Een planner kopieert je orderlijst in ChatGPT om een rapport te maken. Een customer service-medewerker plakt een klantmail inclusief NAW-gegevens in een gratis AI-tool om een antwoord te formuleren. Een buyer vraagt een AI-chatbot om voorraadtrends te analyseren met je leveranciersdata. Niemand bedoelt het slecht. Iedereen wil sneller werken.

Welkom bij Shadow AI. Het grootste, stilste risico in jouw operatie van 2026.

Wat is Shadow AI precies?

Shadow AI is het gebruik van AI-tools binnen je bedrijf zonder dat IT, security of management ervan weet. Net zoals Shadow IT (denk aan medewerkers die Dropbox gebruiken in plaats van de officiële opslag), maar dan met een groter probleem: bij Shadow AI verdwijnt je bedrijfsdata vaak naar servers buiten Europa. Soms permanent. Soms om een nieuw model mee te trainen.

De cijfers liegen er niet om. Onderzoek van IBM laat zien dat in 2025 ongeveer 20% van alle datalekken te maken had met Shadow AI-gebruik. Een rapport van Microsoft uit hetzelfde jaar gaf aan dat 75% van de kenniswerkers AI gebruikt op het werk, waarvan 78% zijn eigen tools meeneemt zonder dat IT erbij betrokken is.

Voor logistieke en e-commerce teams is dit extra gevoelig. Jouw operatie draait op data die je niet kwijt wilt:

• Klantgegevens uit je CRM

• Orderhistorie en bestelpatronen

• Voorraadposities en leverancierscondities

• Marges en inkoopprijzen

• Personeelsgegevens van je planning

Eén keer copy-paste in een gratis chatbot en die data ligt buiten je controle.

Waarom je team Shadow AI gebruikt (en waarom verbieden niet werkt)

Voor we praten over oplossingen: het probleem zit niet bij je medewerkers. Het zit bij het werk.

Een planner heeft een rapport nodig voor de ochtendmeeting. De rapportagetool is traag. ChatGPT is binnen 30 seconden klaar. Een customer service-medewerker krijgt een klacht in slecht Engels en moet snel antwoorden. Google Translate of Claude werkt sneller dan de bedrijfssoftware. Een operations manager wil weten waarom de marge op categorie X daalt. Het BI-dashboard heeft drie dagen nodig. ChatGPT geeft een eerste antwoord in vijf seconden.

Je team kiest niet voor onveilig gedrag. Je team kiest voor sneller werken.

Daarom werkt een ChatGPT-verbod ook niet. Onderzoek van Cyberhaven toont aan dat na zo'n verbod het AI-gebruik niet daalt — het verschuift alleen naar persoonlijke devices, privémails en niet-trackbare browsers. Je hebt het probleem niet opgelost, je hebt het onzichtbaar gemaakt.

De drie risico's die je niet kunt negeren

1. Datalekken zonder dat je het merkt

Wanneer iemand bedrijfsdata in een gratis AI-tool plakt, verlaat die data je systemen. Bij veel publieke modellen wordt input opgeslagen voor training. Dat betekent: je orderdata kan onderdeel worden van een model dat morgen ook door een concurrent wordt gebruikt.

Een Samsung-engineer plakte in 2023 broncode in ChatGPT om een bug op te lossen. De data was niet meer terug te halen. Samsung verbood vervolgens publieke AI-tools. Maandenlang. Tot bleek dat het verbod ook niet werkte.

2. GDPR-overtredingen die boetes opleveren

Plak je een klantmail met NAW-gegevens in een Amerikaanse AI-tool, dan stuur je persoonsgegevens naar buiten de EU. Zonder verwerkingsovereenkomst. Zonder legitieme grondslag. Dat is een AVG-overtreding. De Autoriteit Persoonsgegevens deelde in 2025 al meerdere boetes uit voor exact deze situatie.

Wat het lastiger maakt: je medewerker doet niets bewust verkeerd. De boete komt bij jou terecht.

3. EU AI Act: minder dan 100 dagen tot de deadline

Op 2 augustus 2026 treden de regels voor hoog-risico AI-systemen onder de EU AI Act in werking. Voor logistieke en e-commerce operations vallen de meeste use cases gelukkig niet onder hoog-risico. Maar er zijn wel verplichtingen die voor iedereen gelden:

• AI-geletterdheid (artikel 4, geldt al sinds februari 2025): je moet kunnen aantonen dat medewerkers begrijpen hoe AI-systemen werken en wat de risico's zijn.

• Transparantieverplichtingen: medewerkers en klanten moeten weten wanneer ze met AI te maken hebben.

• Risicobeoordeling: je moet weten welke AI-systemen er in je organisatie gebruikt worden en welke risicocategorie ze hebben.

Als je niet weet welke AI-tools je team gebruikt, kun je geen van deze drie verplichtingen invullen. Shadow AI maakt AI Act-compliance onmogelijk.

Hoe je Shadow AI oplost zonder AI te verbieden

Goed nieuws: je hoeft AI niet te verbieden. Je hoeft alleen te zorgen dat het werk dat je team nu in ChatGPT doet, beter en veiliger kan in een omgeving die je wél onder controle hebt.

Hier is een praktisch vijfstappenplan dat werkt voor operationele teams.

Stap 1: Inventariseer wat je team écht gebruikt

Stuur geen audit-mail. Mensen liegen erin. Ga in plaats daarvan langs de planning, customer service en finance, en vraag: "Welke vragen stel je aan ChatGPT die ik nu niet kan beantwoorden met onze eigen tools?"

