Shadow AI is het gebruik van AI-tools door werknemers zonder toestemming of medeweten van hun organisatie. Het gaat om programma’s zoals ChatGPT, Claude, Gemini of andere slimme assistenten die mensen op eigen initiatief gebruiken om hun werk sneller of makkelijker te maken. Op zich een logische gedachte: je wilt gewoon efficiënt werken. Maar het probleem is dat deze tools vaak niet zijn goedgekeurd door de IT-afdeling, en dat kan grote gevolgen hebben voor de veiligheid van jouw gegevens én die van anderen.
Herkenbare voorbeelden uit de praktijk
Shadow AI komt vaker voor dan je denkt, en dichterbij dan je misschien verwacht. Neem bijvoorbeeld een werknemer die een vertrouwelijk contract in ChatGPT plakt om het te laten herschrijven. Of een ZZP-er die klantgegevens in een AI-tool invoert om sneller een offerte te maken. In beide gevallen verlaat gevoelige informatie de beveiligde omgeving van de organisatie, vaak zonder dat iemand het doorheeft.
Ook in het onderwijs is Shadow AI gevaarlijk. Docenten staan onder enorme werkdruk en zoeken naar manieren om tijd te besparen. Ze gebruiken AI-tools om lesmateriaal te maken, toetsen te genereren of feedback te formuleren. Klinkt efficiënt, maar wat gebeurt er als een docent daarbij namen, cijfers of persoonlijke informatie van leerlingen invoert? Dan komen gevoelige gegevens van kinderen terecht bij bedrijven waarvan we niet precies weten hoe ze met die data omgaan. Ouders weten hier vaak niets van, terwijl het wel om de privacy van hun kinderen gaat.
Het probleem wordt nog groter doordat veel scholen geen duidelijk AI-beleid hebben. Docenten willen graag innoveren en hun lessen verbeteren, maar krijgen vaak geen richtlijnen over wat wel en niet mag. Hierdoor nemen ze onbewust risico’s, zonder te beseffen dat ze mogelijk aansprakelijk kunnen worden gesteld bij een datalek.
Datalekken: dichter bij huis dan je denkt
De afgelopen jaren zijn datalekken schrikbarend gewoon geworden. In 2024 werden in Nederland maar liefst 37.839 datalekken gemeld bij de Autoriteit Persoonsgegevens, een stijging van bijna 50% ten opzichte van 2023. Dat is meer dan 100 datalekken per dag. De meeste daarvan zijn ‘kleine’ incidenten, zoals een verkeerd verzonden e-mail of brief, maar de gevolgen kunnen voor de betrokkenen enorm zijn.
Een van de meest schokkende voorbeelden uit 2025 is het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker. In juli werden de gegevens van aanvankelijk 485.000 vrouwen gestolen bij laboratorium Clinical Diagnostics in Rijswijk. Later bleek dat het aantal slachtoffers mogelijk opliep tot wel 941.000 vrouwen. Het ging niet alleen om namen en adressen, maar ook om BSN-nummers, testuitslagen en andere medische informatie. Criminele hackers hadden toegang gekregen tot de systemen en het duurde weken voordat de gedupeerde vrouwen werden geïnformeerd.
Dit is geen op zichzelf staand incident. In 2024 werden wereldwijd honderden miljoenen mensen getroffen door datalekken bij grote bedrijven. Ticketmaster verloor gegevens van 560 miljoen klanten, en ook in de zorgsector, bij gemeenten en bij grote bedrijven gingen regelmatig gegevens op straat te liggen. De trend is duidelijk: datalekken worden niet alleen frequenter, maar ook grootschaliger.
En Shadow AI verergert dit probleem nog
Wat heeft Shadow AI hier nu mee te maken? Heel veel, blijkt uit onderzoek. Shadow AI vergroot namelijk de kans op datalekken aanzienlijk. Wanneer werknemers gevoelige informatie invoeren in niet-goedgekeurde AI-tools, ontstaan er gaten in de beveiliging waar organisaties geen controle over hebben.
De cijfers zijn verontrustend. Onderzoek toont aan dat 93% van de werknemers vertrouwelijke gegevens deelt met niet-geautoriseerde AI-tools, vaak zonder zich bewust te zijn van de risico’s. Nog zorgwekkender is dat 60% van de organisaties helemaal geen beleid heeft om Shadow AI tegen te gaan. IT-afdelingen kunnen dus weinig doen om dit probleem aan te pakken, simpelweg omdat de regels ontbreken.
