Terug naar het kenniscentrum
Compliance & Juridisch

Shadow AI: het verborgen risico in elk Belgisch kantoor

De helft van uw team gebruikt al ChatGPT. U weet alleen niet wat ze erin plakken. Lees hier waarom dat een probleem is — en wat u eraan kunt doen.

Gepubliceerd april 20269 min leestijdDoor het Fly AI-team

Wat is Shadow AI?

Shadow AI is elke AI-tool die uw medewerkers gebruiken zonder dat IT ervan weet. Denk aan ChatGPT, Notion AI, Grammarly, Jasper, Midjourney, GitHub Copilot — tools waarvoor mensen zich op eigen houtje aanmelden, vaak met een privé-e-mailadres en kredietkaart.

Het heet "shadow" omdat het voor u onzichtbaar is. U weet niet dat het gebeurt tot er iets misloopt.

60–70%

Volgens sectoronderzoek gebruikt 60 tot 70% van de medewerkers AI-tools die hun IT-afdeling niet heeft goedgekeurd.

De vraag is niet of het in uw organisatie gebeurt. De vraag is hoeveel data al is weggesijpeld.

Waarom mensen het gebruiken

Omdat het hun werk makkelijker maakt. E-mails schrijven, vergaderingen samenvatten, rapporten opstellen, ideeën genereren — AI is daar echt goed in. Uw team doet niets achter uw rug om; ze zijn gewoon productief.

Het probleem is niet dat ze AI gebruiken. Het probleem is wat ze erin stoppen en waar die data belandt.

Het probleem is niet dat uw team AI gebruikt. Het probleem is dat u geen zicht hebt op welke data waar belandt.

De drie grote risico's

1. Datalekken

Uw medewerker plakt een klantenlijst in ChatGPT om "de opmaak op te kuisen". Gefeliciteerd: u hebt zonet persoonsgegevens naar de servers van OpenAI gestuurd. Afhankelijk van hun gebruiksvoorwaarden en de locatie van die servers hebt u mogelijk net de GDPR overtreden.

Echte voorbeelden die wij hebben zien gebeuren:

  • Een verkoper plakt een NDA-beschermd contract in ChatGPT om "de kernpunten samen te vatten"
  • HR plakt cv's van kandidaten in een AI-tool om ze "sneller te scoren"
  • Finance uploadt een Excel-bestand met omzetcijfers naar een AI-tool om "een grafiek te genereren"

Al die data — contracten, cv's, financiën — staat nu op de server van iemand anders. In sommige gevallen wordt ze gebruikt om de volgende versie van de AI te trainen. In andere gevallen wordt ze gewoon onbeperkt bewaard.

2. Compliance-overtredingen

Onder de GDPR bent u de verwerkingsverantwoordelijke. U bent verantwoordelijk voor de bescherming van klantgegevens, ook als uw medewerker een tool gebruikte die u niet hebt goedgekeurd.

"Maar we wisten niet dat ze ChatGPT gebruikten!" houdt geen stand. De GDPR verplicht u om controles in te bouwen. Hebt u die niet en gebeurt er een datalek, dan bent u aansprakelijk.

Wat geldt als een datalek:

  • Klantenmails plakken in een niet-goedgekeurde AI-tool
  • AI inzetten om gezondheidsgegevens, financiële gegevens of andere data te verwerken die onder de GDPR een "bijzondere categorie" vormen
  • Data delen met een AI-tool zonder een degelijke verwerkersovereenkomst (DPA)

3. Verlies van IP en vertrouwelijkheid

Uw ontwikkelaar plakt eigen code in GitHub Copilot of ChatGPT om "te debuggen". Die code maakt mogelijk nu deel uit van de trainingsdata van de AI — wat betekent dat ze morgen kan opduiken in de suggestie van iemand anders.

Of: uw marketingteam gebruikt een AI-tool om een pitch op te stellen voor een nieuw product. Die pitch wordt gelogd. Wordt de AI-leverancier gehackt, dan ligt uw nog niet aangekondigde product op straat.

Bekend voorbeeld:

Samsung verbood ChatGPT nadat ingenieurs per ongeluk halfgeleiderontwerpen lekten door er code in te plakken. Die code werd onderdeel van het trainingscorpus van OpenAI.

Komt Shadow AI voor in uw organisatie?

