78% van je medewerkers plakt bedrijfsdata in ChatGPT — wat doe je eraan?

In december 2025 ontdekte de gemeente Eindhoven iets verontrustends. Medewerkers hadden dertig dagen lang vertrouwelijke documenten ingevoerd in openbare AI-chatbots. CV's. Jeugdzorgdossiers — inclusief gegevens van minderjarigen. BSN-nummers. WMO-dossiers met medische informatie.

Omroep Brabant bracht het naar buiten. ChatGPT werd direct geblokkeerd. De gemeente moest een melding doen bij de Autoriteit Persoonsgegevens.

En toen werd het stil. Maar het probleem verdween niet. Want Eindhoven is geen uitzondering. Het is de norm.

Je medewerkers gebruiken ChatGPT al — zonder jouw toestemming

Laat me een paar cijfers op je afvuren.

WalkMe onderzocht het afgelopen jaar onder duizenden werknemers: 78% gebruikt AI-tools op het werk zonder goedkeuring van de organisatie. Geen 8%. Geen 18%. Achtentachtig van de honderd. En dat is niet eens het ergste — slechts 7,5% heeft uitgebreide AI-training gehad.

Het NCSC — het Nationaal Cyber Security Centrum — bevestigt het beeld voor Nederland: de helft van de werknemers gebruikt generatieve AI. Maar slechts 26% geeft aan dat hun organisatie duidelijke richtlijnen heeft.

Beeckestijn's Trendrapport 2026 maakt het compleet: meer dan de helft van de medewerkers verbergt hun AI-gebruik. Bijna de helft uploadt bedrijfsdata naar publieke tools. Twee derde controleert de AI-output niet eens.

Dit heet shadow AI. En het is het grootste onzichtbare risico in je organisatie.

Wat is shadow AI precies?

Shadow AI is het gebruik van AI-tools — ChatGPT, Claude, Gemini, Perplexity — door medewerkers zonder medeweten of goedkeuring van de organisatie. Het is vergelijkbaar met shadow IT, maar gevaarlijker. Want bij shadow IT gaat het om een ongeautoriseerde app. Bij shadow AI gaat er bedrijfsdata de deur uit.

Computable onderzocht het: zelfs bij bedrijven die een AI-beleid hébben, rapporteert bijna de helft van de medewerkers hun AI-gebruik niet. Het probleem is niet dat medewerkers kwaadwillend zijn. Ze willen gewoon hun werk sneller af krijgen. En ChatGPT is gratis, snel en verbluffend goed in dingen samenvatten, herschrijven en analyseren.

Maar die gratis versie? Die slaat je data op. En kan het gebruiken om het model te trainen.

De risico's die je niet ziet

Wat er met je data gebeurt

Als een medewerker bedrijfsdata in de gratis versie van ChatGPT plakt, gebeuren er een paar dingen. Die conversatie wordt opgeslagen op servers van OpenAI. Standaard mag OpenAI die data gebruiken om hun modellen te verbeteren — tenzij je dit expliciet uitschakelt. En zelfs als je het uitschakelt: de data staat op hun servers. Buiten de EU.

Cyberhaven onderzocht welk type data er in AI-tools terechtkomt: 34,8% van alle bedrijfsdata die in AI-tools wordt ingevoerd, is gevoelig. Dat was twee jaar geleden nog 10,7%. Het gebruik groeit, en de data die erin gaat wordt steeds gevoeliger.

Kiteworks vond dat 93% van de medewerkers vertrouwelijke data deelt met ongeautoriseerde AI-tools. En 83% van de organisaties mist de technische controles om dit te detecteren.

Jij bent verantwoordelijk — ook als je het niet wist

Dit is het punt waar veel ondernemers van schrikken. Juridisch gezien is de werkgever altijd de primair verantwoordelijke partij voor de bescherming van persoonsgegevens. Ook als een medewerker op eigen initiatief data in ChatGPT plakt.

Law & More legt uit: onder de AVG ben jij als werkgever de verwerkingsverantwoordelijke. Een datalek via een AI-chatbot moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Betrokkenen moet je informeren als het risico hoog is. En boetes? Tot €20 miljoen of 4% van je jaaromzet.

De AP heeft trouwens al actie ondernomen. Ze ontvingen in 2024 en 2025 tientallen meldingen van datalekken door AI-chatbots, met een stijgend aantal. En AI is handhavingsprioriteit voor 2026-2028.

