Schaduw-AI en Bring Your Own AI (BYOAI) zijn wereldwijd opkomende trends op de werkvloer. Met de wildgroei aan gratis AI-tools en de opkomst van AI-agenten die handmatige taken uitvoeren en zelfstandig opereren, moeten bedrijven de risico's van ongeautoriseerde AI aanpakken. AI-tools zijn inmiddels in vrijwel elke sector doorgedrongen, van ChatGPT, dat vragen beantwoordt en content creëert, tot Copilot, dat de productiviteit van werknemers verhoogt, en GitHub, dat helpt bij het genereren van code. Werknemers zijn steeds afhankelijker van deze tools, wat kan leiden tot problemen met databeheer.
Neem bijvoorbeeld deze statistiek: volgens een rapport van IBM Newsroom heeft één op de vijf organisaties te maken gehad met een datalek als gevolg van Shadow AI, en slechts 37% heeft beleid om AI te beheren.
Laten we de complexe wereld van BYOAI en Shadow AI verkennen door de verschillen uit te leggen en drie belangrijke risicogebieden te onderzoeken.
Explosie van generatieve AI
De opkomst van generatieve AI, met name in dit decennium, heeft alle andere technologieën overtroffen, niet alleen qua algemeen gebruik, maar ook qua flexibiliteit als productiviteitstool, waarmee het bijna elke sector raakt. Het meest sprekende voorbeeld is ChatGPT, dat volgens CNBC maar liefst 700 miljoen gebruikers per week heeft verzameld, een verviervoudiging ten opzichte van vorig jaar. Ook hier dragen de brede beschikbaarheid van deze AI-tools en de talloze toepassingsmogelijkheden bij aan de recordtoename in de adoptie van AI.
Wat is BYOAI?
In de technologiewereld wemelt het van de afkortingen, maar misschien bent u wel bekend met BYOD (bring your own device), oftewel het gebruik van uw laptop of smartphone voor werk. De volgende stap in deze ontwikkeling is BYOAI (Bring Your Own AI) , waarbij werknemers gebruikmaken van externe AI-tools die niet vooraf zijn gecontroleerd. Simpel gezegd: een werknemer kan openbaar beschikbare AI-tools, zoals ChatGPT en Notion AI, gebruiken om de productiviteit te verhogen. Het grootste probleem hierbij is dat er, zonder eerst uw IT-team te raadplegen, geen sprake is van governance of toezicht. En volgens een onderzoek van Microsoft gebruikt 75% van de kenniswerkers AI.
Wat is Shadow AI?
Waar BYOAI (Bring Your Own AI) inhoudt dat deze tools worden ingezet, is Shadow AI in feite het ongeautoriseerde of onbeheerde gebruik van AI-platformen binnen een organisatie . Het gaat niet om de AI zelf, maar om het gebruik van deze instrumenten zonder goedkeuring van IT- of compliance-teams. Meer specifiek is Shadow AI het gevolg van het gebruik van deze ongeautoriseerde BYOAI-tools, wat kan leiden tot beveiligingslekken of datalekken. Gratis tools zoals ChatGPT hebben geen enkele beveiliging als het gaat om gevoelige privégegevens.
Shadow AI is de volgende stap in de evolutie van shadow IT, oftewel het gebruik van apps of software die niet door uw IT-team zijn gecontroleerd. Waar Shadow IT draait om apps en software, is Shadow AI de volgende generatie, bestaande uit AI-tools. Wanneer een meerderheid van de medewerkers zelfstandig AI-tools gaat gebruiken, kan dit een governance-lacune en een aanzienlijk risico voor uw bedrijf creëren.
Uit een onderzoek van Telusdigital blijkt dat 57% van de werknemers aangeeft gevoelige gegevens te hebben ingevoerd in openbare GenAI-assistenten.
Er is nu een dunne lijn tussen het inzetten van AI-tools om de productiviteit te verhogen en het maximale uit AI te halen, terwijl tegelijkertijd de verantwoordelijkheid wordt genomen door zich aan vastgestelde beleidsregels te houden. Organisaties moeten nu anticiperen op de opkomst van 'Shadow AI' door AI-beleid vast te stellen, trainingen te verzorgen en tools te beveiligen die binnen het bedrijfsecosysteem blijven.
Krachtige AI-tools creëren risico's
De opkomst van BYOAI (Bring Your Own AI) en Shadow AI kan worden toegeschreven aan de gemakkelijke toegang tot krachtige, gratis AI-tools zoals grote taalmodellen. Omdat de meeste van deze tools geen technische installatie vereisen, gebruiken werknemers ze zelfstandig om hun werk sneller te doen. Iemand zou bijvoorbeeld een AI-tool kunnen gebruiken om ziekenhuisdossiers te segmenteren, zonder zich ervan bewust te zijn dat hij of zij mogelijk vertrouwelijke patiëntgegevens heeft gelekt, die de deep learning-tool vervolgens kan gebruiken om toekomstige iteraties te trainen.
AI-tools bieden enorm veel voordelen als het gaat om het verhogen van de productiviteit van gebruikers, en dat is de positieve kant. Maar de keerzijde (de keerzijde) is het risico. Volgens het IBM Cost of Data Breach Report 2025 bedragen de gemiddelde wereldwijde kosten $4,4 miljoen! Doordat steeds meer werknemers hun eigen AI-systemen meenemen naar de werkplek, is ook het aantal gevallen van 'Shadow AI' dramatisch toegenomen.
Drie risico's verbonden aan schaduw-AI
Schaduw-AI brengt diverse risico's met zich mee voor organisaties. Drie van de meest kritieke gevaren die met schaduw-AI gepaard gaan, zijn datalekken, schendingen van regelgeving en verstoringen van de bedrijfsvoering. Laten we de verschillende gebieden eens nader bekijken en hoe deze gevaren een bedreiging kunnen vormen voor uw bedrijf.
Datalekken
Datalekken komen het meest voor en ontstaan wanneer werknemers onbewust vertrouwelijke informatie openbaar maken door het gebruik van geautoriseerde AI-tools. Een medewerker die bijvoorbeeld hulp zoekt bij ChatGPT, kan gevoelige documenten of code kopiëren en plakken in de chatbot. Deze gegevens zijn dan ontsnapt aan de interne servers van het bedrijf en bevinden zich ergens in de cloud, waar ze door LLM kunnen worden gebruikt. OpenAI en vergelijkbare aanbieders bewaren doorgaans gebruikersinvoer om hun modellen te verbeteren, wat betekent dat bedrijfsgeheimen of persoonlijke gegevens in de trainingsdata van de AI kunnen blijven zitten. Erger nog, als de AI-tool wordt gehackt of als functies per ongeluk gegevens openbaar maken, kan die informatie uitlekken. Een praktijkvoorbeeld: een medewerker van het marketingteam gebruikte ChatGPT om content te schrijven en nam vertrouwelijke klantgegevens op in het conceptpersbericht; deze gegevens werden uiteindelijk opgeslagen op de servers van OpenAI. Dergelijke lekken kunnen geheimhoudingsovereenkomsten schenden en strategische plannen aan buitenstaanders onthullen. Kortom, Shadow AI kan interne gegevens omzetten in externe gegevens zonder dat iemand het direct merkt.
Overtredingen van de regelgeving
Zonder adequaat toezicht kan het gebruik van AI-tools leiden tot ernstige problemen, zoals het schenden van regels voor gegevensbescherming of branchevoorschriften. Het delen van gevoelige informatie met AI kan zelfs een ongeoorloofde openbaarmaking zijn. Als een arts bijvoorbeeld ChatGPT gebruikt om patiëntendossiers samen te vatten, kan hij of zij per ongeluk de HIPAA-wetgeving overtreden door beschermde gezondheidsgegevens naar een extern systeem te sturen. Ook financiële adviseurs kunnen de regels van de SEC of de AVG overtreden als financiële gegevens van cliënten worden gedeeld met niet-goedgekeurde AI-tools. Schaduw-AI creëert een blinde vlek in de governance, waardoor regels zoals de AVG, HIPAA of branchespecifieke privacywetten onbewust worden overtreden. Deze lekken kunnen leiden tot onderzoeken, boetes of juridische stappen. Experts waarschuwen dat ongeoorloofd AI-gebruik al tot complianceproblemen heeft geleid, met het risico op aanzienlijke sancties. Dit risico is met name groot in gereguleerde sectoren: een van de redenen waarom grote banken ChatGPT verboden, was de zorg over het schenden van regels voor het bewaren van financiële gegevens en privacy.
Operationele verstoringen
Verborgen AI kan de deur openzetten voor beveiligingsrisico's en operationele problemen. Als IT-teams niet weten dat een tool wordt gebruikt, kunnen ze niet goed inschatten of deze veilig of betrouwbaar is. Sommige van deze tools kunnen firewalls omzeilen, of medewerkers kunnen ze toegang geven tot gevoelige systemen, vaak zonder zich bewust te zijn van de risico's. Zo'n blinde vlek kan leiden tot cyberaanvallen of systeemstoringen. Een medewerker kan bijvoorbeeld een gratis AI-vertalings-API koppelen aan het klantenservicesysteem van het bedrijf, waardoor onbedoeld malware wordt geïntroduceerd of een backdoor wordt gecreëerd. De organisatie FreeCodeCamp beschrijft een geval waarin een ontwikkelaar een niet-gecontroleerde AI-API gebruikte en hackers de kwetsbaarheden ervan misbruikten, met een ernstig datalek en systeemuitval tot gevolg. Wanneer AI-tools niet goed worden beheerd, kunnen ze onnauwkeurige of bevooroordeelde resultaten genereren die zakelijke beslissingen in de verkeerde richting sturen, zoals het baseren van een strategie op een gebrekkige analyse. Zo'n misstap kan projecten laten ontsporen, gegevens in gevaar brengen of zelfs veiligheidsrisico's creëren in kritieke sectoren zoals de gezondheidszorg en de financiële wereld. Shadow AI omzeilt de gebruikelijke risicobeheersingsmaatregelen van een organisatie, waardoor fouten of aanvallen zich ongecontroleerd kunnen verspreiden en de bedrijfsvoering aanzienlijk kunnen beïnvloeden.
Conclusie
Naarmate het gebruik van AI-tools in het dagelijks leven van werknemers dramatisch toeneemt, stijgt ook het risico van 'Shadow AI' en Bring Your Own Device (BYOD). Werknemers grijpen massaal naar AI-tools om de productiviteit te verhogen en repetitieve taken te vereenvoudigen, zonder zich volledig bewust te zijn van de negatieve gevolgen die dit kan hebben. De grootste uitdaging voor IT-teams is niet om AI-tools te verbieden, maar om werknemers voor te lichten, beleid te implementeren en apparaten te beveiligen. Het doel is om teams te ondersteunen, risico's te beperken en tegelijkertijd te voldoen aan de regelgeving. Er is geen beter moment dan nu om AI uit de schaduw te halen door de gevaren van AI-implementatie op de werkvloer duidelijk aan het licht te brengen.
