Moments AI
Technology

Geef je AI-stafchef een eigen service-identiteit, niet de OAuth-rechten van je oprichter

MCP-servers en agents verspreiden zich razendsnel. De fout die ik telkens zie: een AI-stafchef die draait op de inloggegevens van een oprichter of EA. Daarmee verlies je elke vorm van governance.

June 23, 2026Door Helena Reier · 5 min lezen
round black and white light

Photo by George Prentzas on Unsplash

De fout die ik bij bijna elke operator zie

Een oprichter zet zijn nieuwe AI-stafchef op. Hij koppelt 'm aan zijn eigen Gmail, zijn eigen agenda, zijn HubSpot, zijn Stripe. Hij klikt door alle OAuth-schermen heen, geeft overal toestemming, en binnen tien minuten draait het. Het werkt. Het voelt productief.

En precies daar begint het probleem.

Wat er feitelijk gebeurt: de agent erft alle rechten van die mens. Niet de rechten die hij voor zijn taak nodig heeft — álle rechten. De volledige inbox, de complete dealpipeline, het betaaldashboard. Een menselijk account heeft brede, blijvende toegang opgebouwd over jaren. Die geef je in één klik door aan een autonoom systeem dat op machinesnelheid handelt.

Ik zie dit niet als een randgeval. Dit is de standaardmanier waarop mensen nu beginnen. En het is precies de manier die de hele beveiligingswereld in 2026 als onaanvaardbaar bestempelt.

Waarom een gedeeld account je audittrail vernietigt

Stel je voor: er gaat iets mis. Een gevoelig document is gedeeld dat niet gedeeld had mogen worden. Een betaling is geïnitieerd. Een mail is verstuurd naar de verkeerde contactpersoon in je CRM.

Je duikt in de logs. En daar staat: de oprichter heeft het gedaan. Want de agent draaide op zijn account. Er is geen technisch onderscheid tussen wat de mens deed en wat de AI deed. De acties zijn niet uit elkaar te trekken.

Dat is geen ongemak. Dat is het einde van je accountability. In gereguleerde omgevingen leidt dit rechtstreeks tot audit-mislukkingen en compliance-overtredingen. Toezichthouders eisen steeds nadrukkelijker functiescheiding, traceerbaarheid van handelingen en least-privilege-toegang. Een vervaagde grens tussen mens en AI ondermijnt alle drie tegelijk.

Een eigen service-identiteit draait dit om. Elke handeling van de agent is herleidbaar tot díe identiteit. Je krijgt een granulaire audittrail, je kunt forensisch onderzoek doen, je kunt compliance aantonen. Je weet wie wat deed — ook als 'wie' een machine is.

De getallen die operators meestal niet kennen

Even de cijfers die de urgentie scherp maken, want die zijn niet zacht.

Niet-menselijke identiteiten — service-accounts, agents, bots — zijn menselijke identiteiten in de gemiddelde onderneming al 50 tot 144 keer in aantal voorbij. En die verhouding stijgt snel. 80% van de IT-leiders meldt dat agents zich buiten het verwachte gedrag begeven. 88% van de organisaties rapporteerde het afgelopen jaar bevestigde of vermoede beveiligingsincidenten met AI-agents. 97% van de security-leiders verwacht dit jaar een serieus incident dat door een AI-agent wordt veroorzaakt.

En dan dit: slechts 6% van de securitybudgetten gaat momenteel naar AI-agent-risico. Er wordt voorspeld dat meer dan 40% van de agentic-AI-projecten vóór 2027 wordt geannuleerd door onvoldoende risicocontroles.

Dat laatste raakt operators direct. Het is niet de hack die je project stillegt — het is het ontbreken van governance waardoor je het niet meer durft uit te rollen. Je AI-stafchef stagneert niet omdat hij slecht is, maar omdat niemand kan uitleggen wie waarvoor verantwoordelijk is.

Wat een service-identiteit precies is

Een service-identiteit voor een AI-agent is een unieke, cryptografisch verifieerbare digitale identiteit. Los van menselijke accounts. Los van die oude statische service-accounts waar een wachtwoord in een config-bestand stond.

