beginnerBusiness & Strategie

7 min leestijd

Shadow AI

Door Dennis Claassen · Laatst bijgewerkt feb 2026

Simpele Uitleg

Shadow AI is het gebruik van AI-tools zoals ChatGPT, Claude of Gemini door medewerkers, zonder dat de IT-afdeling of leiding ervan weet of het heeft goedgekeurd. "Shadow" betekent schaduw: het gebeurt buiten het zicht en buiten het officiële beleid om. Meestal zit er geen kwade wil achter. Iemand wil sneller een e-mail schrijven of een rapport samenvatten en grijpt naar een gratis chatbot. Het probleem: niemand houdt bij welke bedrijfs- of klantgegevens daarin verdwijnen. Daardoor verliest een organisatie het overzicht over waar haar data terechtkomt. Shadow AI is de AI-versie van "shadow IT": niet-goedgekeurde software die stiekem op de werkvloer wordt gebruikt.

Technische Definitie

Shadow AI is een vorm van shadow IT die specifiek draait om AI: het zijn niet-gesanctioneerde AI-toepassingen, -accounts of -integraties die data verwerken buiten de governance, security-controls en verwerkersovereenkomsten van de organisatie om. Denk aan een privé-account op een publieke chatbot, een browser-extensie met AI-functies, of een API-koppeling die een team zelf heeft opgezet. Het onderscheidende risico zit in de data-stroom: invoer in een niet-gecontroleerde generative AI-tool kan bij de aanbieder worden opgeslagen of, afhankelijk van de instellingen en voorwaarden, voor verdere modelontwikkeling worden gebruikt. Omdat het buiten het zicht van IT gebeurt, vallen deze verwerkingen buiten de normale beveiligings- en privacymaatregelen. Bron: IBM, "What Is Shadow AI?"; Palo Alto Networks Cyberpedia; Keeper Security, "Shadow IT vs Shadow AI" (13 mei 2026).

Waarom Dit Belangrijk Is

Shadow AI is geen randverschijnsel meer. AI-tools zijn gratis, overal beschikbaar en simpel te gebruiken, dus ze sijpelen de werkvloer binnen zonder dat iemand een knop hoeft om te zetten. Voor een organisatie betekent dat: je data wordt waarschijnlijk al via AI verwerkt, of je het nu weet of niet. De Autoriteit Persoonsgegevens (AP) waarschuwde in augustus 2024 dat AI-chatbots tot datalekken kunnen leiden. De toezichthouder ontving meldingen waarbij medewerkers persoonsgegevens in een chatbot invoerden, soms tegen interne afspraken in. Persoonsgegevens invoeren in een niet-goedgekeurde tool kan een datalek zijn, met meldplicht. Bron: AP via Computable, 7-8-2024. Er is ook een wettelijke kant. De EU AI Act verplicht organisaties die AI inzetten om hun personeel een "voldoende niveau van AI-geletterdheid" te geven (Artikel 4). Die plicht geldt sinds 2 februari 2025. Shadow AI is daarmee het symptoom; AI-geletterdheid via duidelijk beleid en goede training is de structurele oplossing. Bron: EU AI Act, Art. 4 (artificialintelligenceact.eu); Europese Commissie, "AI literacy – Q&A".

Hoe Het Werkt

Stel: een medewerker krijgt een lange klachtenmail en wil snel een nette reactie. De goedgekeurde tools zijn er niet, te traag, of niemand weet welke mag. Dus opent diegene een gratis chatbot, plakt de mail erin (inclusief de naam en het adres van de klant) en kopieert het antwoord terug. Klaar in twee minuten. Dat is precies hoe shadow AI ontstaat: het is een productiviteitsreflex, geen sabotage. De medewerker wil gewoon zijn werk goed en snel doen. Bron: IBM. Het probleem zit in wat onzichtbaar blijft. De organisatie weet niet welke tool is gebruikt, welke gegevens erin zijn beland, en wat de aanbieder ermee doet. Bij een gratis consumentenversie kan ingevoerde tekst worden bewaard en soms worden gebruikt voor verdere modelontwikkeling. Er is geen verwerkersovereenkomst, geen logging, geen controle. Een extra valkuil: AI-tools kunnen overtuigend klinkende fouten produceren (hallucinatie). Wie zonder afspraken of kennis met shadow AI werkt, neemt die fouten makkelijker ongecontroleerd over. Het tegengif is niet "verbieden", maar zorgen dat veilig en vaardig AI-gebruik de makkelijkste route wordt.