Je krijgt vrijwel altijd dezelfde antwoorden:

• "Hoeveel orders staan er nog open boven de €500?"

• "Welke klanten hebben de laatste 30 dagen geretourneerd?"

• "Wat zijn mijn drie traagste artikelen deze maand?"

• "Schrijf een mail naar leverancier X over levertijd Y."

Dit zijn allemaal vragen die met bedrijfsdata beantwoord moeten worden. Niet met algemene AI-kennis. Daar zit precies de gap.

Stap 2: Kies één veilige AI-omgeving voor je hele team

In plaats van 12 verschillende tools onder de radar, geef je je team één AI-omgeving die:

• Direct toegang heeft tot jouw bedrijfsdata (ERP, CRM, WMS, webshop)

• Data niet doorstuurt naar publieke modellen

• In de EU gehost wordt en GDPR-compliant is

• Werkt met Role Level Security — een planner ziet andere data dan een directeur

• Een audit trail bijhoudt: wie vroeg wat, wanneer, op basis van welke data

Dit is precies waarvoor wij Swoep hebben gebouwd. Geen losse chatbot, maar een AI Company Assistent die binnen je systemen werkt en niets buiten je organisatie deelt.

Stap 3: Maak het beter dan ChatGPT

Een veilige tool die langzamer is dan ChatGPT, gaat verliezen. Altijd. Je team kiest snelheid.

Daarom is het criterium niet "veilig genoeg", maar "veilig én sneller dan wat ze nu gebruiken". Een paar concrete benchmarks waar wij ons aan houden bij Swoep:

• Antwoord binnen 30 seconden, ongeacht hoeveel systemen het moet raadplegen

• Antwoorden gebaseerd op live data, niet op kennis van een model dat ergens vorig jaar is getraind

• Direct doorkunnen naar actie: een rapport sturen, een mail opstellen, een alert instellen — zonder van scherm te wisselen

Als je tool dit niet biedt, blijven mensen ChatGPT gebruiken. Hoe streng je beleid ook is.

Stap 4: Maak een eenvoudig AI-beleid (één pagina, niet tien)

Niemand leest een AI-beleid van 27 pagina's. Hou het simpel:

1. Welke AI mag je gebruiken voor werk? Met namen. ("Swoep voor bedrijfsdata. ChatGPT alleen voor publieke informatie zonder klant- of orderdata.")

2. Wat plak je nooit in een publieke AI-tool? Klantgegevens, orderdetails, financiële data, leveranciersinformatie, personeelsgegevens.

3. Bij twijfel? Eén contactpersoon, één e-mailadres. Geen formulieren.

Een pagina, drie regels, klaar. Hang het op in de kantine als het moet.

Stap 5: Train je team kort en concreet

De AI-geletterdheidsverplichting uit de AI Act vraagt geen tweedaagse training. Voor de meeste rollen is een sessie van twee uur voldoende. Drie onderwerpen:

• Hoe AI-systemen werken (in mensentaal, geen LLM-jargon)

• Welke risico's er zijn (datalekken, hallucinaties, bias)

• Hoe je AI veilig gebruikt met de tools die jullie hebben gekozen

Documenteer wie wanneer getraind is. Dat is je AI-Act-bewijs.

Wat dit oplevert: drie meetbare effecten

Bedrijven die Shadow AI structureel aanpakken (in plaats van negeren of verbieden) zien drie dingen tegelijk gebeuren:

1. Minder datalekken. Logisch. Als je team de officiële tool gebruikt, gaat er geen data meer naar publieke modellen.

2. Sneller werken. Een veilige AI met directe toegang tot je systemen is altijd sneller dan ChatGPT met copy-paste-werk. Bij onze klanten zien we gemiddeld 60 uur per week minder handwerk per team.

3. Compliance op orde. Eén AI-omgeving betekent één AI-systeem om te documenteren, één auditspoor, één plek om je AI Act-verplichtingen aan te tonen. Niet twaalf.

Een praktisch voorbeeld uit de logistiek

Een klant van ons in de logistiek (3PL, ongeveer 80 medewerkers) deed een interne survey en ontdekte dat 34 van de 52 kantoorrollen wekelijks ChatGPT of een vergelijkbare tool gebruikten met bedrijfsdata. Niemand wist dit. Het was nooit afgesproken, nooit verboden.

Wat ze hebben gedaan:

• Twee weken geïnventariseerd welke vragen er gesteld werden

• Swoep gekoppeld aan hun ERP, WMS en mailsysteem

• Een AI-beleid van één A4 opgesteld

• Alle 52 mensen kregen een sessie van twee uur

Drie maanden later: het ChatGPT-gebruik op werk was met 78% gedaald. Niet door een verbod, maar omdat Swoep sneller antwoord gaf. De compliance officer kon voor het eerst aantonen welke AI-systemen er in de organisatie draaiden, met welke data, en wie er toegang had. AI Act-compliance ging van onmogelijk naar aantoonbaar.

Wat je deze week kunt doen

Begin niet met een groot project. Begin met deze drie stappen:

1. Vraag het rond. Loop langs vijf willekeurige medewerkers en vraag welke AI-tools ze gebruiken voor werk. Schrik niet van het antwoord.

2. Maak een lijst van de vijf meest gestelde vragen aan ChatGPT binnen je team. Dit zijn precies de vragen die je intern beter moet kunnen beantwoorden.

3. Plan een gesprek over je AI-strategie. Niet over of, maar over hoe.

Shadow AI verdwijnt niet vanzelf. Maar je kunt het wel transparant maken, veilig maken, en sneller maken dan wat je team nu doet.