Uitgelicht
5
Min Read
July 7, 2026

Nieuwe datarisico’s door Shadow AI-gebruik

 Jurgen Otten
Jurgen Otten
GRC Consultant
Nieuwe datarisico’s door Shadow AI-gebruik

Nieuwe datarisico’s door Shadow AI-gebruik

AI-gebruik groeit explosief en levert nieuwe datarisico’s op. Met beleid en monitoring zijn de risico’s al nauwelijks meer onder controle te krijgen en door gebruik van Shadow AI lekken vertrouwelijke data ongecontroleerd buiten de organisatie. Welke datarisico’s ontstaan door Shadow AI-gebruik? Hoe moeten organisaties omgaan met incidenten veroorzaakt door Shadow AI-gebruik? Welke maatregelen helpen om de datarisico’s te mitigeren?

Trends in Shadow AI-gebruik

Twee toonaangevende rapporten van IBM/Ponemon 2025 en Verizon Data Breach Investigations Report 2026 trekken dezelfde conclusie: AI-gebruik groeit sneller dan organisaties het kunnen beheersen en introduceert nieuwe datarisico’s. De overlap is geen toeval, maar een duidelijk signaal: de risico’s rond (shadow) AI zijn reëel, actueel en nemen snel toe.

De risico’s van Shadow AI-gebruik:

• Medewerkers gebruiken AI buiten zicht van IT en security;

• Vertrouwelijke data stromen via ongecontroleerde kanalen naar buiten de organisatie;

• Beleid en monitoring lopen achter op de praktijk.

Als je cyberweerbaarheid te eenzijdig naar buiten richt, dan mis je als organisatie een potentieel groot intern cyberweerheidaspect: dat van het gebruik van Shadow AI.

Shadow AI in perspectief van DBIR 2026

Het groeiende fenomeen Shadow AI kreeg al ruim aandacht in het IBM/Ponemon Cost of a Data Breach Report 2025, waar ik een drieluik over heb geschreven. De nieuwste inzichten uit het Verizon 2026 Data Breach Investigations Report 2026 (DBIR 2026) bevestigen dit beeld en onderstrepen de urgentie.

Het DBIR 2026 baseert zich op ruim 31.000 incidenten wereldwijd, waarvan 22.000 datalekken. Net als IBM/Ponemon laat het rapport zien dat AI-gebruik en het fenomeen Shadow AI snel toeneemt en nieuwe risico’s blootlegt.

Onopzettelijke incidenten

Shadow AI valt binnen de categorie Privilege Misuse: incidenten die meestal zonder opzet ontstaan en vaak terug te voeren zijn naar eigen medewerkers. Denk aan overmatig gebruik van toegangs- en gebruiksrechten voor systemen en applicaties, of gemakzuchtig gedrag waarbij beleid wordt omzeild om even snel een klusje te klaren. AI-gebruik op de werkvloer ligt in het verlengde hiervan.

Opvallend is dat deze onopzettelijke incidenten relatief weinig voorkomen: 1.141 incidenten waarvan 766 bevestigde datalekken (3%), met zelfs een daling van 7% in vergelijking met de voorgaande editie van het onderzoek. Ter vergelijking: de grootste categorie, System Intrusion, vertegenwoordigt 61% van alle gerapporteerde incidenten (14.309), inclusief ransomware-aanvallen.

In absolute zin lijkt Privilege Misuse dus slechts een druppel op de gloeiende plaat.

Waarom explosief AI-gebruik op de werkvloer zorgelijk is

Het gebruik van AI op de werkvloer groeide explosief van 15% naar 45% in één jaar. Maar wat maakt het toegenomen gebruik van AI op de werkvloer nu tot de op drie na meest voorkomende non-malicious insider action met een 400% stijging in vergelijking met het voorgaande jaar?  Twee ontwikkelingen springen hierbij in het oog:

1. Gebruik van persoonlijke accounts

Ten eerste gebruikt maar liefst 67% van de werknemers non-corporate accounts op bedrijfsapparatuur om AI-systemen te gebruiken. Hierdoor blijven zowel het gebruik als de datastromen grotendeels onzichtbaar voor security teams.

2. Integratie van AI in web-browsers

Ten tweede speelt de groeiende integratie van AI in browsers een belangrijke rol. Ongeveer 15% van de gebruikers heeft ongeautoriseerde AI-extensies geïnstalleerd. Het grootste risico van een AI‑browserextensie is dat deze continu data verzamelt over het surfgedrag, vaak breder dan verwacht. Denk aan bezochte websites, zoekopdrachten, ingevoerde tekst waaronder mogelijk gevoelige informatie en soms zelfs de inhoud van pagina’s of documenten die je bekijkt.