Het Samsung-voorbeeld

Eindhoven is niet de eerste. In 2023 lekten medewerkers van Samsung in drie separate incidenten bedrijfsgeheimen via ChatGPT: broncode, meeting-transcripties en testdata voor nieuwe chips. Samsung verbood direct alle AI-tools — wat ook niet de oplossing bleek.

Want dat is het punt: verbieden werkt niet.

Waarom verbieden niet werkt

Samsung verbood ChatGPT. Eindhoven blokkeerde het. En toch lost dat het probleem niet op.

AG Connect analyseert waarom: als je medewerkers AI-tools verbiedt, zoeken ze workarounds. Ze gebruiken hun privételefoon. Ze maken een persoonlijk account aan. Of ze stappen over naar een ander model dat je niet geblokkeerd hebt. Het probleem verschuift — het verdwijnt niet.

UpGuard onderzocht het en vond iets verrassends. Medewerkers die wél AI-training hebben gehad, gebruiken juist meer ongeautoriseerde tools — niet minder. Waarom? Omdat ze de mogelijkheden beter begrijpen en hongeriger zijn om ze te gebruiken. Maar als de organisatie geen goedgekeurde alternatieven biedt, grijpen ze naar de gratis versie.

En nog een ongemakkelijk feit uit datzelfde onderzoek: 90% van de security leaders gebruikt zelf ook ongoedgekeurde AI-tools. De directie is de grootste overtreder.

De oplossing is niet verbieden. De oplossing is faciliteren. Geef medewerkers veilige tools, duidelijke regels en de kennis om het goed te doen. Dan hoeven ze niet stiekem te zijn.

De wettelijke verplichtingen die je al hebt

Naast de AVG is er de EU AI Act. En die maakt het extra urgent.

Sinds 2 februari 2025 is AI-geletterdheid wettelijk verplicht. AKD Advocaten bevestigt dat werkgevers een "toereikend niveau" van AI-geletterdheid moeten borgen voor alle medewerkers die met AI werken. Geen eenmalige checkbox — een doorlopende verplichting.

En de KVK onderzocht hoeveel ondernemers dat daadwerkelijk geregeld hebben: 2 tot 3%. De helft kent de wet niet eens.

Op 2 augustus 2026 worden de regels voor hoog-risico AI actief. En het boeteregime is al van kracht: tot €35 miljoen of 7% van je omzet voor de zwaarste overtredingen. Het beleid dat je nu niet hebt, is straks het beleid dat je aansprakelijk maakt.

5 stappen om shadow AI in je organisatie aan te pakken

Genoeg slechte berichten. Hier is wat je concreet doet.

Stap 1 — Breng het huidige AI-gebruik in kaart

Je kunt niet oplossen wat je niet ziet. Begin met een eerlijke inventarisatie. Stuur een anonieme enquête naar je team: welke AI-tools gebruik je, waarvoor, en welke data voer je in?

Anoniem is belangrijk. Uit alle onderzoeken blijkt dat medewerkers hun AI-gebruik verbergen — niet omdat ze kwaad willen, maar omdat ze bang zijn dat het verboden wordt. Maak duidelijk dat het doel niet straffen is, maar begrijpen.

Vraag ook IT om te kijken welke AI-domeinen bezocht worden vanaf het bedrijfsnetwerk. De kans is groot dat je verrast wordt.

Stap 2 — Stel vandaag nog een AI-beleid op

Dit is de belangrijkste stap. En het hoeft niet ingewikkeld te zijn.

Een goed AI-beleid beantwoordt vier vragen:

• •Welke tools mag het team gebruiken? (Bijvoorbeeld: ChatGPT Teams ja, gratis ChatGPT nee)
• •Welke data mag er wél en niet in? (Geen persoonsgegevens, geen klantdata, geen financiële gegevens)
• •Wie controleert de output? (Alles wat naar buiten gaat wordt door een mens gecheckt)
• •Wie is verantwoordelijk als er iets misgaat?

Twee pagina's is genoeg. We hebben een complete handleiding voor het opstellen van een AI-beleid geschreven — met concrete voorbeelden en een structuur die je vanmiddag nog kunt invullen.

Stap 3 — Bied veilige alternatieven aan

Als je de gratis versie van ChatGPT verbiedt maar geen alternatief biedt, zoeken medewerkers workarounds. En die zijn erger dan het originele probleem.

