Shadow AI ondermijnt IT-beleid en security

Shadow AI ondermijnt IT-beleid en security

Nieuws
Security
Redactie WINMAG Pro

Bijna drie kwart van de Nederlandse STEM-professionals gebruikt AI-tools die hun organisatie niet heeft goedgekeurd. Tegelijkertijd erkent de meerderheid de bijbehorende beveiligingsrisico’s. Hoe kunnen bedrijven deze ‘shadow AI’ beheersen en tegelijk de productiviteit behouden?

Uit het recente STEM Workforce Report van SThree blijkt dat 72% van de Nederlandse tech professionals AI-tools gebruikt die buiten het officiële IT-beleid vallen. Denk aan generatieve platforms zoals ChatGPT, Gemini of Copilot. Voor veel gebruikers is dit geen luxe, maar noodzaak: 24% geeft aan zonder deze tools hun werk niet af te krijgen of deadlines te missen.

De redenen voor dit gebruik zijn helder:
 

  • Snelheid en gebruiksgemak: 26% vindt deze tools efficiënter dan interne alternatieven.
  • Beperkte functionaliteit van goedgekeurde oplossingen: 25% ziet tekortkomingen in officiële AI-tools.
  • Irritatie over traagheid: 23% vindt de goedgekeurde tools log en frustrerend.

In veel gevallen vullen tech-professionals met behulp van ongeautoriseerde AI-tools de gaten in hun workflow. Dat varieert van het schrijven van code en documentatie tot data-analyse, automatische vertalingen of het genereren van testscenario’s.

Shadow AI is geen randverschijnsel meer

Het onderzoek laat zien dat gebruik van ongeautoriseerde AI 'mainstream' is geworden. Meer dan de helft van de respondenten gebruikt wekelijks shadow AI-tools voor IT-taken. In Nederland is dat aandeel zelfs hoger dan in landen als Japan en het VK.

Een opvallend gegeven uit het rapport: vier keer zoveel managers gebruiken ongeautoriseerde AI-tools dan niet-managers – en dat terwijl ze zich gemiddeld beter bewust zijn van de risico’s. Ze nemen deze stap niet uit rebellie, maar vanuit een pragmatische behoefte om productiviteit en innovatie op peil te houden, ondanks skills gaps en trage besluitvorming rond toolselectie.

De risico’s zijn bekend - maar worden afgewogen

Ondanks het ongeautoriseerde karakter is er géén sprake van naïviteit onder gebruikers. Maar liefst 81% erkent de risico’s van shadow AI. Gevoelige data die bij externe modellen belandt, mogelijke IP-inbreuken, beperkte controle over outputkwaliteit, en compliance-conflicten in het kader van de komende EU AI Act, zijn bekend op de meeste werkvloeren.

Toch zegt 51% dat de voordelen zwaarder wegen dan de nadelen, zeker zolang er geen volwaardig alternatief beschikbaar is binnen hun organisatie.

Een gat in governance en security

Een cruciale bevinding uit het rapport: slechts 63% van de ondervraagde professionals geeft aan dat hun organisatie AI-beleid heeft geformuleerd. In kleinere bedrijven ligt dat percentage nog lager. En dat terwijl juist die bedrijven kwetsbaarder zijn voor datalekken of onbedoelde openbaarmaking van intellectueel eigendom.

Professionals – zowel gebruikers als niet-gebruikers – pleiten in groten getale voor duidelijke beleidskaders. Ze vragen om:
 

  • Beveiligde testomgevingen voor AI-experimenten;
  • Richtlijnen voor ethisch gebruik;
  • Heldere interventieprocedures bij fouten of risico’s;
  • En vooral: training, begeleiding en toegankelijke tooling.

Strategisch omgaan met shadow AI in IT

Voor IT-managers, security officers en CIO’s is dit een signaal. Er moet wat met shadow AI gedaan worden, maar niet in de vorm van een verbod; er moet juist gekeken worden naar een stategische invulling met input van gebruikers en governance-frameworks die innovatie faciliteren in plaats van blokkeren. Dat vereist dan ook zeker een proactieve samenwerking tussen IT en operationele teams - een extra staaltje DevOps dus.

De aankomende EU AI Act kan hierbij als leidraad dienen: de wet stimuleert veilig, transparant en controleerbaar gebruik van AI in werkomgevingen. Organisaties die nu investeren in een degelijk AI-beleid en tooling, zijn straks niet alleen compliant – ze bouwen ook een cultuur waarin innovatie wél verantwoord kan plaatsvinden.

Shadow AI is een signaal, geen rebellie

De cijfers uit het rapport tonen geen opstandige techwerkvloer, maar een workforce die vooruit wil, sneller dan veel bedrijven aankunnen. Shadow AI is in de IT daarmee geen beveiligingsprobleem alleen, maar vooral een signaal dat beleid en praktijk uit de pas lopen.

Organisaties die dit serieus nemen, krijgen er iets waardevols voor terug: betrokken techmedewerkers, snellere innovatie en een toekomstbestendig AI-landschap. En dat zonder dat de security onder druk komt te staan.

Lees meer

Een nieuw tijdperk van intelligentie met Gemini 3
Een nieuw tijdperk van intelligentie met Gemini 3
Onderzoek van Rubrik: identiteitsweerbaarheid cruciaal nu de AI-golf de werkplek overspoelt met AI-agents
Onderzoek van Rubrik: identiteitsweerbaarheid cruciaal nu de AI-golf de werkplek overspoelt met AI-agents
Aankomende Cyberbeveiligingswet vraagt veel van organisaties – begin op tijd!
Aankomende Cyberbeveiligingswet vraagt veel van organisaties – begin op tijd!
Wat de Cloudflare storing blootlegt
Wat de Cloudflare storing blootlegt
Curaçao Medical Center versterkt zorginfrastructuur met Nutanix voor ononderbroken IT-dienstverlening
Curaçao Medical Center versterkt zorginfrastructuur met Nutanix voor ononderbroken IT-dienstverlening
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie