Shadow AI is geen IT-probleem. Het is een governancefout.

8 min leestijd · Door Jeroen Janssen

Last updated: June 1, 2026Laatst bijgewerkt: 1 juni 2026

OpenAI publiceert sinds begin 2026 gebruiksdata per land. In de zakelijke cijfers staat Nederland bij de snelst groeiende markten: een groei van 153 procent in het jaar tot november 2025, boven het wereldwijde gemiddelde van 143 procent. Geen verrassing voor wie de werkvloer kent. Wél een probleem voor wie verantwoordelijk is voor informatiebeveiliging, compliance of toezicht.

Want de vraag is niet of uw medewerkers ChatGPT, Claude of Copilot gebruiken. De vraag is: weet u het? En wat gaat er mee naar buiten?

Die vraag klinkt eenvoudig. Het antwoord is dat bijna niemand hem met zekerheid kan beantwoorden. En dat is precies het probleem.

Van 8 naar 81, en dat is alleen wat we kennen

De TNO Overheidsbrede Monitor Generatieve AI, gepubliceerd in december 2025 in opdracht van het ministerie van Binnenlandse Zaken, telt 81 geregistreerde GenAI-toepassingen bij Nederlandse overheidsorganisaties. In juni 2024 waren dat er nog 8. Een vertienvoudiging in anderhalf jaar. Maar de monitor werkt op basis van vrijwillige opgave en openbare informatie. Wat niet wordt opgegeven, bestaat officieel niet.

Van meer dan de helft van deze toepassingen is het risiconiveau onbekend: 52 procent heeft geen risicoklassificatie. Dezelfde tool, Copilot, valt bij gemeente Zeist in de categorie hoog risico en bij provincie Groningen onder ‘overige algoritmes’. Niet omdat één van beiden fout zit, maar omdat een gedeeld begrippenkader ontbreekt voor wat AI-risico in de praktijk betekent.

Dat is geen technisch probleem. Dat is een governancefout.

De interne chatbot lost het niet op

Overheidsorganisaties investeren in interne GenAI-toepassingen, en dat is begrijpelijk. Het motief is veelzeggend: medewerkers een verantwoord alternatief bieden voor openbare chatbots. Wat dat impliciet zegt, is dat het schaduwgebruik van publieke tools serieus genoeg wordt beschouwd om een countermaatregel te rechtvaardigen.

Maar een interne chatbot lost shadow AI niet op. Het verplaatst het.

De medewerker die op zijn privélaptop thuis werkt en een beleidsnotitie door ChatGPT haalt? Buiten scope. De adviseur die via zijn persoonlijk account inlogt op Claude omdat de organisatiebrede licentie te traag goedgekeurd wordt? Niet zichtbaar. De developer die een open-source LLM via API aanroept voor een intern prototype? Nooit door procurement gegaan.

En er is een vierde categorie die geen van deze mensen veroorzaakt: de tool die zichzelf aanzet. Leveranciers activeren AI-functies in software die u al heeft goedgekeurd. Een copiloot die organisatiebreed aanstaat, notitie-AI in vergadertools, een assistent in uw dataplatform. Niemand heeft daarvoor een aanvraag ingediend en het staat in geen register. De verwerkersrelatie verschuift zonder dat iemand een knop heeft omgezet.

Gartner identificeert in zijn DLP-analyse van november 2025 vier structurele blinde vlekken in conventionele databeveiligingsaanpakken: shadow AI via ongeautoriseerde tools, incrementeel dataverlies over meerdere gesprekken heen, versleuteld verkeer dat niet geïnspecteerd wordt, en intentieblindheid: het onvermogen van klassieke DLP-systemen om context en bedoeling te onderscheiden van patroonherkenning. Geen van deze vier lost u op met een aanbestedingsprocedure of een beleidsdocument.

Wat er feitelijk op het spel staat

De risico’s zijn niet abstract. Een medewerker die een intern strategiedocument door een publieke chatbot haalt, plaatst mogelijk vertrouwelijke informatie op servers van een derde partij. Een developer die klantdata koppelt aan een externe LLM-API zonder dat procurement of security dat weet, creëert een verwerkersrelatie die nooit getoetst is aan de AVG. Een leidinggevende die via zijn privéaccount ChatGPT Pro gebruikt voor een personeelsbeoordeling, handelt buiten elke audittrail.