Vervolgens worden de gegevens gebruikt om AI‑functionaliteit te verbeteren: ze worden opgeslagen, geanalyseerd en mogelijk gedeeld met externe servers of leveranciers. Dit vergroot de kans op ongewenste blootstelling van bedrijfs- of persoonlijke data, vooral als medewerkers werken met vertrouwelijke informatie en interne websites (intranet) bezoeken en raadplegen.

DBIR 2026 toont aan dat de volgende data het meest wordt gedeeld met GenAI:

• Broncode (28%)

• Afbeeldingen (16%)

• Gestructureerde data (14%)

Hoewel de percentages klein lijken, is de impact groot.

Shadow AI-gebruik vermenigvuldigt risico’s

Het venijn van de impact van Shadow AI-gebruik zit ‘m niet in het volume, maar in het effect: het versnelt, vermenigvuldigt risico’s en verkleint het concurrentievoordeel.

A) Versneller van risico’s: de adoptie van AI en Shadow AI gaat sneller dan de ontwikkeling van governance, controls en monitoring. Hierdoor ontstaat een groeiende kloof tussen zichtbaarheid en werkelijkheid.

B) Multiplier van risico’s: Shadow AI-gebruik vermenigvuldigt bestaande dreigingen, data die via shadow AI worden gelekt (zoals inlogdata of broncode) kunnen hackers gebruiken bij aanvallen om systemen binnen te dringen en voor social engineering.

C) Verkleining concurrentievoordeel: door het uploaden van broncode of technische documentatie kunnen AI-leveranciers modellen trainen op intellectuele eigendomsrechten en bedrijfsgeheimen, dit is een structureel en vaak onderschat bedrijfsrisico.

Shadow AI-gebruik snel evoluerend risicodomein

Het aantal datalekken is relatief laag maar toch wordt Shadow AI in de rapportages expliciet onderkend als een snel evoluerend risicodomein dat meer aandacht vereist van zowel organisaties als toezichthouders.

De oplossing ligt grotendeels in bestaande disciplines. Sterke data governance en third party risk management zorgen voor transparantie en grip. Als je duidelijk in kaart hebt welke data je bezit en strikte regels hanteert over wat wel en niet via AI mag worden gedeeld met AI-leveranciers, voorkom je ongecontroleerde blootstelling. Naast de fundamentele bouwstenen, benoemt DBIR 2026 specifieke beheersmaatregelen uit de CIS Critical Security Controls (CIS Controls) van het Center for Internet Security.

Beheersmaatregelen Shadow AI-gebruik

Om de risico’s van Shadow AI-gebruik te beperken, zijn de volgende beheersmaatregelen noodzakelijk:

• Inrichten van processen voor het gereguleerd toekennen en intrekken van toegang

• Opzetten en onderhouden van een secure configuration proces om toegang, gebruik en functionaliteit van systemen en software af te stellen op de werkelijke behoefte (pas standaardinstellingen aan vóórdat een systeem / software in gebruik wordt genomen, en monitor regelmatig);  

• Beheer & beveiliging (of de-activatie) van standaardaccounts om misbruik van deze accounts te voorkomen;

• Uitschakelen van inactieve accounts zodat misbruik via deze accounts onmogelijk is;

• Beperken van administrator privileges tot specifieke accounts zodat de mogelijkheid van vergaand (on)bewust misbruik verkleint.

Door te voorkomen dat onbevoegden toegang hebben tot AI en/of tot andere systemen waarbij ze data (onbewust) delen met AI, verkleinen de risico’s van Shadow-AI gebruik.

Groeiende risico’s van Shadow AI-gebruik mitigeren en weerbaarheid vergroten

Shadow AI is nu misschien nog een relatief kleine categorie in termen van incidenten, de onderliggende trends wijzen echter duidelijk op een sterk groeiend risico. Organisaties die nu investeren in awareness, governance, zichtbaarheid en controle zorgen niet alleen voor weerbaarheid, maar voorkomen ook dat deze ‘druppel’ uitgroeit tot een structureel en onbeheersbaar probleem met een negatieve impact op het concurrentievoordeel.

Navaio is expert in IT Security awareness, governance, risicomanagement en beheersmaatregelen. Navaio kan al jouw vragen beantwoorden over autorisatie- en toegangsbeheer (Identity and Access Management IAM/ IGA) ook voor externe partijen (Priviliged Access Management). Wil je weten waar jouw organisatie het beste kan beginnen? Neem dan gerust contact met ons op via info@navaio.com of met mij persoonlijk

jurgen.otten@navaio.com.

Shadow AI-gebruik, Shadow AI, beheersmaatregelen Shadow AI-gebruik

 

Stel ons jouw vraag!
Thank you! You have been subscribed.
Oops! Something went wrong while submitting the form.
Download E-Book Unravelling UGC: A Comprehensive Exploration