Direct naar inhoud

Kennisartikel · Verantwoorde AI-implementatie

Schaduw-AI voorkomen: risico's en aanpak

Medewerkers die gevoelige gegevens invoeren in een publieke chatbot, zonder dat iemand het weet. Schaduw-AI is een reeel risico in zorgorganisaties. Hier leest u wat het is, waarom het gevaarlijk is en hoe u het structureel voorkomt.

Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring

Schaduw-AI is het gebruik van AI-tools buiten de organisatieafspraken om, vaak met gevoelige patientgegevens. U voorkomt het door helder beleid te maken, een veilig en goedgekeurd alternatief te bieden en medewerkers AI-geletterd te maken, zodat ze begrijpen waarom de regels er zijn.

Implementa

01 · Definitie

Wat is schaduw-AI?

Schaduw-AI is het gebruik van AI-tools door medewerkers buiten de officieel goedgekeurde systemen, zonder dat de organisatie daar zicht op heeft of toestemming voor heeft gegeven. De term is afgeleid van “schaduw-IT”, het bredere fenomeen waarbij medewerkers eigen software of diensten gebruiken naast de bedrijfssystemen.

In de praktijk gaat het om zaken als:

  • een verpleegkundige die een gespreksverslag via een publieke chatbot laat samenvatten;
  • een behandelaar die cliëntinformatie in een vrij toegankelijke vertaaltool invoert;
  • een medewerker die een privé-ChatGPT-account gebruikt voor werkgerelateerde vragen die gevoelige details bevatten.

Het onderscheidende kenmerk is niet welke tool wordt gebruikt, maar dat het buiten de afgesproken kaders en zonder toezicht gebeurt.

02 · Risico's

Waarom is schaduw-AI een risico?

Schaduw-AI is geen onschuldig gemak. De risico’s zijn concreet en kunnen vergaande gevolgen hebben, zeker in de zorg.

Privacy en AVG

Bij het invoeren van patiëntgegevens in een niet-goedgekeurde tool verlaat die data uw beveiligde omgeving. Er is geen verwerkersovereenkomst, geen garantie over opslag of beveiliging, en geen grondslag voor de verwerking. De Autoriteit Persoonsgegevens (AP) hanteert de AVG onverkort bij elke AI-verwerking van persoonsgegevens. Bijzondere persoonsgegevens, zoals gezondheidsdata, verdienen extra bescherming op grond van artikel 9 AVG. Een datalek via een schaduw-AI-tool kan leiden tot meldplichten, onderzoek en boetes.

Geen verantwoording mogelijk

Als een AI-tool een samenvatting maakt die feitelijke fouten bevat en die fouten worden overgenomen in de verslaglegging, is er geen spoor terug. De organisatie kan niet aantonen hoe de output tot stand is gekomen, wie er verantwoordelijk voor is of welke versie van het model is gebruikt. In de GGZ, waar het Landelijk Kwaliteitsstatuut (LKS) de behandelaar als eindverantwoordelijke aanwijst, is dit een serieus professioneel risico.

Kwaliteitsrisico

Niet-gevalideerde tools zijn niet getest op de specifieke eisen van zorgprocessen. Ze kunnen verouderde informatie bevatten, medische terminologie verkeerd interpreteren of hallucinëren. Zonder structurele menselijke controle glippen fouten er door.

De IGJ riep zorgaanbieders in februari 2025 op om zorgvuldig om te gaan met de invoering van generatieve AI. Menselijke controle en navolgbaarheid staan daarin centraal. Lees de oproep van de IGJ (februari 2025).

03 · Herkenning

Hoe herkent u schaduw-AI?

Schaduw-AI is per definitie onzichtbaar in uw officiële systemen. Toch zijn er signalen die u kunt opvangen.

