From access to control: the coventional architectural shift
In 2026 bracht GAM v1 identiteit terug onder bestuurlijke controle door governance, verantwoordelijkheid en toegangsbeheersing opnieuw met elkaar te verbinden. Tegen 2030 volstaat die klassieke beheersing echter niet langer, omdat digitale afhankelijkheden en quantumdreigingen vragen om een toekomstvast model. Daarom evolueert GAM naar een quantum-safe v2. De kracht van GAM ligt in het bestuurbaar maken van identiteit als ondernemingsobject; de kracht van HarmonyQ Enterprise Risk Assessment ligt in het feit dat restrisico nooit als statisch eindpunt wordt aanvaard, maar voortdurend opnieuw wordt getoetst binnen een zero trust-context. Samen vormen zij een continue controlelus waarin identiteit, vertrouwen en risico permanent worden herijkt.
“In het Anno 2030 quantum-tijdperk sterft niet eerst de cryptografie, maar de illusie dat statisch vertrouwen ooit voldoende was.”
Die bestuurlijke kracht wordt nog groter door de samenhang met HarmonyQ Enterprise Risk Assessment. Waar veel klassieke risicomodellen eindigen in een momentopname van aanvaard restrisico, vertrekt HarmonyQ vanuit een andere realiteit: in een zero trust-omgeving is vertrouwen nooit definitief, en dus is ook restrisico nooit definitief. Elk vastgesteld restrisico is slechts een tussenstand in een bewegend landschap van dreiging, afhankelijkheid, wijzigende toegangspatronen en technologische evolutie. De kracht van HarmonyQ zit daarom in zijn vermogen om risico niet als een statische uitkomst te behandelen, maar als een levende bestuurlijke variabele die voortdurend opnieuw moet worden gewogen tegen bedrijfscontinuïteit, vertrouwelijkheid, weerbaarheid en strategische kwetsbaarheid.
Binnen de onderneming lijkt toegang op het eerste gezicht iets eenvoudigs: een medewerker krijgt rechten, logt in op het ERP-pakket en doet zijn werk. Maar onder dat ogenschijnlijk simpele gebaar ligt een veel grotere werkelijkheid. Toegang is geen knop, geen account en geen technisch vinkje. Het is een belofte van vertrouwen tussen bestuur, informatie en technologie. Precies daar brengt het denken van Rik Maes licht: de onderneming beslist niet alleen wie binnen mag, maar ook waarom, waartoe en onder welke verantwoordelijkheid.
In dat landschap staat het ERP-systeem niet langer centraal als een gesloten doos met functies, maar als een levend knooppunt van processen, data, rollen en beslissingen. De negen vlakken maken zichtbaar dat toegang tegelijk een businessvraag, een informatievraag en een technologische afdwingingsvraag is. ZT9 brengt daar via GAM de bestuurlijke samenhang in: niet zomaar toegang geven, maar toegang beheersen. Niet alleen rechten toewijzen, maar context, mandaat, scheiding van taken, logging, recertificatie en verantwoording met elkaar verbinden tot één governancestroom.
De extra kracht van GAM zit daarbij niet in het simpele idee dat een gebruiker één UCID heeft. De echte kracht zit dieper: de identiteit is vervat in een maskerende DNA-string van twaalf sleutels. Die twaalf sleutels vormen samen geen zichtbaar profiel, maar een beschermde identiteitscode. Pas wanneer verificatie nodig is, of wanneer een identiteit rechtmatig moet worden samengesteld, openen die twaalf sleutels samen het identiteits-DNA. Zo wordt identiteit niet zomaar opgeslagen als een leesbaar label, maar beschermd als een gecontroleerd samengesteld wezen: afgeschermd in rust, alleen ontsloten onder governance, en alleen zichtbaar wanneer context, autorisatie en legitimiteit samen kloppen.
Daarmee wordt GAM meer dan een accessmodel. Het wordt een architectuur van vertrouwen. De onderneming houdt bestuurlijke controle, de informatie behoudt haar context en gevoeligheid, en technologie voert niet blind uit, maar beschermt wat ertoe doet. Zo ontstaat de echte verschuiving: van toegang naar beheersing, van identificatie naar governance, van account naar gecontroleerde identiteit. Dat is de belofte van ZT9 via GAM — niet enkel toegang mogelijk maken, maar vertrouwen structureel organiseerbaar maken.