Wat je kunt doen:

• •ChatGPT Teams of Enterprise — data wordt niet gebruikt voor modeltraining, je krijgt beheertools, en het kost €20-25 per persoon per maand
• •Microsoft Copilot — als je al met Microsoft 365 werkt, is dit het veiligste alternatief. Data blijft binnen je eigen omgeving
• •Claude Pro of Team — vergelijkbaar met ChatGPT Teams, met sterke privacy-standaarden

Eindhoven schakelde na het incident over op Copilot in een beveiligde omgeving. Dat is precies de juiste aanpak. Lees ons artikel over hoe je ChatGPT privacy-proof kunt gebruiken voor meer opties.

Stap 4 — Train je medewerkers in veilig AI-gebruik

Hier zit een paradox. UpGuard vond dat medewerkers met AI-training méér ongeautoriseerde tools gebruiken. Maar dat is niet een argument tegen training — het is een argument voor betere training. Training die niet alleen laat zien wat AI kan, maar ook wat de risico's zijn. Die niet alleen "dit mag niet" zegt, maar "zo doe je het wél."

WalkMe meldt dat slechts 7,5% van de medewerkers uitgebreide AI-training heeft gehad. En 45% doet alsof ze AI snappen terwijl ze dat niet doen. Die combinatie — weinig echte kennis, veel schijnkennis — is precies waar datalekken vandaan komen.

In onze ChatGPT, Claude & Gemini Masterclass trainen we teams niet alleen in hoe ze AI effectief gebruiken, maar ook in welke data wel en niet in AI-tools mag, hoe je output verifieert, en wat de juridische kaders zijn. Na afloop weet je team niet alleen méér — ze weten het ook goed.

En voor teams die het structureel willen aanpakken: ons AI als Teamsport-programma combineert AI-vaardigheden met AI-governance en beleid. Zodat je niet alleen traint, maar ook borgt.

Stap 5 — Monitor, evalueer en pas aan

Een AI-beleid is geen document dat je schrijft en in een la legt. Het is een levend document dat je minstens elk kwartaal herziet. De tools veranderen, de wetgeving wordt strenger, en je team leert bij.

Plan een terugkerend moment — bijvoorbeeld elk kwartaal — om te evalueren:

• •Welke tools worden nu gebruikt?
• •Zijn er nieuwe risico's?
• •Heeft het team behoefte aan aanvullende training?
• •Is het beleid nog actueel?

En bereid je voor op de volgende stap: de EU AI Act deadline van augustus 2026. Als je de vijf stappen hierboven hebt doorlopen, ben je al een heel eind.

De kern

Shadow AI is geen toekomstig probleem. Het is een probleem van vandaag. Je medewerkers gebruiken AI-tools — met de beste intenties, maar zonder de juiste kaders. En jij bent verantwoordelijk voor wat er gebeurt.

Het goede nieuws: de oplossing is niet ingewikkeld. Een AI-beleid kost je een middag. Een goede training kost je een dag. En het verschil tussen een bedrijf dat kwetsbaar is en een bedrijf dat voorbereid is, zit in die ene middag en die ene dag.

Begin bij het opstellen van een AI-beleid. Train je team in veilig en effectief AI-gebruik. En maak van AI geen schaduwoperatie, maar een kracht die je bewust inzet.

Bronnen

• •Gemeente Eindhoven — Datalek door openbare AI
• •Omroep Brabant — Gemeente Eindhoven deelt persoonsgegevens via AI
• •Binnenlands Bestuur — Eindhoven blokkeert ChatGPT na datalek
• •Autoriteit Persoonsgegevens — Waarschuwing datalekken door AI-chatbots
• •NCSC — Aanzienlijk gebruik van generatieve AI onder medewerkers
• •WalkMe/SAP — Shadow AI Survey 2025
• •Beeckestijn — AI & Digital Marketing Trends 2026
• •Computable — Schaduw-AI en het risico voor organisaties
• •Cyberhaven — 2025 AI Adoption and Risk Report
• •Kiteworks — AI Data Security Report 2025
• •UpGuard — The State of Shadow AI
• •Law & More — Datalekken door AI-tools: wie draagt de verantwoordelijkheid?
• •KVK — Ondernemers zetten nauwelijks stappen rond AI-wetgeving
• •AKD — AI-geletterdheid verplicht sinds februari 2025
• •AG Connect — Bereid je voor op schaduw AI
• •Techzine — Medewerkers Samsung lekken geheimen aan ChatGPT