  • Medewerkers vertellen het spontaan. Wie AI nuttig vindt, praat er graag over. Luister actief in teamoverleggen en functioneringsgesprekken.
  • Output ziet er AI-gegenereerd uit. Verslagen of berichten die buiten de ingevoerde tooling om zijn gemaakt, maar opvallend gestructureerd of generiek zijn, kunnen een signaal zijn.
  • Productiviteit stijgt zonder duidelijke oorzaak. Als een team opeens veel sneller werkt zonder dat er een nieuw systeem is ingevoerd, is dat de moeite waard om te bespreken.
  • Browser-extensies of apps. Vraag IT om te inventariseren welke extensies en apps medewerkers op werkapparatuur installeren.

De meest directe methode blijft een open gesprek. Vraag teams eerlijk: “Welke AI-tools gebruiken jullie nu, ook priveë?” Medewerkers geven eerder toe wat ze gebruiken als ze geen straf hoeven te verwachten, maar juist gezien worden als probleemoplossers.

04 · Aanpak

Schaduw-AI voorkomen in vijf stappen

Een incidentele toelichting op de regels volstaat niet. Schaduw-AI voorkomen vraagt om een samenhangende aanpak: beleid, een bruikbaar alternatief, kennis en structureel toezicht.

stap 1/5

Stel een AI-gebruiksbeleid op

Leg vast welke AI-tools zijn goedgekeurd, voor welke taken en door wie. Zorg dat het beleid praktisch is en aansluit op de dagelijkse werkelijkheid, zodat medewerkers er zonder omwegen mee uit de voeten kunnen.

stap 2/5

Bied een veilig en goedgekeurd alternatief

Medewerkers grijpen naar schaduw-AI omdat ze een echte behoefte hebben. Bied een goedgekeurd alternatief dat werkt met uw eigen data en voldoet aan de AVG-eisen. Zo is er geen aanleiding meer om buiten de kaders te werken.

stap 3/5

Verhoog de AI-geletterdheid

Train medewerkers zodat ze begrijpen waarom de regels er zijn, welke risico's er spelen en hoe ze AI verantwoord gebruiken. De AI-geletterdheidsplicht (artikel 4 EU AI Act, van kracht sinds 2 februari 2025) maakt dit ook juridisch verplicht.

stap 4/5

Maak schaduw-AI meldbaar en bespreekbaar

Creeer een cultuur waarin medewerkers zonder angst voor repercussies kunnen melden dat ze een tool gebruiken die nog niet is goedgekeurd. Openheid is beter dan verborgen gebruik dat stilzwijgend risico oplevert.

stap 5/5

Monitor en evalueer structureel

Stel een periodieke evaluatie in van welke tools in gebruik zijn. Pas het beleid aan zodra nieuwe tools gemeengoed worden, zodat het goedkeuringsproces niet structureel achterloopt op de praktijk.

05 · Praktijk

Voorbeeld uit de zorg: van bewustwording naar beleid

Bij een GGZ-praktijk met 24 behandelaren en 3 vestigingen bleek na een interne inventarisatie dat meerdere medewerkers een eigen ChatGPT-account gebruikten voor het opstellen van behandelnotities. Ze hadden goede bedoelingen: ze wilden sneller werken en de administratielast verlagen. De behoefte was reeel. Onderzoek van Coöperatie VGZ laat zien dat de registratietijd door spraakgestuurd rapporteren kan dalen van gemiddeld circa 30 minuten naar 8 tot 12 minuten per behandelaar per dag. De winst is reeel; de kunst is die verantwoord te verzilveren.

De stap die deze praktijk zette: ze maakten het gebruik bespreekbaar zonder te bestraffen, stelden een beknopt AI-gebruiksbeleid op en introduceerden een goedgekeurde tool die werkte met hun eigen beveiligde omgeving. Resultaat: geen schaduw meer, en behandelaren die de nieuwe werkwijze omarmen omdat ze er zelf bij zijn betrokken.

Dit patroon zien we vaker: schaduw-AI verdwijnt niet door verboden, maar door het wegnemen van de onderliggende behoefte op een verantwoorde manier.

Veelgestelde vragen

Vragen over schaduw-AI

Wat is schaduw-AI precies?

