Professioneel Software Ontwikkelen met AI

Welkomsslide. Laat staan terwijl mensen plaatsnemen.

"Even kort voorstellen. Ik ben Rob Vugts, en ik werk al ruim 30 jaar als technical architect en software engineer — voornamelijk in de bankensector. ING, Credit Suisse, UBS. Dus ik ken de wereld van strenge eisen, compliance en enterprise-systemen."

"De afgelopen 14 maanden heb ik onder de vlag van AI-chitect vrijwel fulltime onderzocht of AI echt geschikt is voor enterprise-grade softwareontwikkeling."

"Kun je met AI software bouwen die een audit overleeft? Niet een demo. Niet een prototype. Maar iets waar een risk-afdeling 'ja' tegen zegt."

"Ik begrijp dat jullie al actief bezig zijn met GitHub Copilot en AI agents. Wat ik vandaag wil laten zien is hoe je dat naar het volgende niveau tilt."

"Maar laat me eerst laten zien wat er mogelijk is. Dit zijn drie projecten die ik in de afgelopen maanden heb gebouwd — elk in 1 tot 2 weken."

"De technieken die ik hiervoor gebruikt heb, zijn precies wat ik vandaag met jullie ga delen. En het mooie is: jullie werken al met Azure, Databricks, dbt, Python, SQL — dit is allemaal direct toepasbaar."

"Dit is het plan voor vandaag. We beginnen met de Volwassenheidsladder — vijf niveaus van AI-assisted development. Dan de kern-methodologie: de Golden Trinity en Architecture-as-Code. Na de pauze een live demo — ik ga in VSCode met Copilot van een specificatie naar werkende code. En we sluiten af met enterprise-aspecten en hoe je maandag kunt beginnen."

"Belangrijk: dit is geen college. Onderbreek me gerust met vragen."

"Oké, laten we eerlijk zijn. De eerste keer dat je AI code laat schrijven, voelt het als magie. Je typt wat je wilt, drukt op enter, en de code stroomt op je scherm."

"Maar dan... na ongeveer 20 minuten... slaat de kater toe. De AI begint libraries te verzinnen die niet bestaan. Het vergeet wat het drie prompts geleden heeft geschreven."

"Even peilen — wie van jullie heeft al AI gebruikt voor code of SQL?"

"Precies. Het probleem is niet de AI — het probleem is de workflow."

"Als jullie vandaag maar één ding onthouden, laat dit het zijn."

"AI versnelt alles. Dus als je rommel hebt... krijg je sneller rommel."

Laat dit even hangen. AI lost slechte datakwaliteit niet op — het industrialiseert het. Een zelfverzekerd fout antwoord is gevaarlijker dan een onzeker juist antwoord.

"De eerste demo is makkelijk. De honderdste betrouwbare output — dát is het werk."

"Eén: begin met de data. Twee: ontwerp voor onzekerheid. Drie: technologie volgt het probleem. Vier: iemand tekent onder het resultaat. En vijf: investeer niet in de demo, investeer in de honderdste betrouwbare output."

"Goed. Dat is de context. Nu gaan we kijken hoe je het wél goed doet."

"Vandaag gaan we een ladder beklimmen. Onderaan is AI vooral magie — leuk, snel, maar onvoorspelbaar. Hoe hoger we komen, hoe meer structuur we toevoegen, hoe meer we de AI beperken in zijn vrijheid."

"En dat is precies de paradox: hoe minder vrijheid je AI geeft, hoe beter de output wordt."

"De meeste teams zitten ergens tussen trede 1 en 2. Ze gebruiken AI... maar zonder structuur. En dat is precies waarom het soms fantastisch werkt — en soms totaal niet."

Je kunt op elke trede stoppen en direct waarde krijgen. Maar als je doorbouwt, ontstaat er een systeem dat zichzelf versterkt.

