Uw AI-register is precies zo compleet als wat erin staat. In de praktijk gebruiken medewerkers AI-tools die niemand heeft aangemeld: een gratis ChatGPT-account voor klantmails, een transcriptietool die meeluistert in een vergadering, een beeldgenerator via een privé-abonnement. Die onzichtbare laag heet shadow AI. De snelste manier om hem boven tafel te krijgen is geen netwerkscan en geen IT-project, maar een korte, anonieme uitvraag onder uw eigen mensen.
Dit artikel laat zien hoe u zo'n uitvraag opzet, waarom anonimiteit het verschil maakt tussen eerlijke en defensieve antwoorden, en hoe u de uitkomst omzet in een register dat een toezichthouder overtuigt. Het is de praktische tegenhanger van Shadow AI: het onzichtbare AI Act-risico, dat uitlegt waaróm shadow AI uw naleving van de AI Act raakt.
Waarom een anonieme uitvraag beter werkt dan rondvragen
Vraag een medewerker recht voor zijn raap of hij ongeoorloofde AI gebruikt, en u krijgt zelden een eerlijk antwoord. Niemand meldt zichzelf graag aan voor iets dat 'niet mag'. Wie bang is om gepakt te worden, zwijgt of bagatelliseert. Daarmee mist u juist de tools waar het meeste risico zit.
Anonimiteit draait die reflex om: zonder naam, e-mailadres of inlog durft iemand wél te melden dat hij klantgegevens in een gratis tool plakt. U ruilt herleidbaarheid in voor volledigheid, en volledigheid is precies wat uw register nodig heeft. Er is nog een effect. Een uitvraag is geen verhoor maar een signaal: u laat zien dat AI bespreekbaar is en dat er een veilige route komt om tools aan te dragen.
Wat u wel en niet vraagt
De kunst zit in de vraagstelling: u wilt genoeg weten om te kunnen classificeren, zonder de uitvraag in een privacyprobleem te veranderen.
Welke tools
Laat mensen aanvinken uit een lijst met bekende AI-tools, plus een vrij tekstveld voor wat er niet bij staat. Herkenning werkt beter dan een leeg invulveld.
Wat voor gegevens erin gaan
Een grove indicatie volstaat: geen gegevens, interne gegevens, persoonsgegevens of gevoelige gegevens. Dit bepaalt mee hoe zwaar een tool weegt.
Eventueel de afdeling
Optioneel en niet-herleidbaar ("Marketing", "Finance"). Het helpt patronen zien zonder iemand aan te wijzen.
Wat u bewust níét vraagt: geen naam, geen e-mailadres, geen functietitel die naar één persoon leidt, geen IP-adres. Zodra een antwoord herleidbaar wordt naar een individu, verandert uw inventarisatie in een verwerking van persoonsgegevens met alle AVG-verplichtingen van dien. Houd het anoniem en geaggregeerd, dan blijft de drempel laag en de juridische last licht.
Van uitvraag naar register in vier stappen
Stel de uitvraag op en deel de link
Eén heldere vraag, een lijst met bekende tools en een vrij veld. Deel de anonieme link via e-mail, intranet of een teamkanaal. Geef mensen een week de tijd.
Leg de uitkomst naast uw toegestane-tool-lijst
Alles wat boven komt en niet op de officiële lijst staat, is per definitie shadow AI. Niet alles is risicovol, maar elk item vraagt een keuze.
Kies per tool: toestaan, vervangen of verbieden
Toestaan met afspraken over data, vervangen door een variant met verwerkersovereenkomst, of verbieden en uitfaseren. Leg de keuze vast.
Zet wat blijft in het AI-register
Per toegestane tool: leverancier, beoogd gebruik, welke data wel en niet, risicoclassificatie en een verantwoordelijke. Pas dan is de tool echt onder controle.
Hoe u de uitkomst leest
Een goede uitvraag levert een lijst tools op, met per tool hoe vaak hij genoemd is en een eerste risico-indicatie. Let op drie dingen.
Frequentie zegt iets over bereik, niet over risico
Een tool die twintig keer genoemd wordt is breed verankerd en lastiger terug te draaien. Maar één enkele melding kan riskanter zijn als er gevoelige gegevens in gaan.
