IT-managers zien het al een tijdje aankomen.
Medewerkers gebruiken tools die niet op de goedgekeurde lijst staan. Ze verwerken bedrijfsdata in systemen waar IT geen zicht op heeft. Ze koppelen AI-tools aan interne processen via persoonlijke accounts, via browser-plugins, via gratis versies van SaaS-producten die toevallig een AI-knop hebben.
Dit heet shadow AI. En het is groter dan de meeste IT-afdelingen beseffen.
Het probleem is niet dat medewerkers kwaad willen. Het probleem is dat ze efficiënt willen zijn. Ze ontdekken dat AI hen helpt en ze gebruiken het. Zonder te weten wat er met de data gebeurt. Zonder te weten welke risico's ze nemen. En zonder dat IT er iets van ziet.
Tot er iets misgaat.
Hoe groot het shadow AI-probleem werkelijk is
In 2026 gebruikt meer dan 70 procent van de beroepsbevolking regelmatig AI. Twee jaar geleden lag dat percentage nog onder de 30. Die groei is niet gegaan via officieel goedgekeurde tools. Een groot deel van dat gebruik zit buiten het zicht van IT.
Wat ziet IT niet? Medewerkers die ChatGPT gebruiken via een persoonlijk account, buiten het bedrijfsnetwerk. Teams die Notion AI, Grammarly of andere embedded AI-features inschakelen zonder IT-beoordeling. Koppelingen tussen SaaS-tools en AI-backends die data verplaatsen buiten de beveiligde perimeter. Browser-plugins met AI-functionaliteit die draaien op bedrijfslaptops.
Elk van deze situaties is een potentieel datalek. Sommige zijn het zeker. Klantdata die terechtkomt op servers van een externe AI-provider. Vertrouwelijke bedrijfsinformatie die wordt verwerkt buiten de AVG-grenzen van de organisatie. HR-informatie die via een publieke AI-tool wordt bewerkt.
En dan is er ook nog de kwaliteitskant. AI hallucineert. Het produceert tekst en data die er betrouwbaar uitziet maar feitelijk onjuist is. Een medewerker die de output niet controleert, stuurt die fouten door naar klanten, partners of de directie. De organisatie is verantwoordelijk voor die output. Niet de AI-tool.
Wat de EU AI Act hieraan toevoegt
De EU AI Act voegt een wettelijke dimensie toe aan een probleem dat IT al kende.
Artikel 4, dat in werking is getreden op 2 februari 2025, verplicht organisaties om medewerkers die AI gebruiken aantoonbaar AI-geletterd te maken. Dat geldt ook voor AI-gebruik dat buiten de officieel goedgekeurde tools valt. Met andere woorden: als een medewerker shadow AI gebruikt en daarmee schade veroorzaakt, is de organisatie aansprakelijk. Niet de medewerker. De organisatie.
Dat betekent concreet: IT en HR zijn samen verantwoordelijk. IT levert het overzicht van wat er gebruikt wordt. HR levert het bewijs dat medewerkers weten hoe ze het verantwoord gebruiken. Zonder beide benen is de organisatie kwetsbaar.
Nationale toezichthouders starten met handhaving op 2 augustus 2026. Toezichthouders kijken bij incidenten altijd naar wat de organisatie gedaan heeft om het risico te beheersen. Geen IT-inventarisatie en geen training is geen verweer.
Waarom blokkeren niet de oplossing is
De reflex van veel IT-afdelingen is begrijpelijk. Blokkeer de tools. Zet ChatGPT op de denylist. Blokkeer generatieve AI via de proxy.
Het werkt niet.
Medewerkers schakelen over op hun telefoon. Op thuiswerken buiten de VPN. Op andere tools die hetzelfde doen maar minder bekend zijn bij IT. Het enige wat een blokkeerbeleid bereikt, is dat shadow AI-gebruik onzichtbaarder wordt, niet kleiner. IT verliest zicht en controle, terwijl het risico gelijk blijft.
