Wat is shadow AI?
Shadow AI is het gebruik van AI-tools door medewerkers zonder dat de organisatie ervan weet of het heeft goedgekeurd. Denk aan een marketeer die blogposts laat schrijven door ChatGPT, een accountant die financiële data door Claude haalt of een HR-medewerker die sollicitatiebrieven laat beoordelen door Gemini. Volgens onderzoek van Gartner gebruikt 68% van de medewerkers AI-tools zonder goedkeuring van IT.
Het is de opvolger van shadow IT — maar met een belangrijk verschil. Bij shadow IT ging het om Dropbox-accounts en persoonlijke laptops. Bij shadow AI gaat het om tools die actief bedrijfsdata verwerken. Elke prompt die een medewerker invoert, is potentieel een datalek.
Waarom gebruiken medewerkers het?
De reden is simpel: het werkt. AI-tools maken medewerkers sneller en productiever. Uit onderzoek van UpGuard blijkt dat 75% van de werknemers al AI inzet op het werk, waarvan 78% dit doet met eigen tools. Ze hoeven niet te wachten op IT voor een goedgekeurd tool. Ze openen een browser, typen een prompt en hebben binnen seconden een resultaat.
- Lage drempel — ChatGPT en vergelijkbare tools zijn gratis of goedkoop beschikbaar en vereisen geen technische kennis
- Directe waarde — Samenvattingen, vertalingen, analyses en conceptteksten zijn binnen seconden klaar
- Geen wachttijd — Geen ticket bij IT, geen goedkeuringsproces, geen implementatietraject
- Sociale norm — Collega's gebruiken het ook, dus het voelt normaal
Het probleem is niet dat medewerkers AI willen gebruiken. Het probleem is dat ze het doen zonder kaders.
De risico's
Shadow AI introduceert risico's die de meeste organisaties onderschatten — juist omdat het gebruik onzichtbaar is. Volgens een rapport van Reco rapporteert 98% van de organisaties ongeautoriseerd AI-gebruik, en verwacht 49% binnen twaalf maanden een shadow AI-incident.
Datalekken via prompts
Elke prompt die een medewerker invoert in een AI-chatinterface wordt verwerkt door een externe partij. Klantgegevens, financiële data, strategische plannen, contracten — alles wat in een prompt staat, verlaat je organisatie. Uit het Cloud and Threat Report van Netskope blijkt dat bijna 47% van de generatieve AI-gebruikers tools benadert via persoonlijke accounts, volledig buiten de enterprise-controles om. Bij chatinterfaces kunnen deze gegevens zelfs worden gebruikt voor het trainen van het model, tenzij je expliciet opt-out regelt.
AVG-schendingen
Het verwerken van persoonsgegevens via AI-tools zonder verwerkersovereenkomst is een overtreding van de AVG. Als een medewerker klantdata invoert in ChatGPT, is er sprake van een dataverwerking door een derde partij zonder juridische grondslag. De boetes kunnen oplopen tot vier procent van de jaaromzet.
Geen audittrail
Bij geautoriseerde software weet je wie wat wanneer heeft gedaan. Bij shadow AI is er geen logging, geen versiebeheer en geen traceerbaarheid. Als er een fout wordt gemaakt op basis van AI-output, is niet te achterhalen hoe die output tot stand is gekomen.
Onbetrouwbare output
AI-modellen hallucineren. Ze genereren overtuigende maar feitelijk onjuiste informatie. Zonder review-proces worden deze fouten niet onderschept. Een offerte met verkeerde prijzen, een juridisch advies gebaseerd op verzonnen jurisprudentie, een rapport met gefabriceerde statistieken — het gebeurt dagelijks.
Vendor lock-in en kostenverspilling
Wanneer elk team zijn eigen AI-abonnementen afsluit, betaal je als organisatie meerdere keren voor overlappende functionaliteit. Daarnaast bouw je afhankelijkheden op van tools waar de organisatie geen controle over heeft.
Hoe groot is het probleem?