Het risico volgt het gebruik, niet het merk
Dezelfde chatbot is onschuldig voor een blog-opzet en problematisch zodra hij cv's beoordeelt of klantdossiers samenvat. De classificatie komt uit hoe ú de tool inzet, welke gegevens erin gaan en wie het raakt.
Een melding van gevoelige gegevens weegt zwaar
Geeft iemand aan persoonsgegevens of bijzondere gegevens te verwerken, dan pakt u dat als eerste op, ongeacht hoe vaak de tool genoemd is.
Wat u doet met tools buiten de catalogus
Niet elke gemelde tool staat in een bibliotheek van bekende AI. Een nieuwe nichetool, een branche-specifieke applicatie of een zelfgebouwd scriptje duikt op als 'onbekend'. Negeer die meldingen niet, want juist het onbekende is vaak het minst doordachte gebruik. Behandel zo'n tool hetzelfde als de rest: zoek uit wat hij doet, welke leverancier erachter zit en of er persoonsgegevens in gaan, en zet hem op de lijst toestaan, vervangen of verbieden.
Waarom anoniem en geaggregeerd genoeg is voor de AVG
Een veelgehoorde zorg: mag ik mijn medewerkers dit zomaar vragen? Voor een anonieme, geaggregeerde uitvraag is het antwoord ruimhartig ja. U verwerkt geen persoonsgegevens zolang u geen namen, e-mailadressen of IP-adressen opslaat en alleen op groepsniveau rapporteert. Daarmee is er geen grondslag-discussie en geen DPIA nodig.
Dat verandert zodra u individueel gaat herleiden, bijvoorbeeld door netwerklogs op gebruikersniveau te koppelen. Zo'n aanvullend spoor kan legitiem zijn, maar vraagt om proportionaliteit, aankondiging en meestal een DPIA. Voor een eerste, organisatiebrede inventarisatie is de anonieme uitvraag de lichtste en vaak de eerlijkste route.
In AIComplianceHub doet u dit in een paar klikken. Onder Schaduw-AI maakt u een uitvraag aan, deelt u een anonieme link met uw team en ziet u de uitkomst per tool, inclusief een risico-indicatie uit de leveranciersbibliotheek en een signaal bij gevoelige gegevens. Elke ontdekte tool zet u met één klik als concept in uw register, klaar om te classificeren. De uitvraag is beschikbaar vanaf het Professional-abonnement. Wilt u eerst een snelle, gratis indruk van uw risicoprofiel, begin dan met de gratis Risicoscanner.
Veelgestelde vragen
Hoeveel medewerkers moeten meedoen voor een bruikbaar beeld?
Er is geen harde drempel. Ook bij een lage respons levert een uitvraag waardevolle signalen op, omdat juist de tools die boven komen vaak de blinde vlekken zijn. Houd de uitvraag een week open, stuur halverwege één herinnering en accepteer dat een momentopname geen volledige telling is. Herhaal de uitvraag elk half jaar om nieuwe tools te vangen.
Is een anonieme uitvraag genoeg om aan de AI Act te voldoen?
Nee, het is de eerste stap. De uitvraag vult uw AI-register, maar de wet vraagt ook om classificatie per systeem, AI-geletterdheid voor iedereen die met AI werkt (Artikel 4, verplicht sinds 2 februari 2025) en passende maatregelen bij hoog-risico gebruik. De uitvraag maakt zichtbaar wat er speelt; het register en de classificatie maken het compliant.
Wat als medewerkers de uitvraag niet eerlijk invullen?
Anonimiteit haalt de grootste reden voor oneerlijkheid weg. Versterk dat met de toon: u zoekt geen schuldigen maar een overzicht, en er komt een veilige route om tools aan te vragen. Combineer de uitvraag eventueel met een geaggregeerde blik op uitgaand netwerkverkeer naar bekende AI-domeinen, dan vult het ene spoor het andere aan.
Moeten we elke gemelde tool in het register zetten?
Alleen de tools die u toestaat. Voor tools die u verbiedt of uitfaseert legt u de beslissing en de reden vast, maar ze hoeven niet als actief systeem in het register. Alles wat blijft draaien hoort er wél in, met leverancier, gebruik, dataclassificatie en een verantwoordelijke.