Nieuws
3 min leestijd
De European Data Protection Supervisor (EDPS), de privacytoezichthouder van de Europese instellingen, heeft een waarschuwing uitgebracht over het gebruik van AI-tools door medewerkers buiten de officiële IT-omgeving van hun organisatie. Dit fenomeen, aangeduid als 'schaduw-AI', vormt volgens de toezichthouder een aanzienlijk risico op datalekken en overtredingen van geldende wet- en regelgeving, waaronder de AVG en regels rondom dataretentie.
Het gaat om situaties waarin werknemers zelfstandig gebruikmaken van publiek toegankelijke AI-diensten, zoals chatbots of tekst- en beeldgeneratoren, voor werktaken. Omdat die tools doorgaans niet zijn goedgekeurd door de eigen IT- of compliance-afdeling, vallen ze buiten het zicht van de organisatie. Gevoelige bedrijfs- of persoonsgegevens die via zulke tools worden verwerkt, kunnen daardoor terechtkomen bij externe aanbieders zonder dat daar de juiste juridische of technische waarborgen voor zijn getroffen.
De waarschuwing van de EDPS richt zich primair op Europese instellingen en overheidsorganen, maar de onderliggende problematiek is breder relevant voor elke organisatie die werkt met vertrouwelijke gegevens.
De term 'schaduw-AI' is afgeleid van het bredere begrip 'schaduw-IT', dat al langer bekend is in beveiligingskringen. Schaduw-IT verwijst naar software, diensten of hardware die medewerkers inzetten zonder medeweten of goedkeuring van de eigen IT-afdeling. Met de brede beschikbaarheid van gratis en laagdrempelige AI-tools is dit fenomeen in een stroomversnelling geraakt.
Concreet gaat het om medewerkers die bijvoorbeeld een verslag laten samenvatten door een externe chatbot, klantgegevens invoeren in een vertaaltool op basis van een groot taalmodel, of interne beleidsdocumenten uploaden naar een AI-schrijfassistent. In al die gevallen verlaten de gegevens de beveiligde omgeving van de werkgever, zonder dat duidelijk is hoe de aanbieder die data verwerkt, opslaat of mogelijk hergebruikt voor trainingsdata.
De EDPS wijst op meerdere concrete risico's. Ten eerste het gevaar van datalekken: persoonsgegevens die worden ingevoerd in niet-goedgekeurde tools kunnen worden opgeslagen op servers buiten de Europese Economische Ruimte, waar andere privacyregels gelden. Dat is in strijd met de Algemene Verordening Gegevensbescherming (AVG).
Ten tweede noemt de toezichthouder risico's rondom dataretentie. Organisaties zijn wettelijk verplicht om gegevens niet langer te bewaren dan noodzakelijk. Wanneer data via een externe AI-tool wordt verwerkt, verliest de organisatie de controle over hoe lang die gegevens worden bewaard door de aanbieder.
Daarnaast bestaat het risico dat vertrouwelijke of geclassificeerde informatie onbedoeld publiek toegankelijk wordt, of dat de uitkomsten van AI-tools worden gebruikt voor beslissingen zonder dat de wettelijk vereiste menselijke controle heeft plaatsgevonden.
Een belangrijk punt in de redenering van de EDPS is dat de juridische verantwoordelijkheid voor de verwerking van persoonsgegevens bij de organisatie blijft liggen, ook als een medewerker individueel handelt. Als er een datalek optreedt doordat een medewerker gevoelige gegevens heeft ingevoerd in een niet-goedgekeurde AI-tool, is de werkgever nog steeds de verwerkingsverantwoordelijke in de zin van de AVG.
Dat betekent dat organisaties niet kunnen volstaan met het verbieden van schaduw-AI in een beleidsdocument. Ze zijn ook gehouden om technische en organisatorische maatregelen te treffen die ongeautoriseerd gebruik daadwerkelijk tegengaan, en om medewerkers adequaat te informeren over welke tools wel en niet zijn toegestaan.
De waarschuwing van de EDPS komt op een moment waarop het gebruik van AI-tools op de werkvloer sterk toeneemt. Onderzoeken van onder meer McKinsey en Gartner tonen aan dat een aanzienlijk deel van de medewerkers in kennisintensieve sectoren AI-hulpmiddelen gebruikt voor dagelijkse taken, maar dat organisaties de invoering van goedgekeurd beleid daarin vaak niet hebben bijgehouden.
In Nederland houdt de Autoriteit Persoonsgegevens (AP) toezicht op de naleving van de AVG. De AP heeft eerder aangegeven AI-toepassingen nauwlettend te volgen, maar heeft zich nog niet specifiek uitgelaten over schaduw-AI in de context van deze EDPS-waarschuwing. Voor Nederlandse organisaties gelden dezelfde AVG-verplichtingen als voor Europese instellingen, al richt de EDPS zich formeel alleen op de EU-instellingen zelf.
De EDPS doet in haar waarschuwing ook een aantal aanbevelingen. Organisaties worden geadviseerd om een helder AI-beleid op te stellen dat werknemers informeert over toegestane en niet-toegestane tools. Daarnaast wordt aanbevolen om goedgekeurde alternatieven beschikbaar te stellen, zodat medewerkers niet worden gedwongen naar externe oplossingen te grijpen.
De volledige waarschuwing van de EDPS is gepubliceerd op de website van de toezichthouder. Het document is bedoeld als handreiking voor functionarissen voor gegevensbescherming (FG's) binnen Europese instellingen, maar biedt ook bruikbare kaders voor private organisaties die hun AI-beleid willen aanscherpen.
Het Amsterdamse alpha.one heeft €1,8 miljoen groeikapitaal opgehaald, geleid door Orange Mills Ventures. Het bedrijf gebruikt neurowetenschap om de effectiviteit van marketingcontent te voorspellen en wil het platform uitbreiden met een actieve optimalisatie-engine.
Anthropic heeft haar Fable-model afgesloten voor gebruikers buiten de VS, waaronder Europeanen. Het is een van de eerste keren dat een geavanceerd Amerikaans AI-model expliciet wordt beperkt tot Amerikaanse staatsburgers.
Nederland is op 23 juni 2026 toegetreden tot Pax Silica, een door de VS geleide alliantie die de chipketen wil diversifiëren en de afhankelijkheid van één regio wil verminderen. Nederland is het vijftiende lid; ook Zuid-Korea, Japan en het Verenigd Koninkrijk zijn aangesloten.
