Een vriend van mij vertelde me onlangs dat hij niet meer met ChatGPT werkt. Niet uit principe of omdat hij iets beters gevonden had, maar omdat zijn IT-afdeling de toegang had geblokkeerd. Een paar dagen later vroeg ik hoe het ging zonder AI. Hij begon te lachen. "Hoezo zonder? Iedereen werkt nu met Claude. Die had men niet geblokkeerd." Sindsdien werkt zijn hele team met een chatbot waarvan zijn organisatie nog niet weet dat hij in gebruik is.
Dit is geen incident. Dit is hoe de meeste organisaties op dit moment in de praktijk met AI omgaan. Wat de IT-afdeling dichttimmert, vindt een ander gat. En zo lang de bestuurskamer denkt dat blokkeren synoniem is voor in control zijn, groeit het probleem onder de radar door.
TL;DR Shadow AI, het AI-gebruik dat buiten het zicht van IT en bestuur plaatsvindt, groeit nu sneller dan de meeste organisaties kunnen volgen. Onderzoek laat zien dat bijna de helft van de medewerkers AI-tools gebruikt zonder toestemming, en dat zelfs het topmanagement dit door de vingers ziet. Blokkeren werkt niet meer, want er komt elke week een nieuwe tool bij en bestaande software krijgt sluipenderwijs AI-features. De enige uitweg is geen verbod, maar een actief beleid: AI-geletterdheid op orde brengen, goede betaalde tools beschikbaar stellen, en je mensen blijven trainen omdat de ontwikkelingen razendsnel gaan.
Wat is shadow AI eigenlijk?
Shadow AI is hetzelfde verhaal als shadow IT, maar dan een paar slagen heftiger. Werknemers gebruiken AI-tools, browserextensies of AI-features in bestaande software zonder dat de IT-afdeling daar zicht op heeft, laat staan grip. Het verschil met de oude shadow IT is dat AI niet alleen documenten leest of mailtjes schrijft. AI verwerkt, onthoudt en steeds vaker handelt. En dat doet het op data die je liever niet kwijt was geweest.
De cijfers zijn confronterend. Zscaler meldde halverwege april dat zijn klanten samen meer dan 3.400 verschillende AI-applicaties gebruiken op de werkvloer. Een verviervoudiging in twaalf maanden tijd. De datastromen naar die applicaties overschreden 18.000 terabyte in 2025. Onderzoek van BlackFog onder 2.000 medewerkers van bedrijven met meer dan 500 werknemers laat zien dat 86% wekelijks AI gebruikt op het werk en dat 49% dat doet zonder toestemming van de werkgever. Het meest opvallend: 69% van de topbestuurders en C-suite-leden in dat onderzoek vindt dat prima.
Dat laatste cijfer raakt de kern. Shadow AI is geen probleem van eigenwijze medewerkers. Het is een probleem van leiderschap dat zelf ook even snel wat input wil hebben en geen tijd heeft om procedures te volgen.
Waarom shadow AI blokkeren niet werkt
Ik snap de reflex. Een tool veroorzaakt risico, dus blokkeer je hem. Dat werkt al jaren voor allerlei toepassingen. Maar AI is niet zoals andere software. AI komt namelijk uit drie kanten tegelijk je organisatie binnen.
De eerste route is openbare AI. ChatGPT, Claude, Gemini en tientallen anderen draaien gewoon in de browser. Je kunt ze blokkeren via je netwerk, maar dan opent iemand zijn telefoon, zet hij internet op 5G of stuurt hij een document naar zijn privémail om het thuis even snel door een chatbot te halen. Het verhaal van mijn vriend laat zien hoe wankel die controle is. ChatGPT geblokkeerd, Claude over het hoofd gezien, einde verhaal.
De tweede route zijn ingebakken AI-features in software die je al hebt. Microsoft, Google, Salesforce en bijna elke andere SaaS-leverancier rollen wekelijks AI-functies uit binnen tools die formeel goedgekeurd zijn. Onderzoek van JumpCloud schat dat in 2026 ongeveer 70% van alle AI-interacties op de werkvloer plaatsvindt via AI die ingebed zit in al gesanctioneerde software. Dat valt nauwelijks meer te onderscheiden van regulier gebruik.
