Cybersecurity 
Werknemers maken steeds vaker gebruik van kunstmatige intelligentie (AI) om hun productiviteit te verhogen, maar staan zelden stil bij de beveiligingsrisico’s die dit met zich meebrengt.
Gepubliceerd op mei 13, 2026
Stel u voor dat een klantenservicemedewerker in uw organisatie gevoelige klantgegevens uploadt naar een AI-tool om sneller e-mails te schrijven. Wanneer een werknemer een AI-tool gebruikt zonder toestemming van de IT-afdeling, wordt dit schaduw-AI genoemd. Dergelijke scenario’s komen steeds vaker voor. Onder werknemers die AI gebruiken op het werk, geeft 78% aan tools te gebruiken die niet formeel door hun organisatie zijn goedgekeurd, volgens Microsofts 2024 Work Trend Index. Hoewel beveiligingsteams strategieën hebben ontwikkeld om traditionele schaduw-IT aan te pakken, brengt schaduw-AI nieuwe risico’s met zich mee die een modernere aanpak vereisen. Het belangrijkste verschil tussen schaduw-IT en schaduw-AI is dat schaduw-AI niet alleen gevoelige gegevens overdraagt en opslaat, maar deze ook actief verwerkt en mogelijk bewaart.
Lees verder voor meer informatie over schaduw-IT, schaduw-AI en hoe u schaduw-AI effectief kunt detecteren en beheren.
Wat is schaduw-IT?
Schaduw-IT verwijst naar alle software of clouddiensten die werknemers gebruiken zonder medeweten of goedkeuring van de IT-afdeling. Dit kan het gebruik van persoonlijke e-mailaccounts omvatten om werkbestanden te delen, het installeren van ongeautoriseerde browserextensies of het verbinden van persoonlijke apparaten met een bedrijfsnetwerk. Omdat deze acties formele goedkeuringsprocessen omzeilen, worden ze niet door beveiligingsteams gecontroleerd voordat ze worden gebruikt. Hoewel schaduw-IT voornamelijk wordt gedreven door productiviteit in plaats van kwade bedoelingen, kan het diverse beveiligingsrisico’s met zich meebrengen:
- Beperkte zichtbaarheid: als IT-teams niet op de hoogte zijn van ongeautoriseerde toepassingen, kunnen ze het gebruik niet controleren of bedrijfsgegevens niet beschermen. Elke beveiligingskwetsbaarheid in die toepassingen kan een verborgen toegangspunt tot een netwerk vormen.
- Nalevingsovertredingen: niet-geautoriseerde software voldoet zelden aan de criteria voor gegevensverwerking van regelgeving zoals de AVG of HIPAA. Bij onjuiste omgang met gegevens kunnen organisaties te maken krijgen met zware straffen en boetes.
- Vergroot aanvalsoppervlak: elke niet-goedgekeurde toepassing is een potentiële aanvalsvector voor cybercriminelen. Naarmate schaduw-IT groeit, met name in cloudomgevingen, wordt het moeilijker om de perimeter van de organisatie te beveiligen.
Wat is schaduw-AI?
Schaduw-AI verwijst naar het gebruik van AI-tools of -toepassingen zonder medeweten of goedkeuring van de IT-afdeling. Bekend voorbeeld zijn werknemers die generatieve AI gebruiken om interne communicatie met vertrouwelijke gegevens op te stellen, of ontwikkelaars die code door AI-tools halen met behulp van persoonlijke accounts. Wat schaduw-AI bijzonder uitdagend maakt, is dat medewerkers niet altijd bewust beveiligingsmaatregelen omzeilen. Veel moderne toepassingen hebben standaard ingebouwde AI-functies, waardoor werknemers zich misschien niet realiseren dat ze AI gebruiken.
Schaduw-AI introduceert risico’s die verder gaan dan wat veel organisaties bereid zijn aan te pakken:
- Niet-herleidbare gegevenslekken: als werknemers AI-tools gebruiken via persoonlijke accounts, hebben organisaties meestal geen toegang tot interactielogs, ook niet op platforms die logging op bedrijfsniveau aanbieden. Er is geen auditspoor van welke gegevens zijn ingevoerd, hoe ze zijn verwerkt en of ze zijn bewaard.
- Implicaties voor identiteitsbeveiliging: schaduw-AI introduceert nieuwe beveiligingsrisico’s waarvoor traditionele beveiligingsmodellen niet zijn ontworpen, met name door de opkomst van autonome AI-agents. Wanneer werknemers accounts aanmaken op externe AI-platforms, verliezen organisaties de controle over hoe die identiteiten toegang hebben tot gevoelige gegevens.
Belangrijke verschillen tussen schaduw-IT en schaduw-AI
Schaduw-IT en schaduw-AI delen dezelfde oorzaak, namelijk dat werknemers tools gebruiken om productiever te werken, maar verschillen in hoe ze risico’s introduceren.
Verwerken en delen van gegevens
Bij schaduw-IT volgen gegevens doorgaans een gestructureerd proces, zoals het uploaden van bestanden of het delen van documenten. Deze acties creëren voorspelbare patronen die beveiligingstools kunnen detecteren. Schaduw-AI werkt daarentegen via ongestructureerde, conversationele invoer. Werknemers voeren gevoelige gegevens in via prompts die in real-time worden verwerkt en via standaard HTTPS-verkeer worden verzonden, wat het lastig maakt om dit verkeer te onderscheiden van normale activiteit.