Use Cases

In kaart brengen wat er écht gebruikt wordt

De eerste stap voor de meeste organisaties is niet verbieden, maar meten. Vraag teams open welke AI-tools ze gebruiken en waarvoor. Vaak blijkt dat halve afdelingen al met chatbots werken. Pas als je weet wat er speelt, kun je risico's afdekken in plaats van negeren. Bron: IBM; Palo Alto Networks.

Veilige tools aanbieden in plaats van blokkeren

Hoe makkelijker veilig werken is, hoe minder mensen "in de schaduw" gaan. Bied een goedgekeurde, zakelijke AI-omgeving aan met afspraken dat ingevoerde data niet wordt bewaard of voor training gebruikt. Dan verdwijnt de reden om een gratis privé-tool te pakken. Bron: AP, 7-8-2024; Oliver Patel; Wiz Academy.

Heldere afspraken over wat wel en niet mag

Een praktisch AI-beleid beschrijft welke tools zijn toegestaan en welke gegevens er wel of niet in mogen. Geen juridisch boekwerk, maar concrete do's en don'ts die een nieuwe collega in vijf minuten snapt. De AP adviseert expliciet om zulke afspraken vast te leggen. Bron: AP, 7-8-2024.

Voldoen aan de AI-geletterdheidsplicht

De EU AI Act verplicht organisaties hun personeel voldoende AI-geletterd te maken (Art. 4, geldt sinds 2 februari 2025). Training in veilig en vaardig AI-gebruik dekt deze plicht én haalt de motor onder shadow AI vandaan. De GPT-5 Masterclass richt zich precies op vaardig en bewust AI-gebruik op de werkvloer. Bron: EU AI Act, Art. 4.

Voorbeelden

Patiëntgegevens in een chatbot (AP-case, 2024)

Een medewerker van een huisartsenpraktijk voerde medische patiëntgegevens in een AI-chatbot in, tegen de interne afspraken in. De Autoriteit Persoonsgegevens behandelde dit als datalek-gerelateerd en benadrukte: "Medische gegevens zijn zeer gevoelige gegevens en krijgen niet voor niets extra bescherming." Een schoolvoorbeeld van shadow AI: goed bedoeld, maar buiten beleid en met gevoelige data. Bron: AP via Computable, 7-8-2024.

Klantadressen geüpload bij een telecombedrijf (AP-case, 2024)

Een telecombedrijf meldde aan de AP dat een medewerker een bestand met onder meer klantadressen had geüpload naar een AI-chatbot. Ook hier: één medewerker, één snelle handeling, en plotseling staan persoonsgegevens buiten de controle van het bedrijf. Dit soort meldingen was voor de AP reden om in augustus 2024 publiek te waarschuwen. Bron: AP via Computable, 7-8-2024.

Samsung: broncode in ChatGPT (2023)

Binnen ongeveer drie weken nadat Samsung ChatGPT had toegestaan (maart 2023), waren er drie incidenten waarbij engineers vertrouwelijke informatie in de chatbot plakten, waaronder interne broncode en een vergadertranscript voor notulen. Samsung verbood daarna externe generatieve AI op bedrijfsapparaten (mei 2023) en bouwde een eigen interne tool. Een verbod was hier de reactie op een acuut incident, niet de structurele oplossing. Bron: AI Incident Database, incident 768; Dark Reading.

Veelgemaakte Fouten

"Een verbod lost het op"

Een totaalverbod stopt AI-gebruik meestal niet, het duwt het ondergronds. Medewerkers stappen over op hun privételefoon of privé-account, waardoor de organisatie júist minder zicht en controle krijgt terwijl de data nog steeds lekt. Vakexperts vergelijken dit met de drooglegging: verbieden zonder alternatief verplaatst het probleem in plaats van het op te lossen. Effectiever is veilige tools aanbieden plus praktisch beleid en training. Bron: Oliver Patel; Wiz; Kiteworks.

"Shadow AI is verboden"

Shadow AI is geen verbod, maar een beschrijving van een situatie: ongecontroleerd AI-gebruik buiten beleid en IT om. Het is dus geen overtreding op zichzelf. Wél kan het leiden tot AVG-overtredingen en datalekken als er persoonsgegevens bij betrokken zijn. Het gaat om beheersen, niet om bestraffen. Bron: AP, 7-8-2024.