De derde route zijn agents en browserextensies. Iemand installeert een handige extensie die zijn mails samenvat. Die extensie krijgt OAuth-toegang tot het hele mailbox. Iemand anders koppelt een AI-assistent aan zijn agenda, of aan de gedeelde drive van het team. De extensie of agent krijgt vervolgens dezelfde rechten als de medewerker zelf, en dat is meestal veel meer dan iemand bewust zou autoriseren. Push Security schreef onlangs een uitgebreide analyse van een breach bij Vercel waarbij precies dit type shadow integratie de toegangsdeur was.
Wie deze drie routes optelt, ziet dat blokkeren als strategie failliet is. Je dweilt met de kraan open en de kraan zit overal.
Het echte risico zit niet meer in een prompt
Veel discussies over shadow AI gaan nog steeds over wat medewerkers in een chatvenster typen. Bedrijfsdata in een prompt, klantgegevens in een AI-tool, een interne presentatie die per ongeluk in een extern model belandt. Dat is een reëel risico, maar het is inmiddels het kleinste deel van het probleem.
De afgelopen jaren heeft de AI-wereld een grote sprong gemaakt richting agents. Tools die niet wachten op een vraag, maar zelf actie ondernemen. Anthropic bracht half april Claude Opus 4.7 uit, een model dat volgens de leverancier moeilijke codeertaken zelfstandig kan afhandelen, met minimale supervisie. In dezelfde periode lanceerde het Claude Managed Agents in publieke beta, een platform om Claude als autonome agent in eigen workflows te draaien. En Claude Cowork werd algemeen beschikbaar voor macOS en Windows, met een functie waarmee Claude letterlijk de muis en het toetsenbord op je computer overneemt om taken uit te voeren terwijl jij offline bent.
Dit zijn ontwikkelingen van de afgelopen vier weken. Vier! Wat nu nog "een chatbot waar mijn IT-afdeling niets van weet" is, kan over een maand een autonome agent zijn die zelfstandig met je CRM, je mail en je klantbestand werkt. De aansprakelijkheidsvraag verschuift daarmee compleet. Een verkeerde prompt is een vervelend lek. Een agent die zelfstandig actie onderneemt op verkeerde aannames, kan een keten van besluiten in gang zetten waar niemand bewust opdracht voor heeft gegeven. Een refund die wordt goedgekeurd, een klantmail die wordt verstuurd, een record dat wordt aangepast. Allemaal zonder dat een mens er nog tussen zit.
Dat is precies het type vraagstuk dat eerder al de blinde vlek in de boardroom (opent in nieuw venster) blootlegde. Bestuurders hebben de neiging dit te zien als een operationeel detail. Het is in werkelijkheid een governance-vraag van de eerste orde.
Drie stappen tegen shadow AI die wel werken
Goed nieuws: de oplossing vraagt geen miljoeneninvestering of een nieuwe afdeling. Wel een verschuiving in denken. Als je je mensen niet kunt afhouden van AI, moet je zorgen dat ze het goed gebruiken. Drie stappen helpen daarbij.
1. Maak AI-geletterdheid serieus, want het is wettelijk verplicht
Sinds 2 februari 2025 verplicht Artikel 4 van de Europese AI Act elke organisatie die AI gebruikt of aanbiedt om "een toereikend niveau van AI-geletterdheid" bij haar personeel te borgen. Deze plicht geldt voor elke vorm van AI-gebruik, ook voor het personeel dat ChatGPT gebruikt om een mailtje te schrijven. Vanaf augustus 2026 starten de nationale toezichthouders met handhaving. De boetes lopen op tot 7,5 miljoen euro of 1,5% van de wereldwijde jaaromzet, afhankelijk van wat hoger uitkomt. Wat opvalt: in vrijwel elk gesprek dat ik met bestuurders voer, is dit nog steeds een blinde vlek. Iedereen kent de AI Act op hoofdlijnen, bijna niemand weet dat de geletterdheidsplicht al meer dan een jaar geldt.
