

De shadow AI die je zelf hebt goedgekeurd
Mario Beck
2026-07-21
Vraag een security-leider naar shadow AI en je hoort verhalen over medewerkers die code en contracten in ChatGPT plakken. Terecht. Dat is reëel, en het is de moeite waard om te beheersen.
Maar het is niet het deel dat het snelst groeit. Het deel dat het snelst groeit, is de AI die je zelf hebt goedgekeurd, zonder het te beseffen.
Een CISO bij een groot farmaceutisch bedrijf omschreef het beter dan ik zou kunnen. Ik parafraseer om hem anoniem te houden: als AI-functies binnenkomen via tools die je al gebruikt, het CRM, het ERP, de productiviteitssuite, de documentomgeving, dan is het de organisatie die ze uitrolt die verantwoordelijk is voor het besluit om ze te classificeren, goed te keuren, te monitoren of te beperken. Maar ze worden bijna nooit vroeg genoeg geïnformeerd. Het is puur geluk, of iemand merkt het toevallig op en vertelt het aan de CISO, als die er al is. Er is geen proces omheen.
Die zin is me bijgebleven, omdat hij het hele probleem benoemt. Niet "medewerkers zijn onzorgvuldig." Iets stillers: de beslissing is van jou, en niemand stuurt hem naar je door.
Hoe de AI binnenkomt zonder vergadering
Je vertrouwde leveranciers leveren updates. Microsoft, Adobe, Zoom, Notion, SAP, je CRM. Eén van die updates zet een generatieve-AI-functie aan, vaak standaard, en nu stroomt bedrijfsdata door de AI-infrastructuur van een derde partij. Er is geen uitrolplan langsgekomen. Er is geen risicobeoordeling gebeurd. De functie verscheen gewoon, zoals functies dat doen.
Microsoft meldde 15 miljoen betaalde Microsoft 365 Copilot-zetels tijdens zijn Q2 FY26-cijfers eind januari 2026, en het werd daarna steeds vaker standaard meegeïnstalleerd. De meeste van die zetels kwamen terecht in omgevingen die niemand had beoordeeld op wat Copilot daadwerkelijk kan bereiken. Vermenigvuldig dat over elke leverancier in je stack en je krijgt de echte vorm van shadow AI in 2026. Het kwam niet binnensluipen via een opstandige medewerker. Het kwam door de voordeur, ondertekend door een leverancier die je vertrouwt, met een update-notitie die je niet hebt gelezen.
Het deel met tanden
Dit is waarom dit niet zomaar netjes huishouden is. Onder de EU AI Act worden de zware verplichtingen verdeeld tussen de aanbieder die de AI bouwt en de deployer die hem gebruikt. Jij bent de deployer. Artikel 26 legt echte plichten op je: houd een mens in de loop, monitor hoe het systeem zich gedraagt, bewaar logs, en informeer je personeel voordat AI live gaat op hun werkplek.
Leg dat nu naast de realiteit dat leveranciers het standaard aanzetten. Je draagt verplichtingen voor systemen waarvan je niet wist dat ze live waren gegaan. Je kunt niet toezien op wat je niet kunt zien. Je kunt niet loggen wat je niet wist dat er draaide. En je kunt je ondernemingsraad al helemaal niet informeren over een tool die zichzelf op een dinsdag activeerde.
De deadlines zijn verschoven, en ze verschuiven waarschijnlijk nog eens. De meest veeleisende hoogrisicoverplichtingen landen nu eind 2027 onder de Digital Omnibus. Laat dat geen reden zijn om te wachten. Wat de wet eigenlijk als eerste van je vraagt, is het saaiste en het nuttigste: weet welke AI je hebt. Elke auditor, elke security-vragenlijst van een zakelijke klant, elke raad van bestuur die oplet, gaat om die inventaris vragen. "We wisten niet dat het aanstond" is geen acceptabel antwoord meer.
Waarom de voor de hand liggende oplossing niet werkt
De reflex is om je data-loss-prevention-stack erop te richten. Verkeer decoderen, lezen wat er weggaat, blokkeren wat niet mag. Dat werkt hier niet, om twee redenen die niets met inzet te maken hebben.
De eerste is kosten. Content in real time lezen betekent TLS inline breken en opnieuw versleutelen, wat je netwerk vertraagt en hardwarebudgetten vraagt die het contact met een CFO niet overleven.
De tweede is wetgeving. Het onderscheppen van het verkeer van je medewerkers in real time botst recht tegen de AVG en tegen je ondernemingsraad, en in Nederland duurt dat gesprek geen weken maar kwartalen. Je besteedt zes tot twaalf maanden aan review voor een maatregel die vanaf het begin de verkeerde vorm had.
En het heeft de verkeerde vorm omdat je probeert het verkeer te lezen terwijl de vraag veel eenvoudiger is. Je hoeft niet te weten wat je mensen typten. Je moet weten welke van de tools die je al betaalt, stilletjes AI heeft aangezet. Dat is een catalogusvraag, geen aftapvraag.
Begin met een matrix, niet met een netwerktap
De goedkoopste nuttige stap is een functiematrix. Zet je goedgekeurde tools op een rij. Beantwoord voor elke tool vijf dingen: heeft hij een generatieve-AI-functie toegevoegd, staat die standaard aan, welke data kan hij bereiken, waar wordt die data verwerkt, en wie heeft het daadwerkelijk goedgekeurd. Die laatste kolom is de ongemakkelijke, want voor veel rijen is het eerlijke antwoord "niemand."
Dat is het. Geen agent op iemands laptop, geen ontsleuteld verkeer, geen persoonsgegevens, niets voor de ondernemingsraad om te beoordelen. Gewoon een helder beeld van waar AI al leeft binnen software die je vertrouwt, gescoord op hoeveel hij kan bereiken en of de data buiten je controle terechtkomt.
Vanaf daar worden de beslissingen makkelijk, omdat ze eindelijk zichtbaar zijn. Zet deze uit. Beheer die en schrijf op wie de eigenaar is. Verplaats die workload, degene die stilletjes gereguleerde data voedt aan een leverancier in een ander rechtsgebied, naar iets dat je daadwerkelijk zelf beheert. En, het deel waar de farma-CISO echt om vroeg, zet een klein proces op zodat de volgende stille uitrol op iemands bureau belandt in plaats van langs iedereen te glippen.
De eerlijke versie van "erbovenop zitten"
Niets hiervan vraagt om een transformatieprogramma. Het vraagt om een inventaris en een eigenaar, hetzelfde onopvallende fundament waar elk werkbaar AI-governanceverhaal op rust. De organisaties die er kalm uitzien rond de AI Act en de nieuwe cybersecurityregels, zijn niet degene met het dikste beleid. Het zijn degene die kunnen antwoorden op "welke AI draai je?" zonder te knipperen.
Ik heb de functiematrix hierboven omgezet in een korte zelftest die je in ongeveer een uur over je eigen stack kunt uitvoeren, tool voor tool gescoord en eindigend met een samenvatting van één pagina die je bestuur daadwerkelijk zou lezen. Je kunt hem hier ophalen via onze nieuwsbrief.
En als je merkt dat de kolom met "niemand heeft dit goedgekeurd" sneller volloopt dan je lief is, is dat een gesprek waard. Meestal is het een snelle fix zodra je het kunt zien.