Stel een AI-gebruiksbeleid op
Leg vast welke AI-tools zijn goedgekeurd, voor welke taken en door wie. Zorg dat het beleid praktisch is en aansluit op de dagelijkse werkelijkheid, zodat medewerkers er zonder omwegen mee uit de voeten kunnen.
Kennisartikel · Verantwoorde AI-implementatie
Medewerkers die gevoelige gegevens invoeren in een publieke chatbot, zonder dat iemand het weet. Schaduw-AI is een reeel risico in zorgorganisaties. Hier leest u wat het is, waarom het gevaarlijk is en hoe u het structureel voorkomt.
Laatst bijgewerkt 14 juni 2026 · door Arjan Woldring
Schaduw-AI is het gebruik van AI-tools buiten de organisatieafspraken om, vaak met gevoelige patientgegevens. U voorkomt het door helder beleid te maken, een veilig en goedgekeurd alternatief te bieden en medewerkers AI-geletterd te maken, zodat ze begrijpen waarom de regels er zijn.
Implementa
01 · Definitie
Schaduw-AI is het gebruik van AI-tools door medewerkers buiten de officieel goedgekeurde systemen, zonder dat de organisatie daar zicht op heeft of toestemming voor heeft gegeven. De term is afgeleid van “schaduw-IT”, het bredere fenomeen waarbij medewerkers eigen software of diensten gebruiken naast de bedrijfssystemen.
In de praktijk gaat het om zaken als:
Het onderscheidende kenmerk is niet welke tool wordt gebruikt, maar dat het buiten de afgesproken kaders en zonder toezicht gebeurt.
02 · Risico's
Schaduw-AI is geen onschuldig gemak. De risico’s zijn concreet en kunnen vergaande gevolgen hebben, zeker in de zorg.
Bij het invoeren van patiëntgegevens in een niet-goedgekeurde tool verlaat die data uw beveiligde omgeving. Er is geen verwerkersovereenkomst, geen garantie over opslag of beveiliging, en geen grondslag voor de verwerking. De Autoriteit Persoonsgegevens (AP) hanteert de AVG onverkort bij elke AI-verwerking van persoonsgegevens. Bijzondere persoonsgegevens, zoals gezondheidsdata, verdienen extra bescherming op grond van artikel 9 AVG. Een datalek via een schaduw-AI-tool kan leiden tot meldplichten, onderzoek en boetes.
Als een AI-tool een samenvatting maakt die feitelijke fouten bevat en die fouten worden overgenomen in de verslaglegging, is er geen spoor terug. De organisatie kan niet aantonen hoe de output tot stand is gekomen, wie er verantwoordelijk voor is of welke versie van het model is gebruikt. In de GGZ, waar het Landelijk Kwaliteitsstatuut (LKS) de behandelaar als eindverantwoordelijke aanwijst, is dit een serieus professioneel risico.
Niet-gevalideerde tools zijn niet getest op de specifieke eisen van zorgprocessen. Ze kunnen verouderde informatie bevatten, medische terminologie verkeerd interpreteren of hallucinëren. Zonder structurele menselijke controle glippen fouten er door.
De IGJ riep zorgaanbieders in februari 2025 op om zorgvuldig om te gaan met de invoering van generatieve AI. Menselijke controle en navolgbaarheid staan daarin centraal. Lees de oproep van de IGJ (februari 2025).
03 · Herkenning
Schaduw-AI is per definitie onzichtbaar in uw officiële systemen. Toch zijn er signalen die u kunt opvangen.
De meest directe methode blijft een open gesprek. Vraag teams eerlijk: “Welke AI-tools gebruiken jullie nu, ook priveë?” Medewerkers geven eerder toe wat ze gebruiken als ze geen straf hoeven te verwachten, maar juist gezien worden als probleemoplossers.
04 · Aanpak
Een incidentele toelichting op de regels volstaat niet. Schaduw-AI voorkomen vraagt om een samenhangende aanpak: beleid, een bruikbaar alternatief, kennis en structureel toezicht.
Leg vast welke AI-tools zijn goedgekeurd, voor welke taken en door wie. Zorg dat het beleid praktisch is en aansluit op de dagelijkse werkelijkheid, zodat medewerkers er zonder omwegen mee uit de voeten kunnen.
Medewerkers grijpen naar schaduw-AI omdat ze een echte behoefte hebben. Bied een goedgekeurd alternatief dat werkt met uw eigen data en voldoet aan de AVG-eisen. Zo is er geen aanleiding meer om buiten de kaders te werken.
Train medewerkers zodat ze begrijpen waarom de regels er zijn, welke risico's er spelen en hoe ze AI verantwoord gebruiken. De AI-geletterdheidsplicht (artikel 4 EU AI Act, van kracht sinds 2 februari 2025) maakt dit ook juridisch verplicht.
