Het risico dat u goedkeurde is niet het risico dat u loopt
De meeste besturen zien AI-risico nog steeds als een beslissing die zij nemen: welk model te licentieren, welke leverancier te vertrouwen, welk contract te tekenen. Dat beeld klopt niet meer. De blootstelling die het meest telt is degene die niemand heeft goedgekeurd. Verizons Data Breach Investigations Report van 2026 stelde vast dat regelmatig AI-gebruik op bedrijfsapparaten in twaalf maanden verdrievoudigde, van 15 naar 45 procent van de medewerkers, en dat twee derde van die mensen de tools bereikt via persoonlijke accounts die volledig buiten de controle van het bedrijf vallen.
Dit is Shadow AI: krachtige software die sneller wordt omarmd dan welk beleid ook kan bijhouden. Het is nu de op twee na meest voorkomende niet-kwaadwillige insiderhandeling die systemen voor het voorkomen van dataverlies signaleren, een verviervoudiging in een enkel jaar. De mensen die dit doen zijn niet onzorgvuldig. Het zijn productieve medewerkers die echte problemen oplossen met de beste tool die voorhanden is. Juist daarom houdt een memo het niet tegen.
Uw broncode is het eerste dat vertrekt
Toen hetzelfde rapport rangschikte wat medewerkers daadwerkelijk in publieke AI-tools plakken, voerde broncode elke andere categorie met ruime voorsprong aan, voor afbeeldingen en gestructureerde data. De botte manier om die bevinding te lezen is deze: broncode in een publiek model is intellectueel eigendom in de trainingspijplijn van iemand anders. Voor een bedrijf waarvan het voordeel in zijn code, zijn prijslogica of zijn klantgegevens schuilt, is dat geen hypothese. Het is een dagelijkse, onzichtbare overdracht van de activa die u betaald wordt te beschermen.
De schade kondigt zich niet aan. Er is geen meldingsplicht voor een datalek, geen losgeldbrief, geen dramatische storing. Een model wordt simpelweg een beetje beter in het reproduceren van datgene wat u dacht dat van u was, en op een dag levert de prompt van een concurrent iets op dat bekend voelt. Tegen die tijd is de vraag niet hoe u de data terugkrijgt. Het is of u uberhaupt kunt bewijzen dat ze is vertrokken.
De toezichthouder heeft u al verteld wat te doen
Op 15 juni 2026 herdefinieerde de Europese Toezichthouder voor gegevensbescherming Shadow AI als een complianceprobleem, niet als een helpdeskprobleem. Data die in niet-goedgekeurde tools wordt ingevoerd valt in een regulatoire blinde vlek: geen afspraak over de rechtsgrond voor verwerking, geen duidelijkheid over bewaartermijn, geen waarborg voor internationale doorgifte, geen transparantie over de vraag of het een model traint. Onder de AVG is een blinde vlek geen verdediging. Het is een open bevinding die op een auditor wacht.
Wat de EDPS niet aanraadde, is een verbod. Het antwoord is actief beheer: bepaal welk AI-gebruik is toegestaan, classificeer de data die nooit mag vertrekken, handhaaf technische maatregelen, en geef mensen een goedgekeurde tool die goed genoeg is dat ze niet meer naar de niet-goedgekeurde grijpen. Een verbod faalt omdat het de prikkel niet verandert. Het verplaatst hetzelfde gedrag alleen naar een plek waar u het niet langer kunt zien.
Lees hierna: Uw AI-agent kan nu uw geld uitgeven. Het moeilijke is alles wat daarna gebeurt. · Een rechtbank oordeelde dat de antwoorden van uw AI uw eigen woorden zijn. De aansprakelijkheid ligt nu bij u.