"Level 1 is de snelste winst. We stoppen met hopen dat AI het goed doet, en beginnen het expliciet te vertellen wat 'goed' is."

"In GitHub Copilot: je maakt een copilot-instructions.md aan. Dat is je grondwet. Daarnaast .github/instructions/ voor taalspecifieke regels en .github/skills/ voor herbruikbare taken."

De copilot-dev-starter op GitHub bevat een complete starter template. Clone hem, pas de instructions aan, en je bent klaar.

"Wat levert het op? Minder variatie, meer consistentie. De trade-off? Minder vrijheid voor de AI — maar veel meer betrouwbaarheid."

"Level 2: je stopt de AI als één generalist te gebruiken en bouwt een team van specialisten."

In de copilot-dev-starter zitten kant-en-klare skills: /refactor-python, /audit-security, /create-spec, /create-tasks, en /generate-prompt voor meta-prompting.

"De analogie: een standaard LLM is een huisarts. Prima voor een verkoudheid, maar je vraagt geen huisarts om een hartoperatie. Met skills geef je de AI een specialisme."

"Level 3 gaat over de kwaliteit van je gesprek met de AI. Dit is misschien wel de belangrijkste vaardigheid."

"Meta-prompting: je laat AI de perfecte prompt schrijven. In plaats van 'bouw een dashboard' zeg je: 'interview me over wat voor dashboard ik wil'."

"Context engineering: wees chirurgisch. Need-to-know basis. Start regelmatig een nieuw gesprek."

Kernboodschap:

"AI is eigenlijk een extreem slimme stagiair... die nooit zegt dat je een slechte vraag stelt."

"Welkom terug. De Golden Trinity bestaat uit drie fases die altijd in deze volgorde komen."

"Eerst: Spec-Driven Development — het contract. Dan: Test-Driven Development — de vangrails. En pas dan: Vibe Coding — de executie."

"Waarom deze volgorde? Omdat een AI dat zowel de code als de tests schrijft, zijn eigen huiswerk nakijkt."

"In de praktijk: zes stappen. Stap 1: Plan buiten je IDE. Stap 2: Maak een spec.md. Stap 3: Genereer tests vanuit de spec. Stap 4: Run ze — ze moeten falen. Stap 5: Vibe Code. Stap 6: Refactor en review."

"En de Nuclear Option: als de AI in een loop zit — stop, revert, fresh start. Debug nooit een spiralende AI."

"Alles wat we tot nu toe hebben gedaan — rules, specs, tests — is eigenlijk al een vorm van Architecture-as-Code. Wat we nu doen, is dat systematisch maken."

"Dit is de document-hiërarchie. Bovenaan de Blueprint, onderaan Epics en Stories. Elk level beperkt de AI verder."

"Mooi plaatje, maar wat zit er precies IN elke laag? Laten we dat concreet maken."

"De Blueprint is het WAAROM. Welk fundamenteel probleem lossen we op? Wat zijn de ononderhandelbare principes?"

"Voor een zorgverzekeraar: jullie verwerken gevoelige gezondheidsdata. EU-soevereiniteit is niet-onderhandelbaar. Dát is een Governing Law."

"Het Master Plan is het WAT. Technology stack, C4 modellen, NFRs met meetbare targets, Security Architecture."

"De Blueprint verandert zelden. Het is jullie grondwet. Het Master Plan maakt die grondwet technisch uitvoerbaar."

"Twee van de meest onderschatte lagen."

"Non-Goals: AI is behulpzaam van nature. Het stelt altijd extra features voor. Non-Goals stoppen dat."

"Voor een zorgverzekeraar: geen directe toegang tot patiëntdossiers vanuit AI. Geen auto-goedkeuring van claims zonder menselijke review. FORBIDDEN. Geen discussie."

"Domain Specs zijn de bron van waarheid. De glossary, het schema, de state machines. De AI implementeert ertegen — het mag het niet veranderen."

