AIComplianceHubAIComplianceHub
PlatformPrijzenWaarom?Over onsKennisbankContactInloggenGratis Risicoscan
PlatformPrijzenWaarom?Over onsKennisbankContactInloggen
Gratis Risicoscan
AIComplianceHubAIComplianceHub

Het AI-register en compliance-platform voor Nederlandse bedrijven.

Product

RisicoscannerPlatformPrijzenDemo bekijkenAI-registerAI-geletterdheid e-learningAI governanceAI-agentsDocumentgeneratieWat is nieuw

EU AI Act

EU AI Act-gidsKennisbankDeadlinesBoetesConformiteit

Sectoren

ICT & SoftwareZorgFinanceOverheidHR & RecruitmentOnderwijsAlle sectoren →

Bedrijf

Over onsPartnerContact

Juridisch

PrivacybeleidCookieverklaringVoorwaarden
© 2026 AIComplianceHub.nl — Alle rechten voorbehoudenDit is een hulpmiddel, geen juridisch advies.
Terug naar kennisbank

Praktisch

26 juni 2026·7 min leestijd·Delen

AI-tools goedkeuren: zo zet u een aanvraagproces op tegen schaduw-AI

Op deze pagina(8)
  • Waarom schaduw-AI ontstaat
  • Waarom een goedkeuringsproces beter werkt dan een verbod
  • Wat u in een aanvraag uitvraagt
  • Van aanvraag naar beslissing in vier stappen
  • Hoe u een aanvraag beoordeelt
  • Waar dit past in de AI Act
  • Begin deze week
  • Veelgestelde vragen

In het kort

  • Een aanvraag- en goedkeuringsproces is de voordeur tegen schaduw-AI: medewerkers vragen tools vooraf aan, u beslist.
  • Een verbod duwt AI-gebruik ondergronds. Een snelle goedkeuringsroute kanaliseert het en houdt u het overzicht.
  • De AP noemt schaduw-AI (feb 2026) een bron van datalekken; datacontrole en AI-geletterdheid (Art. 4) zijn de kern.
  • Beoordeel op het gebruik, niet de merknaam: dezelfde tool kan beperkt of hoog-risico zijn (Bijlage III).

Hoe houdt u grip op welke AI-tools uw medewerkers gebruiken? Het korte antwoord: met een vast aanvraag- en goedkeuringsproces. Eén duidelijke route waarlangs een medewerker vooraf toestemming vraagt voor een AI-tool, en waarlangs iemand die aanvraag beoordeelt voordat de tool in gebruik gaat. Zo verandert AI-gebruik van iets dat ongezien gebeurt in een keuze die u bewust maakt.

Dit artikel laat zien hoe zo'n proces eruitziet, waarom het beter werkt dan een verbod, en hoe u een aanvraag beoordeelt zonder in te leveren op snelheid. Het is de preventieve tegenhanger van Shadow AI in kaart brengen, dat laat zien hoe u ontdekt wat er nu al draait. Een uitvraag ruimt het verleden op. Een goedkeuringsproces bewaakt de voordeur.

Waarom schaduw-AI ontstaat

De Autoriteit Persoonsgegevens noemt schaduw-AI in haar visiedocument 'Verantwoord vooruit' (februari 2026) als een bron van datalekken: medewerkers zetten AI-tools op eigen houtje in, zonder afspraken en zonder dat de organisatie het weet. De reden is zelden onwil. Iemand wil sneller werken, vindt een handige tool en begint. Ontbreekt er een nette route om die tool aan te vragen, dan is de sluiproute de enige route.

Waarom een goedkeuringsproces beter werkt dan een verbod

Een totaalverbod op AI klinkt als grip, maar levert vaak het tegenovergestelde op. Wie AI verbiedt zonder alternatief, duwt het gebruik ondergronds. De tools verdwijnen niet, ze worden alleen onzichtbaar. En juist onzichtbaar gebruik draagt het risico: geen verwerkersovereenkomst, geen afspraak over welke data erin mag, geen zicht voor een toezichthouder.

Een goedkeuringsproces doet het omgekeerde. Het zegt niet 'nee', maar 'vraag het even'. Dat kanaliseert de energie die anders naar de sluiproute gaat. De medewerker krijgt vaak een ja, soms een ja-mits, en af en toe een nee met uitleg. In alle drie de gevallen weet u wat er speelt.

