Wat is shadow AI?
Shadow AI is het gebruik van AI-tools binnen een organisatie zonder goedkeuring van IT. Denk aan een medewerker die ChatGPT gebruikt om een rapport samen te vatten of een gratis AI-vertaaltool inzet voor klantcommunicatie. Buiten het zicht van de organisatie, en zonder duidelijke afspraken over wat de aanbieder met die data doet.
Medewerkers doen dit meestal niet om regels te omzeilen. Ze willen slimmer omgaan met hun tijd en gebruiken daarvoor de tools die ze handig vinden, vaak zonder zich te realiseren wat de risico's zijn.
Wat is het verschil met shadow IT?
Shadow IT is een breder begrip: alle software of diensten die medewerkers zonder medeweten van IT gebruiken, van persoonlijke clouddiensten tot WhatsApp voor zakelijke communicatie. Shadow AI is dus eigenlijk een vorm van shadow IT.
Een belangrijk kenmerk van shadow AI is dat kunstmatige intelligentie steeds vaker onzichtbaar is ingebouwd in tools die medewerkers toch al dagelijks gebruiken. Je hoeft niets te installeren om er gebruik van te maken. De software-applicatie zelf is misschien al goedgekeurd door IT en via updates wordt AI geïntegreerd. Dit maakt shadow AI extra lastig om te overzien en te beheersen.
Waarom is generatieve AI in opkomst?
Medewerkers ontdekken dat ze met een paar prompts taken uitvoeren die ze anders veel meer tijd kosten. De technologie is bovendien eenvoudig toegankelijk, bijvoorbeeld via de browser, en bepaalde AI-tools worden tot nu toe gratis aangeboden om de adoptie te versnellen.
De opkomst van generatieve AI leidt tot nieuwe risico’s. Zo blijkt uit recent
Welke AI-tools gebruiken medewerkers het vaakst buiten het zicht van IT?
De bekendste voorbeelden zijn publieke chatbots zoals ChatGPT, maar medewerkers gebruiken ook AI-schrijftools, vertaaldiensten en tools die documenten automatisch samenvatten. Vaak gaat het om gratis tools die ze privé ook al gebruiken en die ze gewoon meenemen naar hun werk.
Veel van die tools worden gebruikt via een privéaccount. Dat betekent dat de organisatie geen zicht heeft op wat er met die data gebeurt. Niet tijdens het gebruik, en ook niet daarna.
Hoe ontdek je welke AI-tools medewerkers gebruiken?
Dit is voor veel organisaties de grootste blinde vlek. Traditionele beveiligingstools herkennen AI-gebruik vaak niet goed. Een medewerker die via de browser een gratis chatbot gebruikt, is zonder monitoring niet zichtbaar.
Grip begint bij zicht op hoe mensen werken. Gespecialiseerde tools bieden uitkomst. Ze herkennen AI-gerelateerd verkeer en maken inzichtelijk welke data medewerkers versturen naar externe diensten. Veel organisaties beginnen ook gewoon met een interne rondvraag: welke AI-tools gebruiken jullie eigenlijk? De uitkomsten zijn vaak confronterend en verhelderend.
Welke risico’s brengt shadow AI met zich mee?
Het grootste risico is dat vertrouwelijke bedrijfsinformatie op straat belandt. Gratis AI-tools gebruiken wat je erin zet meestal om hun modellen te trainen, en slaan je gegevens dus op. Ook je gevoelige bedrijfsgegevens. Wat een medewerker vandaag deelt, kan morgen zichtbaar zijn voor andere gebruikers van datzelfde model.
Daarnaast zijn er privacyrisico's. Zet je klantgegevens, personeelsdossiers of andere persoonsgegevens in een niet-goedgekeurde AI-tool? Dan is er al snel sprake van een datalek dat je moet melden bij de AP en mogelijk ook bij de betrokkenen zelf.
Dit zijn geen theoretische risico's. De Autoriteit Persoonsgegevens ontving in 2024 en 2025 al tientallen meldingen van datalekken waarbij gevoelige informatie via chatbots werd gedeeld. In meerdere gevallen ging het om medewerkers die zonder kwade bedoelingen wekenlang vertrouwelijke documenten uploadden naar openbare chatbots.
Wanneer is een AI-tool veilig te gebruiken?
Een AI-tool is veilig als je weet wat er met de data gebeurt die je erin zet. Is er een verwerkersovereenkomst met de aanbieder? Worden de gegevens die je invoert niet gebruikt om het model te trainen? En worden ze opgeslagen binnen de EU? Dan zit je vaak goed.
Zakelijke versies van AI-tools voldoen hier doorgaans aan. Gratis, publieke versies van dezelfde tools vaak niet. Het onderscheid zit dus niet altijd in de tool zelf, maar in de licentie en de afspraken die eronder liggen. Weet je niet waar de data naartoe gaat en wie er toegang toe heeft? Gebruik de tool dan niet met bedrijfsgegevens.
Veilig AI-gebruik vraagt ook om een stukje educatie van medewerkers. Een model kan hallucineren. Het is belangrijk dat medewerkers hier alert op zijn en de output kritisch beoordelen. Bij veel organisaties kan dit beter, zo blijkt uit de
Kan ik niet gewoon alle AI-tools blokkeren?
Blokkeer je AI-tools volledig? Dan los je het probleem niet op. Medewerkers wijken gewoon uit naar hun telefoon of privéaccount. Het gebruik gaat door, maar dan helemaal buiten beeld. Bovendien demotiveer je medewerkers die AI gebruiken om beter te presteren.
De slimmere aanpak is goedgekeurde alternatieven aanbieden. Tools die goed genoeg zijn om de concurrentie met gratis tools te winnen én aan alle beveiligingseisen voldoen.
Hoe ontwikkel je een effectief AI-beleid?
Een goed AI-beleid begint bij duidelijke richtlijnen. Welke tools zijn goedgekeurd? Welke data mag nooit in een externe AI-tool? En wat is de procedure als een medewerker een nieuwe tool wil gebruiken? Een belangrijk onderdeel is dataclassificatie: je labelt bedrijfsinformatie als openbaar, intern of vertrouwelijk en dwingt technisch af dat gevoelige documenten niet in verboden AI-tools terechtkomen.
Investeer ook in training en bewustwording. Veel medewerkers weten simpelweg niet wat de risico's zijn. Goede voorlichting helpt ze om AI te gebruiken op een manier die tijd oplevert, zonder extra zorgen.