Shadow AI is het nieuwe shadow IT — maar met grotere risico’s. Waar medewerkers tien jaar geleden ongeautoriseerd Dropbox of WhatsApp gebruikten voor zakelijke doeleinden, zijn het nu ChatGPT, Gemini, Claude en tientallen andere AI-tools die zonder medeweten van IT de organisatie binnensluipen. En de consequenties zijn fundamenteel anders: het gaat niet meer om bestandsopslag, maar om het delen van vertrouwelijke bedrijfsgegevens met externe AI-modellen.
Volgens onderzoek van Gartner (2025) heeft 65 % van de Europese bedrijven medewerkers die AI-tools gebruiken met persoonlijke accounts, buiten het zicht van IT. In Nederland, waar 75 % van de werknemers AI-tools op het werk gebruikt (TNO, 2025), is het probleem bijzonder acuut.
À retenir
- 75 % van de Nederlandse werknemers gebruikt AI-tools, maar slechts 14 % heeft een formele opleiding gevolgd
- Shadow AI brengt risico's mee op het gebied van AVG-compliance, databeveiliging en de AI-Verordening
- De Autoriteit Persoonsgegevens beschouwt ongeautoriseerd AI-gebruik als een verantwoordelijkheid van de werkgever
- De oplossing is niet verbieden maar beheersen: officiële tools, helder beleid en opleiding
Wat is shadow AI precies?
Shadow AI omvat elk gebruik van AI-tools door medewerkers dat niet is goedgekeurd, geregistreerd of beheerd door de organisatie. De meest voorkomende vormen:
- ChatGPT, Gemini of Claude met privéaccounts voor het schrijven van e-mails, rapporten en presentaties
- Uploaden van bedrijfsdocumenten naar AI-platforms voor samenvattingen of vertalingen
- Browser-extensies met AI (automatische meeting-samenvattingen, e-mailassistenten)
- AI-tools voor codegenerate die niet door IT zijn goedgekeurd
- Kopiëren van klantgegevens naar chatbots voor analyse of categorisatie
75%
van de Nederlandse werknemers gebruikt AI-tools op het werk, maar slechts 14 % heeft een formele training gevolgd
Source : TNO Monitor AI & Werk, 2025
De vijf risico’s van shadow AI
1. AVG-overtredingen
Wanneer een medewerker persoonsgegevens van klanten, medewerkers of partners invoert in ChatGPT (gratis versie), worden die gegevens verwerkt op servers van OpenAI in de Verenigde Staten. Zonder adequate waarborgen (Standard Contractual Clauses, adequaatheidsbesluit) is dit een onrechtmatige internationale doorgifte van persoonsgegevens.
De Autoriteit Persoonsgegevens (AP) heeft in haar jaarverslag 2025 expliciet gewaarschuwd voor de risico’s van ongeautoriseerd AI-gebruik op de werkvloer. De AP beschouwt de werkgever als verantwoordelijke in de zin van de AVG — ook voor het ongeautoriseerde gedrag van medewerkers.
De sancties zijn aanzienlijk: tot 20 miljoen euro of 4 % van de wereldwijde jaaromzet voor ernstige AVG-overtredingen.
2. Datalekken en verlies van bedrijfsgeheimen
Samsung verbood het gebruik van ChatGPT nadat drie verschillende medewerkers in een periode van drie weken vertrouwelijke broncode en vergadernotulen hadden ingevoerd. Dit soort incidenten gebeurt dagelijks in Nederlandse organisaties, maar wordt zelden gedetecteerd.
Typen gegevens die risico lopen:
- Broncode en intellectueel eigendom
- Financiële gegevens die niet openbaar zijn
- Commerciële strategieën en bedrijfsplannen
- Contracten en juridische documenten
- Medische gegevens van medewerkers (arbodossiers)
3. Schending van de AI-Verordening
Artikel 4 van de AI-Verordening verplicht organisaties om te zorgen voor “voldoende AI-geletterdheid” bij hun personeel. Onbeheerst AI-gebruik is het tegenovergestelde van deze verplichting. Als een medewerker bovendien een AI-systeem met hoog risico gebruikt zonder de vereiste voorzorgsmaatregelen, kan de organisatie sancties oplopen tot 15 miljoen euro.
Een gestructureerd opleidingsprogramma is de eerste stap naar compliance.
4. Besluiten op basis van onbetrouwbare output
Wanneer medewerkers AI in het geheim gebruiken, passen zij geen verificatieprotocollen toe. De hallucinaties van AI — onjuiste informatie die als feit wordt gepresenteerd — worden de basis van bedrijfsbeslissingen zonder dat iemand het weet.
In de financiële sector heeft DNB (De Nederlandsche Bank) specifiek gewaarschuwd voor het gebruik van niet-gevalideerde AI-output in risicobeoordeling en klantadvies.
5. Onmogelijkheid van audit
Bij een incident (datalek, foutieve beslissing, juridisch geschil) heeft de organisatie geen spoor van het AI-gebruik. Dit maakt post-incidentanalyse onmogelijk en ondermijnt de juridische verdediging.
De paradox van het verbod: hoe strenger een organisatie AI verbiedt zonder alternatieven te bieden, hoe meer medewerkers hun toevlucht nemen tot shadow AI. Een totaalverbod is geen oplossing — het is een versterker van het probleem. De juiste aanpak is governen, niet verbieden.
Hoe detecteert u shadow AI?
1. Netwerkanalyse
Uw IT-team kan het netwerkverkeer monitoren op verbindingen naar de API’s en domeinen van de belangrijkste AI-providers (api.openai.com, gemini.google.com, claude.ai, etc.). Dit geeft inzicht in de omvang van het fenomeen zonder individuele privacy te schenden.
