shadow ai: de onzichtbare tijdbom in je bedrijf.

“wij gebruiken geen ai.” dat zei een directeur van een mkb-bedrijf met 40 medewerkers tegen ons. twee weken later bleek dat zijn hele salesteam dagelijks chatgpt gebruikte. voor offertes, klantmails en marktonderzoek. met bedrijfsdata erin geplakt. niemand had het gemeld.

dit is shadow ai. en het is geen uitzondering. het is de norm.

tl;dr

je team gebruikt ai-tools. ook zonder jouw toestemming. 98% van bedrijven heeft medewerkers die niet-goedgekeurde ai inzetten. verbieden werkt niet — 45% zoekt gewoon een omweg. de oplossing is niet controle, maar kaders: maak het bespreekbaar, bied alternatieven en stel drie heldere regels op.

iedereen doet het, niemand zegt het

de cijfers zijn onthutsend. 78% van medewerkers brengt eigen ai-tools mee naar werk. ze gebruiken chatgpt, gemini, copilot of een van de honderden andere tools. niet omdat ze kwaad willen. maar omdat het werkt. een offerte die normaal twee uur kost, is in twintig minuten klaar. een klantmail die je drie keer herschrijft, is in één keer goed.

bijna 90% van al het ai-gebruik in bedrijven is onzichtbaar voor de organisatie.

en dat is precies het probleem. niet het gebruik zelf — maar dat niemand weet wát er gebeurt.

het risico zit niet in de tool, maar in de data

stel: je hr-medewerker plakt salarisgegevens in chatgpt om een benchmark te maken. of je accountmanager stuurt een compleet klantenbestand door een ai-tool om “even snel te segmenteren.” die data verlaat je bedrijf. je hebt geen idee waar het terechtkomt.

bijna de helft van medewerkers deelt bedrijfsgegevens met publieke ai-tools. dat is geen hypothetisch risico. dat is een datalek dat je nog niet hebt ontdekt.

en dan hebben we het nog niet over de eu ai act. shadow ai maakt het onmogelijk om compliant te zijn. je kunt niet rapporteren over ai-systemen waarvan je niet weet dat ze bestaan.

verbieden werkt niet (en maakt het erger)

de reflex van veel bedrijven: blokkeer de tools, verbied het gebruik. begrijpelijk. maar het werkt niet. onderzoek laat zien dat 45% van medewerkers omwegen zoekt als tools worden geblokkeerd. ze gebruiken hun privételefoon, hun eigen laptop, of een vpn.

erger nog: door het te verbieden maak je het onbespreekbaar. medewerkers gaan het verbergen in plaats van melden. je duwt het probleem ondergronds.

bijna een kwart van medewerkers zegt hun werk niet af te krijgen zonder deze tools. dat is geen onwil. dat is een signaal dat je processen vragen om verbetering.

wat wél werkt: drie regels op een a4

de oplossing is verrassend simpel. geen dik beleidsdocument. geen maanden durend compliance-traject. drie regels:

1. geen klantdata of persoonsgegevens in publieke ai-tools. punt. dit is de harde grens. leg uit waarom: niet om te straffen, maar om het bedrijf en de klanten te beschermen.

2. meld welke ai-tools je gebruikt. maak er een open gesprek van. geen schaamte, geen sancties. je wilt weten wat er leeft zodat je goede keuzes kunt maken.

3. gebruik bij voorkeur de tools die wij aanbieden. bied twee of drie goedgekeurde alternatieven aan. liefst tools waar bedrijfsdata niet wordt opgeslagen of gebruikt voor training. dat kost minder dan je denkt.

de beste ai-strategie begint niet met technologie. het begint met een open gesprek met je team.

van risico naar voorsprong

het mooie is: als je shadow ai bespreekbaar maakt, ontdek je waar de echte kansen zitten. je team weet precies welke processen beter kunnen. ze hebben de tools al gevonden. het enige wat ontbreekt zijn de kaders.

bedrijven die dit goed aanpakken, zien hogere productiviteit en minder weerstand. niet ondanks het ai-beleid, maar dankzij.

---

de vraag die blijft hangen: als 78% van je medewerkers al ai gebruikt, is de vraag niet óf je een ai-beleid nodig hebt. de vraag is hoe lang je het je kunt veroorloven om er geen te hebben.

wij helpen mkb-bedrijven om van shadow ai naar slim ai-beleid te gaan. het AI Startkompas brengt in kaart wat er al gebeurt — en wat de volgende stap is.