10 juni 2026
Shadow AI: het datalek dat al gebeurd is
Een beleidsmedewerker bij een gemeente moet een bezwaarschrift samenvatten. Het is vrijdagmiddag, het document is twaalf pagina's, en in een ander tabblad staat een gratis chatbot open. Kopiëren, plakken, samenvatten, klaar. Niemand heeft iets gehackt. Er is geen melding, geen alarm, geen log aan de kant van de gemeente. En toch staat er nu een bezwaarschrift met naam, adres en een medische onderbouwing op de servers van een Amerikaans techbedrijf.
Dit is Shadow AI: medewerkers die AI-tools gebruiken zonder dat de organisatie het weet, het heeft goedgekeurd of er zicht op heeft. En als jouw organisatie meer dan tien mensen heeft die met tekst werken, durf ik te stellen dat het bij jou ook gebeurt. Niet misschien. Nu.
Waarom dit geen randverschijnsel is
De drempel om AI te gebruiken is verdwenen. Een gratis account is in dertig seconden aangemaakt, vaak met een privé e-mailadres. Browser-extensies die "je mail verbeteren" of "elke pagina samenvatten" installeren zich met twee klikken. Transcriptietools schuiven ongevraagd aan bij videovergaderingen, soms meegenomen door een externe deelnemer.
Ondertussen staan veel organisaties nog in de beleidsfase. Er loopt een werkgroep, er komt een richtlijn, er is een sessie gepland met de functionaris gegevensbescherming. Allemaal goed. Maar medewerkers wachten daar niet op. Die hebben vandaag een deadline en een tool die werkt. Het gat tussen "wij hebben nog geen beleid" en "onze mensen gebruiken het dagelijks" is precies waar de datalekken zitten.
Wat er technisch gebeurt met die ene prompt
De gebruiker ziet alleen het antwoord. De organisatie moet de hele dataflow begrijpen. Dus laten we die ene gekopieerde tekst eens volgen.
Eerst het account. Een gratis consumentenaccount valt onder consumentenvoorwaarden, niet onder een verwerkersovereenkomst. Er is geen contract tussen de aanbieder en jouw organisatie. Juridisch gezien heeft je medewerker persoonsgegevens gedeeld met een partij waarmee je niets hebt afgesproken. Dat raakt direct aan de AVG, want voor het delen van persoonsgegevens met een verwerker heb je normaal gesproken zo'n overeenkomst nodig.
Dan de prompt zelf. Die gaat versleuteld over de lijn, dat is meestal prima geregeld. Maar aan de andere kant wordt hij ontsleuteld en opgeslagen. Bij de meeste gratis diensten worden gesprekken bewaard, onder andere om misbruik te detecteren en de dienst te verbeteren. Bij verschillende grote aanbieders kunnen gesprekken van gratis gebruikers bovendien gebruikt worden om modellen te trainen, tenzij de gebruiker dat actief uitzet. De meeste gebruikers weten niet eens dat die instelling bestaat.
Uploads zijn nog een laag erbij. Een geüpload document wordt geparseerd, soms opgeknipt en geïndexeerd, en blijft vaak gekoppeld aan het account staan. Wie een Word-bestand uploadt, stuurt trouwens ook metadata mee: auteursnaam, organisatie, soms revisiegeschiedenis.
En dan de logs. Ook als een aanbieder belooft dat er niet op jouw data getraind wordt, zijn er vrijwel altijd operationele logs: wie vroeg wat, wanneer, vanaf welk IP-adres. Die logs staan op infrastructuur van de aanbieder, vaak buiten Europa, en vallen onder de wetgeving van het land waar het bedrijf gevestigd is. Voor Amerikaanse aanbieders speelt daar de CLOUD Act, die Amerikaanse autoriteiten onder voorwaarden toegang kan geven tot data, ook als die fysiek in Europa staat. Dit is geen juridisch advies, maar wel een technische realiteit: data residency is niet hetzelfde als data-soevereiniteit.
