht, ontstaan risico’s die lastig in kaart te brengen en nog lastiger te beheersen zijn.
Daarom is AI readiness meer dan een technische checklist.Het geeft management inzicht in waar AI vandaag al wordt gebruikt, waar de beheersmaatregelen achterblijven en welke stappen nodig zijn om AI veilig en verantwoord op te schalen.
Dat is extra relevant na een fusie of overname. Overgenomen teams maken in hun dagelijkse werk mogelijk al gebruik van openbare AI-tools. Misschien is Copilot lokaal al ingeschakeld. Soms worden gegevens gedeeld met niet-goedgekeurde platforms, simpelweg omdat de officiële route te omslachtig of onduidelijk aanvoelt. Meestal is daar geen kwade opzet mee gemoeid. Medewerkers zoeken simpelweg naar manieren om sneller en gemakkelijker te werken. Toch maken goede bedoelingen de blootstelling van gevoelige gegevens er niet minder pijnlijk op.
Waarom AI de risicodynamiek verandert
AI-tools zijn krachtig omdat ze grote hoeveelheden informatie kunnen doorzoeken, verbanden kunnen leggen en snel bruikbare antwoorden kunnen genereren. Die kracht staat of valt echter met de kwaliteit van de onderliggende beheersmaatregelen.
Zijn toegangsrechten te ruim ingesteld, dan kan AI informatie naar voren halen die buiten de verantwoordelijkheden van een gebruiker valt. En wanneer sensitivity labels niet consistent worden toegepast, wordt gevoelige informatie mogelijk onvoldoende beschermd. Data governance en gegevensbeveiliging helpen organisaties inzicht te krijgen in waar gevoelige data zich bevindt, wie er toegang toe heeft en welke controles nodig zijn voordat AI die informatie kan gebruiken.
Microsoft benadrukt dit risico in de blueprint Secure and Govern M365 Copilot. “Als de data waarop Copilot zijn antwoorden baseert en de interacties met Copilot niet goed beveiligd zijn, kan dit leiden tot toegang tot meer informatie dan nodig is voor de functie van de gebruiker, ongeautoriseerde openbaarmaking van vertrouwelijke informatie en verouderde of irrelevante antwoorden.”
De conclusie is eenvoudig: AI introduceert geen nieuwe risico’s, maar legt bloot waar governance tekortschiet.
De blinde vlek in due diligence
Traditionele IT due diligence richt zich doorgaans op de beveiligingspositie, compliancerisico’s, de volwassenheid van de infrastructuur, overlap in tooling en contractuele verplichtingen. Dat zijn stuk voor stuk belangrijke aandachtspunten. Maar AI voegt een nieuwe risicolaag toe die in veel due diligence-processen nog onvoldoende wordt meegenomen.
Wordt AI al gebruikt binnen de organisatie? Is Copilot ergens geactiveerd? Sluiten toegangsrechten aan op de governancestandaarden? Zijn er duidelijke richtlijnen voor het gebruik van AI? En in hoeverre maken medewerkers al gebruik van niet-goedgekeurde AI-tools? Dit zijn vragen die steeds vaker thuishoren in het due diligence-proces.
Het moment om deze vragen te stellen is vóór de overname, niet erna. Zodra de deal is afgerond, worden ook de bijbehorende risico’s onderdeel van de organisatie. Governance-uitdagingen die vooraf niet in beeld zijn gebracht, worden achteraf vaak lastiger en kostbaarder om op te lossen.
AI-governance vraagt daarom niet om een aparte due diligence-aanpak, maar hoort wel thuis in iedere technologische risicoanalyse bij fusies en overnames.
De innovatieparadox na een fusie
Na een fusie of overname krijgen organisaties te maken met een vertrouwd spanningsveld. Het management wil snel waarde realiseren, terwijl IT- en securityteams weten dat de beheersmaatregelen nog niet op orde zijn. Zonder goede afstemming kan de AI-uitrol stagneren, gaan regio’s elk hun eigen weg en wordt governance een reactief proces.
Dat maakt AI-governance een strategisch middel in plaats van een vertragende factor. Johnny Sheehan, Secure AI Practice Lead, “Governance is er niet om innovatie te vertragen. Het stelt organisaties juist in staat om met vertrouwen stappen vooruit te zetten”.
Dat geldt in het bijzonder voor de overgenomen bedrijven. Het doel is niet om te wachten tot alle systemen volledig zijn geïntegreerd. Dat moment komt zelden. Het gaat erom voldoende inzicht, controle en gedeelde standaarden te creëren, zodat AI veilig en op schaal waarde kan leveren binnen de hele organisatie.
Drie bouwstenen voor veilige AI-adoptie bij een fusie of overname
Vóór de overnamedeal
Inventarisatie en basisinzichten
Breng het gebruik van AI en de bijbehorende risico’s in kaart voordat belangrijke integratiebeslissingen worden genomen. Kijk daarbij naar geautoriseerde tools, shadow AI, Copilot readiness, toegangsrechten, de locatie van gevoelige data en de volwassenheid van governance binnen de overgenomen organisatie.
De eerste 100 dagen
Harmoniseer de belangrijkste beheersmaatregelen
Breng toegangsbeheer, sensitivity labels, data loss prevention, AI-gebruiksrichtlijnen, monitoring en rapportage op één lijn.
Na de integratie
Schaal AI veilig op
Zorg voor een consistente uitrol van AI binnen de hele organisatie. Alleen dan kunnen Copilot, AI-assistenten en agents veilig en op schaal worden ingezet. Zoals we schrijven in onze whitepaper Becoming Frontier: Leading the Next Phase of AI: “Voor het opschalen van AI en de uitrol van agents is vertrouwen onontbeerlijk. Security en governance zijn geen hindernis, maar een voorwaarde voor succes.” Johnny Sheehan, AI Practice Lead.
AI maakt governance een integratieprioriteit
Een groeistrategie gebaseerd op fusies en overnames vraagt om zorgvuldige integratie. AI zou die groei moeten versterken, niet voor extra complexiteit zorgen. Zonder duidelijke governance-kaders verdwijnen inconsistenties in toegangsrechten, gegevensbescherming en beleid niet met de overname.
Veilige AI begint daarom niet bij de technologie, maar bij sterke governance. Organisaties die AI succesvol willen opschalen, moeten governance vanaf het begin meenemen in hun integratiestrategie.
Bij CWSI helpen we organisaties die basis te leggen. Met onze Microsoft-first expertise in cybersecurity en compliance ondersteunen we managementteams bij het beoordelen van AI-readiness, het versterken van governance en het veilig opschalen van AI binnen de hele organisatie.