Elke situatie begint met goede bedoelingen: mensen willen hun werk beter doen. Maar buiten de gesanctioneerde kanalen valt er niets te handhaven en niets te monitoren. En zodra data eenmaal bij een externe partij is ingediend, is herstel doorgaans onmogelijk.

Dat maakt shadow AI wezenlijk anders dan klassieke shadow-IT. Bij ongeautoriseerde software gaat het om toegang en beheer. Bij shadow AI gaat het om data die de organisatie heeft verlaten zonder dat iemand het heeft gezien, en die door het model kan zijn opgeslagen, verwerkt of gebruikt voor verdere training.

Agentic AI maakt de urgentie groter

De volgende golf is al onderweg. Gartner verwacht dat 45 procent van de CIO’s in 2028 AI-agents inzet buiten de IT-organisatie. Customer service, marketing, finance, inkoop: allemaal bezig met of geïnteresseerd in agentic oplossingen, deels via eigen budget, buiten de IT-queue om.

Shadow AI werd shadow-IT 2.0. Agentic AI dreigt shadow-IT 3.0 te worden, maar dan met autonome systemen die handelen in plaats van alleen tekst te genereren.

Het verschil is cruciaal. Een medewerker die een beleidsnotitie door ChatGPT haalt, neemt nog zelf de beslissing wat hij ermee doet. Een AI-agent die namens de organisatie e-mails verstuurt, offertes genereert of processen triggert, handelt autonoom. De aansprakelijkheid is niet automatisch mee ingeregeld. En als er geen register bestaat van welke agents zijn ingezet, met welke bevoegdheden, op welke data, dan is er ook geen basis voor toezicht.

Wat goed toezicht van organisaties vraagt

De klassieke reactie is: beleid schrijven, toegang blokkeren, awareness-training uitrollen. Dat werkt niet. Medewerkers vinden workarounds. Niet uit kwade wil, maar omdat de tool hun werk effectiever maakt dan het interne alternatief. Gartner bevestigt dit patroon expliciet: een totaalverbod drijft gebruik ondergronds en vermindert zichtbaarheid in plaats van risico.

Wat wél werkt, begint bij een ander uitgangspunt: beheersen in plaats van blokkeren, en zichtbaarheid als fundament in plaats van beleid als doel.

Dat betekent concreet drie dingen. Weet welke AI-tools er feitelijk in gebruik zijn, op welke apparaten en met welke data, ook buiten de gesanctioneerde omgeving. Dat vraagt om discovery in plaats van vertrouwen op zelfrapportage. Behandel data-classificatie als bestuurlijke keuze: wat mag überhaupt in een AI-tool? Zonder antwoord op die vraag is elk gebruiksbeleid symbolisch. En zorg voor governance die de snelheid van adoptie bijhoudt. Een statisch AI-beleid is per definitie achterhaald; wat nodig is, is een levend systeem met duidelijk eigenaarschap en periodieke toetsing.

De vraag die weinig organisaties stellen

Bijna elke organisatie stelt inmiddels de vraag: hoe gebruiken we AI verantwoord?

De vraag die ze zelden stellen: hoe weten we of we het verantwoord gebruiken?

Dat tweede is het audit-vraagstuk. En het gaat verder dan een jaarlijkse DPIA of een quickscan van het algoritmeregister. Het gaat over of uw controles feitelijk effectief zijn, niet of ze op papier bestaan. Of uw DLP-tool ook werkt als iemand via een privébrowser ChatGPT opent. Of uw risicoklassificatie consistent is toegepast, niet slechts ingevoerd. Of uw medewerkers de AI-tools gebruiken zoals u denkt dat ze dat doen.

Shadow AI is het symptoom. De onderliggende oorzaak is een kloof tussen hoe snel de organisatie adopteert, en hoe langzaam de governance meebeweegt.

Die kloof is meetbaar, en daarmee auditeerbaar.

De vraag is alleen wie dat doet, en wanneer.

Een adversariële review van uw AI-landschap brengt in acht werkdagen in kaart waar de governance-gaten zitten, inclusief het schaduwgebruik dat uw beleidsdocumenten niet dekken. Lees hoe strategic red teaming werkt →