Het kenmerk dat ertoe doet: hij wordt dynamisch toegekend en is afgebakend tot de taak en context van dat moment. Je AI-stafchef die je agenda beheert heeft een identiteit met scopes voor Calendly en je agenda — en verder niets. Je agent die dealopvolging in Pipedrive doet, krijgt leesrechten op die pipeline, geen schrijftoegang tot Stripe.

Dit is het principe van least privilege, concreet gemaakt. Tijdgebonden toegang, just-in-time toegekend. Geen permanente brede rechten die maandenlang blijven hangen.

En het lost een probleem op dat bijna niemand ziet aankomen: de levenscyclus. Mensen hebben joiner-, mover- en leaver-processen. Agents hebben een heel andere, vaak veel kortere levensduur. Als je een agent aan een menselijk account koppelt, blijven zijn rechten bestaan nadat de agent allang is uitgefaseerd of hergebruikt. Verweesde credentials, sluimerende toegang. Met een eigen identiteit kun je geautomatiseerd provisioneren bij aanmaak, secrets roteren, en intrekken bij beëindiging.

Hoe dit eruitziet in een echte directie-stack

Laat ik het concreet maken, want hier draait het bij operators om.

Neem een oprichter met de typische stack: Gmail of Outlook voor mail, Slack voor interne communicatie, HubSpot voor het CRM, Linear voor de productroadmap, Notion voor documenten, Stripe voor betalingen. Eén AI-stafchef die hier dwars doorheen werkt klinkt aantrekkelijk — maar dat is precies de blast radius waar je niet aan wilt.

Deel het op. Geef de agent die je inbox triageert een eigen identiteit met scopes die beperkt zijn tot mail lezen en concepten opstellen — niet versturen zonder bevestiging. Geef de agent die je Linear-issues en Notion-notities bijhoudt een aparte identiteit zonder enige toegang tot je CRM of je betalingen. Registreer elke agent in je identity provider of een agent-register, met duidelijke eigenaar, doel en scope.

Het voordeel dat je dan krijgt: runtime-autorisatie. Je kunt het gedrag van een agent in realtime monitoren en een sessie beëindigen of escaleren naar menselijke goedkeuring zodra er iets afwijkends gebeurt. Wanneer de mailagent ineens probeert een betaling te initiëren, blokkeer je dat op intentieniveau — niet pas achteraf in de logs.

Bij Moments denken we hier expliciet over na: een AI-stafchef die ingebed zit in mail, agenda, contacten, documenten en browser is precies het type agent dat je niet op een geleende menselijke login wilt laten draaien. Hoe nuttiger de agent, hoe groter de reden om zijn identiteit netjes af te bakenen.

Dit is bestuur, geen IT-detail

Het verleidelijke aan de menselijke-account-route is de snelheid. Tien minuten en het draait. Het verleidelijke aan service-identiteiten lijkt traagheid: opzetten, scopes bepalen, registreren.

Maar de technologie en best practices hiervoor zijn volwassen en goed gedocumenteerd. Dit is geen onderzoeksproject. De kosten van niets doen — incidenten, boetes, verloren wendbaarheid — wegen ruim zwaarder dan de investering om het goed te doen.

Mijn standpunt is hier niet genuanceerd, en dat hoeft ook niet. Een directie-agent koppelen aan een menselijk account is in 2026 een kritiek, onaanvaardbaar risico. Het ondermijnt accountability, maakt privilege-escalatie mogelijk, breekt je levenscyclusbeheer en faalt op zowel regelgeving als operationele eisen.

De goede manier is per agent een eigen, beheerde service-identiteit, met minimale scopes, eigen secrets en intrekbare toegang. Niet omdat het netjes is, maar omdat je anders geen echte governance, geen incidentrespons en geen audittrail hebt. En zonder die drie heb je geen AI-stafchef waar je je bedrijf op durft te leunen.

Veelgestelde vragen

Waarom kan ik mijn AI-stafchef niet gewoon op mijn eigen account laten draaien?

