Het is groter dan u denkt — en het is nu uw verantwoordelijkheid.
Uw medewerkers gebruiken AI. Elke dag, voor werkgerelateerde taken. Met uw bedrijfsdata, uw klantinformatie, uw strategische documenten. De kans dat dit volledig gesanctioneerd en gedocumenteerd is: circa 29%.
De overige 71% — de Shadow AI — is onzichtbaar voor uw IT-afdeling, ongedocumenteerd in uw governance, en niet getoetst aan de EU AI Act. Het is niet de uitzondering in Nederlandse organisaties. Het is de norm.
Shadow AI bestond al in 2023. Maar in 2023 was het voornamelijk: medewerkers die ChatGPT gebruikten om teksten te schrijven of samenvattingen te maken. Onwenselijk vanuit dataperspectief, maar beheersbaar van impact.
In 2026 is Shadow AI fundamenteel anders van aard. De tools zijn krachtiger — ze kunnen niet alleen tekst genereren, maar ook code schrijven, data analyseren, beslissingen ondersteunen en autonome acties uitvoeren. De integratie is dieper — AI zit ingebakken in de tools die medewerkers dagelijks gebruiken: e-mailclients, spreadsheetprogramma's, projectmanagementplatforms. En de datablootstelling is groter — medewerkers uploaden onbewust gevoelige informatie naar externe AI-systemen omdat de grens tussen hun werktool en een AI-backend niet zichtbaar is.
Verbod werkt niet. Kader stellen wel. Dat is een boardbesluit, geen IT-beleid. Organisaties die Shadow AI proberen te elimineren via restrictief beleid, drijven het gebruik verder ondergronds — en verliezen ook het zicht op de innovatie die medewerkers zelf genereren.
Meten voor oordelen Inventariseer eerst wat er werkelijk gebruikt wordt. Niet via een verbod, maar via een anonieme self-assessment onder medewerkers. U kunt niet sturen op wat u niet ziet.
Geef alternatieven, geen verboden De meest effectieve manier om Shadow AI te reduceren is het aanbieden van gesanctioneerde alternatieven die even bruikbaar zijn. Medewerkers gebruiken onofficiële AI omdat de officiële tools achterlopen. Los dat op.
Stel databeleid vast, niet toolbeleid In plaats van te specificeren welke tools wel en niet gebruikt mogen worden — wat onmogelijk bij te houden is — stel vast welke categorieën data niet in externe AI-systemen mogen. Dat is handhaafbaar en proportioneel.
Leg dit vast als boardbesluit Het beleid rondom Shadow AI is een bestuurlijke verantwoordelijkheid — niet een IT-policy. De board stelt de kaders; de organisatie voert uit. Dat onderscheid is essentieel voor aansprakelijkheid.
Niet alleen inzicht — maar een plan dat uw board kan uitvoeren.