Van conventionele servergebaseerde rekenkracht naar Quantum rekenkracht
Wat vandaag vaak als een opgelost technisch toegangsprobleem wordt gezien, heeft in werkelijkheid een veel grotere bestuursvraag. Net daar sluit het denken van Rik Maes aan op de rol van GAM binnen het accessbeheer anno 2030. Toegang gaat niet alleen over systemen, accounts of rechten, maar over de samenhang tussen verantwoordelijkheid ten opzichte van een Quantumbeleid, informatiebetekenis en afdwingbare controle. Wanneer die drie werelden niet op elkaar en de quantum uitdaging afgestemd zijn, ontstaat opnieuw schijncontrole: toegang bestaat, maar beheersing ontbreekt.
In die context wordt GAM meer dan een mechanisme om identiteiten te beheren. Het wordt een governance-instrument dat de onderneming helpt om het evenwicht ook te herstellen tussen Quantum proof business, informatie en technologie. Precies daar ligt ook de verbinding met het quantum-vraagstuk. Quantum is niet alleen een toekomstig cryptografisch risico; het is vooral een toetssteen voor de volwassenheid van een organisatie. De vraag is niet enkel of een oplossing technisch sterk genoeg is, maar of de onderneming haar toegangs- en identiteitsmodel zó heeft ingericht dat het ook onder toekomstige dreigingen bestuurbaar, aanpasbaar en verantwoord blijft.
Vanuit die bril is GAM v1 geen eindpunt, maar een eerste volwassenheidsstap. Het brengt structuur, maakt verantwoordelijkheden zichtbaarder, reduceert ongecontroleerde toegang en geeft de enterprise voor het eerst een heldere governancelaag rond identiteit en autorisatie. Maar een goede risk assessment zal tegelijk ook aantonen dat echte weerbaarheid nooit stopt bij de eerste implementatie. Zodra een organisatie haar fundament heeft gelegd, wordt ook zichtbaar waar de volgende versterking nodig is: in wendbaarheid, in cryptografische paraatheid, in ketenafhankelijkheden, in duurzame controle en in het vermogen om toekomstige dreigingen tijdig te absorberen.
Daarom is het logisch dat een enterprise na GAM v1 niet achteroverleunt, maar een 1000-dagenplan opstelt richting v2. Niet vanuit paniek, en ook niet vanuit hype, maar vanuit bestuurlijke volwassenheid. Dat plan markeert de overgang van initiële beheersing naar duurzame sluiting van de ZT9-cirkel: een toestand waarin governance, risico, toegang, verificatie, controle en toekomstige weerbaarheid opnieuw met elkaar verbonden worden tot één gesloten geheel. Eerst wordt toegang beheerst. Daarna wordt beheersing toekomstvast gemaakt.
Het model van Rik Maes helpt om die evolutie juist te begrijpen. Op strategisch niveau vraagt het bestuur zich af welke verantwoordelijkheid het draagt in een wereld waarin identiteiten, data en digitale afhankelijkheden steeds gevoeliger worden. Op tactisch niveau wordt bepaald hoe verantwoordelijkheden, vertrouwensmodellen en controlemechanismen in samenhang worden georganiseerd. Op operationeel niveau worden die keuzes vervolgens werkelijk afgedwongen. GAM is dan de schakel die deze niveaus niet alleen verbindt, maar ook vertaalt in concrete bestuurbaarheid.
De echte kracht van deze benadering zit dus niet in één technologische claim, maar in de discipline om een model te bouwen dat ook morgen nog bestuurbaar is. Quantum wordt dan geen los thema aan de rand, maar een spiegel voor de onderneming zelf: hoe toekomstbestendig is het vertrouwensmodel, hoe robuust is de governancestructuur, en hoe snel kan de organisatie haar controlekring opnieuw sluiten wanneer de context verandert? In dat opzicht is v2 geen gewone upgrade, maar de fase waarin de enterprise bewijst dat zij niet alleen toegang kan organiseren, maar ook vertrouwen op lange termijn kan behouden.
Zo wordt de boodschap helder: GAM v1 brengt orde, inzicht en eerste beheersing; GAM v2 moet binnen een gericht 1000-dagenplan de ZT9-cirkel opnieuw sluiten, zodat de enterprise niet alleen vandaag beschermd is, maar ook morgen bestuurlijk en strategisch weerbaar blijft.
Hier is nog een compactere, meer executive versie die je letterlijk in een paper of presentatie kunt zetten:
Wat met GAM v1 wordt opgebouwd, is de eerste bestuurlijke verankering van identiteit, toegang en controle binnen de enterprise. Vanuit het model van Rik Maes wordt duidelijk dat deze verankering slechts duurzaam is wanneer business, informatie en technologie blijvend in evenwicht worden gehouden. Het quantum-vraagstuk bevestigt die noodzaak: niet als louter technische dreiging, maar als signaal dat toekomstgerichte organisaties hun controlemodel tijdig moeten verdiepen. Daarom moet elke enterprise na GAM v1 een gericht 1000-dagenplan vastleggen naar v2, waarin de volgende fase van weerbaarheid wordt gerealiseerd en de ZT9-cirkel opnieuw wordt gesloten.
