Shadow AI is het gebruik van AI-tools door medewerkers zonder medeweten of goedkeuring van de organisatie. Denk aan ChatGPT, Copilot, Gemini of Claude — gebruikt met klantgegevens, interne documenten of bedrijfsgevoelige informatie. De data verdwijnt naar externe servers, zonder dat jij daar grip op hebt.
Het is geen toekomstig probleem. Het speelt nu al in vrijwel elk bedrijf met meer dan 20 medewerkers.
Wat is shadow AI precies?
Shadow AI verwijst naar AI-tools die medewerkers gebruiken buiten de officiële IT-omgeving om. Net als shadow IT — ongeautoriseerde software, USB-sticks, privé-clouddiensten — maar dan met een nieuw en groter risicoprofiel.
Medewerkers doen het niet met slechte bedoelingen. Ze willen gewoon sneller werken. Ze zien dat een AI-tool hen helpt met hun dagelijkse taken en installeren het zonder er verder bij na te denken. Resultaat: jouw bedrijfsdata circuleert op servers van grote techbedrijven, zonder enige controle vanuit jouw organisatie.
Concreet voorbeeld: Een marketingmedewerker kopieert een klantenlijst in ChatGPT om een nieuwsbrief op te stellen. Een accountmanager plakt een offerte in een AI-tool om de tekst te verbeteren. Een HR-medewerker vraagt een AI om een functioneringsgesprek samen te vatten — inclusief persoonsgegeven.
Elk van deze situaties is een datalek in de zin van de AVG.
Hoe ontstaat shadow AI?
Shadow AI ontstaat door een combinatie van factoren:
Gebrek aan goedgekeurde alternatieven. Als jouw organisatie geen AI-beleid heeft en geen goedgekeurde tools aanbiedt, zoeken medewerkers zelf naar oplossingen. Ze willen productief zijn — en dat is goed. Maar zonder kaders gaan ze hun eigen weg.
Laagdrempelige toegankelijkheid. ChatGPT is gratis, werkt in de browser en vereist geen installatie. De drempel is nul. Dat maakt het erg aantrekkelijk voor medewerkers die snel resultaat willen.
Gebrek aan bewustzijn. De meeste medewerkers weten niet dat het gebruik van bedrijfsdata in externe AI-tools in strijd kan zijn met de AVG, met klantcontracten of met interne beveiligingsbeleid. Ze denken: “het is toch gewoon een tekstprogramma?”
Snel bewegende technologie. IT-afdelingen en managementteams lopen achter op de praktijk. Tegen de tijd dat er beleid is, gebruiken medewerkers al maanden AI-tools.
Welke risico’s brengt shadow AI met zich mee?
1. AVG-overtredingen en datalek-risico
Wanneer persoonsgegevens — van klanten, medewerkers of leveranciers — worden ingevoerd in externe AI-systemen, kan dat een datalek zijn in de zin van de AVG. De gebruiksvoorwaarden van gratis AI-tools laten toe dat ingevoerde data gebruikt wordt voor modeltraining. Dat betekent dat jouw klantengegevens onderdeel kunnen worden van een publiek AI-model.
De boetes voor AVG-overtredingen kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet of €20 miljoen, afhankelijk van welk bedrag hoger is.
2. Verlies van bedrijfsgevoelige informatie
Productspecificaties, prijsstructuren, strategische plannen, offertes — als dit soort informatie in externe AI-systemen terechtkomt, verlies je de controle daarover. Concurrenten kunnen indirect profijt trekken van modellen die getraind zijn op jouw data.
3. Reputatieschade
Als een klant erachter komt dat zijn gegevens zonder toestemming zijn ingevoerd in een extern AI-systeem, is de vertrouwensbreuk enorm. Zeker in sectoren als zorg, financiële dienstverlening of juridische dienstverlening.
4. Compliance-risico’s
Naast de AVG zijn er sectoren met aanvullende wet- en regelgeving. Denk aan NIS2 voor vitale sectoren, de NEN 7510 in de zorg, of contractuele verplichtingen richting klanten over databehandeling. Shadow AI kan al deze kaders tegelijk overtreden.
5. Kwaliteitsrisico’s
AI hallucineert. Het produceert overtuigende maar onjuiste informatie. Als medewerkers ongecontroleerd AI-output gebruiken in klantvastlegging, offertes of analyses, sluipen er fouten in die je later duur komen te staan.
Hoe weet ik of shadow AI speelt in mijn organisatie?
Kort antwoord: het speelt. De vraag is niet óf, maar in welke mate en met welke risico’s.
Signalen die erop wijzen dat shadow AI actief is:
- Medewerkers noemen ChatGPT, Copilot of andere AI-tools in informele gesprekken
- Er is geen officieel AI-beleid of uitgesproken standpunt van de directie
- Er zijn geen goedgekeurde AI-tools beschikbaar gesteld
- IT heeft geen overzicht van welke externe SaaS-tools medewerkers gebruiken
In onze eigen praktijk zien wij bij TechSolv bij vrijwel elk MKB-bedrijf dat we bezoeken meerdere vormen van shadow AI actief, soms zonder dat de medewerkers zelf het zo benoemen.
Wat kun je doen?
Stap 1: Breng het in kaart
Begin met een eerlijk gesprek. Vraag medewerkers welke tools ze gebruiken. Niet om te straffen, maar om te begrijpen. Organiseer een korte sessie per team en inventariseer welke AI-tools worden gebruikt, waarvoor en met welke data.
Stap 2: Stel een AI-beleid op
Een AI-beleid hoeft niet ingewikkeld te zijn. Het gaat om heldere afspraken: welke tools zijn goedgekeurd, wat mag je invoeren en wat niet, hoe ga je om met AI-gegenereerde output. TechSolv helpt organisaties bij het opstellen van praktisch AI-beleid dat medewerkers begrijpen en naleven.
Stap 3: Richt veilige alternatieven in
Geef medewerkers een beter alternatief. Als je alleen verbiedt, gaan mensen het stiekem doen. Als je een veilige, goedgekeurde AI-omgeving inricht — afgeschermd van het publieke internet, werkend met jouw eigen data — verdwijnt de behoefte aan shadow AI vanzelf.
Stap 4: Train je team
Bewustzijn is de sterkste beveiligingslaag. Medewerkers die begrijpen wat de risico’s zijn en weten hoe ze AI veilig kunnen gebruiken, nemen betere beslissingen. Niet als verplichting, maar als vaardigheid.
Wat doet TechSolv?
TechSolv helpt MKB-bedrijven shadow AI in kaart te brengen, een helder AI-beleid op te stellen en veilige, goedgekeurde AI-tools in te richten. We beginnen altijd bij jouw situatie — niet bij een standaard pakket.
In de gratis onboarding van twee maanden brengen we het huidige AI-gebruik in jouw organisatie in kaart en leveren een concreet advies. Zonder verplichtingen daarna.
Benieuwd waar jouw organisatie staat? Plan een vrijblijvend gesprek.