IT-afdelingen houden nog steeds veel ballen in de lucht. Technologie dringt in elke afdeling dieper door en de vraag naar nieuwe applicaties blijft toenemen. In 2019 zorgde dit al voor flinke druk, digitale transformatie verliep vaak trager dan gehoopt doordat de IT-afdeling overbelast raakte. Het Microsoft Power Platform bood destijds een uitweg: een laagdrempelig platform waarmee medewerkers uit bijvoorbeeld HR, Marketing en Sales zelf business-apps en automatiseringen konden maken. Toen maakten echter nog maar weinig organisaties er gebruik van. Anno 2025 is het Power Platform breed omarmd en vormt het een cruciaal onderdeel van digitale innovaties. Tegelijkertijd zijn de mogelijkheden van het platform flink uitgebreid, met name door toevoegingen als AI Builder en de gloednieuwe Copilot Studio voor AI-agents (virtuele assistenten). Deze ontwikkelingen brengen enorme kansen voor productiviteit, maar ook nieuwe aandachtspunten op het gebied van governance. Het inrichten van het Power Platform moet dus nog steeds op zorgvuldige wijze gebeuren: er wordt met bedrijfskritische (en nu ook AI-gegenereerde) data gewerkt die veilig moet blijven en ongecontroleerde groei kan risico’s opleveren. In dit artikel lees je hoe je anno 2025 een veilige en gecontroleerde Power Platform-omgeving neerzet, met nadruk op de laatste trends en mogelijkheden.
Adoptie en Citizen Development
Om maximaal rendement uit het Power Platform te halen, moet je een goed klimaat creëren waarin citizen developers, niet-technische collega’s, veilig kunnen innoveren. Dat betekent dat medewerkers de ruimte krijgen om zelf apps, flows of agents te bouwen, binnen overeengekomen kaders. Organisaties pakken dit grosso modo op drie manieren aan, afhankelijk van hun cultuur:
- Bottom-up: de business krijgt veel vrijheid en verantwoordelijkheid. IT faciliteert slechts (zet het platform klaar) en houdt zich verder op de achtergrond.
- Blended: de business bouwt zelf oplossingen, maar binnen door IT gedefinieerde grenzen en met toezicht. Zo ontstaat gecontroleerde groei.
- Top-down: alleen IT bouwt en publiceert apps/flows, de business gebruikt wat beschikbaar wordt gesteld. Dit is het meest veilig qua controle, maar druist in tegen het self-service principe en legt alle last bij IT.
Welke aanpak je ook kiest, het is essentieel om daarbij een passende governancestructuur op te zetten. Die structuur biedt de spelregels en waarborgen waarbinnen citizen developers aan de slag kunnen. Met andere woorden: geef vrijheid waar het kan, maar stel duidelijke grenzen waar het moet.
Governance in 2025: waar begin je?
De vraag is vervolgens hoe je governance aanpakt nu het platform al (enigszins) in gebruik is binnen je organisatie. Anders dan in 2019 begin je immers niet meer vanaf nul, waarschijnlijk zijn er al Power Apps gebouwd en flows in omloop. Daarom starten we een governance-traject tegenwoordig steevast met een assessment van het huidige Power Platform-landschap. Met een combinatie van, een eigen Macaw-analysemethode en Microsoft’s Center of Excellence (CoE) Starter Kit, brengen we in kaart welke oplossingen er bestaan, wie de makers en gebruikers zijn en hoe de platforminstellingen staan afgesteld. Deze inventarisatie (of nulmeting) toont eventuele risico’s en pijnpunten. Zo zie je bijvoorbeeld of er Data Loss Prevention-beleid ontbreekt of dat er veel makers actief zijn in de ongecontroleerde Default-omgeving. Ook voor organisaties die een paar jaar geleden al governance-afspraken maakten, is zo’n scan nuttig: het geeft een actueel beeld en laat zien of bijsturing nodig is nu het platform verder is gegroeid.
Met de inzichten uit het assessment op zak, is de volgende stap het ontwerpen van een governance-framework op maat van jouw organisatie. Vaak organiseren we hiervoor een “Governance in a Day”-werksessie, waarbij zowel IT als business stakeholders aanschuiven. Gezamenlijk bespreken we de doelen en wensen rond het gebruik van het Power Platform, van welke data veilig gedeeld mogen worden tot welke ondersteuning citizen developers nodig hebben. In plaats van een traditionele papieren oplossing kiezen we voor een interactieve aanpak: de uitkomst van zo’n sessie is geen omvangrijk High Level Design-document, maar een pragmatische governance blueprint. Dit is een centrale “blauwdruk” waarin alle belangrijke besluiten en richtlijnen zijn vastgelegd, direct bruikbaar als handleiding voor implementatie. Het grote verschil met vroeger is dat deze blueprint in co-creatie met de business tot stand komt, levendig is en kan worden aangepast naarmate er nieuwe inzichten of technologieën (zoals AI) bij komen. Met een governance blueprint als kompas kun je vervolgens aan de slag om de Power Platform-omgeving daadwerkelijk in te richten en te beveiligen volgens de gemaakte afspraken.