De financiële gevolgen zijn ook aanzienlijk. Uit het jaarlijkse Cost of a Data Breach Report van IBM blijkt dat datalekken waarbij shadow AI een rol speelde gemiddeld $670.000 extra kosten met zich meebrengen. Dat komt bovenop de al hoge kosten van een ‘gewoon’ datalek. Deze extra kosten komen door juridische procedures, boetes van toezichthouders, herstelwerkzaamheden en reputatieschade.
Het probleem is dat veel werknemers dénken dat ze voorzichtig zijn. Ze gebruiken AI-tools met de beste bedoelingen: om productiever te zijn, om deadlines te halen, om beter werk af te leveren. Maar wat ze niet beseffen, is dat gratis versies van AI-tools de ingevoerde gegevens vaak opslaan en gebruiken om hun systemen te verbeteren. Jouw vertrouwelijke klantgegevens, bedrijfsinformatie of persoonlijke data kunnen zo onderdeel worden van de ’training’ van de AI, en mogelijk zelfs terechtkomen bij andere gebruikers.
Wat kun jij doen?
Gelukkig ben je niet machteloos. Of je nu werknemer, ZZP-er, docent of ouder bent, er zijn concrete stappen die je kunt nemen om jezelf en anderen te beschermen.
Voor werknemers
Praat met je IT-afdeling voordat je AI-tools gaat gebruiken voor je werk. Vraag of er goedgekeurde alternatieven zijn die je kunt gebruiken. Veel bedrijven bieden inmiddels beveiligde versies van AI-tools aan, zoals Microsoft Copilot of Google Gemini for Business, waarbij je gegevens wél beschermd blijven. Als je twijfelt of bepaalde informatie gevoelig is, ga er dan vanuit dat het dat is. Voer nooit klantgegevens, personeelsinformatie, financiële data of vertrouwelijke bedrijfsinformatie in een openbare AI-tool in. En als je per ongeluk toch iets verkeerds hebt gedaan, meld het dan direct. Eerlijkheid voorkomt dat een klein probleem uitgroeit tot een groot datalek.
Voor ZZP-ers
Als zelfstandige ben jij zélf verantwoordelijk voor de beveiliging van klantgegevens. Wees daarom transparant naar je opdrachtgevers over welke tools je gebruikt. Vraag je af: zou mijn klant het goed vinden als hun gegevens in deze AI-tool terechtkomen? Zo niet, gebruik hem dan niet. Overweeg te investeren in professionele, betaalde versies van AI-tools die betere privacy waarborgen bieden.
Voor docenten
Dit is misschien wel de lastigste groep, want niet alle scholen hebben goed IT-personeel of duidelijk beleid. Toch is het belangrijk om het gesprek aan te gaan. Vraag je schoolleiding om duidelijke richtlijnen over AI-gebruik. Welke tools zijn goedgekeurd? Wat mag wel en niet? Als je school nog geen beleid heeft, help dan mee om dit op te stellen. Gebruik in de tussentijd nooit namen, cijfers of andere persoonlijke informatie van leerlingen in openbare AI-tools. Als je AI wilt gebruiken voor lesmateriaal, anonimiseer dan alle gegevens of gebruik fictieve voorbeelden. En besef dat je als docent een voorbeeldfunctie hebt: leerlingen kijken naar hoe jij met technologie omgaat.
Veilig.AI helpt scholen met advies, workshops en voorlichting. Vraag vrijblijvend informatie aan.
Voor ouders
Vraag op school naar het AI-beleid. Hoe gaat de school om met AI-tools? Welke waarborgen zijn er voor de privacy van leerlingen? Worden ouders geïnformeerd als er nieuwe technologie wordt gebruikt? Als de school geen duidelijk antwoord kan geven, vraag dan om opheldering of stel het onderwerp aan de orde bij de ouderraad. Het gaat tenslotte om de gegevens van jouw kind.
Praat ook met je kind over AI. Leerlingen gebruiken deze tools zelf ook steeds vaker, vaak zonder na te denken over privacy. Maak ze bewust van de risico’s en leer ze kritisch te zijn over wat ze online delen.
Tot slot
Shadow AI is geen ver-van-mijn-bed-show. Het speelt zich af in kantoren, thuiswerkplekken, klaslokalen en bij keukentafels waar ZZP-ers hun werk doen. De technologie is handig, snel en verleidelijk, maar brengt ook risico’s met zich mee die we niet mogen negeren. Door bewust om te gaan met AI-tools, het gesprek aan te gaan met werkgevers en scholen, en kritisch te blijven over wat we delen, kunnen we de voordelen van AI benutten zonder onszelf en anderen in gevaar te brengen.
De boodschap is niet: gebruik geen AI. De boodschap is: gebruik AI slim, veilig en met open ogen. Want uiteindelijk gaat het om jouw data, jouw privacy en die van de mensen om je heen.