Omdat de agent dan al je rechten erft — je volledige inbox, je CRM, je betalingen — en zijn handelingen niet meer te onderscheiden zijn van die van jou. Je verliest accountability, je audittrail wordt waardeloos en bij een incident kun je niet aantonen wie wat deed. In gereguleerde contexten leidt dat rechtstreeks tot compliance-problemen.

Wat is een service-identiteit voor een AI-agent precies?

Een unieke, cryptografisch verifieerbare digitale identiteit die losstaat van menselijke accounts en van oude statische service-accounts. Hij wordt dynamisch toegekend, is afgebakend tot de taak en context van het moment, en is volledig auditeerbaar. Daarmee kun je least-privilege en just-in-time toegang afdwingen.

Moet elke agent een aparte identiteit hebben, of volstaat één voor alles?

Eén per agent. Geef de mailagent een identiteit met scopes voor mail, de Pipedrive- of HubSpot-agent een aparte identiteit voor de pipeline, en de agent voor Linear en Notion weer een eigen. Zo beperk je de blast radius: als één agent gecompromitteerd raakt, ligt niet meteen je hele stack open.

Hoe groot is dit risico eigenlijk in de praktijk?

Aanzienlijk. 88% van de organisaties rapporteerde het afgelopen jaar bevestigde of vermoede AI-agent-incidenten, en 97% van de security-leiders verwacht dit jaar een serieus incident. Tegelijk gaat slechts 6% van de securitybudgetten naar agent-risico. Meer dan 40% van de agentic-AI-projecten wordt naar verwachting vóór 2027 geannuleerd door gebrekkige risicocontroles.

Bronnen (22)
  1. https://www.reddit.com/r/cybersecurity/comments/1pviwv5/identity_for_ai_agents
  2. https://www.carahsoft.com/blog/silverfort-4-ways-ai-agents-change-the-way-we-approach-identity-security-blog-2026
  3. https://noma.security/blog/thats-a-great-question-rethinking-identity-for-ai-agents
  4. https://saviynt.com/blog/identity-security-for-ai
  5. https://www.akeyless.io/blog/ai-agent-deployments-demand-identity-security
  6. https://www.pivotpointsecurity.com/agentic-ai-identity-access-security-risks
  7. https://www.token.security/blog/nhi-and-the-rise-of-ai-agents-the-security-risks-enterprises-cant-ignore
  8. https://www.cyberark.com/resources/blog/ai-agents-and-identity-risks-how-security-will-shift-in-2026
  9. https://www.livingsecurity.com/blog/ai-agent-risk-management
  10. https://nhimg.org/wp-content/uploads/2026/03/AI-Agent-Identity-Security-The-2026-Deployment-Guide.pdf
  11. https://www.strata.io/blog/agentic-identity/8-strategies-for-ai-agent-security
  12. https://www.lasso.security/blog/agentic-ai-best-practices
  13. https://agatsoftware.com/ai-agent-security-enterprise-2026
  14. https://www.linkedin.com/pulse/how-manage-ai-agent-identities-enterprise-practical-guide-stan-bounev-zuoye
  15. https://secureauth.com/resources/blog/agentic-ai-identity-101-for-ai-agents
  16. https://atlan.com/know/ai-agent/ai-agent-identity
  17. https://delinea.com/blog/identity-security-solutions-and-ai-agents
  18. https://veza.com/blog/ai-agents-in-the-enterprise-and-their-implications-for-identity-security
  19. https://aembit.io/blog/non-human-identity-security-vs-service-account-management-whats-the-difference
  20. https://nhimg.org/community/agentic-ai-and-nhis/what-kind-of-identity-should-your-ai-agent-really-have
  21. https://blog.trace3.com/from-service-accounts-to-autonomous-agents-why-identity-programs-need-a-new-layer
  22. https://thehackernews.com/2025/09/how-to-gain-control-of-ai-agents-and.html

Stop met reageren. Begin met leiden.

Je AI Chief of Staff is één prompt verwijderd.