Governance: veilig en gecontroleerd aan de slag
Een van de eerste onderwerpen in de blueprint is de indeling van environments. Hierbij bepalen we hoe Power Platform environments neergezet moeten worden om ontwikkeling in goede banen te leiden. Waar vroeger één enkele omgeving volstond voor een handjevol experimenten, kiezen de meeste organisaties nu voor een multi-environment model. Denk aan aparte omgevingen voor experimenten, testen en productie of per afdeling. Dat geeft structuur en zorgt ervoor dat makers alleen bij de voor hun relevante data kunnen. Microsoft heeft het beheer hiervan bovendien vereenvoudigd met Managed Environments, een optionele set beheerfuncties die je per omgeving kunt inschakelen om governance makkelijker af te dwingen (zoals inzicht in gebruik, automatische clean-up van ongebruikte apps, enz.). Een goede environment-strategie voorkomt chaos: het is de basis waarop verdere governancemaatregelen leunen.
Minstens zo belangrijk is het bewaken van beveiliging en gegevensbescherming. Gelukkig voldoet het Power Platform als cloudservice aan de belangrijkste standaarden (zoals HIPAA, EU Model Clauses, ISO, SOC), maar aanvullend beleid is nodig om datalekken te voorkomen. Een cruciaal instrument hiervoor zijn Data Loss Prevention (DLP)-policies. Met DLP bepaal je welke data wel en niet met elkaar gecombineerd mogen worden binnen een omgeving. Zo kun je bijvoorbeeld voorkomen dat iemand een flow maakt die HR-gegevens naar een Twitter-account stuurt. Door vanaf het begin duidelijke DLP-regels in te stellen, scherm je gevoelige informatie af en verminder je de kans op ongewenste data-uitstroom.
Naast techniek is er ook menselijk toezicht nodig. We raden aan een Center of Excellence (CoE) op te zetten: een klein team (vaak mix van IT- en business-mensen) dat verantwoordelijk is voor de adoptie en controle van het platform. Dit team houdt zich bezig met trainingen, support voor makers, maar ook met monitoring van wat er gebouwd wordt. Microsoft’s CoE Starter Kit helpt hierbij met dashboards en alerts, zo zie je continu hoeveel apps er zijn, waar ze draaien en of er afwijkingen zijn. Belangrijk is om governance te zien als een doorlopend proces: regelmatige checks (bijv. een maandelijkse rapportage vanaf het CoE dashboard) en het bijstellen van beleid horen er net zo goed bij als die ene workshop aan het begin. Zo blijft je Power Platform waterdicht terwijl het verder groeit.
AI-gedreven automatisering: een nieuwe dimensie binnen governance
Sinds enkele jaren komt er een nieuwe dimensie bij: AI is doorgedrongen in het Power Platform. AI Builder is inmiddels een volwassen toolset om AI-modellen in je apps en processen te verwerken. En Microsoft’s nieuwe Copilot Studio (voorheen Power Virtual Agents en onderdeel van de bredere Copilot-visie) maakt het mogelijk om geavanceerde AI-agents te bouwen die in natuurlijke taal opdrachten uitvoeren en met gebruikers communiceren. Deze innovaties verhogen de productiviteit en wendbaarheid van citizen developers enorm, maar vergen ook extra aandacht in je governance-aanpak. Want hoe zorg je dat AI op een verantwoorde manier wordt ingezet?
Het goede nieuws is dat de kernprincipes van governance overeind blijven. Je kunt veel van de lessen en maatregelen die je voor ‘gewone’ Power Apps toepast, hergebruiken voor AI-toepassingen. Microsoft heeft ondertussen specifieke controles toegevoegd om AI-functionaliteit te beheren. AI Builder integreert AI-modellen (bijv. voor het uitlezen van facturen, het voorspellen van trends of het classificeren van beelden) in Power Apps en Power Automate. Als onderdeel van het Power Platform valt AI Builder onder dezelfde beheeromgeving: je kunt per environment instellen wie AI-modellen mag maken en publiceren en bijhouden hoeveel AI-credits er verbruikt worden. Het is verstandig om AI Builder-modellen alleen in bepaalde omgevingen toe te staan en eerst goed te trainen en testen voordat ze bedrijfsbreed worden ingezet, vergelijkbaar met hoe je een app door ontwikkel- en testfases zou halen. Verder blijft datakwaliteit een aandachtspunt: een AI-model is zo goed als de data waarmee hij getraind is, dus zorg dat dit geborgd is (bijvoorbeeld door data science experts te betrekken bij makers die AI Builder willen gebruiken).