2. Anonieme enquête
Een anoniem intern onderzoek is vaak de meest effectieve methode. Kernvragen:
- Welke AI-tools gebruikt u in uw dagelijkse werk?
- Voor welke taken?
- Hoe vaak?
- Heeft u ooit bedrijfsgegevens in deze tools ingevoerd?
Anonimiteit is essentieel: medewerkers zullen het gebruik van ongeautoriseerde tools niet toegeven als zij consequenties vrezen.
3. Indirecte signalen
Zoek naar indirecte aanwijzingen: rapporten die er AI-gegenereerd uitzien (uniforme stijl, gestandaardiseerde structuur), plotselinge productiviteitsstijging bij specifieke taken, e-mails met ongebruikelijk gepolijste formuleringen.
4. SaaS-inventarisatie
Tools zoals Productiv, Zylo of Torii stellen u in staat om alle SaaS-applicaties in gebruik te inventariseren, inclusief ongeautoriseerde toepassingen.
65%
van de Europese bedrijven heeft medewerkers die AI-tools gebruiken met persoonlijke accounts, buiten het zicht van IT
Source : Gartner Survey on Shadow AI in European Enterprises, 2025
De oplossing: beheersen, niet verbieden
Stap 1: In kaart brengen (week 1-2)
- Voer een inventarisatie uit met de hierboven beschreven methoden
- Kwantificeer de omvang van het probleem
- Identificeer de belangrijkste use cases: waarom gebruiken medewerkers AI?
Stap 2: Beleid opstellen (week 3-4)
Stel een AI-beleid op dat:
- Helder is: begrijpelijke taal, geen juridisch jargon
- Realistisch is: als medewerkers AI nodig hebben, bied officiële alternatieven
- Specifiek is: welke tools zijn goedgekeurd, welke gegevens mogen worden gebruikt
- Proportioneel is: verschillende toegangsniveaus voor verschillende rollen en risiconiveaus
De KVK (Kamer van Koophandel) heeft in 2025 een praktische leidraad gepubliceerd voor MKB-bedrijven over het opstellen van een AI-beleid.
Stap 3: Officiële tools aanbieden (week 3-6)
De meest effectieve oplossing voor shadow AI is medewerkers geven wat zij nodig hebben:
- Enterprise-licenties aanschaffen (ChatGPT Enterprise, Gemini Enterprise, Microsoft Copilot) met privacy- en compliance-garanties
- SSO configureren voor gecentraliseerd beheer
- EU-dataresidentie activeren waar beschikbaar
- DLP-maatregelen implementeren om te voorkomen dat geclassificeerde gegevens in externe AI-systemen terechtkomen
Stap 4: Opleiden (week 4-8)
Training is de sleutel tot de transitie van shadow AI naar beheerst gebruik:
- Hoe de officiële tools effectief te gebruiken
- Welke gegevens wel en niet mogen worden ingevoerd
- Hoe AI-output te verifiëren
- Hoe problemen of twijfels te melden
Stap 5: Monitoren en bijstellen (doorlopend)
- Kwartaalevaluatie van het gebruik van AI-tools
- Bijstelling van het beleid op basis van ontwikkelingen in tools en regelgeving
- Halfjaarlijkse bijscholing voor alle medewerkers
De rol van de ondernemingsraad: in Nederland heeft de ondernemingsraad (OR) instemmingsrecht bij besluiten over personeelscontrole en privacybeleid (artikel 27 WOR). Betrek de OR vroegtijdig bij het opstellen van uw AI-beleid en de monitoring van shadow AI. Dit versterkt het draagvlak en voorkomt juridische complicaties.
Het grotere plaatje: shadow AI als governance-uitdaging
Shadow AI is geen geïsoleerd probleem — het is een symptoom van een bredere governance-uitdaging. Organisaties die shadow AI effectief aanpakken, leggen daarmee de basis voor een compleet AI-governance framework.
De elementen hangen samen:
- Beleid definieert de kaders
- Tools maken beheerst gebruik mogelijk
- Training bereidt medewerkers voor
- Monitoring waarborgt naleving
- Governance integreert alles in een samenhangend geheel
Voor organisaties die nog geen AI-governance framework hebben, is het aanpakken van shadow AI een uitstekend startpunt: het adresseert een urgent risico en legt tegelijkertijd de fundamenten voor bredere governance.
Conclusie
Shadow AI is niet iets dat u oplost met een verbod. Het is het symptoom van een reële behoefte van medewerkers die de organisatie niet vervult. De oplossing is AI beheersen: officiële tools aanbieden, heldere regels definiëren en mensen opleiden. Nederlandse organisaties die shadow AI met deze aanpak benaderen, verkleinen hun risico’s, verbeteren de productiviteit en brengen zich in overeenstemming met de AVG en de AI-Verordening.
Wilt u het AI-gebruik in uw organisatie beheersen?
Gerelateerde artikelen
Shadow AI in uw bedrijf: gids voor aanpak (2026)
Herken en beheers shadow AI in uw organisatie. Detectiemethoden, governance-framework en AI Act-compliance voor Nederlandse bedrijven.
5 grootste AI-risico's voor uw bedrijf + oplossingen
Hallucinaties, bias, datalekken, shadow AI en compliance: de 5 AI-risico's die u moet kennen en hoe u uw bedrijf beschermt.
AI-risico's voor bedrijven: complete beheersgids (2026)
Herken en beheers AI-risico's systematisch. Met risicomatrix, mitigatiemaatregelen en AI-Verordening-compliance voor uw bedrijf.