Zichtbaarheid en controleerbaarheid
Activiteit van schaduw-IT genereert doorgaans auditsporen via toepassingsgebruik, bestandsoverdrachten of netwerkmonitoring, zodat beveiligingsteams beveiligingsincidenten kunnen onderzoeken. Schaduw-AI heeft daarentegen vaak geen gecentraliseerde zichtbaarheid, omdat veel AI-platforms organisaties geen gedetailleerde interactielogs bieden. Wanneer werknemers externe AI-tools gebruiken, met name via persoonlijke accounts, kunnen organisaties beperkt of geen toegang hebben tot interactiegegevens, wat het moeilijk maakt om te bepalen hoe gegevens worden gebruikt of opgeslagen.
Risico van gegevensbewaring
Schaduw-IT introduceert risico’s rond ongeautoriseerde gegevensopslag, waarbij gevoelige gegevens buiten goedgekeurde systemen op identificeerbare locaties terechtkomen. Schaduw-AI introduceert een ander soort risico. Op AI-platforms voor consumenten kunnen gegevens die in prompts worden ingevoerd standaard worden gebruikt om toekomstige modellen te trainen, hoewel de meeste platforms op bedrijfsniveau dit uitschakelen. Het risico is het grootst wanneer werknemers persoonlijke accounts gebruiken op consumententools en zo de gegevensbescherming die bedrijfslicenties bieden omzeilen.
| Shadow IT | Shadow AI | |
|---|---|---|
| Scope | Any unauthorized software or cloud service | Unauthorized AI tools, models and applications |
| Data processing | Structured transfers and uploads | Unstructured, conversational inputs via natural language prompts |
Detection |
Detectable through DLP and network monitoring tools | Mainly invisible to traditional DLP tools since it appears as normal HTTPS traffic |
| Auditability | Typically available through network analysis and logs | Limited, if any; none if employees use personal accounts to access AI tools |
| Data retention risk | No equivalent risk | Sensitive data may be used to train third-party AI models |
| Level of autonomy | Tools require human action | AI agents can act autonomously across multiple systems on behalf of users |
| Governance | More established policies | Largely ungoverned |
Detecteren en beheren van schaduw-AI
Omdat schaduw-AI gevoelige gegevens blootstelt op manieren die moeilijk te detecteren zijn, moeten organisaties deze proactief beheren. Traditionele tools die worden gebruikt om schaduw-IT te beheren, pakken niet dezelfde risico’s aan als werknemers gevoelige gegevens invoeren op AI-platforms of AI toegang verlenen tot interne systemen. Hoewel veel organisaties overgaan tot het volledig verbieden van AI-tools, heeft dit vaak een averechts effect omdat het werknemers ertoe aanzet om zonder zichtbaarheid op zoek te gaan naar niet-goedgekeurde tools. Organisaties moeten zich richten op governance door het volgende te doen:
- Maak een beleid voor acceptabel gebruik van AI: stel duidelijke richtlijnen op die bepalen welke AI-tools zijn goedgekeurd, welke gegevens gedeeld mogen worden en wat de gevolgen van misbruik zijn.
- Bouw een interne catalogus van AI-apps: geef werknemers een lijst van geverifieerde AI-tools die ze kunnen gebruiken, zodat ze niet op zoek gaan naar niet-goedgekeurde en mogelijk risicovolle alternatieven.
- Implementeer AI-oplossingen van bedrijfsniveau: AI-oplossingen van bedrijfsniveau bieden meer controle over de verwerking en opslag van gegevens in vergelijking met AI-tools voor consumenten.
- Voer regelmatig AI-nalevingscontroles uit: monitor welke AI-tools worden gebruikt en identificeer opkomende beveiligingsrisico’s.
- Train werknemers in het gebruik van AI: voortdurende educatie bouwt organisatiebewustzijn op dat werknemers misschien niet volledig begrijpen door alleen het lezen van een beleid. Organisaties met actieve trainingsprogramma’s helpen werknemers te begrijpen hoe ze AI veilig kunnen gebruiken.
Neem de controle over schaduw-AI
Schaduw-AI verspreidt zich snel, werkt via kanalen die moeilijk te monitoren zijn en brengt risico’s met zich mee die traditionele beveiligingstools niet kunnen detecteren. Het effectief beheren ervan vereist inzicht in elke identiteit – mens en machine – die interactie heeft met AI-systemen en de gegevens waartoe ze toegang hebben. Naarmate AI-agents worden opgenomen in bedrijfsworkflows, hebben de machine-identiteiten waarvan zij gebruikmaken (zoals API-sleutels, serviceaccounttokens en infrastructuurgeheimen) hetzelfde beheer nodig als accounts van menselijke gebruikers. Een AI-agent met buitensporige machtigingen zonder auditspoor is het gevaarlijkste risico van schaduw-AI.
Met een zero-trust oplossing voor Privileged Access Management (PAM) zoals Keeper®, kunnen organisaties gecentraliseerd inzicht krijgen in en controle uitoefenen over gebruikers, systemen en identiteiten. Of het risico nu voortkomt uit ongeautoriseerde toepassingen of ongeoorloofd gebruik van AI, Keeper zorgt ervoor dat alle toegang nauwlettend wordt gemonitord en beveiligd.
Start vandaag nog uw gratis proefperiode van KeeperPAM om ervoor te zorgen dat alle identiteiten in uw omgeving goed worden beheerd.