Copilot Studio is nieuwer en introduceert de mogelijkheid om eigen AI-assistenten (Agents) te bouwen die hele taken kunnen uitvoeren en in gesprek kunnen gaan. Denk bijvoorbeeld aan een virtuele helpdeskmedewerker of een agent die autonoom rapportages opstelt op basis van chatopdrachten. Door de aard van deze agents (ze kunnen breed in systemen kijken en acties ondernemen) is strikte controle hier een must. Gelukkig kun je in Copilot Studio op meerdere niveaus sturen:
- Tenantniveau: als beheerder kun je bijvoorbeeld generatieve AI in agents organisatiebreed uitzetten of beperken of alleen specifieke groepen toestemming geven om agents te bouwen. Ook kun je instellen of AI vanuit Copilot Studio toegang krijgt tot bepaalde bedrijfsdata of niet (via aangepaste beleidsregels vergelijkbaar met DLP).
- Environmentniveau: per omgeving zijn instellingen te maken voor AI-functionaliteit, zo kun je bepalen of makers in een bepaalde omgeving wel of geen agents mogen delen met collega’s of dat een agent internetbronnen (Bing search) mag gebruiken. Ook auditing (logboekregistratie) van AI-activiteiten kan per omgeving worden afgedwongen, zeker in productieomgevingen.
- Agentniveau: bij het maken van een individuele agent kun je als maker bepaalde beveiligingsopties instellen, zoals of de agent alleen toegankelijk is met Microsoft Entra ID (voorheen Azure AD) accounts, welke kanalen (Teams, website, etc.) hij mag gebruiken en of hij externe API’s kan aanroepen. Hiermee kun je bijvoorbeeld voorkomen dat een agent onbeheerd losgelaten wordt op publieke kanalen of data.
Een ander belangrijk aspect van AI-governance is monitoring. Waar een traditionele app deterministisch werkt (je weet precies welke stappen er gebeuren), kan een AI-agent soms onvoorspelbare output geven. Daarom is inzicht in het gedrag van AI essentieel. Copilot Studio voorziet standaard in uitgebreide audit logs: alle acties van makers én gebruikers rond een Copilot agent worden automatisch gelogd en zijn in te zien via het Microsoft Purview compliance center. Je kunt bijvoorbeeld achteraf zien wie een agent gemaakt of aangepast heeft en hoe vaak een agent is geraadpleegd en met welke uitkomst. Deze logs kun je niet uitzetten (wel kun je de bewaartermijn aanpassen), wat vanuit governance-oogpunt geruststellend is. Er is altijd een spoor. Daarnaast kun je optioneel integraties inschakelen met tools als Azure Application Insights voor nóg gedetailleerdere telemetrie over je agents (prestaties, fouten, enz.). We raden aan om periodiek de AI-activiteiten te reviewen. Kijk bijvoorbeeld naar de chattranscripten van kritieke AI-gesprekken, eventueel steekproefsgewijs, om te checken of de agent doet wat hij moet doen en geen ongewenste antwoorden geeft. Zo houd je de “human in the loop” en voorkom je dat AI ongecontroleerd beslissingen neemt zonder toezicht.
Het gaat er vooral om bekende governance-tools slim toe te passen op nieuwe AI-mogelijkheden; rolgebaseerde rechten, duidelijke omgevingsscheidingen en DLP-beleid blijven de hoekstenen, nu aangevuld met AI-specifieke instellingen en logging. Door AI Builder en Copilot Studio expliciet onderdeel te maken van je governanceafspraken (bijvoorbeeld opnemen in je blueprint en CoE-werkwijze) omarm je AI-gedreven automatisering zonder de controle te verliezen.
Conclusie
In deze geüpdatete blog hebben we bekeken hoe je anno 2025 een waterdicht en veilig Power Platform neerzet. Sinds 2019 is er veel veranderd: het platform is volwassen geworden en AI voegt een nieuwe laag van intelligentie toe aan low-code ontwikkeling. Toch blijven de basisprincipes gelijk. Zorg voor een solide fundament, begin met inzicht in je huidige situatie, stel samen met business en IT een praktische governance blueprint op en implementeer stapsgewijs de juiste instellingen en policies. Houd daarbij rekening met de nieuwste ontwikkelingen zoals AI Builder en Copilot Studio door ook daarvoor de spelregels vast te leggen. Zo behoud je de juiste balans tussen vrijheid voor de gebruikers en controle voor de organisatie.
Heeft jouw organisatie:
- Het Power Platform nog niet geïmplementeerd en ben je op zoek naar hulp om dit vanaf het begin af aan goed aan te pakken?
- Het Power Platform al geïmplementeerd en ben je op zoek naar een health-check?
- Governance voor het Power Platform onder de knie maar behoefte aan visie/begeleiding rondom alle nieuwe ontwikkelingen (Copilot Studio, AI builder, etc.)?
Neem dan contact met ons op. We hebben een gestandaardiseerde aanpak (gebaseerd op 25+ organisaties waar wij soortgelijke activiteiten hebben uitgevoerd, waaronder HEINEKEN en FrieslandCampina) en passen dit waar nodig aan zodat het past op jullie specifieke situatie.
