Een op de vijf Nederlandse werknemers betaalt zelf voor een AI-tool om er werk mee te doen. Niet via de IT-afdeling, niet met een goedgekeurd budget, maar met een eigen abonnement op een chatbot of AI-assistent. Dat blijkt uit de IT-Indicator 2026 van Aces Direct, een onderzoek onder ruim duizend Nederlandse werknemers bij organisaties van 250 tot 1.200 medewerkers. De boodschap eronder is ongemakkelijk: mensen lopen voor op het beleid van hun werkgever, en dat beleid is er vaak niet eens.
De cijfers achter schaduw-AI
De cijfers schetsen een werkvloer die sneller met AI aan de slag is dan de organisatie eromheen. Slechts 43 procent van de werknemers zegt dat de werkgever duidelijke AI-richtlijnen heeft gegeven. Ruim een derde (35 procent) vindt dat er te weinig is uitgelegd over hoe je AI binnen het bedrijf hoort te gebruiken. En drie op de tien weten niet eens welke AI-functies er al op hun eigen werkapparaat draaien.
De kloof loopt bovendien dwars door de organisatie heen. Waar 60 procent van het hoger management de AI-richtlijnen kent, is dat op de werkvloer nog maar 37 procent. Juist de mensen die de tools dagelijks gebruiken, weten dus het minst over de regels. "Shadow-IT is daarmee geen gedragsprobleem van werknemers, maar een signaal dat organisaties achterlopen", aldus Sven van Boxtel van Aces Direct in de toelichting op het onderzoek naar de kloof tussen werkvloer en AI-beleid.
Waarom dit een risico is, geen detail
Het probleem zit niet in de tool zelf, maar in waar je data terechtkomt. Een priveabonnement op een AI-dienst valt buiten het zicht van de IT-afdeling: niemand weet welke bedrijfsdata erin geplakt wordt, onder welke voorwaarden die bewaard blijft, of waar de servers staan. Dat is precies waar het misgaat, want het AVG-risico bij AI zit niet in het model maar in hoe je je data beheert: zodra persoonsgegevens of klantinformatie in een ongecontroleerde tool belanden, verlies je de grip op doelbinding en bewaartermijnen. Een ijverige medewerker die snel een offerte laat samenvatten, lekt zo ongemerkt vertrouwelijke gegevens naar een dienst waar het bedrijf nooit afspraken mee heeft gemaakt.
De AI Act maakt het urgent
Sinds 2 februari 2025 verplicht de Europese AI Act werkgevers om te zorgen voor voldoende AI-geletterdheid bij hun personeel: medewerkers moeten begrijpen wat de tools doen en welke risico's eraan zitten. Een werkvloer waar 35 procent zegt te weinig uitleg te krijgen, voldoet daar simpelweg niet aan.

Voor het MKB hoeft dat geen juridisch moeras te zijn. Een stappenplan om als MKB aan de AI Act te voldoen begint met het inventariseren van welke AI er al in huis is, inclusief de tools die niemand officieel heeft aangezet. Je kunt geen beleid maken voor gebruik dat je niet ziet.
Wat dit betekent voor jouw bedrijf
Schaduw-AI verbieden werkt niet, het duwt het gebruik alleen verder de schaduw in. De cijfers laten zien dat de vraag er gewoon is: mensen kopen tools omdat ze die nodig hebben en ze van hun werkgever niet krijgen. De winst zit in het omdraaien van de volgorde. Bied goede, goedgekeurde AI-tools aan, leg vast welke data er wel en niet in mag, en maak duidelijk wie waarvoor verantwoordelijk is. Dan verdwijnt de reden om buiten de lijntjes te kleuren, en krijg je er grip, naleving en betere resultaten voor terug.
Een werkvloer die vooroploopt is geen probleem. Een organisatie die niet bijhoudt waar haar data heen gaat, is dat wel.
Veelgestelde vragen
AI op de werkvloer, met grip
Schaduw-AI ontstaat als mensen tools nodig hebben die er officieel niet zijn. Ik help je van AI-beleid en datakeuzes tot werkende, vaak self-hosted AI die je team veilig kan gebruiken, end-to-end meegedacht en gebouwd.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