Creeer een cultuur waarin medewerkers zonder angst voor repercussies kunnen melden dat ze een tool gebruiken die nog niet is goedgekeurd. Openheid is beter dan verborgen gebruik dat stilzwijgend risico oplevert.
Stel een periodieke evaluatie in van welke tools in gebruik zijn. Pas het beleid aan zodra nieuwe tools gemeengoed worden, zodat het goedkeuringsproces niet structureel achterloopt op de praktijk.
05 · Praktijk
Bij een GGZ-praktijk met 24 behandelaren en 3 vestigingen bleek na een interne inventarisatie dat meerdere medewerkers een eigen ChatGPT-account gebruikten voor het opstellen van behandelnotities. Ze hadden goede bedoelingen: ze wilden sneller werken en de administratielast verlagen. De behoefte was reeel. Onderzoek van Coöperatie VGZ laat zien dat de registratietijd door spraakgestuurd rapporteren kan dalen van gemiddeld circa 30 minuten naar 8 tot 12 minuten per behandelaar per dag. De winst is reeel; de kunst is die verantwoord te verzilveren.
De stap die deze praktijk zette: ze maakten het gebruik bespreekbaar zonder te bestraffen, stelden een beknopt AI-gebruiksbeleid op en introduceerden een goedgekeurde tool die werkte met hun eigen beveiligde omgeving. Resultaat: geen schaduw meer, en behandelaren die de nieuwe werkwijze omarmen omdat ze er zelf bij zijn betrokken.
Dit patroon zien we vaker: schaduw-AI verdwijnt niet door verboden, maar door het wegnemen van de onderliggende behoefte op een verantwoorde manier.
Veelgestelde vragen
Schaduw-AI is het gebruik van AI-tools door medewerkers buiten de officieel goedgekeurde systemen om, zonder dat de organisatie hier zicht op heeft. Denk aan het invoeren van clientgegevens in een publieke chatbot of het gebruik van een vertaaltool die data opslaat bij een externe aanbieder.
De voornaamste risico's zijn: privacyschendingen en AVG-overtredingen doordat bijzondere persoonsgegevens buiten de beveiligde omgeving terechtkomen, gebrek aan verantwoording over AI-gegenereerde uitkomsten, en kwaliteitsrisico's omdat de tool niet is gevalideerd voor zorgprocessen.
Signalen zijn: medewerkers die spontaan vertellen dat ze ChatGPT of een andere tool gebruiken voor werk, uitvoer die zichtbaar AI-gegenereerd lijkt zonder dat er een goedgekeurd systeem actief is, of een stijging in de productiviteit die niet verklaard wordt door ingevoerde tooling. Een open gesprek met teams is de meest directe methode.
De AI-geletterdheidsplicht (artikel 4 EU AI Act, van kracht sinds 2 februari 2025) verplicht organisaties om te zorgen dat medewerkers die met AI werken voldoende kennis hebben en dat aantoonbaar te maken. Dit dekt ook het bewust omgaan met risico's van ongeautoriseerd AI-gebruik.
Ja, vaak wel. Bij grootschalige verwerking van bijzondere persoonsgegevens, zoals gezondheidsdata, of bij het inzetten van nieuwe technologie zoals AI, is een DPIA (gegevensbeschermingseffectbeoordeling) in de meeste gevallen verplicht op grond van de AVG.
Als een AI-tool persoonsgegevens verwerkt namens uw organisatie, bent u verwerkingsverantwoordelijke en de tool-aanbieder is verwerker. U bent verplicht een verwerkersovereenkomst af te sluiten waarin staat hoe data wordt verwerkt, beveiligd en na afloop verwijderd. Zonder deze overeenkomst is het gebruik van de tool in strijd met de AVG.
Implementa helpt zorgorganisaties met het opstellen van een praktisch AI-gebruiksbeleid, het inrichten van een goedgekeurd en AVG-conform AI-alternatief en het verzorgen van AI-geletterdheidsopleidingen. Zo wordt de behoefte die schaduw-AI aanwakkert op een verantwoorde manier ingevuld.
Over de auteur
Arjan Woldring
oprichter Implementa
Arjan is oprichter van Implementa en begeleidt zorgorganisaties bij het verantwoord invoeren van AI. Hij combineert praktijkkennis van de GGZ met expertise in governance, AVG en de EU AI Act.
Lees ook
Deze artikelen sluiten direct aan op dit onderwerp.
Pilaar 1
Wat moet er in een AI-gebruiksbeleid staan? Een praktische handleiding voor zorgorganisaties.
Lees verderPilaar 2
Wat moet u nu regelen rondom de AI-geletterdheidsplicht die sinds 2 februari 2025 van kracht is?
Lees verderPilaar 1
De overkoepelende pilaar: alles over het verantwoord en beheerst invoeren van AI in uw organisatie.
Lees verderAan de slag
Wilt u weten hoe schaduw-AI er bij u uitziet en hoe u het structureel aanpakt? Implementa helpt u van bewustwording naar beleid naar een werkende, veilige AI-omgeving.