Wat u in een aanvraag uitvraagt

Een aanvraag moet u genoeg geven om te beslissen, zonder een formulier van drie pagina's. Vier dingen volstaan.

  • Welke tool

    De naam van de AI-tool en, als het bekend is, de leverancier. Een keuzelijst met bekende tools plus een vrij veld werkt sneller dan een leeg vak.

  • Waarvoor

    Het beoogde gebruik in een of twee zinnen. Dit is het belangrijkste veld, want het risico volgt het gebruik.

  • Wat voor gegevens

    Een grove indicatie: geen gegevens, interne gegevens, persoonsgegevens of gevoelige gegevens. Dit bepaalt mee hoe zwaar de aanvraag weegt.

  • Wie vraagt aan

    Naam en afdeling, zodat u de beslissing kunt terugkoppelen en het overzicht per team houdt.

Anders dan bij een anonieme inventarisatie legt u hier wel naam en e-mail vast. Dat hoort ook zo: een aanvraag is geen anonieme telling maar een verzoek met een antwoord. U verwerkt daarmee een kleine hoeveelheid persoonsgegevens voor intern beheer, op grondslag van een gerechtvaardigd belang. Houd het bij het minimum en bewaar het niet langer dan nodig.

Van aanvraag naar beslissing in vier stappen

  1. 1

    Zet een vaste aanvraagroute op

    Eén link, formulier of postbus waar elke aanvraag binnenkomt. Deel die breed en herhaal waar mensen hem kunnen vinden. Een route die niemand kent, wordt niet gebruikt.

  2. 2

    Beoordeel de aanvraag op het gebruik

    Kijk naar wat de tool gaat doen en welke gegevens erin gaan, niet naar de merknaam. Een risico-indicatie per tool helpt, maar de use case geeft de doorslag.

  3. 3

    Kies: toestaan, toestaan met voorwaarden, of afwijzen

    Toestaan met een afspraak over welke data wel en niet, toestaan mits een zakelijke versie met verwerkersovereenkomst, of afwijzen met een korte uitleg en zo mogelijk een alternatief.

  4. 4

    Zet een goedgekeurde tool in uw AI-register

    Leverancier, beoogd gebruik, dataclassificatie, risicoclassificatie en een verantwoordelijke. Pas dan is de tool echt onder controle en klaar voor de verplichtingen die erbij horen.

Hoe u een aanvraag beoordeelt

De kern van de beoordeling is een principe: het risico van een AI-tool volgt uit hoe u hem inzet, niet uit welk merk het is. Dezelfde chatbot is onschuldig voor een blogopzet en gevoelig zodra hij cv's voorselecteert of klantdossiers samenvat. Let daarom op drie dingen.

  • De use case, niet de tool

    AI-systemen die een taak uit Bijlage III van de AI Act vervullen, zijn hoog-risico. Denk aan werving en selectie (Bijlage III, punt 4) of het beoordelen van kredietwaardigheid van personen (punt 5b). Vraagt een aanvraag om zulk gebruik, dan is een lichte goedkeuring niet genoeg.

  • De gegevens die erin gaan

    Een tool die alleen openbare teksten verwerkt weegt anders dan een tool waar persoonsgegevens of gevoelige gegevens in belanden. Een melding van gevoelige data tilt elke aanvraag naar de zwaarste categorie.

  • De versie en de afspraken

    Een gratis consumentenversie zonder verwerkersovereenkomst is iets anders dan een zakelijke versie met een DPA en uitgeschakelde modeltraining. Vaak is de oplossing niet 'nee' maar 'ja, in de zakelijke versie'.

Waar dit past in de AI Act

Een aanvraag- en goedkeuringsproces is niet met zoveel woorden voorgeschreven door de AI Act. Toch raakt het drie dingen die dat wel zijn. AI-geletterdheid is sinds 2 februari 2025 verplicht (Artikel 4): iedereen die met AI werkt moet er genoeg van weten, en een aanvraagmoment is het natuurlijke punt om die kennis te toetsen en bij te brengen. Grip op welke data in AI gaat is een AVG-eis. En een compleet AI-register begint bij weten welke tools er zijn. Het proces voedt alle drie.

Wilt u het bredere kader, lees dan AI-governance in bedrijven. Voor de basis van de wet: Wat is de EU AI Act?.