"Dit gebeurt bij ons niet"

Omdat shadow AI per definitie buiten het zicht gebeurt, is "wij zien het niet" geen bewijs dat het er niet is, eerder een aanwijzing dat je het overzicht mist. De AP gaf eind 2025 aan dat het aantal datalekmeldingen rond AI-chatbots op de werkvloer toeneemt. Beter ervan uitgaan dat het al speelt en het in kaart brengen. Bron: AP, eind 2025 (zoals gemeld in vakmedia); cijfer is updatebaar.

Tools Die Dit Gebruiken

ChatGPTClaudeGeminiCopilotPerplexity

Veelgestelde Vragen

Is shadow AI verboden?

Nee. Shadow AI beschrijft een situatie (ongecontroleerd AI-gebruik buiten beleid en IT om), het is geen wet of verbod. Maar het kan wél leiden tot overtredingen van de AVG en tot datalekken, vooral als medewerkers persoonsgegevens in een niet-goedgekeurde tool invoeren. De Autoriteit Persoonsgegevens waarschuwde hier in augustus 2024 expliciet voor. De oplossing is niet bestraffen, maar duidelijke afspraken maken en veilige tools aanbieden. Bron: AP via Computable, 7-8-2024.

Wat is het verschil tussen shadow AI en shadow IT?

Shadow IT is de bredere term: alle hardware en software die medewerkers gebruiken zonder goedkeuring van IT. Shadow AI is daar een specifieke subset van, namelijk de AI-tools. Het extra risico bij shadow AI is dat ingevoerde gegevens bij de aanbieder kunnen worden bewaard en, afhankelijk van de tool en instellingen, voor verdere modelontwikkeling kunnen worden gebruikt. Daardoor verlies je niet alleen overzicht, maar mogelijk ook controle over waar je data eindigt. Bron: Keeper Security, 13 mei 2026; IBM.

Waarom werkt een AI-verbod averechts?

Een verbod stopt het gebruik meestal niet, het maakt het onzichtbaar. Medewerkers schakelen over naar privé-apparaten of privé-accounts om toch hun werk te doen. Het gevolg: dezelfde data-blootstelling, maar nu zonder dat IT er nog iets van ziet. Vakexperts vergelijken dit met de drooglegging in de VS, die drankgebruik niet stopte maar de illegale handel aanjoeg. De effectievere route is veilige, goedgekeurde tools aanbieden met praktisch beleid en training, zodat veilig werken de makkelijkste optie wordt. Bron: Oliver Patel, "Banning AI is not an effective AI policy"; Wiz; Kiteworks.

Wie is verantwoordelijk als er via een AI-tool een datalek ontstaat?

De Autoriteit Persoonsgegevens wijst vooral naar de werkgever: die hoort duidelijke richtlijnen op te stellen over of en hoe AI-chatbots gebruikt mogen worden, en op naleving toe te zien. Dit is geen sluitend juridisch oordeel voor elke situatie, maar het is de lijn die de AP communiceert. Praktisch betekent het: zorg vooraf voor afspraken en bewustwording, in plaats van achteraf naar een individuele medewerker te wijzen. Bron: AP via Computable, 7-8-2024.

Hoe kanaliseer je shadow AI in plaats van het te bestrijden?

In drie stappen. Eén: breng in kaart welke AI-tools er nu al gebruikt worden en waarvoor. Twee: bied een veilige, goedgekeurde AI-omgeving aan, met afspraken dat ingevoerde data niet wordt bewaard of voor training gebruikt, en leg helder vast welke gegevens wel en niet ingevoerd mogen worden. Drie: train medewerkers in veilig en vaardig AI-gebruik (AI-geletterdheid). Zo verdwijnt de reden om in de schaduw te werken. Bron: AP, 7-8-2024; Oliver Patel; Wiz.

Heeft shadow AI te maken met de EU AI Act?

Ja, indirect. De EU AI Act verplicht in Artikel 4 dat organisaties die AI inzetten hun personeel een "voldoende niveau van AI-geletterdheid" geven. Die plicht geldt sinds 2 februari 2025. Er is geen verplicht trainingsformat of certificaat voorgeschreven, maar alleen een handleiding laten lezen is volgens de Europese Commissie doorgaans niet genoeg. Goede AI-geletterdheid is precies wat shadow AI helpt voorkomen: bewuste, vaardige medewerkers hebben het wildgroei-gedrag niet nodig. Bron: EU AI Act, Art. 4; Europese Commissie, "AI literacy – Q&A".

Gerelateerde Termen

Hallucination Generative AI ChatGPT AI Agent Prompt Engineering

Wil je deze term in de praktijk leren toepassen?

Bekijk Trainingen Plan Kennismaking