Shadow AI zit al in je bedrijf. Zo pak je het aan.

Een bakkerseigenares in Gent vertelde ons onlangs over een moment dat haar deed stilstaan. Haar deeltijdse assistente had een prachtige excuusmail opgesteld voor een klant wiens verjaardagstaart te laat was aangekomen. De mail was zó goed — eigenlijk net iets té goed. Ze vroeg hoe ze hem had geschreven. "Oh, ik gebruik ChatGPT. Dat doe ik altijd."

Die assistente had de naam, het adres, de allergiegegevens en de bestelgeschiedenis van de klant in een persoonlijk ChatGPT-account geplakt om de juiste toon te vinden. Niemand had gezegd dat het niet mocht. Niemand had gezegd dat het wel mocht. Ze probeerde gewoon goed werk te leveren.

Dit is shadow AI. En als je in Europa een kleine onderneming runt, gebeurt het vrijwel zeker ook al bij jou.

De 45% die je moet kennen

Een recent onderzoek van Gusto toonde dat 45% van de werknemers AI-tools op het werk gebruikt zonder hun werkgever iets te zeggen. Ongeveer één op drie heeft al bedrijfsgegevens in publieke AI-modellen geplakt. Eén op vier heeft financiële of commerciële informatie gedeeld. Het Harvard Business Review-artikel van 14 april sprak over "de verborgen vraag naar AI binnen je bedrijf" — een stille golf werknemers die Claude, ChatGPT, Gemini en een stuk of tien andere tools gebruiken om sneller te werken, meestal zonder dat iemand in het management het doorheeft.

Voor een KMO zijn de gevolgen concreet en persoonlijk. Je hebt geen IT-afdeling van vijftig mensen. Je hebt waarschijnlijk niemand met het woord "compliance" in zijn of haar functietitel. En toch komen de risico's op jouw bureau terecht.

Vier risico's die klein lijken tot ze dat niet meer zijn

GDPR-blootstelling. Wanneer je boekhouder een klantenfactuur in een gratis AI-tool gooit om "de regels even samen te vatten", is die factuur persoonsgegevens onder de GDPR. Sommige gratis tools trainen hun modellen op wat je invoert. Andere bewaren prompts onbeperkt. Een gegevensbeschermingsautoriteit aanvaardt "ik wist het niet" niet als verweer, en boetes worden berekend op de totale omzet van het bedrijf.

Verplichtingen uit de AI Act. Vanaf 2 augustus 2026 treden de verplichtingen voor gebruikers (deployers) onder de AI Act volledig in werking. Als jouw personeel een AI-systeem gebruikt om sollicitaties te screenen, de kredietwaardigheid van klanten te scoren of andere beslissingen te nemen die mensen raken, heb je juridische plichten — of je de tool zelf gebouwd hebt of niet. Veel KMO-eigenaars denken nog dat de AI Act enkel geldt voor bedrijven die AI bouwen. Hij geldt ook voor wie AI op bepaalde manieren gebruikt.

Inconsistente kwaliteit. Als vijf werknemers vijf verschillende AI-tools gebruiken met vijf verschillende promptstijlen, klinken je klantenmails niet meer als jouw merk. Je offertes lopen fors uiteen. Je supportantwoorden lijken van vijf verschillende bedrijven te komen. Je verliest het enige wat een klein bedrijf op een groot bedrijf voor heeft: een duidelijke, samenhangende stem.

Verloren inzicht. Dit is het stilste risico. Wanneer werknemers hun AI-gebruik verbergen, kom je nooit te weten voor welke taken AI bij jou echt goed werkt. De patronen die je tien uur per week kunnen besparen, blijven onzichtbaar. BBVA, een van de grootste banken van Europa, heeft dat begrepen en is gestopt met doen alsof shadow AI niet bestaat. Ze hebben er een gestructureerde uitrol van gemaakt en tellen vandaag 4.800 interne AI-tools die hun eigen werknemers gebouwd hebben. Tijdswinst: twee tot vijf uur per werknemer, per week.

Jouw bakkerij is BBVA niet. Maar het principe geldt: onzichtbaar AI-gebruik is verloren signaal.

Het eenpagina-beleid dat écht werkt

Vergeet het bedrijfsbeleid van 40 pagina's. Dit is wat het AI-beleid van een KMO moet dekken, en het past op één zijde A4.

Groene lijst. Benoem de tools die je goedgekeurd hebt. Voor de meeste KMO's is de lijst kort: één algemene AI (ChatGPT Team, Claude Pro of een Europese optie zoals Mistral Le Chat Pro), één vergadernotulator, en de AI-functies die al in tools zitten waarvoor je al betaalt (Microsoft 365 Copilot, Gemini in Google Workspace, de AI-module van je CRM).

Rode lijst. Benoem wat niet mag. Duidelijk. De simpelste regel: nooit klantgegevens, leveranciers­contracten, financiële cijfers of personeelsinformatie in een AI-tool plakken die niet op de groene lijst staat. Geen uitzonderingen voor "deze ene keer".

De plak-test. Vóór iemand iets in een AI-tool plakt, stelt hij of zij één vraag: "Zou ik er vrede mee hebben als deze tekst volgende week in een AI-antwoord van een concurrent opduikt?" Nee? Dan niet plakken. Misschien? Dan eerst herschrijven om specifieke details eruit te halen.