"Een invariant is een bedrijfsregel die ALTIJD moet gelden — ongeacht wie de code schrijft."

Voorbeelden die direct relevant zijn voor een zorgverzekeraar:

• Tenant Isolatie: elke query filtert op verzekeraar_id
• Audit Trail: elke mutatie wordt gelogd
• Geen Floats voor Geld: alles Decimal
• Claim Status Machine: afgewezen kan niet terug
• BSN Encryptie: nooit plaintext
• Vier-Ogen: claims boven tienduizend euro vereisen twee goedkeurders

"Herkennen jullie deze regels? Dit zijn jullie regels. Het verschil: straks zijn ze geautomatiseerd."

"Unit tests vragen: werkt dit? Fitness functions vragen: hoort dit hier?"

"Drie regels code: test_tenant_isolation. Loopt door alle modellen, controleert of verzekeraar_id aanwezig is. Simpel. Maar het draait op elke commit, voor altijd. Het vergeet nooit. Het wordt nooit moe."

"Dit is het immuunsysteem van je architectuur."

"Drie verdedigingslinies. Pre-commit hooks: minder dan 5 seconden. CI Pipeline: 2 minuten, alle fitness functions. Deploy Gate: als een BLOCKING fitness function faalt, wordt deploy geblokkeerd. Geen uitzonderingen."

"Jullie hebben al CI/CD met Azure DevOps. Fitness functions zijn gewoon pytest tests in jullie bestaande pipeline."

"'Rob, dit is toch superveel werk?' Nee. Elke laag bouwt voort op de vorige. Je geeft de Blueprint aan Claude en zegt: 'genereer nu het Master Plan.' Vijf sessies. Weken werk wordt dagen."

"En heel meta: AI bouwt de guardrails die AI in toom houden."

"Maar onthoud: jij bent nog steeds de architect. AI versnelt je denken — het vervangt het niet."

"In je copilot-instructions.md verwijs je naar de specs. 'Je MAG GEEN specs wijzigen. Je MAG GEEN invarianten verzwakken. Bij onduidelijkheid: STOP. Gok niet.'"

"AaC documenten definiëren de regels. Agent Rules instrueren de AI. AI implementeert binnen die grenzen. Fitness Functions valideren. CI/CD blokkeert. Niemand ontsnapt. De cirkel is gesloten."

"Drie concentrische muren. De binnenste — de cel: Agent Rules. De bewaker: Prompt Discipline. Het elektrisch hek: Automated Enforcement."

"AI bouwt zélf de guardrails die de AI in toom houden."

"Oké, genoeg theorie. Laten we het in de praktijk zien."

Schakel over naar VSCode. Live demo: van specificatie naar werkende code met GitHub Copilot.

"Nu de vraag die ik altijd krijg: 'Hoe borgen we dit?'"

"Het antwoord is misschien verrassend: als je dit goed doet, krijg je juist méér controle dan bij traditionele development. Want bij traditionele development vertrouw je op code reviews die soms gehaast zijn en tribal knowledge die verdwijnt als mensen vertrekken. Bij deze aanpak is alles expliciet, geautomatiseerd en traceerbaar."

Specifiek voor een zorgverzekeraar: patiëntdata vereist extra zorgvuldigheid. Privacy Mode, geen productiedata in prompts.

"Maar laten we dieper ingaan op het onderwerp dat de meeste vragen oproept: hoe doe je peer reviews op AI-gegenereerde code?"

"Dit is de olifant in de kamer. AI kan razendsnel duizenden regels code genereren. Dat is geweldig voor productiviteit — maar het maakt traditionele reviews onmogelijk."

"De reviewer heeft de code niet zien ontstaan. Er is geen mentaal model. AI-code ziet er 'correct' uit maar kan subtiele fouten bevatten. En hallucinaties zijn het gevaarlijkst als ze er professioneel uitzien."

"95% accuraat klinkt goed — maar die 5% maakt je productie kapot."

