Shadow AI: de onzichtbare risico's van ongecontroleerd AI-gebruik

Uit onderzoek blijkt dat meer dan de helft van het AI-gebruik in organisaties buiten het zicht van IT plaatsvindt. Medewerkers plakken bedrijfsdata in gratis tools, zonder goedkeuring en zonder dat iemand het weet. Dit fenomeen heet shadow AI, en de risico's zijn groter dan de meeste managers denken.

Het probleem: AI-gebruik dat niemand ziet

Een marketingmanager plakt bedrijfsstrategie in ChatGPT voor een presentatie. Een financieel analist uploadt kwartaalcijfers naar een AI-tool om sneller te analyseren. Een HR-medewerker laat cv's beoordelen door een gratis AI-service.

Geen van deze acties is goedgekeurd door IT. Geen van deze tools staat op de lijst van geautoriseerde software. En niemand in het management weet dat het gebeurt.

Dit is shadow AI. En volgens onderzoek van Salesforce gebruikt 73% van de medewerkers AI-tools die niet door hun werkgever zijn goedgekeurd of ingericht.

Kernpunt: Shadow AI is het AI-equivalent van shadow IT. Maar het shadow AI risico is groter, omdat AI-tools actief data verwerken, opslaan en soms gebruiken voor modeltraining.

Waarom shadow AI een bedrijfsrisico is

Risico 1: Datalekken

Wanneer medewerkers bedrijfsdata invoeren in externe AI-tools, verliest de organisatie controle over die data. Veel AI-tools slaan invoer op voor modelverbetering, tenzij dit expliciet is uitgeschakeld.

Concrete scenario's:

• Klantgegevens die in een AI-chatbot worden geplakt
• Financiele rapporten die worden geupload voor analyse
• Broncode die wordt gedeeld voor debugging
• Juridische documenten die worden samengevat door AI

Risico 2: Compliance-schendingen

Ongecontroleerd AI-gebruik kan leiden tot overtredingen van de AVG (persoonsgegevens verwerken zonder rechtsgrondslag), de AI Act (hoog-risico toepassingen zonder documentatie), branchespecifieke regelgeving, de AI Act en contractuele geheimhoudingsverplichtingen.

Risico 3: Inconsistente en onbetrouwbare output

Zonder standaardisatie gebruikt elke medewerker AI anders. De ene collega gebruikt GPT-3.5, de andere Claude, een derde een obscure gratis tool. Dit leidt tot wisselende kwaliteit, geen reproduceerbaarheid, onmogelijke kwaliteitscontrole en geen audit trail bij fouten.

Risico 4: Vendor lock-in en schaduw-kosten

Medewerkers betalen individueel voor AI-abonnementen of gebruiken gratis versies met ongunstige voorwaarden. De organisatie mist volumekortingen, heeft geen overzicht van kosten en kan niet onderhandelen over dataverwerking.

Real-world incidenten

Samsung data leak

Samsung-medewerkers lekten vertrouwelijke broncode en vergadernotulen door deze in ChatGPT in te voeren. De data werd onderdeel van het trainingsmateriaal van het model. Samsung verbood vervolgens het gebruik van externe AI-tools voor alle medewerkers.

Juridische kantoren en AI-hallucinaties

Meerdere advocatenkantoren dienden juridische documenten in die door AI verzonnen jurisprudentie bevatten. De AI genereerde overtuigend klinkende maar niet-bestaande rechtszaken. De advocaten hadden de output niet geverifieerd, met professionele consequenties als gevolg.

Les: Het probleem is niet dat medewerkers AI willen gebruiken. Ze willen productiever zijn. Het probleem is dat er geen kader is waarbinnen dat veilig kan. Goed AI beleid lost dit op.

5 stappen om shadow AI te beheersen

Stap 1: Inventariseer het huidige gebruik

Breng in kaart welke AI-tools medewerkers gebruiken. Dit kan via:

1. Een anonieme enquete onder medewerkers
2. Analyse van netwerkverkeer (welke AI-domeinen worden bezocht)
3. Gesprekken met teamleiders over AI-gebruik in hun team
4. Review van declaraties voor AI-abonnementen

Benadruk dat het doel niet is om te straffen, maar om te begrijpen en te faciliteren.

