Shadow AI: U gebruikt meer AI dan u denkt
Vraag een willekeurige directie hoeveel AI-systemen hun organisatie gebruikt, en het antwoord is vaak een aarzelend "een handvol". Vraag het de werkvloer, en het beeld kantelt volledig.
De marketingafdeling draait teksten door een generatief AI-model. Een HR-medewerker gebruikt een handige cv-screeningstool. Finance heeft een Excel-plug-in met "slimme" voorspellingen. De klantenservice leunt op een chatbot van de leverancier. En ergens draait een afdeling een eigen workflow bovenop een foundation model, ver buiten het zicht van IT.
Welkom bij Shadow AI: het geheel aan kunstmatige intelligentie dat binnen uw organisatie wordt gebruikt zonder dat het centraal bekend, goedgekeurd of beheerd is. Het is de directe opvolger van Shadow IT, maar met een fundamenteel hoger risicoprofiel. Onder de EU AI-verordening is dit niet langer louter een beheerprobleem — het is een acuut compliance-risico.
De drie gezichten van Shadow AI
Om Shadow AI effectief aan te pakken, moet u herkennen in welke vormen het zich voordoet op de werkvloer.
Bewust ingekochte, onaangemelde tools. Een afdeling schaft zelf een AI-dienst aan, vaak een SaaS-abonnement dat net onder de financiële drempel voor inkoop- of IT-goedkeuring blijft. Het systeem werkt, levert resultaat en wordt nooit gemeld.
Ingebedde AI in bestaande software. Dit is de sluipende variant. Uw vaste leverancier voegt AI-functionaliteit toe aan een product dat u al jaren gebruikt — de "samenvatten"-knop in uw vergadersoftware, de voorspellende analyse in uw CRM, de automatische sortering in uw e-mailclient. U hoeft geen nieuw AI-product te kopen om deployer te worden onder de wet. De verantwoordelijkheid ontstaat zonder enige actieve handeling van uw kant.
Zelfgebouwde experimenten. Een technisch onderlegde medewerker bouwt een eigen script of workflow bovenop een foundation model. Dit lijkt onschuldig, maar het bouwen van een eigen toepassing kan uw organisatie juridisch transformeren van een deployer naar een provider — met aanzienlijk zwaardere wettelijke verplichtingen als gevolg.
Waarom dit een compliance-probleem is, geen IT-probleem
Bij Shadow IT was het grootste risico doorgaans een datalek of ongecontroleerde licentiekosten. Bij Shadow AI komt daar een zware juridische dimensie bovenop.
U kunt niet beheersen wat u niet kent. De EU AI-verordening legt deployers concrete verplichtingen op: menselijk toezicht, transparantie naar betrokkenen, het bewaren van logs, en bij hoog-risico toepassingen een beoordeling van de grondrechtenimpact. Geen van deze verplichtingen kunt u nakomen voor een systeem waarvan u het bestaan niet kent.
De bewijslast ligt bij u. Wanneer een toezichthouder aanklopt, of wanneer een betrokkene bezwaar maakt tegen een AI-beslissing, moet uw organisatie met documentatie aantonen dat zij in controle is. "Wij wisten niet dat die afdeling dat gebruikte" is geen verweer — het is de erkenning dat uw governance-systeem faalt.
Het risico schaalt mee met de toepassing. Een medewerker die AI gebruikt om een interne memo te herschrijven, vormt een beheersbaar risico. Een HR-afdeling die ongemerkt een cv-screeningstool inzet, opereert in een hoog-risico categorie (Bijlage III) met alle zware compliance-eisen van dien. Het gevaarlijkste aan Shadow AI is dan ook niet de bekende toepassing — het is het systeem waarvan niemand in de directiekamer wist dat het onder de zwaarste categorie van de verordening viel.
Van blinde vlek naar beheerst register
Shadow AI bestrijden vereist een doorlopend proces, geen eenmalige opschoonactie. Vier stappen vormen de kern.
Stap 1: Inventariseer breed, niet smal.
Wie uitsluitend vraagt "Welke AI-tools hebben we aangeschaft?", mist de ingebedde AI en de experimenten volledig. Vraag uw organisatie in plaats daarvan naar concrete handelingen: "Welke software doet voorspellingen, genereert teksten, of ondersteunt uw beslissingen?" Die formulering legt aanzienlijk meer bloot.
Stap 2: Betrek de werkvloer, niet alleen IT.
IT kan de blinde vlekken per definitie niet in kaart brengen, juist omdat het systemen betreft die buiten het netwerk om gaan. Een gestructureerde uitvraag bij afdelingshoofden levert meer op dan een technische scan. Maak duidelijk dat het doel niet is om mensen te "betrappen", maar om de organisatie compliant te maken. Een cultuur waarin medewerkers hun AI-gebruik veilig durven te melden, is uw meest effectieve verdediging.
Stap 3: Classificeer op toepassing, niet op technologie.
Zodra u een AI-systeem in kaart heeft, bepaalt u in welke risicocategorie van de AI Act het valt. Hier geldt een cruciaal principe: classificeer op basis van de daadwerkelijke toepassing, niet de onderliggende technologie. Hetzelfde taalmodel vormt in de ene context een minimaal risico, en is in een andere context — zoals het ondersteunen van medische beslissingen of het screenen van sollicitanten — een hoog-risico systeem waarop de zwaarste verplichtingen van toepassing zijn.
Stap 4: Maak het een doorlopend proces.
Een inventarisatie is binnen een half jaar verouderd. Veranker periodieke her-inventarisatie in uw governance-structuur, en maak het aanmelden van nieuwe AI-toepassingen een standaard onderdeel van inkoop- en IT-procedures.
Shadow AI is een symptoom, geen ziekte
Het is verleidelijk om Shadow AI te bestrijden met een streng verbod. Dat werkt in de praktijk niet. Een verbod drijft het gebruik verder ondergronds en berooft uw organisatie van de productiviteitswinsten die AI biedt.
Wanneer medewerkers niet weten hoe ze AI-gebruik moeten melden, of wanneer dat proces traag en bureaucratisch is, kiezen ze de weg van de minste weerstand. Shadow AI is in die zin een symptoom van ontbrekende governance — niet de ziekte zelf.
De organisaties die dit goed aanpakken, maken het zichtbaar maken van AI-gebruik makkelijker dan het verbergen ervan: een centraal register, een laagdrempelig meldproces en heldere risicocriteria. Pas wanneer u weet welke AI uw organisatie daadwerkelijk gebruikt, kunt u beginnen aan het echte werk: innoveren met vertrouwen. Inventarisatie is niet de laatste stap richting compliance — het is de allereerste.