Shadow AI is het gebruik van AI-tools door medewerkers buiten het zicht en beleid van de werkgever. Denk aan iemand die een klantbrief in de gratis ChatGPT plakt of een tool installeert zonder het te melden. Het gebeurt vrijwel altijd met goede bedoelingen, maar zonder afspraken levert het flinke risico's op.

Waarom is shadow AI een risico?

Omdat je geen grip hebt op welke gegevens waar belanden. Vertrouwelijke klant- of bedrijfsdata kan in een publieke tool terechtkomen die ermee traint, wat een datalek en een AVG-overtreding oplevert. Daarnaast wordt foutieve AI-output vaak niet gecontroleerd en kun je zonder overzicht niet aan de AI Act voldoen.

Veilig & verantwoord

Shadow AI: gebruiken je medewerkers AI zonder dat je het weet?

Q: Hoe weet ik of er shadow AI in mijn bedrijf is?

Vrijwel zeker is dat zo. Onderzoek schat dat een grote meerderheid van de medewerkers AI gebruikt zonder dat IT het weet. De beste manier om erachter te komen is niet controleren maar vragen: een open gesprek levert meer op dan een verbod, omdat mensen dan eerlijk durven te zijn.

Door Joost · Laatst bijgewerkt: 16 juni 2026 · 6 min lezen

Kort antwoord: vrijwel zeker wel. Shadow AI is AI-gebruik door je medewerkers buiten je zicht en zonder afspraken, en het is eerder regel dan uitzondering. Mensen plakken een klantmail in de gratis ChatGPT of installeren een handige tool, met goede bedoelingen, maar zonder dat iemand weet welke data waar belandt. Dat risico voor de medewerker en het bedrijf zit niet in de techniek, maar in het gebrek aan overzicht. Hieronder lees je hoe groot het is, hoe je het herkent en welke risico's je loopt, zodat je weet waarom het de moeite waard is om er iets aan te doen.

Wat is shadow AI?

Shadow AI is het gebruik van AI-tools door medewerkers buiten het zicht en beleid van de werkgever. De naam is afgeleid van "shadow IT", software die mensen zelf installeren zonder de IT-afdeling erin te kennen. Bij AI gaat het bijvoorbeeld om een medewerker die een offerte laat schrijven in de gratis ChatGPT, of klantdata in een willekeurige tool plakt om er snel iets mee te doen.

Belangrijk: shadow AI ontstaat zelden uit kwade wil. Mensen pakken die tools omdat ze het werk lichter maken en omdat de officiële weg ontbreekt. Het probleem is niet hun motief, maar dat er geen afspraken zijn over wat wel en niet mag.

Hoe groot is het en hoe herken je het?

Groot, en grotendeels onzichtbaar. Nederlands onderzoek uit 2026 schat dat 78% van de medewerkers AI-tools gebruikt zonder toestemming of toezicht van IT, terwijl organisaties zicht hebben op minder dan 11% van het werkelijke gebruik (Awareways, Trendrapport Shadow AI, 2026). Met andere woorden: wat je ziet is het topje van de ijsberg.

Herkennen doe je het zelden aan een duidelijk signaal. Vaker merk je het indirect: teksten die ineens veel gladder zijn, werk dat sneller af is dan verwacht, of een medewerker die een tool noemt die je niet kent. Het meest betrouwbare "meetinstrument" is geen software, maar een open gesprek. "Het grote probleem van shadow AI is dat je geen grip hebt op wat er met dossiers, persoonsgegevens of andere data gebeurt die je medewerkers daarmee verwerken", vat IT-jurist Arnoud Engelfriet van ICTRecht het samen (Mr. Online, 2026).

Welke risico's lopen je medewerkers en je bedrijf?

Vier risico's, en ze versterken elkaar. Geen ervan vraagt om paniek, maar samen zijn ze de reden om het te regelen.

Datalekken. Vertrouwelijke gegevens belanden in een publieke tool die ermee traint. Shadow AI speelde een rol in 20% van de onderzochte datalekken en kostte gemiddeld 670.000 dollar extra per incident (IBM, Cost of a Data Breach 2025).
AVG-overtredingen. Klant- of personeelsgegevens in een AI-tool zonder grondslag of verwerkersovereenkomst is een overtreding, en je bedrijf blijft aansprakelijk. Meer daarover in AVG en AI.
Foutieve output. AI verzint soms overtuigend onzin. Twee derde van de medewerkers controleert de uitkomst niet (Beeckestijn, december 2025), waardoor fouten ongemerkt naar klanten gaan.
Compliance met de AI Act. Zonder overzicht van je AI-gebruik kun je niet aantonen dat je aan de AI Act voldoet.

Dat dit geen theorie is, bewees de gemeente Eindhoven eind 2025: medewerkers hadden gevoelige dossiers en cv's in publieke AI-tools geüpload, wat tot een datalek leidde. De gemeente kon de omvang niet eens bepalen en blokkeerde daarop alle publieke AI-tools (Omroep Brabant, december 2025).

Het is geen IT-probleem, maar een afsprakenprobleem. Shadow AI laat zich niet oplossen met een firewall. De oorzaak is dat mensen niet weten wat mag, en de oplossing is dus duidelijkheid: een veilige tool, een paar afspraken en een open gesprek. Verbieden maakt het alleen onzichtbaarder.

Wat doe je eraan?

Niet verbieden, maar in goede banen leiden. Dat begint met weten wat er speelt en dat veilig maken: een paar goedgekeurde tools, een kort beleid en wat uitleg. Je haalt het gebruik zo uit de schaduw, waardoor het meteen veiliger én productiever wordt.

De volledige aanpak in vier stappen staat in hoe je shadow AI aanpakt zonder te verbieden. Wil je meteen de afspraken vastleggen, begin dan bij een AI-beleid opstellen.

Veelgestelde vragen

Wat is shadow AI?
AI-gebruik door medewerkers buiten het zicht en beleid van de werkgever, zoals een klantbrief in de gratis ChatGPT plakken. Het gebeurt meestal met goede bedoelingen, maar zonder afspraken levert het risico's op.

Waarom is het een risico?
Omdat je geen grip hebt op welke gegevens waar belanden. Vertrouwelijke data kan in een publieke tool terechtkomen die ermee traint: een datalek en een AVG-overtreding. Bovendien wordt foutieve output vaak niet gecontroleerd.

Hoe weet ik of er shadow AI in mijn bedrijf is?
Vrijwel zeker is dat zo. De beste manier om erachter te komen is niet controleren maar vragen: een open gesprek levert meer op dan een verbod, omdat mensen dan eerlijk durven te zijn.

Benieuwd wat er in jouw bedrijf rondgaat?

In een gratis kennismaking helpen we je het AI-gebruik in kaart te brengen en veilig te maken. Concreet, in de taal van de ondernemer, zonder verplichtingen.

Plan gratis kennismaking