Tools & Apps

Website bouwen met AI of een bureau inhuren: wat je niet ziet als het er goed uitziet

· 11 min leestijd

In februari 2026 lekte een app die met AI-bouwplatform Lovable was gemaakt de gegevens van 18.000 gebruikers. Geen hack van buitenaf, geen zero-day exploit. De AI had simpelweg de beveiliging niet ingebouwd. De database stond open, API-sleutels stonden in de broncode, en er was geen authenticatie op rij-niveau. De app zag er perfect uit. Hij werkte alleen niet veilig. Dat is het verhaal van AI-websitebouw in 2026: het ziet er beter uit dan ooit, maar wat je niet ziet, is precies waar het misgaat.

Wat kun je in tien minuten bouwen met AI?

De eerlijkheid gebiedt: het is indrukwekkend. Tools als Lovable, Bolt, v0 en Google Stitch genereren in een paar minuten een complete website vanuit een beschrijving. Professionele lay-out, responsief design, nette typografie, passende kleuren. Een lokale ondernemer die een digitaal visitekaartje nodig heeft, kan om negen uur beginnen en om half tien live staan.

Google Stitch, gelanceerd op I/O 2026, gaat nog een stap verder: een AI-agent die je interface tekent terwijl je praat, met multiplayer editing en gratis toegang. Het is een directe concurrent van Figma, zonder de 15 euro per maand. Voor prototypes en eerste versies is de technologie echt goed genoeg geworden.

En dat is precies het punt waar het gevaarlijk wordt.

Waar gaat het mis als je AI je website laat bouwen?

Het probleem is niet dat AI-websites er slecht uitzien. Het probleem is dat ze er goed uitzien terwijl ze van binnen kapot zijn. Drie structurele risico's die elke AI-websitebouwer deelt.

Beveiliging is niet standaard ingebouwd. Onderzoek van Veracode toont dat 45 procent van AI-gegenereerde code beveiligingsproblemen bevat. Stanford komt op 80 procent voor complete applicaties. Niet omdat AI geen veilige code kan schrijven, want dat kan het wel. Maar de meeste gebruikers vragen niet om input-validatie, rate limiting of server-side authenticatie. Ze vragen om een werkende app. En precies dat levert AI: iets wat werkt, zonder de beschermlagen die je niet hebt gevraagd.

Dat laatste klinkt als een beginner-fout, maar het gebeurt massaal. Op platforms als Lovable en Bolt staan duizenden projecten waarvan de database-wachtwoorden en API-keys leesbaar zijn in de client-side JavaScript. Elke bezoeker kan ze zien door op F12 te drukken.

Lovable's datalek is geen uitzondering. In april 2026 bleek dat een kwetsbaarheid in Lovable het mogelijk maakte om broncode, database-credentials en chatgeschiedenissen van andere gebruikers in te zien. Projecten die voor november 2025 waren aangemaakt, waren maandenlang open toegankelijk. Het bedrijf noemde het eerst "bewust gedrag," gaf vervolgens de schuld aan HackerOne, en erkende pas na publieke druk dat het een fout was. Dat is niet het gedrag van een bedrijf waarop je je bedrijfskritische website wilt bouwen.

Een website die "af" lijkt, mist vaak de onzichtbare lagen. Wat AI-bouwers standaard afleveren is een frontend: knoppen, kleuren, tekst. AI kan ook een backend, foutafhandeling en monitoring bouwen, maar alleen als je erom vraagt en weet hoe je het moet specificeren. Het verschil is kennis, niet technologie. Gebruikers van Lovable lopen tegen meldingen als "Connect your Supabase account" en "Configure RLS policies" aan zodra ze hun "klare" website willen publiceren. Wat leek op een afgebouwd huis, blijkt een maquette.

Wat kost het om het goed te laten doen?

De prijzen lopen ver uiteen, maar de ordes van grootte zijn duidelijk.

  • AI-websitebouwer: 0 tot 21 euro per maand. Een basiswebsite in minuten. Geen beveiligingsgarantie, geen ondersteuning, geen aansprakelijkheid.
  • Freelance developer: 2.000 tot 8.000 euro eenmalig. Meer controle, maar je bent afhankelijk van een persoon. Wie onderhoudt het als de freelancer verder gaat?
  • Digital bureau: 5.000 tot 30.000 euro. Strategie, ontwerp, ontwikkeling, testen, hosting en onderhoud in een pakket. Duurder, maar je krijgt een team dat verantwoordelijk is.

De vergelijking is niet eerlijk als je alleen naar de initiële kosten kijkt. Een AI-website van 21 euro per maand die na zes maanden gehackt wordt, een boete oplevert onder de AI Act of je Google-ranking vernietigt, is duurder dan een bureau-website van 15.000 euro die tien jaar meegaat.

Wanneer is AI goed genoeg?

Niet alles hoeft door een bureau. Er zijn scenario's waarin AI-websitebouw precies de juiste keuze is.

  • Prototypes en validatie. Je hebt een idee en wilt snel testen of er markt voor is. Een AI-prototype in een dag is tien keer sneller dan drie weken wachten op een bureau-offerte. Als het idee werkt, bouw je het daarna goed.
  • Interne tools. Een dashboard voor je team, een simpele calculator, een intern formulier. Geen klantdata, geen betalingen, geen publiek verkeer. De beveiligingsrisico's zijn beheersbaar.
  • Eenvoudige informatiesites. Een digitaal visitekaartje met je contactgegevens, een portfolio, een landingspagina voor een evenement. Geen database, geen login, geen gevoelige data. De kans op een lek is minimaal als er niks te lekken valt.
  • Eerste versie van een bijproject. Je wilt een idee testen naast je hoofdbedrijf. AI bouwt de eerste versie, jij valideert de vraag. Komt er tractie? Dan investeer je in een professionele versie.

