Een op de vijf Nederlandse werknemers heeft op eigen kosten een privéabonnement op een AI-tool afgesloten om werkzaken mee te regelen. Tegelijkertijd heeft 43 procent van de werknemers duidelijke AI-richtlijnen van zijn of haar werkgever ontvangen. Dit terwijl de AI Act dit al vanaf februari 2025 verplicht stelt.
Die informatie komt uit de IT-Indicator 2026 van Aces Direct. Het onderzoek is gehouden onder ruim duizend werkende Nederlanders bij bedrijven met 250 tot 1200 medewerkers. Ruim een derde (35 procent) zegt bovendien onvoldoende uitleg te hebben gekregen over AI-gebruik binnen de eigen organisatie. Drie op de tien werknemers weet bijvoorbeeld niet eens welke AI-functionaliteiten er al op hun gebruikte devices draaien.
Kloof tussen beleid en werkvloer
Slechts 43 procent van de werknemers zegt dat zijn of haar organisatie duidelijke richtlijnen heeft over AI. Dat betekent dat de meerderheid vindt dat richtlijnen ontbreken of dat er geen helder beeld heeft van wat er wel of niet mag.
Opvallend is het verschil per functieniveau schrijft het onderzoeksbureau. Zo kent 60 procent van het hoger management de geldende AI-richtlijnen, terwijl dat op uitvoerend niveau nog maar 37 procent is.
Daarbij speelt ook wetgeving een rol. Artikel 4 van de Europese AI Act verplicht elke organisatie die AI gebruikt, sinds 2 februari 2025, om te zorgen voor voldoende AI-geletterdheid bij medewerkers. Ruim een jaar na inwerkingtreding laat het onderzoek zien dat die verplichting nog niet breed is ingevuld.
Lees ook: Waarom de strijd om de AI Act de ICT-sector verdeelt
Shadow-IT als organisatiesignaal
Wanneer medewerkers buiten IT om eigen tools aanschaffen of gebruiken op het gebied van kunstmatige intelligentie, spreekt men van shadow-AI. De risico’s die daarmee gelopen worden zijn niet mis. Privéabonnementen vallen buiten IT-beheer, voldoen niet per definitie aan compliance-eisen en kunnen ongemerkt bedrijfsdata bevatten. De opkomst van Shadow AI legt bovendien een dieper liggend risico bloot dat verder gaat dan de traditionele wildgroei aan ongeautoriseerde software, oftewel Shadow IT.
Waar het voorheen vaak ging om handige projectmanagementtools of cloudopslag, gaat het bij AI om systemen die actief gevoed worden met data om output te genereren. Werknemers die via een privéabonnement klantgegevens, broncode of strategische plannen in een publieke LLM invoeren om hun werk sneller te doen, creëren onbewust datalekken. Omdat deze consumentenversies niet vallen onder de enterprise-voorwaarden van de organisatie, worden de ingevoerde gegevens in veel gevallen ook nog eens gebruikt om de commerciële modellen verder te trainen. De opkomst van shadow-ai heeft simpelweg te maken met de snelle AI-adoptie.
Sven van Boxtel, CEO bij Aces Direct, stelt dat het niet gaat om gedrag van individuele werknemers: “Shadow-IT is daarmee geen gedragsprobleem van werknemers, maar een signaal dat organisaties achterlopen.” Hij adviseert organisaties om eerst in kaart te brengen welke AI-tools al in gebruik zijn, vervolgens een veilig en goedgekeurd alternatief aan te bieden en helder te communiceren wat wel en niet mag. Pas dan bepaalt een organisatie zelf hoe AI binnenkomt in plaats van dat het ongemerkt gebeurt.
Als doping in de ronde van Frankrijk: de onuitstuitbare opmars van Shadow AI