Browser-extensies verdienen een aparte alinea, want die zijn structureel onderschat. Een extensie die "elke pagina kan samenvatten" heeft daarvoor leesrechten op elke pagina die je opent. Dus ook je webmail, je HR-systeem, je dossiers. Een transcriptietool die meeluistert in vergaderingen maakt een opname, stuurt die naar een server, en bewaart het transcript onder een account dat de organisatie niet beheert. Eén deelnemer met zo'n tool, en het hele MT-overleg staat extern opgeslagen.
Een voorbeeld uit de praktijk
Bij een organisatie in het sociaal domein, ik houd het bewust anoniem, kwam Shadow AI aan het licht via een onverwachte route: de wifi-logs. Iemand van IT keek naar uitgaand verkeer en zag dagelijks honderden verbindingen naar AI-diensten waar de organisatie geen contract mee had. Niet van een paar mensen. Van tientallen.
Toen ze rondvroegen, bleek het patroon overal hetzelfde. Casemedewerkers gebruikten een gratis chatbot om rapportages "even netter te maken". In die rapportages: namen, situaties, soms gezondheidsgegevens. Een teamleider liet gespreksverslagen samenvatten door een transcriptietool die een collega had aangeraden. Niemand had kwade bedoelingen. Iedereen wilde gewoon sneller door het schrijfwerk heen, en het schrijfwerk in zulke organisaties is eindeloos.
Het ongemakkelijke inzicht: formeel waren dit waarschijnlijk meldplichtige situaties, want persoonsgegevens waren gedeeld met een partij zonder grondslag of overeenkomst. Maar je kunt niet melden wat je niet ziet. En dat is het wezenlijke verschil met een klassiek datalek: een gestolen laptop merk je, een gelekte prompt niet.
Waarom verbieden niet werkt
De reflex is begrijpelijk: blokkeer die tools, klaar. In de praktijk werkt dat hooguit een week.
Technisch is het dweilen met de kraan open. Blokkeer je drie bekende chatbots op het netwerk, dan zijn er honderden alternatieven, plus de telefoon van de medewerker zelf, met 5G en een fotofunctie. Een foto van het scherm naar een chatbot op je privételefoon is misschien wel het slechtst denkbare scenario, en juist dat gedrag krijg je met een hard verbod.
Gedragsmatig is het nog problematischer. Medewerkers gebruiken deze tools omdat ze werken. Wie iets verbiedt dat aantoonbaar tijd scheelt, zonder alternatief te bieden, leert mensen vooral om het stiller te doen. Het gebruik verdwijnt niet, het zicht erop verdwijnt. En zicht was precies wat je nodig had.
De misvatting die ik wil corrigeren is deze: Shadow AI is geen gehoorzaamheidsprobleem, het is een aanbodprobleem. Mensen lopen niet om beleid heen omdat ze het beleid niet respecteren. Ze lopen eromheen omdat de organisatie hen geen veilige manier geeft om iets te doen wat hun werk merkbaar lichter maakt.
Wat wel werkt: een veilig alternatief plus duidelijke afspraken
De oplossing heeft twee helften, en ze werken alleen samen.
De eerste helft is een goed alternatief. Geef medewerkers een AI-omgeving die net zo makkelijk werkt als de gratis chatbot, maar waarvan de organisatie de dataflow kent en controleert. Dat kan een zakelijke licentie zijn met een verwerkersovereenkomst en uitgeschakelde training. Het kan ook een eigen omgeving zijn met open-source modellen op Europese infrastructuur, waarbij prompts, documenten en logs binnen je eigen beheer blijven. Wij bouwen met Klai zo'n omgeving en de les daaruit is steeds dezelfde: het alternatief moet beter voelen dan de sluiproute, anders wint de sluiproute. Een veilige tool die traag of onhandig is, is in de praktijk geen veilige tool, want niemand gebruikt hem.
De tweede helft zijn afspraken die een normaal mens kan onthouden. Geen document van veertig pagina's, maar een paar heldere regels: dit is de tool die we gebruiken, dit mag erin, dit nooit, en hier meld je het als het toch misging, zonder dat je ervoor aan de schandpaal gaat. Die laatste toevoeging is belangrijker dan hij lijkt. Een meldcultuur zonder afrekencultuur is de enige manier waarop je ooit zicht krijgt op wat er echt gebeurt.