"De oplossing: gelaagde defensie. Vijf lagen die elk een deel van het probleem vangen."

"Stap 1: voorkom het probleem. De /create-tasks skill splitst je spec op in atomaire taken. Eén taak is één commit van 100 tot 250 regels. Niet één megacommit van 1500 regels die niemand wil reviewen."

"Stap 2: de paranoid self-review. Vóór je laatste commit gebruik je /generate-prompt om een review-prompt te maken. Is de spec gehonoreerd? Test coverage boven 80%? Alle taken afgevinkt? Strict TDD toegepast? Geen features buiten de spec?"

"En cruciaal: de output van die review wordt onderdeel van de commit. De reviewer ziet niet alleen de code — maar ook de zelf-analyse."

"Stap 3: als de PR open staat, laat je Copilot automatisch reviewen."

"'Review this PR as a senior engineer in a healthcare insurance company. Be critical. Focus on data correctness, edge cases, financial impact, hidden risks.' Domein-specifiek."

"Dit kan volledig geautomatiseerd via GitHub Actions. Output als PR comment. De menselijke reviewer ziet de AI-analyse voordat die zelf begint."

"De AI vindt 80% van de mechanische issues. De mens focust op de 20% die oordeelsvermogen vereist."

Wat al is afgehandeld vóór de mens eraan begint: codestyle (linting), type errors (mypy), security patterns (bandit), architectuurschendingen (fitness functions), spec compliance (paranoid + AI review), test coverage (CI check).

"Wat de mens wél doet: business logica — klopt de interpretatie? Data correctheid — juiste velden, juiste joins? Risico's — wat als dit faalt in productie? En de 'ruikt dit goed?' test — ervaring die niet te automatiseren is."

"Resultaat: in plaats van 200 comments over styling heb je 3-5 comments over business logica die er écht toe doen."

"De complete keten: implement taak als kleine commit. Paranoid review in je IDE. PR aanmaken. Automated checks in CI/CD. Copilot AI review als PR comment. En pas dan: menselijke review — gefocust op wat er toe doet."

"En — heel belangrijk voor jullie compliance — alles is traceerbaar. De paranoid review zit in de commit. De AI review zit als PR comment. De CI logs staan in Azure DevOps. De human approval staat in GitHub. Auditors kunnen de hele keten volgen."

"AI-vaardigheden zijn niet alleen voor code."

NotebookLM: upload documenten, laat AI verbanden leggen en samenvatten.

Meeting Intelligence: neem meetings op, vraag om blindspot-analyse. Wat is er NIET besproken?

Strategie: gebruik AI om voorstellen te structureren. Laat andere AI-agents kritiek leveren.

"En: experimenteer thuis. De ontwikkelaars die nu experimenteren, zijn over twee jaar de architecten en teamleiders."

"De fundamentele shift die gaande is. Dertig jaar lang waren we metselaars — trots op syntax kennis, libraries memoriseren, karakters typen."

"Die tijd is voorbij. Je waarde wordt nu bepaald door: kun je systemen ontwerpen? Kun je AI-agents orkestreren?"

"De mensen die vandaag alleen nog maar code typen... die gaan het moeilijk krijgen. De mensen die systemen ontwerpen met AI... die worden extreem waardevol."

"Oké, concreet. Wat kunnen jullie maandag doen?"

"Clone de copilot-dev-starter, pas de instructions aan voor jullie team, en gebruik /create-spec voor je volgende feature. Binnen een uur heb je Level 1 én Level 2 staan."

"Begin klein. Elk level voegt waarde toe. Maar begin."

"Bedankt voor jullie aandacht en engagement vandaag."

"'Humans define meaning. Specs define truth. Tests define correctness. Fitness functions define enforcement. AI fills in the mechanical gaps.'"

"En als jullie morgen maar één ding doen: stop met random prompts schrijven... en begin met een spec. Dan zit je al op trede 4 van de ladder."