• Home
  • /
  • Nieuws
  • /
  • Wolters Kluwer: zo voorkom je Shadow AI met ChatGPT en bedrijfsapps

Door Dave

juli 1, 2026

Nederlandse organisaties voeren dit jaar strengere regels in voor AI-gebruik op het werk om ‘shadow AI’ te voorkomen. Het gaat om populaire systemen als ChatGPT van OpenAI, Microsoft Copilot en Google Gemini die zonder toestemming worden gebruikt. Aanleiding zijn de AVG en de Europese AI-verordening, met gevolgen voor overheid en bedrijfsleven. Doel is juridisch controleerbaar, veilig en eerlijk gebruik van algoritmen.

Organisaties dichten shadow AI-lekken

Shadow AI is het ongecontroleerd inzetten van AI-tools buiten het zicht van IT en compliance. Dit ontstaat vaak uit tijdsdruk of gemak, bijvoorbeeld bij tekstschrijven of codehulp. Het risico is dat gevoelige data via prompts of bestanden weglekt en dat de organisatie geen auditspoor heeft.

“Shadow AI” is elk gebruik van AI-systemen door medewerkers zonder formele toestemming, beveiliging of toezicht, waardoor wettelijke en contractuele risico’s ontstaan.

Bekende voorbeelden zijn het plakken van klantgegevens in ChatGPT of het laten samenvatten van interne notulen met Gemini. Ook kleine acties kunnen persoonsgegevens of bedrijfsgeheimen prijsgeven. Zonder logging is later niet meer te reconstrueren wat er is gedeeld of beslist.

Daarom kiezen steeds meer bedrijven voor een ‘allowlist’ met goedgekeurde diensten, zoals ChatGPT Enterprise, Microsoft Copilot met Microsoft Purview, of Gemini for Workspace met data loss prevention. Deze varianten bieden vaak beheerdersinstellingen, auditlogs en datagaranties. Zo blijft het gebruik praktisch, maar wel aantoonbaar onder controle.

Beleid en opleiding eerst

Een helder AI-beleid is de basis: wat mag wel, wat niet, en met welke tools. Leg uit dat een prompt ook data is en dus onder de AVG valt. Geef concrete voorbeelden van veilige en onveilige invoer, en werk met checklists voor gevoelige informatie.

Maak één centraal AI-register waarin teams hun toepassingen aanmelden en actualiseren. Noteer doel, gegevenssoorten, leverancier, bewaartermijnen en de beoogde menselijke controle. Koppel dit aan het verplichte verwerkingsregister (AVG) en aan change- en inkoopprocessen.

Oefen medewerkers in ‘prompt hygiene’ en het beoordelen van uitkomsten. Leg uit wat hallucinerende antwoorden zijn: door het model bedachte maar foutieve feiten. Verplicht een menselijke eindcontrole bij teksten, analyses en code die extern wordt gebruikt.

Toetsen met AVG en DPIA

Controleer per toepassing de rechtsgrond: toestemming, overeenkomst of gerechtvaardigd belang. Pas dataminimalisatie toe: deel geen namen, BSN’s of medische details als dat niet strikt nodig is. Versleutel bestanden en schakel gegevensbewaring bij de leverancier uit als die optie bestaat.

Voer een gegevensbeschermingseffectbeoordeling (DPIA) uit als de impact hoog kan zijn, zoals bij personeelsbeoordeling of klantprofilering. Noteer risico’s, mitigerende maatregelen en rest-risico’s. Herhaal de DPIA bij grote modelupdates of functiewijzigingen.

Let op aanbiedersinstellingen die helpen te voldoen aan privacyregels. OpenAI Enterprise en ChatGPT Team bieden, op het moment van schrijven, opties voor geen trainingsgebruik van klantdata en kortere bewaartermijnen. Microsoft Copilot en Azure OpenAI Service ondersteunen een EU Data Boundary en uitgebreide auditlogs via Microsoft Purview.

Techniek: blokkeren en loggen

Beperk toegang via een allowlist en single sign-on, en blokkeer risicovolle sites met een CASB of secure web gateway. Stel DLP-beleid in voor e-mail, chat en opslag om het delen van gevoelige data te voorkomen. Gebruik rolgebaseerde toegang en versleuteling voor datasets en prompt-bibliotheken.

Activeer uitgebreide auditlogs voor prompts, bestanden en output in goedgekeurde tools. In Microsoft 365 helpen Purview en eDiscovery bij toezicht en onderzoeken; in Google Workspace kan DLP met auditlogging dezelfde rol vervullen. Zorg dat security en juridische teams toegang hebben tot deze logs met duidelijke bewaar- en verwijdertermijnen.