2. Geef je mensen goede betaalde tools
Mensen zoeken AI-tools omdat ze ze nodig hebben voor hun werk. Als jij ze die niet biedt, gaan ze zelf op zoek en eindigen ze op gratis versies waar je geen enkele controle over hebt. De gratis versie van een AI-tool gebruikt jouw input vaak voor verdere training van het model. De zakelijke versie meestal niet. Door als organisatie een aantal goedgekeurde tools beschikbaar te stellen, met de juiste enterprise-instellingen rond data en logging, los je in één klap drie problemen op. Je voldoet aan je zorgplicht, je behoudt de productiviteitswinst en je krijgt zicht op wie wat gebruikt. Het kost geld, maar veel minder dan een datalek of een AI Act-boete.
3. Blijf trainen, want het verandert wekelijks
Dit is misschien wel het lastigste punt. AI-geletterdheid is geen cursus die je één keer doet en dan afvinkt. De ontwikkelingen gaan zo snel dat een training van een half jaar geleden alweer achterhaald is. Kijk alleen naar wat er in de laatste vier weken is gebeurd binnen één AI-product. Anthropic bracht een nieuw vlaggenschipmodel uit met betere visie en zelfstandig redeneren. Het lanceerde Claude Design, een ontwerptool waarmee je presentaties en prototypes maakt in een chatvenster. De integraties met Excel en PowerPoint kregen volledige contextuitwisseling tussen sessies. Geheugen uit eerdere chats werd voor alle gebruikers beschikbaar, ook in de gratis variant. En een agent kan nu vanaf je telefoon taken op je computer uitvoeren terwijl jij niet eens achter dat scherm zit. Dit is één leverancier, in één maand. Wie zijn personeel een jaar geleden trainde en denkt dat het daarmee klaar is, loopt nu hopeloos achter.
Van blokkeren naar begeleiden
De diepere kwestie is dit: organisaties zijn gewend om risico te beheersen door dingen tegen te houden. Daar zijn IT-afdelingen, securityteams en compliance-functies op gebouwd. Maar AI gedraagt zich niet als een traditioneel risico. Het is geen virus of phishingmail die je op de poort kunt tegenhouden. Het is een productiviteitsversneller die werknemers actief willen gebruiken, en die elke maand bredere mogelijkheden krijgt.
Dat vraagt een andere houding. Niet "verbieden tot het tegendeel bewezen is", maar "begeleiden zodat de risico's beheersbaar blijven". Dat is geen softe keuze, het is de enige werkbare. Bestuurders die het anders bekijken, gaan het verliezen van hun eigen organisatie. Niet omdat hun mensen tegen ze ingaan, maar omdat ze hun mensen geen ander praktisch alternatief bieden.
Ik begon dit stuk met een anekdote over een vriend die met Claude werkt omdat ChatGPT geblokkeerd (opent in nieuw venster) is. Het grappige is dat zijn IT-afdeling waarschijnlijk denkt dat ze de AI-discussie hebben afgevinkt. In werkelijkheid hebben ze hem alleen verplaatst. Het echte gesprek over wat AI voor hun organisatie betekent, wie er waarvoor verantwoordelijk is en hoe je grip houdt op een technologie die elke maand muteert, moet nog beginnen.
Dat gesprek begint niet bij IT. Dat begint in de bestuurskamer.
Bronnen
- Zscaler over 3.400 AI-apps en 18.000 TB aan datastromen, via UC Today (april 2026): uctoday.com (opent in nieuw venster)
- BlackFog-onderzoek over shadow AI onder 2.000 medewerkers, via CIO.com: cio.com (opent in nieuw venster)
- JumpCloud over embedded AI in SaaS-applicaties: jumpcloud.com (opent in nieuw venster)
- Push Security over de Vercel-breach en OAuth-sprawl: pushsecurity.com (opent in nieuw venster)
- Anthropic over Claude Opus 4.7: anthropic.com (opent in nieuw venster)
- Anthropic release notes (overzicht updates Cowork, Design, Excel/PowerPoint, Managed Agents): support.claude.com (opent in nieuw venster)
- EU AI Act, Artikel 4 (officiële tekst): artificialintelligenceact.eu (opent in nieuw venster)
- Compliquest over AI-geletterdheid, handhaving en boetes onder Artikel 4: compliquest.com (opent in nieuw venster)
- Berenschot over de AI Act en AI-geletterdheid in Nederland: berenschot.nl (opent in nieuw venster)
- Guldemond Advocaten over de Nederlandse handhavingsdeadline augustus 2026: guldemondadvocaten.nl (opent in nieuw venster)