Bij wie aankloppen. Eén naam en één e-mailadres. Als iemand een nieuwe tool wil proberen, stuurt die persoon één bericht. Jij antwoordt binnen een dag. Geen formulier, geen commissie.

Het register. Een gedeeld document — een Google Sheet volstaat — waar werknemers bijhouden welke AI-tools ze gebruiken en voor welke taken. Maandelijkse update. Dit wordt je echte AI-kaart.

Dat is het. Vijf delen. Eén pagina. Door elke werknemer ondertekend.

Hoe vervang je shadow AI door AI met kader

Tools verbieden werkt niet. Als je team met ChatGPT betere mails schrijft, gaan ze ChatGPT blijven gebruiken — beleid of geen beleid. De oplossing is hen iets evenwaardigs of beters geven dat jij wel controleert.

Begin met een betaald teamaccount. ChatGPT Team kost 25 euro per gebruiker per maand. Claude Team zit in dezelfde orde. Beide bieden garanties rond gegevensbescherming: je prompts worden niet gebruikt voor training, gesprekken zijn versleuteld, en je krijgt een beheerdersconsole. Deze ene stap lost het plakprobleem in ongeveer 80% van de shadow AI-gevallen op.

Kies één notulator en maak er de standaard van. Vergaderingen zijn de tweede grote shadow AI-zone. Kies er één — Fireflies, tl;dv, Otter, of de ingebouwde optie van je videoplatform — en maak die de standaard. Stel in dat transcripties na 90 dagen worden gewist, tenzij er expliciet een bewaartag op staat.

Gebruik de AI-functies waar je al voor betaalt. De meeste KMO's ontdekken dat ze al de helft van de AI-capaciteit in huis hebben die ze nodig hebben. Microsoft 365 Copilot, Gemini in Workspace, de AI-assistent van HubSpot, Pipedrive AI — allemaal draaien ze op contracten die je al getekend hebt, met databepalingen die je al aanvaard hebt. Zet ze aan. Leid je team op. De helft van het shadow AI-probleem verdwijnt op de dag dat je beseft dat je werknemers persoonlijk betaalden voor wat het bedrijf al bezat.

Bouw twee of drie gedeelde prompts. Een goede "schrijf een klantantwoord"-prompt voor jouw zaak, bewaard in een gedeeld document, lost meer consistentieproblemen op dan een stijlgids. Laat je team ze samen schrijven bij een kop koffie. Ze zullen ze gebruiken omdat ze van henzelf zijn.

De Europese context: waarom dit hier nóg belangrijker is

Kleine ondernemingen in Europa bevinden zich in een bijzondere positie. Je werkt onder het strengste gegevensbeschermingsregime ter wereld (GDPR), je gaat werken onder het strengste AI-regime ter wereld (AI Act), en de meeste AI-tools die je gebruikt, zijn gebouwd door Amerikaanse bedrijven die geen van beide kaders altijd standaard goed begrijpen.

Het goede nieuws: Europa probeert kleine bedrijven hiermee niet te pletten. De AI Act bevat expliciete bepalingen voor KMO's — voorrang bij regelgevingssandboxes, gratis opleidingen rond compliance, proportionele kosten, en automatische boetevermindering van 75% voor micro-ondernemingen. De EU AI Act Service Desk is gratis en kan je de 25.000 tot 50.000 euro aan juridische kosten besparen die je anders zou uitgeven om uit te zoeken of jouw gebruikstype als hoog risico telt.

Het slechte nieuws: niets hiervan helpt je als je niet weet welke AI je werknemers nu al gebruiken.

Wat deze week te doen

Als je tot hier gelezen hebt en denkt: "oké, ik zou hier eigenlijk iets mee moeten doen" — hier is de versie van 60 minuten.

Stuur morgenochtend één bericht naar je team: "Ik wil graag weten welke AI-tools iedereen voor het werk gebruikt. Geen oordeel, gewoon nieuwsgierig. Antwoord met een lijst — persoonlijke of werkaccounts, alles telt. Ik gebruik die lijst om te bepalen wat we moeten standaardiseren."

Die ene mail doet drie dingen. Hij legt de échte AI-kaart van je bedrijf bloot. Hij geeft het signaal dat AI-gebruik welkom is, niet verborgen. En hij geeft je de lijst die je nodig hebt om een eenpagina-beleid te schrijven dat klopt met wat er bij jou echt gebeurt.

Kies daarna, volgende week, één betaald teamaccount (ChatGPT, Claude of een Europese optie) en zet het aan voor iedereen die al persoonlijk betaalde. Je wint goodwill, betere dataverwerking, en waarschijnlijk een kleinere totaalrekening.

Bij Cresly helpen we Europese kleine ondernemingen om AI-ready te worden zonder compliance-hoofdpijn. Onze AI Readiness Scan start met een gratis analyse van je website en toont hoe AI-compatibel je bedrijf al is. Als je een tweede paar ogen wil op je AI-beleid of je huidige tool-stack, is dat een gesprek dat we graag voeren. De schaduw hoeft geen schaduw te blijven.