De enige duurzame aanpak combineert drie dingen. Duidelijkheid over wat wel mag. Technisch toezicht op wat er feitelijk gebeurt. En training zodat medewerkers zelf goede keuzes maken. Niet omdat het verplicht is, maar omdat ze begrijpen wat er op het spel staat.
Hoe IT de controle terugkrijgt: vier stappen
Stap 1: maak de inventarisatie
Begin met zichtbaarheid. Combineer twee bronnen: vraag afdelingen actief om hun AI-tools te melden, en analyseer tegelijkertijd het netwerkverkeer op bekende AI-endpoints. De tweede methode laat zien wat de eerste niet opvangt. Samen geven ze een realistisch beeld.
Dit overzicht is ook de wettelijke basis voor compliance. Zonder inventarisatie geen gerichte training, en zonder gerichte training geen aantoonbare AI-geletterdheid. De inventarisatie is de grondplaat van het hele gebouw.
Stap 2: classificeer per tool en per gebruik
Niet elk AI-gebruik is even risicovol. Een spellingscontrole is iets anders dan een tool die klantdata verwerkt. De EU AI Act werkt met risicoklassen. IT kan die logica vertalen naar een praktisch goedkeuringsproces.
Groen: goedgekeurd voor gebruik, geen extra maatregelen. Oranje: gebruik onder voorwaarden, specifieke training vereist. Rood: verboden voor zakelijk gebruik, alternatieven worden aangeboden. Dat geeft medewerkers duidelijkheid. En IT controle.
Stap 3: werk samen met HR aan training
Technisch beleid zonder training werkt niet op de lange termijn. Medewerkers moeten begrijpen waarom bepaalde tools niet zijn toegestaan, wat de risico's zijn van shadow AI, en hoe ze verantwoord omgaan met goedgekeurde tools. Dat is geen IT-boodschap. Dat is een leertraject.
AIGA biedt gecertificeerde AI-geletterdheidstraining die specifiek ingaat op datarisico's, privacyregels en verantwoord AI-gebruik op de werkvloer. IT levert het beleidskader, AIGA levert de training die medewerkers begrijpen en onthouden. Samen sluit dat de cirkel. Bekijk het aanbod op aigeletterdheid.academy.
Stap 4: maak het cyclisch
Shadow AI verdwijnt niet na een eenmalige actie. Nieuwe tools komen elke week uit. Medewerkers ontdekken nieuwe mogelijkheden. IT moet een proces inrichten voor continue monitoring: periodieke herhaling van de inventarisatie, updates van de goedkeuringslijst en koppeling aan het jaarlijkse AI-geletterdheidsmoment van HR.
Dat is geen zware inspanning. Het is een ritme. En een ritme is duurzamer dan een project.
De CIO als strategische partner in AI-governance
De EU AI Act verandert de positie van de CIO binnen de organisatie.
Niet langer alleen technisch beheerder, maar de persoon die het overzicht heeft van wat er in de organisatie feitelijk met AI gebeurt. HR weet wie wat doet. De directie draagt eindverantwoordelijkheid. Maar IT weet welke tools er draaien, welke data er stroomt en waar de risico's zitten. Die informatie is onmisbaar voor een goed AI-governanceprogramma.
Organisaties die IT, HR en directie goed laten samenwerken op het thema AI, bouwen een structuur die meeschaalt met de snelle ontwikkeling van AI. Organisaties die dat niet doen, lopen achter de feiten aan. Niet over een jaar. Nu al.
Begin met zichtbaarheid
De AI Readiness Scan van AIGA geeft in tien minuten inzicht in het huidige AI-gebruik en kennisniveau binnen een organisatie. Een nuttig startpunt voor IT om het gesprek met HR en directie te openen vanuit feiten in plaats van aannames.
Want het gesprek begint met zichtbaarheid. En zichtbaarheid begint met meten.
Doe de scan op aigeletterdheid.academy.
Ferry Hoes
Ferry Hoes is veelgevraagd spreker en trainer op het gebied van AI-geletterdheid. Hij staat meermaals per maand op het podium voor organisaties zoals a.s.r., VodafoneZiggo en verschillende ministeries. In 2020 won hij de Anti-Discriminatie AI-Hackathon van de Nederlandse overheid.