Begin deze week

  • Kies een plek waar AI-aanvragen binnenkomen en maak die bekend bij het hele team.
  • Spreek af wie aanvragen beoordeelt en binnen welke termijn (een week werkt).
  • Leg voor uw drie meestgebruikte tools nu al vast: toegestaan, met voorwaarden, of niet.
  • Zet elke goedgekeurde tool in uw AI-register met een verantwoordelijke erbij.

In AIComplianceHub regelt u dit zonder losse formulieren. Onder AI-aanvragen zet u een vaste link aan die u met uw team deelt. Een medewerker vraagt er zonder inloggen een tool mee aan; u ziet de aanvraag binnenkomen met een risico-indicatie uit de leveranciersbibliotheek, keurt goed of af, en zet een goedgekeurde tool met een klik als concept in uw register. De aanvrager krijgt de beslissing per e-mail. De functie is beschikbaar vanaf het Professional-abonnement. Wilt u eerst een gratis beeld van uw risicoprofiel, begin dan met de gratis Risicoscanner.

Veelgestelde vragen

Is een goedkeuringsproces voor AI-tools verplicht onder de AI Act?

Nee, de AI Act schrijft geen specifiek aanvraagproces voor. De wet eist wel AI-geletterdheid (Artikel 4, sinds 2 februari 2025), een risicobeoordeling per systeem en grip op hoog-risico gebruik. Een aanvraag- en goedkeuringsproces is de praktische manier om aan die eisen te voldoen en om schaduw-AI te voorkomen. Sterk aanbevolen dus, niet wettelijk verplicht.

Mag ik mijn medewerkers gewoon verbieden ChatGPT te gebruiken?

Dat mag, maar het werkt zelden. Een verbod zonder alternatief duwt het gebruik naar privé-accounts en privételefoons, waar u er geen zicht meer op heeft. Effectiever is een verbod op ongeoorloofd gebruik, gekoppeld aan een snelle route om een tool wel aan te vragen. Zo houdt u het gesprek en het overzicht.

Wie moet een AI-aanvraag beoordelen?

In het MKB vaak de eigenaar, een teamleider of een aangewezen verantwoordelijke voor AI of privacy. Belangrijker dan de functietitel is dat de beoordelaar naar het gebruik kijkt en niet alleen naar de tool, en dat er een vaste termijn geldt. Een aanvraag die weken blijft liggen, jaagt mensen terug naar de sluiproute.

Hoe snel moet ik een aanvraag beoordelen?

Snel genoeg dat wachten geen reden wordt om de tool stiekem toch te gebruiken. Een termijn van een paar werkdagen tot een week is werkbaar. Kunt u niet meteen beslissen, geef dan een tussenstand ('in behandeling') zodat de aanvrager weet dat het loopt.

Wat doe ik met AI-tools die al in gebruik zijn?

Die vangt u niet met een aanvraagproces, want ze zijn er al. Breng ze eerst in kaart met een anonieme uitvraag onder uw medewerkers en beslis per tool: toestaan, vervangen of uitfaseren. Daarna bewaakt het goedkeuringsproces alles wat nieuw binnenkomt.

Weet u al waar uw organisatie staat?

Doe de gratis AI Risicoscanner en ontdek in 5 minuten welke verplichtingen gelden voor uw bedrijf.

Start gratis risicoscan

Verder in de kennisbank

7 min · Praktisch

AI-agentregister opzetten: zo voorkomt u agent-sprawl

Iedereen bouwt AI-agents, niemand houdt het overzicht. Zo zet u een AI-agentregister op: stappenplan, veldenlijst per agent en grip op agent-sprawl.

6 min · Praktisch

AI-geletterdheid per functie: wat moet wie kennen?

Wat houdt voldoende AI-geletterdheid in voor een marketeer, manager, IT'er of compliance-officer? Concrete voorbeelden per functie, afgestemd op Artikel 4.

Verwante onderwerpen: waarom AIComplianceHub, prijzen, de gratis risicoscan, of alle artikelen.

Op deze pagina

  • Waarom schaduw-AI ontstaat
  • Waarom een goedkeuringsproces beter werkt dan een verbod
  • Wat u in een aanvraag uitvraagt
  • Van aanvraag naar beslissing in vier stappen
  • Hoe u een aanvraag beoordeelt
  • Waar dit past in de AI Act
  • Begin deze week
  • Veelgestelde vragen