Een gratis ChatGPT-account voor klantmails. Een transcriptietool die meeluistert in vergaderingen. AI-functies die zichzelf aanzetten in software die u al had. Niemand meldt het, maar u bent er wel verantwoordelijk voor. Zo krijgt u het boven water zonder politieagent te spelen.
Schaduw-AI is AI-gebruik binnen uw organisatie waarvan IT, compliance of management niets weet. De variant van schaduw-IT, maar dan met kunstmatige intelligentie: chatbots, generatieve AI, transcriptiediensten, beeldgeneratie. Steeds vaker ook AI-functies die ingebouwd zitten in software die allang is goedgekeurd.
Het is zelden boze opzet. Iemand wil sneller werken, vindt een handige tool en begint. Ontbreekt er een nette route om die tool aan te vragen, dan is de sluiproute de enige route. Precies die laagdrempeligheid maakt AI nuttig. En lastig te overzien.
Verschillende sectorrapporten schatten dat tussen 30 en 50 procent van het AI-gebruik in Nederlandse MKB- en mid-market-organisaties buiten zicht van IT plaatsvindt. Bij organisaties zonder formeel AI-beleid loopt dat op richting 60 procent.
De Autoriteit Persoonsgegevens noemt schaduw-AI in haar visiedocument "Verantwoord vooruit" (februari 2026) als een van de grootste risico's bij generatieve AI in organisaties. Voor de toezichthouder is het primair een AVG-probleem: verwerkingen zonder grondslag of verwerkersovereenkomst. De raakvlakken met de AI Act komen daar onvermijdelijk bij.
Ruim driekwart van de kenniswerkers in West-Europa neemt eigen AI-tools mee naar de werkplek.
Microsoft Work Trend Index 2024
Onbekende AI is geen vrijgestelde AI. De wet kijkt naar wat er in uw organisatie gebeurt, niet naar wat er op de officiële lijst staat. Vier regels knellen bij schaduw-AI het hardst.
Sinds 2 februari 2025 moet iedereen die met AI werkt er voldoende van weten. Dat lukt niet voor tools die niemand bij u in beeld heeft. Drie collega's die ChatGPT gebruiken zonder ooit AI-training te hebben gehad: voor die rollen is Artikel 4 niet nageleefd.
Acht AI-praktijken zijn sinds 2 februari 2025 verboden, in de zwaarste boetecategorie. Een gratis salestool die "engagement" meet via emotieherkenning op video-calls valt eronder, ook als niemand er bewust voor koos. Zonder overzicht ontdekt niemand het.
Vanaf 2 augustus 2026 moet AI die met mensen communiceert of content genereert kenbaar zijn als AI. Publiceert een medewerker ongemerkt AI-teksten of draait er ergens een chatbot, dan raakt dat deze plicht.
AI-systemen met een hoog-risico gebruiksdoel uit Bijlage III, zoals cv-screening bij werving, brengen zware verplichtingen mee: menselijk toezicht, logging, incidentmelding. Die verplichtingen gelden vanaf 2 december 2027. Later dus, maar niet weg. Een HR-medewerker die nu een gratis screeningstool probeert, zet die klok al in gang.
Los van de AI Act raakt schaduw-AI de AVG: gaan er persoonsgegevens in een tool zonder verwerkersovereenkomst, dan is de verwerking onrechtmatig. De volledige juridische uitleg staat in ons kennisbank-artikel Shadow AI: het onzichtbare AI Act-risico.
De snelste route naar een compleet beeld is geen netwerkscan maar een korte, anonieme uitvraag onder uw eigen mensen. Wie niet bang hoeft te zijn om "gepakt" te worden, meldt eerlijk wat hij gebruikt. U ziet de uitkomst per tool, met een risico-indicatie erbij.
Schaduw-AI · uitkomst uitvraag
ChatGPT
12 keer genoemd
Microsoft Copilot
9 keer genoemd
HR-screeningtool
3 keer genoemd
Notulen-AI (vrije tekst)
2 keer genoemd
1 melding van gevoelige gegevens in een niet-goedgekeurde tool
Anonieme uitvraag onder medewerkers, geen login nodig
Geen naam, e-mailadres of IP-adres opgeslagen
Risico-indicatie per tool uit de leveranciersbibliotheek
Signaal wanneer medewerkers er gevoelige gegevens mee verwerken
Elke ontdekking met één klik als concept in uw AI-register
Beschikbaar vanaf Professional. Stap voor stap een uitvraag opzetten en de uitkomst lezen: zo voert u een anonieme AI-uitvraag uit.
