Bij vrijwel elke organisatie die wij begeleiden bij AI-governance komt hetzelfde patroon naar boven: er wordt meer AI gebruikt dan iemand denkt. Medewerkers gebruiken eigen accounts voor AI-tools, bestaande softwareleveranciers voegen AI-functies toe zonder dat iemand het opmerkt, en in afdelingen ontstaan workarounds die nooit langs IT of compliance zijn gegaan. Dat fenomeen heet shadow AI, en het is het grootste blinde vlek in elke AI-governance.
Waarom shadow AI ontstaat
Shadow AI is zelden kwade wil. Het ontstaat omdat AI-tools laagdrempelig, gratis en direct beschikbaar zijn, en omdat ze medewerkers helpen hun werk sneller te doen. Wie een rapport moet samenvatten, een e-mail moet opstellen of code moet schrijven, pakt de tool die voorhanden is. Als het officiële beleid te streng of onduidelijk is, of als er helemaal geen beleid is, gaat de praktijk eromheen.
Het risico zit in wat er ongezien gebeurt. Bedrijfsgevoelige data die naar een externe dienst wordt geüpload. Besluiten die mede op een AI-uitkomst zijn gebaseerd zonder dat iemand de betrouwbaarheid heeft getoetst. Persoonsgegevens die door een model worden verwerkt buiten elke verwerkersovereenkomst om. Zonder zicht op waar AI wordt gebruikt, kan een organisatie geen van deze risico's beheersen.
De inventarisatie als fundament
De eerste stap in elk serieus AI-governance traject is daarom een AI-inventarisatie. ISO 42001 begint ermee, de EU AI Act vereist dat je weet welke AI-systemen je inzet en in welke risicocategorie ze vallen, en zonder inventarisatie heeft elke verdere stap geen fundament. Je kunt geen risico's beoordelen, geen impactassessments uitvoeren en geen beleid handhaven voor systemen die je niet in beeld hebt.
Het bijzondere aan AI is dat de inventarisatie breder moet zijn dan organisaties verwachten. Het gaat niet alleen om de eigen modellen of een ChatGPT-licentie. Marketingtools met segmentatie, salesplatformen met lead scoring, HR-software met CV-screening, klantenservicetools met sentimentanalyse: het zijn allemaal AI-systemen in de zin van de standaard en de wet. Veel ervan zit verstopt als functie binnen software die de organisatie al jaren gebruikt.
Hoe je de inventarisatie aanpakt
Een effectieve inventarisatie bevraagt niet alleen IT, maar de hele organisatie. De verrassingen zitten bij marketing, sales, finance en HR, waar AI-functionaliteit vaak het eerst en het breedst wordt gebruikt. Wij adviseren om per afdeling concreet te vragen: welke tools gebruiken jullie, welke daarvan hebben AI-functies, welke data gaat erin, en welke besluiten worden erop gebaseerd.
Daarnaast hoort de leverancierskant in beeld. Bestaande leveranciers voegen voortdurend AI-functionaliteit toe aan hun producten. Een inventarisatie is daarom geen eenmalige momentopname maar een proces: het overzicht moet actueel blijven, met een vast moment om nieuwe systemen en nieuwe functies op te nemen. Hier raakt AI-governance aan third-party risk management, want een groot deel van de gebruikte AI komt van buiten.
Van inventarisatie naar grip
Zodra het overzicht er is, wordt de rest van de governance mogelijk. Per systeem kun je de risicocategorie bepalen, beoordelen of een impactassessment nodig is, en vaststellen welk beleid en welke geletterdheid erbij horen. De inventarisatie is daarmee niet alleen de eerste stap, maar de spil waar alles aan hangt. En het terugdringen van shadow AI begint niet met een verbod, maar met zicht en met werkbaar beleid dat medewerkers een veilig alternatief biedt.
Hoe Secure Audit hierin ondersteunt
Wij helpen organisaties bij het uitvoeren van een volledige AI-inventarisatie, het in beeld brengen van shadow AI en het opzetten van een proces dat het overzicht actueel houdt. Dat vormt het fundament voor ISO 42001 en voor compliance met de EU AI Act. Neem contact op voor een AI-inventarisatie.
Veelgestelde vragen
Wat is shadow AI?+
Shadow AI is AI-gebruik dat buiten het zicht van IT of compliance plaatsvindt: medewerkers die eigen accounts voor AI-tools gebruiken, of bestaande leveranciers die ongemerkt AI-functies aan hun software toevoegen.
Waarom is een AI-inventarisatie zo belangrijk?+
Zonder overzicht van welke AI je inzet, kun je geen risico's beoordelen, geen impactassessments uitvoeren en geen beleid handhaven. De inventarisatie is daarom de eerste en onmisbare stap voor zowel ISO 42001 als de EU AI Act.
Hoe breng je shadow AI in kaart?+
Bevraag niet alleen IT maar de hele organisatie, met name marketing, sales, finance en HR. Neem ook AI-functies in bestaande leverancierssoftware mee, en houd het overzicht actueel als doorlopend proces in plaats van een eenmalige momentopname.
Lees ook
Steeds meer bedrijven willen ISO 42001-gecertificeerd worden. Maar de praktijk is weerbarstiger dan de theorie. Dit zijn de zeven dingen die wij tegenkomen bij organisaties die hun AI-governance op orde willen brengen.
Sinds 2 februari 2025 verplicht artikel 4 van de EU AI Act elke organisatie die AI inzet om te zorgen voor voldoende AI-geletterdheid bij haar personeel. Het is de eerste concrete verplichting die al van kracht is, en het raakt vrijwel iedere organisatie. Wat houdt de eis precies in en hoe geef je er invulling aan?
ISO/IEC 42005:2025 is de eerste internationale standaard die specifiek gaat over het uitvoeren van AI-systeem impactassessments. De standaard helpt organisaties om de gevolgen van hun AI-systemen voor individuen, groepen en de samenleving gestructureerd in kaart te brengen. Geen certificeerbare norm, maar een praktische leidraad die naadloos aansluit op ISO 42001 en de EU AI Act.
Hoe beoordeel je de risico's van leveranciers en uitbestedingspartners? Een praktische gids voor TPRM in de Nederlandse context.
Over de auteur
Partner | IT-auditor