Shadow AI · beleid · grip

Uw medewerkers gebruiken AI al. De vraag is: met beleid of buiten uw zicht?

ChatGPT, Copilot en AI-functies in SaaS-tools zijn vaak sneller ingevoerd dan beleid, logging en training. Wij maken shadow AI zichtbaar binnen afgesproken scope en vertalen dat naar werkbare guardrails, registeractie en bewijs.

Breng shadow AI in kaart Bekijk AI-register route

Waarom dit nu urgent is

Medewerkers wachten niet op een governanceprogramma. Zij laten documenten samenvatten, klantmails herschrijven, contracten checken en data analyseren. Zonder zicht op tools, data en afspraken ontstaat risico op datalekken, onbetrouwbare output en ontbrekend AI Act-bewijs.

Een concreet beeld van AI-gebruik binnen de afgesproken scope.

Een prioriteitenlijst met datarisico, vendorvragen, registeractie en training.

Een eerste set werkbare guardrails voor medewerkers en managers.

Een route naar AI-register, AI-beleid, Article 4 bewijs of readiness sprint.

Herkenbare signalen

Shadow AI ontstaat meestal niet door onwil, maar door snelheid, werkdruk en onduidelijke grenzen.

Teams gebruiken publieke AI-tools met klantdata, personeelsdata of interne documenten.

IT weet welke tools officieel zijn goedgekeurd, maar niet welke AI-functies in SaaS al actief worden gebruikt.

Legal en compliance krijgen vragen over AI Act of AVG, maar missen een overzicht van feitelijk gebruik.

Managers willen AI-productiviteit toestaan, maar hebben geen duidelijke do's, don'ts en reviewregels.

HR of L&D heeft training gegeven, maar weet niet of medewerkers AI toepassen in risicovolle workflows.

Procurement vertrouwt op vendorclaims zonder te weten welke AI-features medewerkers echt aanzetten.

Wat brengen we in kaart?

We beloven geen magische volledige ontdekking. Shadow AI is per definitie deels verborgen. Wel maken we binnen afgesproken scope bekende en redelijkerwijs vindbare AI-gebruikspatronen concreet.

Tools en AI-functies

Publieke AI-tools, Copilot-achtig gebruik, SaaS AI-features en vendorfuncties die teams gebruiken of willen gebruiken.

Data en vertrouwelijkheid

Welke data in prompts, uploads, samenvattingen, exports of analyses terecht kan komen.

Use cases en teams

Waar AI wordt gebruikt voor klantwerk, HR, legal, finance, support, marketing, product of management.

Beleidsgaten

Waar afspraken ontbreken over toestemming, broncontrole, menselijke review, logging, opslag of outputgebruik.

AI Act en AVG signalen

Waar AI-geletterdheid, transparantie, DPIA/FRIA, vendor evidence of registeractie nodig kan zijn.

Eerste beheersmaatregelen

Concrete guardrails: toegestane tools, verboden datatypes, reviewregels, escalatiepad en training.

Aanpak

1. Scope freeze

We kiezen teams, processen, tools en leveranciers die in de eerste scan vallen.

2. Shadow AI discovery

We combineren korte interviews, tooloverzichten, SaaS-context, beleid en praktijkvoorbeelden.

3. Risico- en controlmap

We leggen vast waar datarisico, hallucinatierisico, vendorafhankelijkheid, registerplicht of trainingsgat speelt.

4. Werkbare AI-regels

U krijgt een compacte route naar beleid, register, training en technische of organisatorische controls.

Logische vervolgstappen

AI-register opzetten

Leg bekende en redelijkerwijs vindbare AI-systemen vast met eigenaar, doel, risico en bewijsstatus.

Bekijk route

AI Act readiness en gap-analyse

Vertaal shadow AI-signalen naar classificatie, gapmatrix en 30-60-90 dagen roadmap.

Bekijk route

AI-geletterdheid bewijs 2026

Zorg dat medewerkers niet alleen AI gebruiken, maar ook aantoonbaar weten wat wel en niet mag.

Bekijk route

Veelgestelde vragen

Kunnen jullie alle shadow AI vinden?

Nee, en dat zou geen betrouwbare claim zijn. Shadow AI is deels verborgen. We werken binnen afgesproken scope en brengen bekende en redelijkerwijs vindbare tools, use cases en risico's in kaart.

Moeten we AI eerst blokkeren?

Niet automatisch. Vaak is de betere route: zichtbaar maken, risico's scheiden, toegestane tools benoemen, gevoelige data beschermen en medewerkers trainen.

Is dit een technisch security-audittraject?

Nee. Dit is een governance- en implementatiescan. We kijken naar tools, processen, data, beleid, rollen en bewijs. Technische logging of DLP kan een vervolgstap zijn met IT/security.

Hoe linkt dit aan de AI Act?

Zonder zicht op AI-gebruik kunt u niet goed bepalen welke systemen moeten worden geregistreerd, welke rollen training nodig hebben en waar vendor-, DPIA/FRIA- of transparantiesignalen ontstaan.

Voor wie is deze pagina bedoeld?

Voor bestuur, IT, security, legal, privacy, compliance, HR en operations die AI willen toestaan zonder controle te verliezen.

Weet u waar medewerkers AI gebruiken met gevoelige context?

Start met de Gap Intake. We bepalen welke teams, tools en processen in een eerste Shadow AI Scan horen.

Breng shadow AI in kaart

Rivium Westlaan 46, Capelle aan den IJsselKvK 90283597