Kunt u deze vijf vragen niet met zekerheid beantwoorden, dan luidt het antwoord vrijwel zeker ja.

Hebt u een officiële lijst met goedgekeurde AI-tools?
JaNee
Heeft uw organisatie een schriftelijk AI-gebruiksbeleid?
JaNee
Hebt u uw team gevraagd welke AI-tools ze in de praktijk dagelijks gebruiken?
JaNee
Weet u of er persoonsgegevens in ChatGPT, Claude of vergelijkbare tools zijn geplakt?
JaNee
Kunt u zien welke AI-tools via uw bedrijfsnetwerk worden gebruikt?
JaNee

Antwoordde u 'nee' op twee of meer van deze vragen, dan hebt u een Shadow AI-probleem — en u bent niet de enige.

Een stappenplan in vier stappen om de controle terug te nemen

1

Ontdekken

Breng in kaart welke AI-tools uw team echt gebruikt. Vraag het rechtstreeks — de meeste medewerkers antwoorden eerlijk wanneer het gesprek gericht is op helpen, niet op controleren. Bekijk browserlogs en SaaS-abonnementen op AI-tool-activiteit.

2

Beslissen

Stel een lijst van goedgekeurde tools op. Beslis voor elke AI-toepassing: goedkeuren met richtlijnen, vervangen door een goedgekeurd alternatief of blokkeren met een duidelijke uitleg. Algemene verboden werken niet — mensen omzeilen ze.

3

Uitrollen

Geef uw team AI-tools die echt beter zijn dan de shadow-alternatieven. Krijgen ze een veilige, EU-gehoste AI-assistent die hun e-mails leest en antwoorden opstelt, dan stoppen ze vanzelf met op eigen houtje klantgegevens in ChatGPT te plakken.

4

Monitoren

Permanent zicht is essentieel. Bouw een beheerlaag in die toont welke AI-agents draaien, welke data ze verwerken en of er iets buiten de goedgekeurde grenzen valt. Dit is geen surveillance — dit is governance.

Hoe Fly AI het Shadow AI-risico elimineert

Wij pakken Shadow AI van twee kanten aan. Eerst identificeert onze AI Audit elke ongeoorloofde AI-tool in uw organisatie en brengt ze de gegevensblootstelling in kaart. Vervolgens vervangen we risicovolle shadow-tools door doelgerichte AI-agents die op EU-soevereine infrastructuur draaien — zo krijgt uw team dezelfde productiviteitsboost zonder compliance-risico. Ons Agent Management Portal geeft uw IT-team en directie realtime inzicht in elke AI-agent die binnen het bedrijf draait.

AI Audit

Ontdek elke AI-tool die in uw organisatie wordt gebruikt. Breng datastromen in kaart, klasseer risico's en krijg een duidelijk herstelplan.

Meer over onze AI Audit

AI-agents op maat

Vervang risicovolle shadow-tools door veilige, EU-gehoste AI-agents gebouwd voor uw specifieke workflows. Dezelfde productiviteit, geen datalek.

Ontdek AI-agents

Agent Management Portal

Realtime toezicht op elke uitgerolde AI-agent. Statusmonitoring, auditlogs, aan/uit-controle en directe meldingen als er iets misloopt.

Bekijk Agent Management

Wilt u weten welke AI uw team écht gebruikt?

Boek een Shadow AI-auditOntdek onze AI Audit

Gerelateerde artikelen

Compliance & Juridisch

GDPR & AI: wat u moet weten

AI vrijwaart u niet van de GDPR. Een praktische gids met de zes GDPR-principes toegepast op AI en concrete stappen.

Lees artikel
Compliance & Juridisch

EU AI Act voor KMO's

Wat Belgische bedrijven concreet moeten doen om EU AI Act-conform te zijn. Risiconiveaus, verplichtingen en actiestappen.

Lees artikel
AI-basis

Wat is een AI-agent?

AI-agents gaan verder dan chatbots — ze lezen data, nemen beslissingen en ondernemen actie binnen uw bedrijfstools.

Lees artikel
Aderco logo
KBC logo
NTT logo
WE logo
SPW Wallonie logo
ISVAG logo
IFIC logo
Ixelles logo
Partena logo
Optiflux logo
Aderco logo
KBC logo
NTT logo
WE logo
SPW Wallonie logo
ISVAG logo
IFIC logo
Ixelles logo
Partena logo
Optiflux logo