Werk met ‘grounding’ en afscherming waar mogelijk: laat modellen putten uit goedgekeurde, geclassificeerde bronnen. Gebruik redactietools (persoonsgegevens maskeren) voor uploads. Test regelmatig met red-teaming om lekken, vooroordelen en jailbreaks te ontdekken.

Contracten en leverancierskeuze

Leg afspraken vast in verwerkersovereenkomsten en servicevoorwaarden. Vraag om transparantie over data-opslag, subverwerkers, modelupdates en incidentmelding. Check certificeringen zoals ISO 27001 en, waar beschikbaar, ISO/IEC 42001 voor AI-managementsystemen.

Kies enterprise-varianten met EU-hosting of duidelijke doorgiftegrondslagen, bijvoorbeeld Azure OpenAI Service, Mistral-hosting in de EU, Anthropic Claude voor bedrijven of ChatGPT Enterprise. Beoordeel model- en systeemkaarten die uitleggen wat het model kan en niet kan. Leg eigendom en licentie van output contractueel vast, zeker bij code en content.

Stel exit-clausules en dataportabiliteit verplicht. Borg support-SLA’s en security-audits. Evalueer leveranciers jaarlijks of bij grote modelwijzigingen.

AI-verordening wijzigt verantwoordelijkheden

De Europese AI-verordening introduceert risicoklassen en nieuwe plichten voor aanbieders en gebruikers. Transparantie-eisen voor generatieve AI gelden op het moment van schrijven, terwijl verplichtingen voor hoogrisico-systemen ingaan in augustus 2026. Organisaties moeten dan onder meer risico’s beheren, documenteren en menselijk toezicht borgen.

Voor de overheid, zorg en onderwijs betekent dit extra aandacht voor registraties, uitleg aan burgers en controleerbare besluitvorming. Combineer AI Act-eisen met de AVG en, waar van toepassing, NIS2-veiligheidsnormen. Maak functies als toelatingsbeleid, bezwaar en beroep ook geschikt voor beslissingen met AI-ondersteuning.

Begin nu met een AI-governancesysteem dat beleid, juridische toetsing en techniek verbindt. Zo verdwijnt het gebruik niet in de schaduw, maar blijft het aantoonbaar, veilig en effectief. Dat is cruciaal bij audits door de Autoriteit Persoonsgegevens en bij aanbestedingen in Nederland en de EU.

Over de schrijver 

Dave

Hoi, ik ben Dave – schrijver, onderzoeker en nieuwsgierige geest achter AIInsiders.nl. Ik hou me bezig met de manier waarop technologie ons leven verandert, en vooral: hoe we dat een beetje kunnen bijbenen. Van slimme tools tot digitale trends, ik duik graag in de wereld achter de schermen.

Mijn stijl? Lekker helder, soms kritisch, altijd eerlijk. Geen onnodig jargon of overdreven hype, maar praktische inzichten waar je echt iets aan hebt. AI is niet eng of magisch – het is interessant, en ik help je graag om dat te zien.

Meer lezen

02/07/2026 21:52

Anthropic heeft zijn meest geavanceerde Claude-modellen weer online gezet. De systemen waren kortstondig niet beschikbaar na een verbod door een overheidsinstantie vanwege veiligheidszorgen. Op het lees verder

Anthropic zet Claude weer online na tijdelijk overheidsverbod

02/07/2026 19:49

Het NOS Journaal gebruikte deze week met kunstmatige intelligentie gemaakte beelden in een nieuwsuitzending en online. De publieke omroep erkent dat dit niet duidelijk is lees verder

NRC onthult: NOS gebruikte AI-beeldmateriaal – ‘Dit was een fout’

02/07/2026 17:46

Accountants in Nederland verwachten hogere kosten bij het inzetten van kunstmatige intelligentie. Kantoren die werken met Microsoft Copilot, OpenAI’s ChatGPT Enterprise en branchetools zien licenties, lees verder

Accountants vrezen, net als advocaten, hogere AI-kosten door ChatGPT

02/07/2026 15:43

De Amerikaanse regering heeft de blokkade op de geavanceerde AI van Anthropic opgeheven. Het bedrijf achter het model Claude mag zijn dienst weer volledig aanbieden, lees verder

VS heft blokkade op: AI van Anthropic weer beschikbaar
>