Wanneer heb je een bureau nodig?

Zodra er een of meer van deze factoren speelt, is AI-websitebouw een risico.

  • Klantdata of betalingen. Een webshop, een klantportaal, een boekingssysteem. Je verwerkt persoonsgegevens, je moet voldoen aan de AVG, je hebt SSL, authenticatie en logging nodig. Dat is geen AI-taak.
  • SEO en vindbaarheid. AI kan technisch sterke SEO opleveren als je de juiste instructies geeft: structured data, interne linkstructuur, Core Web Vitals. Maar de meeste mensen geven die instructies niet mee. Ze typen "maak een website voor mijn bakkerij" en krijgen een pagina zonder sitemap, zonder schema-markup en zonder meta descriptions. Een bureau denkt daar standaard over na. Bij AI moet je het zelf weten.
  • Schaalbaarheid. Als je site groeit van honderd naar tienduizend bezoekers per dag, moet de infrastructuur mee. Caching, CDN, database-optimalisatie, loadbalancing. AI kan dit allemaal inrichten als je het vraagt, maar de standaard-setup van platforms als Lovable en Bolt is hier niet op gebouwd. Je moet weten welke vragen je moet stellen, en de meeste ondernemers weten dat niet.
  • Doorlopend onderhoud. Security patches, updates, backups, monitoring. Wie fixt het als je AI-gebouwde site om drie uur 's nachts plat gaat? Een bureau heeft een SLA. Lovable heeft een FAQ-pagina.
  • Merkbeleving. Een website die er "professioneel" uitziet is niet hetzelfde als een website die je merk vertelt. AI-bouwers genereren generieke lay-outs die op twintig andere sites lijken. Een bureau ontwerpt voor jouw doelgroep, jouw merkwaarden, jouw conversiedoelen.

De slimme aanpak: combineer beide

De bedrijven die het in 2026 het slimst aanpakken, kiezen niet tussen AI of bureau. Ze combineren.

Fase 1: prototype met AI. Gebruik Lovable, v0 of Google Stitch om in een dag een werkend prototype te bouwen. Test het met echte gebruikers. Kijk of het concept werkt. Kosten: nul tot twintig euro.

Fase 2: validatie en strategie. Laat iemand met verstand van webontwikkeling je prototype beoordelen. Wat werkt, wat mist, waar zitten de beveiligingsrisico's? Bij Digital Impact zien we regelmatig ondernemers die trots een AI-gebouwde site laten zien waar de database-credentials in de broncode staan. Een uur review voorkomt maanden ellende.

Fase 3: professionele bouw. Het bureau bouwt de productieversie op basis van het gevalideerde prototype. De AI-versie wordt het startpunt, niet het eindproduct. Je bespaart ontwikkeltijd omdat het bureau niet vanaf nul begint, en je krijgt een site die veilig, schaalbaar en onderhoudbaar is.

AI-websitebouw is geen speelgoed meer. Het is serieus gereedschap waarmee je in een dag kunt bouwen waar je drie jaar geleden drie maanden voor nodig had. De technologie kan vrijwel alles wat een developer kan, mits je weet wat je moet vragen. Daar zit het echte verschil: niet in wat AI kan, maar in wat jij weet te specificeren. Als je die kennis hebt, bouw je zelf. Als je die kennis niet hebt en er klantdata, omzet of merkreputation van afhangt, huur je iemand die het wel weet. Niet omdat AI het niet kan, maar omdat je niet weet wat je niet weet.

Op TheAIDaily volgen we dagelijks hoe AI-tools evolueren, wanneer ze bruikbaar worden voor serieuze toepassingen en waar de valkuilen liggen. Schrijf je in voor de nieuwsbrief als je wilt bijblijven zonder elke dag zelf te moeten zoeken.

AI-security AI-websitebouw Google Stitch Lovable vibe coding webontwikkeling
Michael Groeneweg
Geschreven door Michael Groeneweg AI-consultant bij Digital Impact en oprichter van UnicornAI.nl

Michael is AI-consultant bij Digital Impact in Rotterdam en oprichter van UnicornAI.nl, waar hij AI-oplossingen en SaaS-integraties bouwt voor bedrijven. Al tien jaar ondernemer, en sinds een paar jaar weigert hij iets te doen waar geen AI in verweven zit, zakelijk noch privé, tot mild ongenoegen van zijn omgeving. Zijn reizen door de wereld zijn inmiddels een serie experimenten in wat AI wel en niet kan vanaf een terrasje in Lissabon of een treinstation in Tokio. Hij test obsessief nieuwe tools, bouwt oplossingen voor klanten, en vindt dat niemand de hype moet geloven, maar ook niemand meer kan doen alsof AI niet alles verandert. Houdt van goede koffie, lange vluchten en mensen die met AI bouwen in plaats van er alleen over praten.

Gemaakt door een mens, met AI als assistent bij research en redactie. Meer over onze werkwijze in de AI-disclosure en het redactiestatuut.

Misschien vind je dit ook leuk

Tools & Apps

Tien Claude-agents nemen je grootboek, KYC en pitchdeck over
Tools & Apps

Copilot mag nu zelf aan de knoppen in Word, Excel en PowerPoint
Tools & Apps

Spotify maakt van je inbox en agenda een podcast die alleen jij hoort