Cybersecurity 
Hoewel Jira voor veel DevOps- en IT-teams dient als registratiesysteem, vindt het ophalen van geheimen of het goedkeuren van aanvragen voor gepriviligeerde informatie vaak plaats op
Gepubliceerd op april 20, 2026
Werknemers maken steeds vaker gebruik van kunstmatige intelligentie (AI) om hun productiviteit te verhogen, maar staan zelden stil bij de beveiligingsrisico’s die dit met zich meebrengt. Wanneer een medewerker gevoelige klantgegevens in een niet-goedgekeurde AI-tool plakt, worden die gegevens verwerkt door een extern model waarover de organisatie geen controle heeft, waardoor er vaak geen audittrail overblijft dat beveiligingsteams kunnen beoordelen.
Volgens het jaarverslag van de Werktrendindex 2024 van Microsoft gaf 78% van de medewerkers aan hun eigen AI-tools op het werk te gebruiken. Dit ongeoorloofde gebruik van AI-tools benadrukt hoe wijdverbreid shadow AI is geworden. Identiteitsbeveiliging vormt de basis om deze uitdaging aan te gaan door organisaties inzicht te geven in wie toegang heeft tot AI-tools en onder welke voorwaarden. Dit geeft beveiligingsteams de controle die zij nodig hebben om het gebruik van AI te reguleren.
Lees verder voor meer informatie over shadow AI, waarom dit een groot risico voor de identiteitsbeveiliging vormt en hoe u identiteitsgerichte shadow AI kunt beheren.
Shadow IT vergeleken met shadow AI
Shadow AI breidt de bestaande risico’s van shadow IT uit, maar introduceert modernere, complexere bedreigingen. Shadow IT verwijst naar het ongeoorloofd gebruik van software of systemen binnen een organisatie. Een medewerker kan bijvoorbeeld een persoonlijke e-mailaccount gebruiken om werkbestanden te delen, waardoor er gaten ontstaan in de toegangscontrole en de zichtbaarheid. Shadow AI gaat nog een stap verder omdat AI-tools niet alleen gegevens opslaan, maar deze ook actief verwerken en mogelijk bewaren. Dit leidt tot een nieuwe vorm van blootstelling van gegevens, waarbij gevoelige informatie diep kan worden ingebed in externe modellen die buiten de controle van een organisatie vallen. Er zijn twee factoren die het bijzonder moeilijk maken om AI te besturen, namelijk:
- Gebruik van persoonlijke accounts of apparaten: werknemers die via persoonlijke accounts en apparaten toegang krijgen tot AI-tools buiten de door het bedrijf aangeboden omgevingen, ontkoppelen hun activiteiten van hun organisatie-identiteit, waardoor transparantie en traceerbaarheid verloren gaan.
- Browsergebaseerde AI-tools: browsergebaseerde AI-tools hoeven niet te worden geïnstalleerd, waardoor ze moeilijker te detecteren zijn in omgevingen die uitsluitend gebruikmaken van controles op eindpunten.
Door deze combinatie van gegevensblootstelling op zo’n grote schaal en tools die traditionele detectiemethoden kunnen omzeilen, vormt shadow AI een bijzonder lastig beveiligingsprobleem.
Waarom shadow AI een identiteitsbeveiligingsprobleem is
Wanneer werknemers niet-goedgekeurde AI-tools gebruiken, hebben beveiligingsteams geen inzicht in welke gegevens zijn gedeeld, wie toegang heeft gehad tot de tool of wat de tool met die gegevens doet. Door dit gebrek aan zichtbaarheid van identiteiten is shadow AI zo moeilijk op te sporen en te beheren. Traditionele Identity en Access Management (IAM)-oplossingen zijn ontworpen voor menselijke gebruikers met voorspelbaar gedrag en gedefinieerde rollen, maar moderne organisaties moeten hun beveiligingsstrategieën aanpassen om rekening te houden met niet-menselijke identiteiten (NHI’s), waaronder AI-agenten en serviceaccounts. Deze machine-identiteiten hebben toegang tot systemen en kunnen zelfstandig taken uitvoeren op meerdere kritieke systemen. Ze worden steeds populairder binnen bedrijven. Volgens senior leiders die werden ondervraagd in De wereldwijde enquête van McKinsey over de stand van zaken op het gebied van AI in 2025, gaf 62% aan dat hun organisaties minimaal experimenteerden met AI-agenten. AI-agenten kunnen, in tegenstelling tot menselijke gebruikers, continu werken, snel opschalen en tegelijkertijd met meerdere systemen communiceren. Zonder identiteitsbeveiligingscontroles die zowel menselijke als machine-identiteiten kunnen reguleren, verliezen organisaties de controle over hoe hun data wordt benaderd en gebruikt.
De belangrijkste risico’s van shadow AI qua identiteit
Zwakke identiteitsbeveiliging maakt shadow AI niet alleen moeilijker te detecteren, maar verergert ook de schade die shadow AI kan veroorzaken.
Ongecontroleerde toegang tot gegevens
Medewerkers die gevoelige gegevens delen met niet-goedgekeurde AI-tools, brengen gegevens in gevaar die traditionele monitoringsystemen mogelijk niet opmerken. Tools voor het voorkomen van gegevensverlies kunnen alleen kanalen monitoren waar ze zicht op hebben; shadow AI werkt buiten die grenzen. Als een medewerker een niet-goedgekeurde AI-tool gebruikt via een niet-gemonitord persoonlijk account, hebben organisaties geen manier om die activiteit te monitoren, vast te leggen of te registreren. Als geprivilegieerde gegevens of aanmeldingsgegevens worden vrijgegeven, kunnen cybercriminelen toegang krijgen tot kritieke systemen zonder dat daar een duidelijk audittrail van achterblijft.