Schaduw-AI is het gebruik van AI-tools door medewerkers buiten de officieel goedgekeurde systemen om, zonder dat de organisatie hier zicht op heeft. Denk aan het invoeren van clientgegevens in een publieke chatbot of het gebruik van een vertaaltool die data opslaat bij een externe aanbieder.

Wat zijn de risico's van schaduw-AI in de zorg?

De voornaamste risico's zijn: privacyschendingen en AVG-overtredingen doordat bijzondere persoonsgegevens buiten de beveiligde omgeving terechtkomen, gebrek aan verantwoording over AI-gegenereerde uitkomsten, en kwaliteitsrisico's omdat de tool niet is gevalideerd voor zorgprocessen.

Hoe herken ik schaduw-AI in mijn organisatie?

Signalen zijn: medewerkers die spontaan vertellen dat ze ChatGPT of een andere tool gebruiken voor werk, uitvoer die zichtbaar AI-gegenereerd lijkt zonder dat er een goedgekeurd systeem actief is, of een stijging in de productiviteit die niet verklaard wordt door ingevoerde tooling. Een open gesprek met teams is de meest directe methode.

Verplicht de EU AI Act iets rondom schaduw-AI?

De AI-geletterdheidsplicht (artikel 4 EU AI Act, van kracht sinds 2 februari 2025) verplicht organisaties om te zorgen dat medewerkers die met AI werken voldoende kennis hebben en dat aantoonbaar te maken. Dit dekt ook het bewust omgaan met risico's van ongeautoriseerd AI-gebruik.

Moet ik een DPIA uitvoeren als ik een AI-tool invoer in de zorg?

Ja, vaak wel. Bij grootschalige verwerking van bijzondere persoonsgegevens, zoals gezondheidsdata, of bij het inzetten van nieuwe technologie zoals AI, is een DPIA (gegevensbeschermingseffectbeoordeling) in de meeste gevallen verplicht op grond van de AVG.

Hoe werkt een verwerkersovereenkomst bij AI-tools?

Als een AI-tool persoonsgegevens verwerkt namens uw organisatie, bent u verwerkingsverantwoordelijke en de tool-aanbieder is verwerker. U bent verplicht een verwerkersovereenkomst af te sluiten waarin staat hoe data wordt verwerkt, beveiligd en na afloop verwijderd. Zonder deze overeenkomst is het gebruik van de tool in strijd met de AVG.

Wat doet Implementa om schaduw-AI te voorkomen?

Implementa helpt zorgorganisaties met het opstellen van een praktisch AI-gebruiksbeleid, het inrichten van een goedgekeurd en AVG-conform AI-alternatief en het verzorgen van AI-geletterdheidsopleidingen. Zo wordt de behoefte die schaduw-AI aanwakkert op een verantwoorde manier ingevuld.

Over de auteur

Arjan Woldring

oprichter Implementa

Arjan is oprichter van Implementa en begeleidt zorgorganisaties bij het verantwoord invoeren van AI. Hij combineert praktijkkennis van de GGZ met expertise in governance, AVG en de EU AI Act.

Volg op LinkedIn Vakinhoudelijk gecontroleerd op Vakinhoudelijk gecontroleerd op 14 juni 2026

Lees ook

Verder lezen over verantwoorde AI

Deze artikelen sluiten direct aan op dit onderwerp.

Pilaar 1

AI-beleid opstellen

Wat moet er in een AI-gebruiksbeleid staan? Een praktische handleiding voor zorgorganisaties.

Lees verder

Pilaar 2

AI-geletterdheidsplicht (art. 4)

Wat moet u nu regelen rondom de AI-geletterdheidsplicht die sinds 2 februari 2025 van kracht is?

Lees verder

Pilaar 1

Verantwoorde AI-implementatie

De overkoepelende pilaar: alles over het verantwoord en beheerst invoeren van AI in uw organisatie.

Lees verder

Aan de slag

Schaduw-AI voorkomen begint met een gesprek

Wilt u weten hoe schaduw-AI er bij u uitziet en hoe u het structureel aanpakt? Implementa helpt u van bewustwording naar beleid naar een werkende, veilige AI-omgeving.