Iemand houdt een smartphone vast voor een laptop op een bureau
Nieuws26 juni · 16:234 min leestijd

Een op de vijf werknemers koopt zelf AI-tools voor het werk

Een op de vijf Nederlandse werknemers betaalt zelf voor AI-tools om werk te doen, terwijl maar 43 procent het AI-beleid van de werkgever kent. Schaduw-AI is een signaal, geen gedragsprobleem.

Een op de vijf Nederlandse werknemers betaalt zelf voor een AI-tool om er werk mee te doen. Niet via de IT-afdeling, niet met een goedgekeurd budget, maar met een eigen abonnement op een chatbot of AI-assistent. Dat blijkt uit de IT-Indicator 2026 van Aces Direct, een onderzoek onder ruim duizend Nederlandse werknemers bij organisaties van 250 tot 1.200 medewerkers. De boodschap eronder is ongemakkelijk: mensen lopen voor op het beleid van hun werkgever, en dat beleid is er vaak niet eens.

De cijfers achter schaduw-AI

De cijfers schetsen een werkvloer die sneller met AI aan de slag is dan de organisatie eromheen. Slechts 43 procent van de werknemers zegt dat de werkgever duidelijke AI-richtlijnen heeft gegeven. Ruim een derde (35 procent) vindt dat er te weinig is uitgelegd over hoe je AI binnen het bedrijf hoort te gebruiken. En drie op de tien weten niet eens welke AI-functies er al op hun eigen werkapparaat draaien.

Hoe Nederlandse werknemers AI op het werk ervaren, in procenten (bron: IT-Indicator 2026, Aces Direct)

De kloof loopt bovendien dwars door de organisatie heen. Waar 60 procent van het hoger management de AI-richtlijnen kent, is dat op de werkvloer nog maar 37 procent. Juist de mensen die de tools dagelijks gebruiken, weten dus het minst over de regels. "Shadow-IT is daarmee geen gedragsprobleem van werknemers, maar een signaal dat organisaties achterlopen", aldus Sven van Boxtel van Aces Direct in de toelichting op het onderzoek naar de kloof tussen werkvloer en AI-beleid.

Waarom dit een risico is, geen detail

Het probleem zit niet in de tool zelf, maar in waar je data terechtkomt. Een priveabonnement op een AI-dienst valt buiten het zicht van de IT-afdeling: niemand weet welke bedrijfsdata erin geplakt wordt, onder welke voorwaarden die bewaard blijft, of waar de servers staan. Dat is precies waar het misgaat, want het AVG-risico bij AI zit niet in het model maar in hoe je je data beheert: zodra persoonsgegevens of klantinformatie in een ongecontroleerde tool belanden, verlies je de grip op doelbinding en bewaartermijnen. Een ijverige medewerker die snel een offerte laat samenvatten, lekt zo ongemerkt vertrouwelijke gegevens naar een dienst waar het bedrijf nooit afspraken mee heeft gemaakt.

De AI Act maakt het urgent

Sinds 2 februari 2025 verplicht de Europese AI Act werkgevers om te zorgen voor voldoende AI-geletterdheid bij hun personeel: medewerkers moeten begrijpen wat de tools doen en welke risico's eraan zitten. Een werkvloer waar 35 procent zegt te weinig uitleg te krijgen, voldoet daar simpelweg niet aan.

De Berlaymont, het hoofdkwartier van de Europese Commissie in Brussel, met EU-vlaggen ervoor. Bron: almathias / Wikimedia Commons (CC0)
De Berlaymont, het hoofdkwartier van de Europese Commissie in Brussel, met EU-vlaggen ervoor. Bron: almathias / Wikimedia Commons (CC0)

Voor het MKB hoeft dat geen juridisch moeras te zijn. Een stappenplan om als MKB aan de AI Act te voldoen begint met het inventariseren van welke AI er al in huis is, inclusief de tools die niemand officieel heeft aangezet. Je kunt geen beleid maken voor gebruik dat je niet ziet.

Wat dit betekent voor jouw bedrijf

Schaduw-AI verbieden werkt niet, het duwt het gebruik alleen verder de schaduw in. De cijfers laten zien dat de vraag er gewoon is: mensen kopen tools omdat ze die nodig hebben en ze van hun werkgever niet krijgen. De winst zit in het omdraaien van de volgorde. Bied goede, goedgekeurde AI-tools aan, leg vast welke data er wel en niet in mag, en maak duidelijk wie waarvoor verantwoordelijk is. Dan verdwijnt de reden om buiten de lijntjes te kleuren, en krijg je er grip, naleving en betere resultaten voor terug.

Een werkvloer die vooroploopt is geen probleem. Een organisatie die niet bijhoudt waar haar data heen gaat, is dat wel.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

AI op de werkvloer, met grip

Schaduw-AI ontstaat als mensen tools nodig hebben die er officieel niet zijn. Ik help je van AI-beleid en datakeuzes tot werkende, vaak self-hosted AI die je team veilig kan gebruiken, end-to-end meegedacht en gebouwd.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Italiaanse toezichthouder beboet Character.AI om falende leeftijdscontrole
Nieuws
4 min

10 jul 06:38

Italiaanse toezichthouder beboet Character.AI om falende leeftijdscontrole

De Italiaanse privacytoezichthouder Garante legt Character.AI een boete op wegens falende leeftijdscontrole en een te laat uitgevoerde privacytoets. Een klein bedrag, maar een duidelijk precedent voor elk bedrijf met een AI-chatbot die minderjarigen kan bereiken.

AI en de AVG: het risico zit niet in het model, maar in je data
Inzicht
7 min

19 jun 19:05

AI en de AVG: het risico zit niet in het model, maar in je data

Bedrijven die AI weghouden van klantdata uit angst voor de AVG lossen het verkeerde probleem op. Het risico zit niet in de AI, maar in slordige dataomgang die AI alleen uitvergroot.

AI Act-nalevingschecklist voor het MKB: een praktisch stappenplan
Gids
9 min

17 jun 13:00

AI Act-nalevingschecklist voor het MKB: een praktisch stappenplan

Een werkbaar stappenplan om je bedrijf in lijn te brengen met de AI Act: inventariseer je AI, classificeer het risico, regel transparantie en leg alles vast in een register dat je actueel houdt.

Een AI-agent op je eigen data draaien: zelf hosten of een EU-aanbieder kiezen
Gids
Uitgebreide gids11 min

8 jul 17:00

Een AI-agent op je eigen data draaien: zelf hosten of een EU-aanbieder kiezen

Een AI-agent die op je eigen data werkt, hoeft niet naar een Amerikaanse cloud. Kies bewust tussen een EU-aanbieder via een API en zelf hosten, met een eerlijk beslis-kader op data, kosten, beheer en exit.

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen
Nieuws
4

7 jul 22:24

Europese Commissie presenteert AI-cyberplan zonder nieuwe verplichtingen

De Europese Commissie kwam op 7 juli met een Actieplan Cybersecurity en AI. Het bevat vooral aanbevelingen en Europese testcapaciteit, geen nieuwe verplichtingen. Voor Nederlandse bedrijven blijven NIS2 en de AI Act de harde compliancelat.

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen
Signaal
6 min

4 jul 18:06

Vier zaken, één beweging: de AP neemt de datastromen van het AI-tijdperk onder handen

Uber, Yango, Odido, tien gemeenten. Los zijn het losse boetes, samen laten ze zien hoe de Autoriteit Persoonsgegevens de datastromen van het AI-tijdperk onder handen neemt. En waar dat jou raakt.