Blog

Artikel

Veelgestelde vragen over Shadow IT en Shadow AI

Joey Slof
7 minuten
Veelgestelde vragen over Shadow IT en Shadow AI
In dit artikel staan in het kort alle vragen over Shadow IT en Shadow AI op een rij.

Wat is Shadow IT?

Shadow IT verwijst naar software en cloudapplicaties die medewerkers gebruiken zonder goedkeuring of toezicht van de organisatie. Denk aan gratis online tools, persoonlijke cloudopslag, of projectmanagementsoftware die buiten de officiële IT-omgeving draaien.

Het probleem: de organisatie weet niet welke systemen worden gebruikt, wie erin werkt, en vooral: waar bedrijfsgegevens en klantinformatie terechtkomen.

Wat is Shadow AI?

Shadow AI is een variant van Shadow IT, maar dan met AI-tools. Medewerkers gebruiken AI-tools (ChatGPT, Claude, lokale LLMs) voor taken als:

  • Teksten schrijven
  • Vergaderingen samenvatten
  • Documenten analyseren
  • Offertes opstellen
  • Code genereren

De specifieke gevaren zijn anders dan standaard tooling (trainingsdata, hallucinaties, compliance). Dit verdient aparte aandacht.

Hoe ontstaat Shadow IT en Shadow AI?

Shadow IT ontstaat zelden door nalatigheid. Meestal zijn het structurele organisatieproblemen:

Rigide IT-processen: IT-aankopen kosten maanden. Een tool is binnen 5 minuten gratis beschikbaar. De keuze is snel gemaakt.

IT en business werken in silo’s: Als IT altijd nee zegt en business niet betrokken is bij tool-selectie, houdt business op met vragen. Ze gaan zelf zoeken.

Gebrek aan vertrouwen in IT-security: Veel medewerkers geloven dat IT alles blokkeert "om veiligheid" zonder echte reden. Ze vertrouwen hun eigen oordeel meer.

Geen budget voor kleine tools: Een team wil een €50/maand tool. Dit vergt een interne aanvraag, gedoe, duurt weken. Gratis alternatief is sneller en voorkomt een officiële aanvraag.

Onvoldoende zichtbaarheid van beschikbare tools: Medewerkers weten niet eens wat IT al aanbiedt. Ze vinden hun eigen oplossing.

Dit betekent: strengere regels helpen niet veel. Je moet processen sneller maken, IT en business samenbrengen, en vertrouwen opbouwen.

Wat zijn de risico's van Shadow IT?

Shadow IT brengt echte risico's met zich mee:

Datalekken en compliance-schendingen

  • Bedrijfsgegevens of klantdata belanden in tools zonder toezicht
  • Overtreding van AVG/GDPR (geen verwerkersovereenkomsten, geen datalokalisatie, geen audit trail)
  • Medewerkers laden klantinformatie of contracten in ongeautoriseerde tools

Verlies van controle

  • Je weet niet waar bedrijfsgegevens opgeslagen zijn of wie er toegang tot heeft
  • Incidenten kunnen weken onopgemerkt blijven
  • Back-up, monitoring en incident response zijn onmogelijk

Onbekende koppelingen en rechten

  • Tool X heeft toegang tot je Microsoft 365, Google Workspace of GitHub
  • Je weet niet waarom en wat het kan doen
  • Eenmaal gekoppeld, is deze tool een extra opening waar hackers op kunnen aanvallen

Vendor lock-in

  • Organisatie raakt afhankelijk van tool X (iedereen gebruikt het, processen zijn erop gebouwd)
  • Moeilijk om uit te stappen, ook als het onveilig blijkt

Continuïteitsproblemen

  • Gratis tools kunnen morgen verdwijnen of van eigenaar veranderen
  • Tools kunnen plotseling prijzen verhogen
  • Geen SLA, geen ondersteuning, geen contractgaranties

Wat zijn de risico's van Shadow AI?

AI maakt alles zoveel makkelijker. AI is een versterker. Alleen dat werkt ook de andere kant op: als een tooling iets fout doet, wordt het heel snel heel fout. AI brengt andere, acutere risico's dan standaard SaaS.

Training data en privacyschending

  • Medewerker uploadt klantcontract naar ChatGPT; OpenAI mag het gebruiken voor model training
  • Gevoelige informatie (salarissen, medische data, onderhandelingen) verdwijnt naar bedrijfsservers in VS
  • Dit kan jaren later terug verschijnen in model responses

Hallucinaties in compliance-gevoelige contexten

  • AI schrijft contract; bevat foutieve bepalingen (ziet er professioneel uit, klant merkt het pas later)
  • AI samenvat regelgeving; mist kritieke nuance
  • AI genereert juridisch advies dat niet klopt, maar klinkt wel autoritair

EU AI Act compliance

  • Medewerkers gebruiken AI voor HR-besluiten (kandidaatselectie, performance reviews)
  • Deze tools vallen onder "high-risk" in EU AI Act
  • Organisatie moet kunnen aantonen hoe de AI-tool werkt, wat risico's zijn, en hoe je hem monitort
  • Dit kan je niet doen als niemand weet welke tool wordt gebruikt

Vendor lock-in met trainingsdata

  • Organisatie traint eigen AI-model op bedrijfsgegevens
  • Eenmaal gedeeld met de vendor, kan data niet zomaar ingetrokken worden

Onvoldoende versiebeheer en audit trail

  • Welke versie van welke AI-tool genereert welke output?
  • Wie gebruikte het, wanneer, met welke input?
  • Dit is cruciaal voor audit en incident response

Hoe herken je Shadow IT en Shadow AI in je organisatie?