Stap 2: Stel een AI-beleid op

Een effectief AI beleid is beknopt, praktisch en biedt duidelijkheid. Het bevat minimaal:

• Toegestane tools: Welke AI-tools mogen worden gebruikt
• Dataclassificatie: Welke typen data mogen en mogen niet in AI-tools worden ingevoerd
• Verantwoordelijkheden: Wie controleert AI-output voordat deze wordt gebruikt
• Escalatieprocedure: Wat doe je als je twijfelt of een toepassing is toegestaan
• Consequenties: Wat gebeurt er bij overtreding

Stap 3: Bied goedgekeurde alternatieven

Medewerkers gebruiken schaduw-AI omdat ze er productiever mee zijn. Bied goedgekeurde alternatieven die minstens zo goed werken:

| Behoefte | Schaduw-oplossing | Goedgekeurd alternatief |

|---|---|---|

| Teksten schrijven | Gratis ChatGPT | ChatGPT Enterprise of Azure OpenAI |

| Data analyseren | Willekeurige AI-tools | Microsoft Copilot met bedrijfslicentie |

| Code schrijven | Gratis AI-coding tools | GitHub Copilot Business |

| Vergaderingen samenvatten | Externe transcriptie-apps | Microsoft Teams Premium of Otter.ai Business |

Stap 4: Investeer in training

Medewerkers moeten begrijpen:

1. Welke risico's verbonden zijn aan ongecontroleerd AI-gebruik
2. Welke data wel en niet in AI-tools mag worden ingevoerd
3. Hoe ze de goedgekeurde tools effectief gebruiken
4. Hoe ze AI-output kritisch beoordelen en verifieren

Maak training praktisch en relevant, gebruik ons stappenplan voor AI-skills als basis. Abstracte compliance-presentaties werken niet. Laat medewerkers oefenen met realistische scenario's uit hun eigen werkpraktijk.

Stap 5: Monitor en evalueer

Stel een periodieke evaluatie in voor AI governance:

• Kwartaal: Review van AI-toolgebruik en incidenten
• Halfjaarlijks: Update van het goedgekeurde tooloverzicht
• Jaarlijks: Volledige herziening van het AI beleid

Expert tip: Betrek medewerkers bij het opstellen van het AI beleid. Een beleid dat van bovenaf wordt opgelegd zonder input van de werkvloer wordt genegeerd. Een beleid dat mede door gebruikers is opgesteld wordt gedragen en nageleefd.

Het verschil tussen verbieden en begeleiden

Organisaties die AI volledig verbieden, verliezen op twee fronten. Ten eerste stoppen medewerkers niet met AI-gebruik; ze worden er alleen beter in het te verbergen. Ten tweede mist de organisatie productiviteitswinst die concurrenten wel benutten.

De effectieve aanpak voor AI risicomanagement is begeleiden:

1. Erken dat medewerkers AI willen en zullen gebruiken
2. Bied veilige, goedgekeurde tools aan
3. Maak het makkelijker om de goede weg te volgen dan de verkeerde
4. Meet de resultaten en stuur bij waar nodig

Lees ook

• AI-beleid voor je organisatie: praktisch template
• Gevoelige data en AI-tools: do's en don'ts
• AI security best practices voor bedrijven

Veelgestelde vragen

Is het verbieden van AI-tools een oplossing?

Nee. Onderzoek toont dat verboden het ongecontroleerd AI-gebruik niet stopt maar ondergronds duwt. Medewerkers vinden manieren om tools te gebruiken via persoonlijke devices of mobiel internet. Een beter alternatief is het aanbieden van goedgekeurde tools binnen duidelijke kaders van AI governance.

Hoe weten we welke data medewerkers in AI-tools invoeren?

Via een combinatie van technische monitoring (netwerkanalyse, DLP-tools) en organisatorische maatregelen (training, duidelijke richtlijnen, periodieke audits). Data Loss Prevention (DLP) tools kunnen waarschuwen wanneer gevoelige data naar externe AI-services wordt gestuurd.

Valt ongecontroleerd AI-gebruik onder de AI Act?

Indirect wel. De AI Act vereist dat organisaties die AI-systemen inzetten (deployers) voldoen aan transparantie- en documentatieverplichtingen. Als medewerkers AI-systemen inzetten zonder dat de organisatie dit weet, kan de organisatie niet aan deze verplichtingen voldoen. Dit maakt shadow AI ook een compliance-risico onder de AI Act.