Bedrijven in Nederland en Europa scherpen hun AI-beleid aan door de groei van ‘shadow AI’. Medewerkers gebruiken ChatGPT, Gemini en Copilot buiten IT om, wat risico’s geeft voor privacy en veiligheid. Organisaties moeten nu kiezen welke AI-licenties zij centraal inkopen en hoe zij gebruik controleren. De Europese AI-verordening en de AVG maken deze keuzes urgent, ook voor overheden en zorginstellingen.
Shadow AI vraagt regie
Shadow AI is het gebruik van AI-tools zonder goedkeuring of toezicht van de organisatie. Dit ontstaat vaak door gratis accounts of proefversies van ChatGPT, Google Gemini of browserplug-ins. Het lijkt handig, maar kan leiden tot datalekken, foutieve output en onduidelijke kosten.
IT-afdelingen zien daardoor minder wat er met bedrijfsgegevens gebeurt. Er zijn geen uniforme logboeken, geen duidelijke bewaartermijnen en soms worden prompts extern opgeslagen. Zonder beleid is het lastig om incidenten te onderzoeken of te voldoen aan wetgeving.
Door centraal beleid en licenties kunnen organisaties risico’s beperken. Denk aan single sign-on, rolrechten en auditlogs via enterprise-licenties. Ook helpt een toegestane lijst met tools en duidelijke richtlijnen voor wat medewerkers wel en niet mogen invoeren.
Shadow AI is het gebruik van AI-tools buiten zicht en controle van de organisatie, vaak met privé-accounts of gratis diensten.
Licenties sturen datagebruik
Licentiemodellen bepalen wie data ziet, hoe lang data bewaard wordt en of data wordt gebruikt voor training. Enterprise-versies van Microsoft Copilot voor Microsoft 365, Google Gemini for Workspace en OpenAI ChatGPT Enterprise trainen op het moment van schrijven niet op klantdata. Dat verlaagt het risico op datalekken en helpt bij AVG-naleving.
Bedrijven kiezen tussen licenties per gebruiker, per app of op verbruik (tokens of API-calls). Per-gebruikerslicenties geven vaak betere integratie en beveiliging in Microsoft 365 of Google Workspace. API-licenties via Azure OpenAI Service, Amazon Bedrock of Google Vertex AI geven juist meer controle over datastromen en logbeheer.
Ontwikkelteams gebruiken daarnaast GitHub Copilot of Anthropic Claude voor code en documentatie. Daar hoort beleid bij voor broncode, geheimen en klantgegevens. Een heldere scheiding tussen test, ontwikkeling en productie voorkomt dat gevoelige data in publieke modellen belandt.
Open of gesloten modellen
Organisaties twijfelen tussen gesloten modellen en open modellen die zij zelf kunnen hosten. Gesloten modellen zoals GPT-4o, Claude 3.5 Sonnet en Gemini 1.5 bieden gebruiksgemak en sterke prestaties. Open modellen zoals Meta Llama 3.1 en Mistral Large geven meer controle en kunnen on-premises of in een EU-regio draaien.
Zelf hosten vraagt beheer, evaluatie en beveiliging, maar kan dataminimalisatie en EU-datalocatie vereenvoudigen. Het maakt ook fijnmazige filtering en maatwerk mogelijk. De keerzijde is hogere operationele kosten en schaarse expertise.
Een hybride aanpak komt op: een “model-gateway” die per taak het beste model kiest. Zo kunnen klantdata in een EU-gehost open model blijven, terwijl publieke content via een extern model gaat. Contracten en technische waarborgen moeten dit modelrouteren transparant en controleerbaar maken.
Europese AI-verordening stuurt keuzes
De AI-verordening (AI Act) treedt gefaseerd in werking tot en met 2026. Bepalingen voor generieke AI-modellen vragen meer transparantie en documentatie van leveranciers. Voor toepassingen in de hoge-risicoklasse, zoals werving of kredietbeoordeling, gelden straks strengere eisen voor testen, logging en menselijke controle.
De AVG blijft leidend voor persoonsgegevens. Dataminimalisatie, een DPIA bij hoog risico en passende beveiliging zijn verplicht. Voor publieke organisaties en zorginstellingen is dit extra belangrijk, omdat gevolgen van fouten groot zijn.
Europese datalocatie en doorgifte blijven aandachtspunten. Diensten als Azure OpenAI Service, Google Cloud en AWS bieden EU-regio’s en versleuteling. Organisaties moeten verwerkersovereenkomsten, bewaartermijnen en auditrechten goed vastleggen.
Praktische stappen voor beleid
Begin met een duidelijk AI-beleid en een korte checklist voor medewerkers. Benoem welke AI-diensten zijn toegestaan, welke data nooit ingevoerd mag worden en hoe resultaten gecontroleerd moeten worden. Verwijs naar specifieke tools zoals Microsoft Copilot, Gemini of ChatGPT met de juiste licenties.
Richt authenticatie, logging en bewaartermijnen centraal in. Zorg voor single sign-on, rolgebaseerde toegang en versleuteling van prompts en resultaten. Stel waarschuwingen in voor gevoelige gegevens, bijvoorbeeld via DLP in Microsoft 365 of Google Workspace.
Maak afspraken met leveranciers over training op klantdata, data-eigendom en incidentmeldingen. Evalueer modellen periodiek op nauwkeurigheid, bias en hallucinaties met representatieve Nederlandse data. Train medewerkers in veilige invoer en het controleren van uitkomsten.
Wat tools nog missen
Veel platforms bieden nog geen uniforme, gedetailleerde auditlogs over alle AI-acties. Ook is EU-datalocatie niet altijd consistent aanwezig voor elke functie. Dit bemoeilijkt AVG-rapportages en interne audits.
Evaluatietools voor kwaliteit in het Nederlands zijn nog beperkt. Organisaties moeten nu vaak zelf testsets en meetmethoden opzetten. Dat kost tijd en vraagt taal- en domeinkennis.
Tot slot is er behoefte aan duidelijke labels en watermerken voor AI-gegenereerde content. Dit helpt bij herleidbaarheid en verantwoord gebruik. Naarmate de AI-verordening nadert, zal druk op leveranciers toenemen om deze functies te leveren.