Een uitvraag ruimt het verleden op. Maar zonder voordeur begint de wildgroei morgen opnieuw. Met AI-aanvragen deelt u één vaste link waarmee een medewerker toestemming vraagt voor een nieuwe tool. U beoordeelt met een risico-hint erbij. Geen sluiproute meer nodig, want de nette route is sneller.
Eén vaste aanvraaglink voor het hele team, geen login nodig
Risico-hint per tool bij de beoordeling
Goedkeuren of afwijzen met een toelichting
De aanvrager krijgt de beslissing automatisch per e-mail
Goedgekeurde tool in één klik als concept in het register
AI-aanvragen · wachtrij
Perplexity
aangevraagd door Sanne · Marketing
Notion AI
aangevraagd door Tom · Sales
DeepL
aangevraagd door Kim · Support
Beschikbaar vanaf Professional. Hoe u zo'n proces inricht en aanvragen beoordeelt: zo zet u een aanvraagproces op.
Vinden is stap één. Waarde ontstaat pas als elke vondst een plek krijgt: toegestaan mét afspraken, vervangen door een veilig alternatief, of afgewezen met uitleg.
De uitvraag of een aanvraag brengt een tool in beeld, met hoe vaak hij genoemd is en welke gegevens erin gaan. De leveranciersbibliotheek geeft direct een eerste risico-indicatie.
U kijkt naar het gebruik, niet naar het merk. Dezelfde chatbot is onschuldig voor een blogopzet en gevoelig zodra hij cv's beoordeelt. Toestaan, vervangen of afwijzen: de keuze wordt vastgelegd.
Een toegestane tool staat met één klik als concept in uw AI-register, klaar om te classificeren. Vanaf dat moment draait hij mee in uw reguliere compliance-cyclus, van geletterdheid tot documentatie.
Nee, schaduw-AI is geen aparte overtreding in de AI Act. Het probleem zit een laag dieper: zonder zicht op het AI-gebruik kunt u AI-geletterdheid (Artikel 4), het verbod op bepaalde praktijken (Artikel 5) en de deployer-verplichtingen bij hoog-risico gebruik (Artikel 26) niet aantoonbaar naleven. Komt bij een controle boven dat er meer AI draait dan uw register toont, dan staat u zwak.
Ja. Gebruikt een medewerker AI voor het werk, dan is uw organisatie de gebruiksverantwoordelijke, ook als niemand de tool heeft goedgekeurd. De plicht om te zorgen voor voldoende AI-geletterdheid (Artikel 4) geldt al sinds 2 februari 2025. Gaan er persoonsgegevens in een gratis tool zonder verwerkersovereenkomst, dan komt daar een AVG-overtreding bij.
Met een anonieme uitvraag: vraag welke AI-tools mensen gebruiken of nuttig vinden, zonder naam, e-mailadres of IP-adres vast te leggen. Anonimiteit maakt antwoorden eerlijk. Aanvullend kan IT geaggregeerd kijken naar uitgaand verkeer richting bekende AI-domeinen. Individuele herleiding ligt gevoelig en vraagt om proportionaliteit en meestal een DPIA.
Elke tool die voor het werk wordt gebruikt en die u toestaat, hoort in het register: leverancier, beoogd gebruik, welke gegevens erin mogen en een verantwoordelijke. Voor tools die u afwijst of uitfaseert legt u de beslissing vast, maar ze hoeven niet als actief systeem in het register.
Zelden. Een totaalverbod zonder alternatief duwt het gebruik naar privé-accounts en privételefoons, waar u er geen zicht meer op heeft. Effectiever is een verbod op ongeoorloofd gebruik, gekoppeld aan een snelle route om een tool wél aan te vragen. Zo houdt u het gesprek én het overzicht.
De uitvraag ruimt het verleden op: een anonieme inventarisatie van wat er nu al draait. Het aanvraagproces bewaakt de voordeur: medewerkers vragen nieuwe tools vooraf aan, u beoordeelt en keurt goed of af. Samen sluiten ze de cirkel, van ontdekken tot onder controle houden.
Zo voert u een anonieme AI-uitvraag uit en vult u uw register
Lees meerDe voordeur tegen schaduw-AI: medewerkers vragen tools aan, u keurt goed of af
Lees meerHoe AI buiten zicht van IT uw Art. 4 en Art. 5-naleving ondermijnt
Lees meerStuur vandaag nog een anonieme uitvraag rond. Schaduw-AI en AI-aanvragen zitten in het Professional-plan, inclusief risico-indicatie per tool en één klik naar uw register.