En vergeet de uitleg niet. De meeste medewerkers hebben geen idee dat een gratis account betekent dat hun input bewaard en mogelijk voor training gebruikt kan worden. Niet omdat ze dom zijn, maar omdat niemand het ooit heeft uitgelegd. Tien minuten eerlijke uitleg over wat er met een prompt gebeurt, doet meer voor je databeveiliging dan een verbodsbepaling in een personeelsreglement. AI-geletterdheid is bovendien niet vrijblijvend meer: de AI Act vraagt van organisaties dat mensen die met AI werken daar voldoende van begrijpen.
Een denkmodel om morgen mee te beginnen
- Breng het echte gebruik in kaart. Vraag het na, anoniem als het moet, en kijk naar netwerkverkeer. Niet om te straffen, maar om te weten waar je staat.
- Kijk per tool naar vier dingen: waar gaan prompts en uploads heen, wordt er op getraind, wat wordt er gelogd en hoe lang, en is er een verwerkersovereenkomst.
- Regel binnen weken, niet maanden, een goedgekeurd alternatief dat minstens zo prettig werkt als wat mensen nu gebruiken.
- Maak afspraken van één A4: welke tool, welke data wel en niet, en waar je terecht kunt bij twijfel of fouten.
- Leg de techniek uit in gewone taal. Wie snapt waarom plakken in een gratis chatbot een datalek kan zijn, maakt zelf betere keuzes.
- Herhaal dit elk halfjaar, want het aanbod aan tools verandert sneller dan je beleid.
Tot slot
Shadow AI klinkt als een toekomstig risico waar je beleid voor moet schrijven. Het is in werkelijkheid een huidige praktijk waar je beleid op achterloopt. De data is al onderweg, elke werkdag opnieuw, via accounts en extensies waar je geen zicht op hebt.
Het goede nieuws: dit is oplosbaar zonder drama. Niet met een verbod, maar met een beter aanbod en eerlijke uitleg. De organisaties die dat snappen, maken van hun grootste schaduwrisico hun snelste leerschool. Als je AI veilig wilt inzetten, begin dan niet met het verbieden van tools, maar met het begrijpen van de dataflow. Daar zit het echte werk, en ook de echte winst.
↘︎ ALLE ARTIKELEN
- Waarom Europa eigen AI-modellen moet ontwikkelen
- De verborgen dataflow achter een simpele AI-vraag
- RAG begrijpelijk uitgelegd
- Het verschil tussen data residency en echte data-soevereiniteit
- Shadow AI: het datalek dat al gebeurd is
- Van AI-demo naar productie
- Embeddings en vector databases: de kopie van je bedrijfskennis waar niemand het over heeft
- AI-geletterdheid: waarom tooling zonder begrip een risico is
- Hoe je een open-source model host
- Agents, tool permissions en prompt injection: als AI niet alleen praat maar ook doet
- Waarom data in Europa houden belangrijk kan zijn
- Model gateways en LLM-routers, de verkeerstoren van je AI-landschap
- De AI Act is geen beleidsstuk, het is een technisch project
- Bedrijfskennis veilig aan AI koppelen: wie wat mag zien geldt ook voor de assistent
- GPU-infra zonder mist: VRAM, batching, latency en wat AI echt kost
- Observability, logs en audit trails voor AI, kun je terugzien wat er gebeurde?
- OpenAI-compatible APIs, de stekker die overal in past
- Self-hosting, Europese cloud en vendor lock-in, waar zit je nou echt vast?
- Use-case: host je eigen model in Europa
- One man company, hoe ik in mijn eentje bouw wat eerder een team vroeg
- Reverse engineering, bouw een compleet softwarepakket na in een dag
- Use-case: je complete boekhouding laten doen door een agent
- Een supervisor-agent voor al mijn projecten, een kopie van mezelf
- DeepGov, waarom honderden gemeenten niet elk hun eigen AI hoeven te bouwen
- The age of open source: de standaardkeuze voor AI kantelt
- Je moet het kunnen bedenken, AI werkt vooral als je het grotere plaatje ziet
- Gebruiken we over twee jaar nog wel een scherm?