Shadow-AI in het MKB: risico's, omvang en aanpak

Shadow-IT is een bekend fenomeen: medewerkers die zonder toestemming van IT eigen tools en systemen gebruiken. Shadow-AI is de nieuwe variant — en het groeit sneller dan welke IT-afdeling kan bijhouden.

Dit whitepaper beschrijft wat shadow-AI is, hoe wijdverbreid het is in het MKB, welke risico's het met zich meebrengt, en hoe je er als organisatie mee omgaat zonder innovatie te remmen.

Wat is shadow-AI?

Shadow-AI is het gebruik van AI-tools door medewerkers zonder dat de organisatie hiervan op de hoogte is of hiervoor toestemming heeft gegeven. Het gaat niet om kwaadwilligheid — het gaat om medewerkers die hun werk beter of sneller willen doen en daarvoor tools inzetten die ze zelf hebben gevonden.

Concrete voorbeelden: een medewerker die klantmails laat herschrijven door ChatGPT. Een HR-medewerker die sollicitatiebrieven laat samenvatten door een AI-tool. Een marketingmedewerker die afbeeldingen laat genereren door een gratis AI-dienst. Een financieel medewerker die een AI-browserextensie gebruikt om spreadsheets te analyseren.

Al deze situaties hebben twee dingen gemeen: de organisatie weet er niet van, en bedrijfsgegevens verlaten de organisatie via kanalen die niet zijn geautoriseerd.

De omvang van het probleem

Uit onderzoek blijkt dat het gebruik van generatieve AI op de werkplek explosief is gegroeid. Een groot deel van de medewerkers die AI gebruiken, doet dit zonder medeweten van hun werkgever. De schattingen variëren, maar het patroon is consistent: hoe jonger de medewerker, hoe groter de kans op ongeautoriseerd AI-gebruik.

In het MKB is het probleem relatief groter dan bij grote ondernemingen. Grote bedrijven hebben security-teams die netwerkverkeer monitoren en ongeautoriseerde tools kunnen detecteren. MKB-bedrijven hebben die luxe meestal niet.

Het gevolg: in veel MKB-organisaties is er geen enkel zicht op welke AI-tools medewerkers gebruiken, welke data ze ermee delen, en welke risico's dat met zich meebrengt.

De risico's

Shadow-AI brengt vier categorieën risico's met zich mee:

1. Dataverlies en privacy

Wanneer medewerkers bedrijfsgegevens invoeren in publieke AI-tools, verlaten die gegevens de organisatie. Ze worden verwerkt op externe servers, mogelijk buiten de EU, en bij veel gratis AI-diensten worden ze gebruikt om het model te trainen.

Browserextensies zijn hierbij de gevaarlijkste vorm van shadow-AI. Terwijl een medewerker denkt een handige samenvattingsknop te gebruiken, leest de extensie op de achtergrond alle tekst op het scherm mee — inclusief vertrouwelijke mails, financiële gegevens en klantinformatie. In feite is het een datalek met een AI-sausje.

Dit is niet alleen een bedrijfsrisico, het is ook een GDPR-risico. Zeker in de Belgische context, waar de Gegevensbeschermingsautoriteit (GBA) streng toeziet op informele verwerking van persoonsgegevens, is shadow-AI een tikkende tijdbom voor je compliance.

2. Kwaliteitsrisico's

AI-tools produceren output die overtuigend klinkt maar feitelijk onjuist kan zijn — zogenaamde hallucinaties. Wanneer medewerkers zonder training AI-gegenereerde content gebruiken zonder deze te controleren, kan onjuiste informatie in klantcommunicatie, rapporten of besluitvorming terechtkomen.

Een concreet voorbeeld: advocatenkantoren die boetes kregen omdat ze juridische argumenten uit ChatGPT haalden die bleken te zijn gebaseerd op niet-bestaande rechtszaken.

3. Compliance-risico's

De EU AI Act verplicht organisaties om hun AI-gebruik te inventariseren en te classificeren. Als je niet weet dat medewerkers AI gebruiken, kun je dat niet inventariseren. En als een toezichthouder vraagt welke AI-systemen je inzet, is "dat weten we niet" geen acceptabel antwoord.

Daarnaast zijn er specifieke verboden in de AI Act die medewerkers onbewust kunnen overtreden. Emotieherkenning inzetten om de stemming van klanten te peilen? Verboden. Een AI-tool gebruiken die social scoring toepast? Verboden.

4. Reputatierisico's

Stel dat een klant ontdekt dat zijn vertrouwelijke gegevens zijn verwerkt door een publieke AI-tool. Of dat een sollicitant erachter komt dat zijn motivatiebrief is samengevat door ChatGPT zonder zijn toestemming. De reputatieschade kan groter zijn dan de juridische consequenties.

Waarom verbieden niet werkt

De reflexmatige reactie op shadow-AI is vaak: verbieden. Blokkeer ChatGPT op het bedrijfsnetwerk. Verbied AI-browserextensies. Maak een streng beleid met sancties.

Dat werkt niet. Medewerkers vinden altijd een omweg. Shadow-AI is bijna altijd een signaal van behoefte, niet van kwade wil. Zie het niet als rebellie, maar als gratis marktonderzoek naar de behoeften van je eigen team. En AI gaat niet meer weg — organisaties die AI verbieden, verliezen concurrentiekracht.

De aanpak: kanaliseren in plaats van blokkeren

De rol van de IT-afdeling

IT kan tools blokkeren, netwerkverkeer monitoren, en enterprise-licenties beheren. Maar het beleid moet van de directie komen, de training van HR, en de cultuurverandering van iedereen.

Een slimme aanpak: gebruik je firewall niet alleen om te blokkeren, maar om te redirecten. Wanneer een medewerker naar een niet-geautoriseerde AI-site surft, leid hem dan om naar een interne pagina met de boodschap: "Wil je AI gebruiken? Goed idee — gebruik onze veilige bedrijfsomgeving en volg eerst de AI-geletterdheidstraining."

Conclusie

Shadow-AI is geen probleem dat je oplost door het te verbieden. Het is een signaal dat je organisatie achterloopt op de behoeften van je medewerkers. De oplossing is niet minder AI, maar betere AI: goedgekeurd, beveiligd, en ondersteund door beleid en training.

Organisaties die shadow-AI serieus aanpakken, ontdekken vaak dat ze twee problemen tegelijk oplossen: het compliance-risico verdwijnt, en de productiviteit stijgt — omdat medewerkers nu met betere tools werken, op een veiligere manier.

Hulp nodig bij het aanpakken van shadow-AI in jouw organisatie? AIAdopt helpt je met het hele traject: van inventarisatie en risicobeoordeling tot beleid, training en doorlopend beheer. Onze Module 4 (IT/Technisch) behandelt shadow-AI detectie en governance uitgebreid, en met een AI Adoptie Assessment brengen we in kaart waar je nu staat.