Shadow IT en Shadow AI zijn niet altijd direct zichtbaar, maar signalen zijn er:

Technische signalen

  • Onbekende applicaties hebben OAuth/SSO-toegang tot Microsoft 365 of Google Workspace
  • Teams werken met persoonlijke accounts voor zakelijke doeleinden
  • Bestanden worden gedeeld buiten de officiële omgeving (persoonlijke OneDrive, Dropbox, Google Drive)
  • AI-tools (ChatGPT, Claude, lokale alternatieven) zijn geïnstalleerd zonder tracking of beleid

Organisatorische signalen

  • Medewerkers gebruiken verschillende tools voor dezelfde werkzaamheden (zes teams, zes projectmanagement tools)
  • Er is geen centraal overzicht van gebruikte software
  • AI-tools worden gebruikt zonder vastgesteld beleid of trainingsrichtlijnen
  • Niemand kan zeggen waar bepaalde bedrijfsgegevens opgeslagen zijn
  • Teams "hebben altijd al AI gebruikt voor dit soort taken"

Business signalen

  • Teams zijn afhankelijk geworden van tools die IT niet ondersteunt
  • Processen draaien op gratis of onbetaalde versies van tools
  • Integraties zijn handmatig of geïmproviseerd
  • Contracten of klantdata verschijnen in AI-gegenereerde stukken zonder dat iemand het ziet aankomen

Wanneer is Shadow IT acceptabel?

Niet alle Shadow IT is even risicovol. Enkele scenario's waar beperkt gebruik redelijk is:

Gecontroleerde experimentatie

  • Team wil een nieuwe tool testen
  • Een vooraf bepaalde tijd (bijvoorbeeld 1 maand)
  • Geen gebruik van productiedata
  • Achteraf volgt een review: voldoet het aan alle verwachtingen?

Laag-risico collaboration tools

  • Team gebruikt Figma/Miro voor concepten/mock-ups (geen klantdata, geen gevoelige info)
  • Iedereen in het team is op de hoogte. Dus niet onzichtbaar

Intern-only use cases

  • Medewerker gebruikt AI-tool voor notitiestructurering (eigen werk, geen klantdata)
  • Risico is veel lager dan wanneer contracten of klantdata betrokken zijn

Het belangrijkste is de gevoeligheid van de data.

Hoe voorkom je Shadow IT?

Shadow IT voorkomen begint niet met strengere regels, maar met inzicht en snellere processen.

Maak IT-processen sneller

  • Approval voor standaard tools moet in dagen, niet in maanden
  • Een eerste test/trial mag zonder volle approval
  • Zet een IT approval process op dat echt werkt (niet: 5 stakeholders, allemaal veto-macht)

Zorg voor goede officiële alternatieven

Wanneer medewerkers goede tools tot hun beschikking hebben, neemt de behoefte aan ongecontroleerde oplossingen af. Maar: je kunt niet alles voorzien. Accepteer dat er gaten zitten, en plan ruimte voor aanvragen.

Bouw vertrouwen tussen IT en business

  • IT moet deelnemen in business-meetings. Ze moeten begrijpen wat er nodig is
  • Business moet begrijpen waarom bepaalde veiligheidscontroles nodig zijn (niet "omdat IT zegt het")
  • Samen bepalen: welke tools passen in de risicobereidheid van de organisatie?

Train medewerkers

Bewustwording helpt, maar alleen workshops zijn niet genoeg. Zorg voor:

  • Duidelijke richtlijnen per tool: wat mag wel, wat niet (bijv. "geen klantdata in ChatGPT", "transcriptie-tools moeten EU-hosted zijn")
  • Periodieke herhalingstraining, niet eenmalig
  • Praktische voorbeelden: "dit is wat fout ging bij ander bedrijf"

Controleer applicatiekoppelingen regelmatig

  • Maandelijks: welke externe apps hebben OAuth-toegang tot Microsoft 365/Google?
  • Verwijder de zaken die niet meer nodig zijn
  • Voor kritieke tools: log wie ze gebruikt en wat ze doen

Gebruik Multi-Factor Authenticatie (MFA) overal

MFA verkleint de kans dat accounts worden misbruikt als een tool is gehackt.

Zet duidelijke richtlijnen op voor AI-tools

  • Geen klantdata (tenzij contract zegt iets anders)
  • Geen bedrijfsgegevens in niet-EU hosted tools
  • Voor "high-risk" use cases (HR-besluiten): approval vooraf
  • Documenteer welke AI-tool voor wat wordt gebruikt (audit trail)

Hoe los je bestaande Shadow IT op?

