Bedrijven in Nederland en de rest van Europa zetten dit jaar razendsnel generatieve AI in, van Microsoft 365 Copilot tot ChatGPT. Die groei vergroot het risico op shadow IT: ongeregistreerde apps en diensten die buiten zicht van de IT-afdeling draaien. Hierdoor ontstaat kans op datalekken en problemen met de AVG en de Europese AI-verordening (AI Act). Organisaties willen productiviteit verhogen, maar missen vaak overzicht en duidelijke regels voor veilig gebruik.
AI-gebruik groeit buiten IT
Medewerkers proberen nieuwe AI-tools graag direct uit, vaak met persoonlijke accounts of gratis versies. Dat geldt voor systemen als ChatGPT van OpenAI, Gemini van Google en AI-functies in Notion of Slack. Dit gebeurt soms zonder melding aan IT of security. Zo ontstaat āschaduw-AIā: nuttig voor tempo, maar onzichtbaar voor beheer en toezicht.
Door deze spontane adoptie krijgen organisaties geen volledig beeld van welke datamodellen klant- of personeelsgegevens verwerken. Ook weten zij niet altijd welke instellingen aanstaan, zoals het opslaan van prompts of het hergebruiken van data voor trainingsdoeleinden. Licenties en privacyvoorwaarden verschillen per aanbieder en per abonnement. Zonder centrale regie is naleving lastig te garanderen.
De druk om sneller te werken en kosten te beperken versterkt dit patroon. Veel AI-diensten zijn laagdrempelig: via de browser, een plug-in of een mobiele app. Dat maakt uitrol eenvoudig, maar ook ongecontroleerd. Het resultaat is een lappendeken van algoritmen en workflows zonder gemeenschappelijk beleid.
Shadow IT is het gebruik van software of clouddiensten zonder goedkeuring of beheer door de IT-afdeling.
Onzichtbare apps, zichtbare risicoās
De grootste zorg is datalekken door het invoeren van gevoelige data in externe modellen. Denk aan klantdossiers, broncode of interne strategie. Als een tool die gegevens bewaart of hergebruikt, kan informatie buiten de organisatie belanden. Ook kunnen rechten op content onduidelijk worden wanneer voorwaarden ruim zijn.
Contract- en leveranciersrisicoās spelen mee. Veel AI-diensten zijn van start-ups of snelgroeiende platforms met wisselende beveiligingsniveaus. Back-ups, logging en versleuteling zijn niet altijd aantoonbaar op orde. Zonder Data Processing Agreement (verwerkersovereenkomst) is AVG-naleving moeilijk te bewijzen.
Technisch zijn er extra aanvalsvlakken. AI-koppelingen in browsers of e-mail kunnen gegevens automatisch doorsturen naar externe diensten. Promptlekken of misleidende invoer kunnen resultaten vervormen en fouten verspreiden door de organisatie. Hoe onzichtbaarder de app, hoe lastiger het wordt om dit te onderzoeken en te herstellen.
Europese AI-verordening dwingt overzicht
De Europese AI-verordening (AI Act) legt verplichtingen op aan zowel aanbieders als gebruikers van AI-systemen. Hoog-risicotoepassingen, zoals werving, kredietbeoordeling of essentiƫle overheidsdiensten, vereisen risicobeheer, documentatie en menselijk toezicht. Voor generieke AI (GPAI) gelden transparantie-eisen en technische documentatie. Op het moment van schrijven bereiden organisaties zich voor op verplichtingen die in 2025 en 2026 gaan gelden.
De AVG blijft leidend voor alle dataverwerking. Dataminimalisatie, doelbinding en versleuteling zijn basisregels voor elk algoritme dat persoonsgegevens verwerkt. Een Data Protection Impact Assessment (DPIA) is nodig bij verhoogde risicoās, bijvoorbeeld wanneer AI beslissingen ondersteunt over burgers of werknemers. Zonder volledig overzicht van gebruikte AI-diensten is zoān DPIA niet compleet.
