Risico’s van niet-goedgekeurde AI-tools in bedrijven
Steeds meer werknemers gebruiken generatieve AI-tools die niet zijn goedgekeurd door hun werkgever. Dit biedt gemak, maar brengt ook serieuze risico’s met zich mee. Welke valkuilen ontstaan als IT-beleid achterloopt op gebruikersgedrag?
Werkvloer zoekt oplossingen buiten de regels om
AI is geen hype meer. Het is dagelijkse realiteit geworden op de werkvloer. Maar waar de technologie razendsnel ontwikkelt, blijft het formele AI-beleid van veel bedrijven achter. Volgens het recente STEM Workforce-rapport van SThree gebruikt 72% van de Nederlandse techprofessionals AI-tools die niet officieel zijn goedgekeurd door hun organisatie. Denk aan ChatGPT, Gemini of Copilot: publieke platforms die zonder interne validatie hun weg vinden naar operationele processen.
Waarom gebeurt dit? Omdat het werkt. Medewerkers kiezen massaal voor deze tools vanwege de snelheid, het gebruiksgemak en de functionaliteit die goedgekeurde alternatieven (nog) niet bieden. Maar de schaduwkant is groot. Vooral op het gebied van security, compliance en controle.
De grootste valkuil: schijnbare efficiëntie
Wat begint als productiviteitswinst, eindigt vaak in afhankelijkheid. Bijna een kwart van de respondenten uit het onderzoek geeft aan hun werk niet af te krijgen zonder niet-goedgekeurde AI-oplossingen. Als de AI wegvalt, ligt het werk stil. De tool wordt daarmee mission-critical. Zonder dat de organisatie dat bewust heeft toegestaan of beschermd.
De echte valkuil zit in de onzichtbaarheid. IT-afdelingen hebben geen zicht op wat er precies wordt gebruikt, welke data ermee wordt gedeeld of hoe veilig de opslag verloopt. Daarmee lopen bedrijven onbewust risico op datalekken, reputatieschade en schending van wet- en regelgeving zoals de AVG en straks de EU AI Act.
De risico’s: van privacy tot beleidsschade
De risico’s zijn niet hypothetisch. 81% van de professionals erkent dat ongeautoriseerd AI-gebruik privacy of security in gevaar kan brengen. Toch blijven de tools populair. Waarom? Omdat de officiële alternatieven vaak te traag zijn, te weinig kunnen of slecht zijn geïntegreerd in de workflow.
Daarmee ontstaat een paradox. Bedrijven investeren in veilige infrastructuren, maar het eigen personeel omzeilt deze omdat het werk anders simpelweg niet gedaan wordt. Zonder proactief beleid laten organisaties zo onbewust hun dataveiligheid afhangen van tools die ze zelf niet hebben gekozen, getest of gevalideerd.
Hoe kunnen bedrijven deze AI-kloof dichten?
De oplossing ligt niet in verbieden, maar in begeleiden. Bedrijven moeten actief investeren in goedgekeurde AI-tools die wél bruikbaar en krachtig zijn. Dit vraagt om samenwerking tussen IT, security en business units. Daarnaast moet er heldere communicatie zijn over risico’s, governance en alternatieven.
De aankomende EU AI Act biedt bedrijven een kader om verantwoord AI-beleid op te zetten. Dit vraagt niet alleen technische, maar ook ethische en organisatorische keuzes. Wie werknemers geen duidelijke richtlijnen biedt, dwingt hen tot schaduwwerk. En dus tot risico.
AI zonder toezicht is een open achterdeur
Generatieve AI is krachtig. Maar zonder beleid ook kwetsbaar. Bedrijven die AI aan de voorkant negeren, houden aan de achterkant geen controle meer. De toekomst ligt in gecontroleerde vrijheid: AI-oplossingen die zijn afgestemd op echte werkprocessen en voldoen aan de eisen van IT, security en compliance.
Nu is het moment om van reactiviteit naar regie te gaan. Niet-goedgekeurde AI-tools zijn geen incident meer. Ze zijn een symptoom van een structureel tekort aan goed beleid.
Lees meer