De eerste stap is inzicht krijgen. Veel organisaties ontdekken pas in een security-audit hoeveel applicaties daadwerkelijk actief zijn. Een gestructureerde aanpak:

1. Inventariseer (wat hebben we?)

  • Analyseer OAuth-koppelingen in Microsoft 365 of Google Workspace
  • Vraag teams: welke tools gebruiken jullie in de week?
  • Controleer facturen en creditcarduitgaven

2. Beoordeel risico (wat doet het?)

  • Per applicatie: welke gegevenstypen verwerkt het? (klantdata, salarissen, IP, logs?)
  • Waar is de server? (US, EU, onbekend?)
  • Is er een verwerkersovereenkomst? (nodig voor AVG/GDPR)
  • Valt het onder EU AI Act? (ja = extra compliance)
  • Hoe kritiek is het voor je operatie?

3. Acteer (wat doen we?)

  • Groen: formeel goed keuren, monitoring instellen
  • Geel: beperkt goedkeuren (zie: "Wanneer is Shadow IT acceptabel?"), deadline voor migratie
  • Rood: afzetten, data migreren, nieuw beleid instellen

4. Richt beleid in voor toekomst

  • Duidelijk: welke tools mogen zonder approval, welke met approval, welke nooit
  • Wie moet het goedkeuren? (IT, business, compliance?)
  • Hoe snel?

5. Monitor actief

  • Maandelijks: nieuwe OAuth-koppelingen checken
  • Ieder kwartaal: gebruiksstatistieken van goedgekeurde tools
  • Jaarlijks: inventarisatie herhalen

Wat helpt bij een groot remediation-project?

Als Shadow IT heel groot is, moet je extern expertise inschakelen voor snelheid en onafhankelijkheid.

Externe ondersteuning is vooral nuttig voor:

  • Een overvloed aan tools tijdens in jouw landschap (100+ tools, je weet niet waar te beginnen)
  • Risicobeoordelingen die onafhankelijk lijken (niet intern, dus objectiever)
  • Microsoft 365 / Entra ID audit (wie heeft toegang, wat kan elk account doen)
  • Migratie-projecten (data van tool X naar Y, zonder verlies)
  • Compliance audits (AVG, AI Act, branche specifiek)

Je hoeft geen externe partner als:

  • Je team klein is (<100 mensen, dus <30-50 tools)
  • Je al zicht hebt op de meeste applicaties
  • Je IT en compliance teams hebben capaciteit
  • Je alleen maar beter wilt monitoren, niet opschonen

Samengevat

Shadow IT is een symptoom van snelheid + vertrouwensproblemen, niet alleen slecht beheer. Veel ervan voorkom je door IT sneller te maken én IT dichter bij de business te brengen.

AI is een versterker. Als shadow IT al een probleem is, zal shadow AI dit nog groter maken.

  • Herstel kost tijd, maar geeft je controle terug zonder te veel innovatie in de weg te leggen.
#Ai #NWOW #Organisatie Verandering

Over de auteur

De mensen en teams achter dit artikel.

Toegepaste AI, zonder theater

Benieuwd hoe dit werkt in jouw organisatie?

We helpen teams om AI-ideeën om te zetten in werkende workflows, bruikbare tools en meetbare operationele winst.

Start een 14-daagse AI sprint

Verder lezen

Lees verder

Nog een paar artikelen die hier goed op aansluiten.

Roy Schenk
Roy Schenk

Hoe een simpele aanpassing in een app zorgde voor meer positieve reviews

Reviews in de appstores zijn van onschatbare waarde. Ze bepalen hoe nieuwe gebruikers jouw app zien en of ze deze überhaupt willen downloaden. Maar hoe zorg je ...
09 april 2025
Elsje van de Kraats
Elsje van de Kraats

Van chaos naar overzicht; de businesswaarde van visuele hiërarchie in complexe interfaces

In mijn vorige blog schreef ik over de meerwaarde van UX en UI Design in software. Mocht je deze nog niet gelezen hebben - je kunt hem hier vinden. In complexe ...
28 april 2025
Hugo Pragt
Hugo Pragt

Production Ready: Zorgen voor een soepele overgang van Development naar Deployment bij maatwerksoftware

De Production Readiness Review (PRR) is een belangrijke mijlpaal die bepaalt of een softwaresysteem klaar is voor uitrol. Het beoordeelt of er voldoende is gepl ...
11 april 2025
Infodation Logo
info@infodation.nl
+31 172 759 002
Volg ons op LinkedIn

Diensten

AI Oplossingen Advies & Architectuur UX / UI Design Software Development Systeem integratie & -migratie Cloud, Hosting & Support

Markten

Telecom & Connectiviteit Logistiek & Distributie Energie, Olie & Gas Productie & Manufacturing Andere Sectoren

Bekijk ook

Home Cases Artikelen & Inzichten Vacatures Evenementen Over ons Contact
© 2026 Infodation KVK 34355772
Privacybeleid Algemene voorwaarden Campagnes Whitepapers
ICT Waarborg ISO 27001 Infodation SBB