Voor Nederlandse overheden, zorginstellingen en onderwijsorganisaties komt hier extra druk bij. Zij verwerken vaak bijzondere persoonsgegevens en vallen onder streng toezicht. Transparantie richting burgers en auditeerbare besluitvorming worden harde eisen. De combinatie van AI Act en AVG maakt schaduw-IT onhoudbaar.
Copilot en ChatGPT als voorbeeld
Microsoft 365 Copilot wordt snel ingevoerd omdat het aansluit op bestaande werkprocessen. De rechtenstructuur volgt de documenten en teams in Microsoft 365. Dat is handig, maar vergroot ook het risico dat te ruime toegangen in SharePoint of OneDrive onbedoeld worden uitvergroot door AI. Opschoning van permissies en dataclassificatie zijn daarom noodzakelijk.
ChatGPT en Gemini zijn vaak het startpunt voor experimenten in marketing, klantenservice of softwareontwikkeling. Gebruikers kopiƫren dan tekst of code naar de prompt, zonder te weten of opslag is uitgeschakeld. Persoonlijke accounts en browser-extensies maken dit lastig te controleren. Organisaties doen er goed aan bedrijfstoegang en policies centraal te regelen.
Ook ontwikkelteams werken met GitHub Copilot of vergelijkbare code-assistenten. Dat verhoogt tempo, maar vraagt om duidelijke richtlijnen over het delen van broncode en geheimen, zoals API-sleutels. Een combinatie van code-scans en Data Loss Prevention (DLP) kan hier helpen. Zo blijft kennis in huis en worden licentie- en complianceproblemen voorkomen.
Aanpak: inventariseren en afschermen
Begin met een inventaris van alle AI-diensten, inclusief plug-ins en browserkoppelingen. Een cloud access security broker (CASB) helpt onbekende apps te ontdekken via netwerk- en loggegevens. Leg per dienst vast welke data erin gaan, waar die data worden opgeslagen en onder welke voorwaarden. Koppel dit aan een risicoclassificatie en autorisatiebeleid.
Beperk gevoelige datastromen met DLP en sterke toegangscontrole, zoals multifactor-authenticatie en conditionele toegang. Zet standaard veilige instellingen aan, bijvoorbeeld het uitschakelen van databehoud bij prompts. Voor SaaS-beheer kan een SaaS security posture management-oplossing (SSPM) nuttig zijn; dat is software die configuraties en rechten van clouddiensten controleert. Documenteer alles voor audits onder AVG en AI Act.
Maak duidelijke spelregels voor medewerkers, inclusief voorbeelden van wat wel en niet mag. Bied goedgekeurde alternatieven, zoals bedrijfslicenties voor Copilot of een interne AI-sandbox met afgeschermde data. Training en snelle interne support verkleinen de neiging om ongeautoriseerde tools te gebruiken. Zo blijven snelheid en veiligheid in balans.
Publieke sector extra aandacht
In de overheid, zorg en het onderwijs zijn de gevolgen van de Europese AI-verordening voor de overheid direct voelbaar. Besluiten die burgers raken moeten uitlegbaar en controleerbaar zijn. Dat vraagt om traceerbare modellen, logging en menselijke eindbeoordeling. Schaduw-IT past niet bij die eisen en vergroot juridische risicoās.
Gemeenten en uitvoeringsorganisaties werken vaak met veel SaaS-diensten en ketenpartners. EĆ©n ongeautoriseerde AI-koppeling kan dan al tot een ketendatalek leiden. Heldere verwerkersafspraken en encryptie zijn daarom randvoorwaardelijk. Toezichthouders kunnen hierop handhaven via zowel de AVG als sectorregels.
Europese samenwerking biedt houvast, bijvoorbeeld via referentiekaders en inkooprichtlijnen. Door best practices te delen ontstaat een minimumlijn voor veilig gebruik van algoritmen. Dat maakt verantwoorde inzet beter schaalbaar. En het helpt leveranciers om aan te sluiten op Europese eisen vanaf dag Ć©Ć©n.