GAM als Identity bescherming voor Quantum gevorderden
Technisch – GAM v2
GAM v2 gebruikt geen AI voor ontsleuteling of identity reconstruction. Dat is een bewuste architectuurkeuze. AI is nuttig voor patroonherkenning, anomaliedetectie en risicobeoordeling, maar niet voor het vrijgeven van beschermde identiteitsstructuren. Zodra AI betrokken zou worden bij ontsleuteling, segmentherkenning of reconstructielogica, ontstaat het risico dat een probabilistische component evolueert tot een oncontroleerbare kennisdrager: een systeem dat te veel context bewaart, verbanden inferent afleidt of operationele geheimen onbedoeld reproduceert. In governance-termen wordt AI dan een praatgrage geheimenfluisteraar in plaats van een controleversterker.
Daarom blijft in GAM DNA de ontsluiting volledig deterministisch, policy-driven en cryptografisch afgedwongen. De beschermde identiteitscontainer wordt niet “begrepen” door AI, maar uitsluitend selectief geopend via gecontroleerde verificatie, sleutelbeheer en formele autorisatieregels. AI mag dus hoogstens adviseren over risico, context of afwijkend gedrag, maar nooit beslissen hoe de identiteits-DNA-laag cryptografisch wordt geopend.
Om die reden sluit GAM DNA aan op quantum-safe ontwerpprincipes. De onderliggende beschermingslaag steunt niet op klassieke kwetsbare aannames alleen, maar wordt ontworpen rond post-quantum cryptografische standaarden en quantum-resiliente sleutel- en integriteitsmechanismen. NIST heeft hiervoor inmiddels FIPS 203, 204 en 205 goedgekeurd, waaronder ML-KEM voor key establishment en ML-DSA en SLH-DSA voor digitale handtekeningen. CISA, NIST en NSA adviseren organisaties ook expliciet om nu al quantum-readiness roadmaps, crypto-inventarissen en migratieplannen op te bouwen.
De kern is dus:
GAM v2 scheidt intelligentie van ontsluiting.
AI ondersteunt de beoordeling van risico.
Cryptografie en policy openen het DNA.
Niet omgekeerd.
In lekentaal
GAM v2 laat AI niet aan de kluis zitten.
AI mag meekijken of iets verdacht is, maar krijgt nooit de sleutels om iemands verborgen identiteitsstructuur open te maken.
Waarom niet? Omdat AI goed is in praten, voorspellen en verbanden leggen. En precies dat maakt het gevaarlijk als het te dicht bij geheimen komt. Dan krijg je een slim systeem dat misschien meer onthoudt, meer afleidt of meer verklapt dan de bedoeling is. Met andere woorden: dan maak je van AI een soort geheimenfluisteraar.
Daarom werkt GAM DNA anders. Het vertrouwt voor het openen van die beschermde identiteitslaag niet op “slimme gokjes”, maar op strikte regels en sterke beveiliging. Alleen als de juiste voorwaarden vervuld zijn, gaat precies dat stukje open dat nodig is. Niet meer.
En om ook naar de toekomst toe sterk te blijven, is die beveiliging bedoeld om mee te groeien naar een quantum-safe wereld. Dat betekent simpel gezegd: bouwen met beveiligingsmethoden die ontworpen zijn om ook bestand te zijn tegen de volgende generatie rekenkracht, niet alleen tegen die van vandaag. Officiële instanties zoals NIST en CISA raden organisaties aan om die overstap nu al voor te bereiden.
De eenvoudigste samenvatting is:
AI mag waarschuwen, maar niet ontgrendelen.
GAM DNA laat geheimen alleen openen door regels, controle en quantum-safe bescherming.
Hier is nog een korte versie die je bijna letterlijk in een paper kunt zetten:
GAM v2 gebruikt AI niet voor ontsleuteling of identiteitsreconstructie. Dat is een bewuste veiligheidskeuze: AI kan risico’s helpen signaleren, maar mag nooit uitgroeien tot een kennisdragende component die verborgen identiteitslogica leert, bewaart of onbedoeld onthult. Daarom wordt GAM DNA uitsluitend geopend via deterministische governance- en cryptografische mechanismen. In zijn verdere volwassenheid sluit dit model aan op quantum-safe ontwerpprincipes, zodat vertrouwelijkheid en controle niet alleen vandaag, maar ook in een toekomstige post-quantum context behouden blijven.