Groter dan de meeste organisaties denken. Volgens onderzoek van BlackFog geeft 60% van de medewerkers aan bereid te zijn risico's te nemen met AI-tools om deadlines te halen. IBM rapporteert dat 20% van de organisaties in 2025 al te maken heeft gehad met beveiligingsincidenten gerelateerd aan shadow AI, met gemiddeld 670.000 dollar aan extra kosten per incident.
Het probleem is bovendien onzichtbaar op de balans. Shadow AI-kosten worden betaald met persoonlijke creditcards of zitten verstopt in bestaande budgetten. Volgens Zylo gebruikt meer dan een derde van de medewerkers gratis versies van AI-tools die geen enterprise-beveiliging bieden. De daadwerkelijke AI-uitgaven van een organisatie zijn vaak twee tot drie keer hoger dan wat IT rapporteert.
Shadow AI verdwijnt niet door het te negeren. Hoe langer je wacht met beleid, hoe groter het risico dat bedrijfsdata al op plekken staat waar je het niet wilt.
Van verbieden naar beheersen
De reflexreactie is vaak een verbod: "AI-tools zijn niet toegestaan." Dat werkt niet. Medewerkers die productiever zijn met AI gaan het toch gebruiken — alleen nu nog meer verborgen. Gartner voorspelt dat tegen 2030 meer dan 40% van de bedrijven te maken krijgt met beveiligings- of compliance-incidenten door shadow AI. Een verbod drijft het probleem ondergronds in plaats van het op te lossen.
De effectieve aanpak is het tegenovergestelde: erken dat AI waarde toevoegt, en bied een veilig alternatief.
- Geautoriseerde tools — Bied goedgekeurde AI-tools aan met een verwerkersovereenkomst, EU-dataopslag en opt-out voor training. Denk aan zakelijke ChatGPT- of Claude-abonnementen, of API-integraties in je eigen software.
- Duidelijke richtlijnen — Definieer wat medewerkers wel en niet in een AI-tool mogen invoeren. Klantdata? Nee. Een brainstorm over een marketingcampagne? Ja.
- API-integraties — Bouw AI-functionaliteit in je eigen systemen zodat medewerkers niet naar externe tools hoeven uit te wijken. Data blijft binnen je eigen infrastructuur.
Praktisch AI-beleid in vier stappen
1. Inventariseer
Breng in kaart welke AI-tools in je organisatie worden gebruikt. Niet als controle, maar als nulmeting. Maak het bespreekbaar: vraag teams welke tools ze gebruiken en waarom. Je zult verrast zijn door de creativiteit.
2. Classificeer
Niet alle AI-gebruik is even risicovol. Maak onderscheid tussen categorieën:
- Laag risico — Brainstormen, vertalingen, tekstsuggesties zonder bedrijfsdata
- Gemiddeld risico — Analyses op geanonimiseerde data, interne samenvattingen
- Hoog risico — Persoonsgegevens, financiële data, strategische informatie, juridische documenten
3. Bied alternatieven
Voor elke categorie een passende oplossing. Laag risico kan via goedgekeurde chattools. Gemiddeld en hoog risico vraagt om API-integraties binnen je eigen infrastructuur, waar data niet naar externe partijen wordt gestuurd.
4. Monitor en evalueer
AI-beleid is geen eenmalig document. Evalueer periodiek welke tools worden gebruikt, of het beleid wordt nageleefd en of er nieuwe risico's zijn ontstaan. Volgens ISACA heeft slechts 37% van de organisaties een AI-governance beleid — wat betekent dat de meerderheid kwetsbaar is. Betrek zowel IT als de business bij deze evaluatie.
Conclusie
Shadow AI is geen probleem dat je oplost met een verbod. Het is een signaal dat medewerkers behoefte hebben aan AI-tooling die de organisatie nog niet biedt. De organisaties die het snelst handelen — door beleid op te stellen, goedgekeurde tools aan te bieden en AI veilig te integreren in hun processen — profiteren het meest. Veilig én productief.
Wil je weten hoe je shadow AI in jouw organisatie aanpakt? We helpen bij het opstellen van AI-beleid en het bouwen van veilige AI-integraties binnen je bestaande software.
