Vraag in een willekeurige organisatie wie er AI gebruikt voor het werk, en je krijgt twee antwoorden. Het officiële antwoord: “wij hebben daar nog geen beleid voor.” En het eerlijke antwoord, bij de koffieautomaat: “iedereen, gewoon op je eigen telefoon.”

Dat tweede antwoord heet schaduw-AI: medewerkers die AI-tools gebruiken voor werktaken zonder dat de organisatie dat weet of heeft goedgekeurd. Het is de AI-variant van schaduw-IT — het bekende verschijnsel dat teams eigen tooltjes regelen als de officiële systemen tekortschieten. Het gebeurt in vrijwel elke sector, van zorg en onderwijs tot bouw en zakelijke dienstverlening.

Waarom schaduw-AI ontstaat

Schaduw-AI is zelden kwade wil. Het ontstaat omdat drie dingen tegelijk waar zijn:

Wie schaduw-AI wil begrijpen, moet dus niet vragen “waarom houden medewerkers zich niet aan de regels?” maar “welke behoefte vervullen ze, en waarom kan dat niet via de officiële weg?”

De echte risico’s (zonder overdrijving)

Schaduw-AI is geen reden voor paniek, maar de risico’s zijn wel echt. Ze vallen in vier categorieën.

1. Persoonsgegevens en de AVG

Het grootste praktische risico. Wie een klantdossier, sollicitatiebrief of leerlingverslag in een privé-chatbot plakt, deelt persoonsgegevens met een externe partij waarmee de organisatie geen verwerkersovereenkomst heeft. Dat kan een meldplichtig datalek opleveren. Het venijnige aan schaduw-AI: de organisatie wéét niet eens dat het gebeurt, dus kan ze het ook niet melden of herstellen. Meer hierover lees je in ons artikel over AVG en AI op het werk.

2. Bedrijfsinformatie en intellectueel eigendom

Niet alleen persoonsgegevens zijn gevoelig. Offertes, prijsafspraken, broncode, conceptplannen, interne memo’s: wie die invoert in een consumententool, zet vertrouwelijke informatie buiten de deur. Bij sommige tools kan die invoer worden gebruikt voor modeltraining of worden ingezien voor kwaliteitscontrole. Contracten met klanten bevatten bovendien vaak geheimhoudingsclausules — die gelden ook als het lek via een chatbot loopt.

3. Kwaliteit zonder vangnet

AI-output klinkt zelfverzekerd, ook als hij fout is. Binnen een goedgekeurd proces staat daar controle tegenover: vier-ogen-principe, redactie, review. Bij schaduwgebruik ontbreekt dat vangnet per definitie — niemand weet immers dat de tekst, berekening of samenvatting door AI is gemaakt. Fouten sluipen zo ongezien in offertes, adviezen en rapportages.

4. Compliance en aantoonbaarheid

De Europese AI-verordening (Verordening (EU) 2024/1689) verplicht organisaties via artikel 4 sinds 2 februari 2025 om te zorgen voor voldoende AI-geletterdheid bij medewerkers die met AI werken. Een organisatie die officieel “geen AI gebruikt” maar waar het in de praktijk overal gebeurt, kan die verplichting moeilijk waarmaken: je kunt mensen niet toerusten voor iets waarvan je ontkent dat het bestaat.

Waarom verbieden niet werkt

De reflex van veel organisaties is een verbod: AI-websites blokkeren op het netwerk, een memo dat gebruik niet is toegestaan. Dat voelt daadkrachtig, maar in de praktijk verplaatst het het probleem alleen:

Een verbod maakt van een zichtbaar leerprobleem een onzichtbaar risico. Dat is vrijwel altijd een slechtere positie.

Kernpunt: schaduw-AI is een signaal, geen misdaad. Het vertelt je waar medewerkers behoefte aan hebben en waar je beleid en voorzieningen achterlopen. Behandel het als informatie, en je kunt sturen. Behandel het als overtreding, en het duikt onder.

Hoe je het wél aanpakt: kanaliseren in vier stappen

Stap 1: breng in kaart wat er al gebeurt

Vraag het gewoon — anoniem als dat nodig is voor eerlijke antwoorden. Welke tools gebruiken mensen, voor welke taken, met wat voor gegevens? Maak expliciet dat dit een nulmeting is, geen heksenjacht. De uitkomst is vrijwel altijd leerzamer (en omvangrijker) dan verwacht.

Stap 2: bied een goedgekeurd alternatief

Kanaliseren werkt alleen als er een legale route is die minstens zo makkelijk is als de sluiproute. Kies één of enkele AI-tools die je als organisatie goedkeurt, bij voorkeur zakelijke versies met fatsoenlijke afspraken over dataverwerking, en maak die voor iedereen toegankelijk. Een goed alternatief lost het grootste deel van het schaduwgebruik vanzelf op.

Stap 3: maak duidelijke, korte regels

Geen document van dertig pagina’s, maar een paar heldere afspraken: welke tools zijn toegestaan, welke gegevens mogen er nooit in, wanneer controleert een mens de output, en waar meld je twijfel of fouten. Hoe je zo’n beleid opstelt, beschrijven we in een AI-beleid opstellen.

Stap 4: train je mensen

Regels zonder begrip worden omzeild; begrip zonder regels wordt willekeur. Medewerkers die snappen wáárom een klantdossier niet in een gratis chatbot hoort — en hoe ze AI wel veilig en effectief inzetten — hebben geen verbod nodig. Dat is precies wat artikel 4 van de AI-verordening bedoelt met AI-geletterdheid, en het is de duurzaamste vorm van risicobeheersing die er is.

Samengevat

  1. Schaduw-AI ontstaat waar behoefte bestaat en een goedgekeurd alternatief ontbreekt — niet uit kwade wil.
  2. De echte risico’s: persoonsgegevens, vertrouwelijke bedrijfsinformatie, ongecontroleerde fouten en niet-aantoonbare compliance.
  3. Verbieden drijft het gebruik ondergronds en maakt de risico’s groter, niet kleiner.
  4. Kanaliseren werkt: inventariseer, bied een alternatief, maak korte regels, en train je mensen.

Benieuwd hoe AI-geletterd jouw team nu is? De gratis quiz geeft een eerste beeld. Voor een structurele aanpak per team of organisatie: bekijk de cursus AI-geletterdheid of de mogelijkheden voor werkgevers.