WIldgroei van machine-identiteiten
Anders dan menselijke medewerkers, die formele onboarding- en offboarding-processen doorlopen, ontbreekt het bij AI-agenten en serviceaccounts vaak aan gestructureerd levenscyclusbeheer. Als gevolg hiervan zijn er steeds meer machine-identiteiten actief in meerdere omgevingen, met te ruime rechten en onvoldoende toezicht, wat leidt tot wildgroei van machine-identiteiten. Zonder inzicht in machine-identiteiten kunnen organisaties niet verifiëren welke systemen zijn benaderd of gecompromitteerd.
Tekortkomingen in naleving en audits
Regelgevende kaders zoals de AVG, HIPAA en PCI DSS verplichten organisaties om bij te houden hoe gevoelige gegevens worden geraadpleegd en verwerkt, ongeacht of dit door mensen of door machines gebeurt. Als identiteitsbeveiliging zich uitsluitend richt op menselijke gebruikers, kunnen organisaties geen volledige audittrails van AI-activiteiten opstellen, waardoor zij worden blootgesteld aan boetes van toezichthouders en auditbevindingen die achteraf steeds moeilijker te verhelpen zijn.
Identiteitsgerichte shadow AI beheren
Het beheren van shadow AI houdt niet in dat u alle AI-tools voor medewerkers van uw organisatie moet blokkeren. In de eerste plaats moet u volledig inzicht krijgen in wie toegang heeft tot kritieke systemen en gegevens. Hieronder volgen enkele belangrijke stappen die uw IT- en beveiligingsteams moeten volgen om een identiteitsgerichte aanpak te hanteren bij het beheren van shadow AI:
- Zorg voor inzicht in alle identiteiten: gebruik een krachtige IAM-oplossing om vast te stellen wie toegang heeft tot zowel goedgekeurde als niet-goedgekeurde AI-tools. Zonder deze oplossing kunnen beveiligingsteams pas reageren op shadow AI nadat gegevens al zijn blootgesteld. Organisaties moeten over het nodige inzicht beschikken om zowel menselijke als machine-identiteiten te beheren, zodat ze kunnen bepalen welke tools mogen worden gebruikt en waar het toegangsbeleid moet worden aangescherpt.
- Bestuur uitbreiden naar NHI’s: combineer IAM met Identiteitsbeheer en -administratie (IGA) om de toegang voor zowel menselijke als machine-identiteiten te beheren. AI-agenten en serviceaccounts moeten aan dezelfde toegangsbeoordelingen, het beleid van minimale privileges en dezelfde afmeldingsprocedures worden onderworpen als menselijke gebruikers.
- Zero-trust beveiliging afdwingen: elk toegangsaanvraag moet altijd worden geverifieerd, ongeacht of het afkomstig is van een menselijke of een machine-identiteit. Vereis multi-factor-authenticatie (MFA), maak gebruik van Single Sign-On (SSO) en pas het principe van minimale privileges toe om alle identiteiten te beperken tot alleen wat nodig is voor een specifieke taak.
- Monitor en registreer beveiligde sessies in realtime: koppel alle AI-gerelateerde activiteiten aan geautoriseerde identiteiten en registreer sessies waarbij toegang tot kritieke systemen betrokken is. Tools zoals KeeperAI analyseren sessies zodra ze plaatsvinden, waarbij verdacht gedrag automatisch wordt gemarkeerd aan de hand van door de beheerder gedefinieerde risicodrempels. Dit biedt beveiligingsteams gedetailleerde audittrails en de mogelijkheid om in te grijpen voordat een bedreiging escaleert.
- Implementeer Bedreigingsdetectie en -respons (ITDR): ITDR monitort continu afwijkend gedrag bij zowel menselijke als machine-identiteiten en detecteert verdachte activiteiten, zoals pogingen tot het verhogen van privileges en misbruik van aanmeldingsgegevens, voordat deze uitgroeien tot grotere incidenten. Door de detectie van bedreigingen uit te breiden van perimetercontroles naar de identiteitslaag, pakt ITDR rechtstreeks de blinde vlekken aan die door shadow AI worden gemaakt.
Beveilig menselijke en machine-identiteiten met Keeper®
Naarmate de acceptatie van AI toeneemt, zal ook shadow AI toenemen. Organisaties hebben een platform voor identiteitsbeveiliging nodig dat inzicht, controle en beheer biedt voor elke identiteit – zowel van menselijke als van machinale identiteiten.
Keeper beveiligt de geprivilegieerde toegang voor zowel menselijke gebruikers als machine-identiteiten, handhaaft het beleid van minimale privileges en biedt realtime sessie-monitoring voor alle kritieke systemen. Het beheert de infrastructuurgeheimen en API-sleutels waarop AI-agenten vertrouwen, zodat NHI’s binnen vastgestelde grenzen blijven opereren en aanmeldingsgegevens automatisch worden gerouleerd. KeeperAI vergroot dit inzicht door geprivilegieerde sessies in realtime te analyseren en risicovolle activiteiten direct te signaleren. Keeper is gebaseerd op een zero-trust en zero-knowledge architectuur en biedt de audittrails en toegangscontroles die organisaties nodig hebben om het gebruik van AI te reguleren, zonder de productiviteit van AI te belemmeren.
Begin vandaag nog een gratis proefperiode van Keeper om volledige zichtbaarheid en controle te krijgen over elke identiteit in uw omgeving.
