Artikelen

Je medewerkers delen bedrijfsdata met AI. Weet je wat er daarna gebeurt?

Data Booster

Book icon

5 minuten

AI zit al binnen je organisatie. Het zit in de browsers van je medewerkers, in hun workflows en in hun dagelijkse beslissingen. De vraag is niet langer óf je mensen AI gebruiken, maar of iemand grip heeft op hóe ze het gebruiken. Vandaag willen we een licht werpen op wat wij de sluipmoordenaar noemen: de groeiende kloof tussen AI-adoptie en AI-governance.

Laten we het over cijfers hebben

Het wordt nog erger. 88% van de medewerkers gebruikt inmiddels AI op het werk, maar 43% van de bedrijven heeft geen beleid voor AI-gebruik. Slechts ongeveer een derde heeft iets formeels geregeld. Ondertussen zegt 56% van de werknemers helemaal geen duidelijke richtlijnen te hebben gekregen over wat ze wel en niet met AI mogen delen. De tools zijn dus overal, zonder dat er ook maar één vangrail te bekennen is.

Shadow AI - het gebruik van niet-goedgekeurde AI-tools binnen organisaties - is sinds 2023 met 156% toegenomen. En 38% van de medewerkers geeft openlijk toe gevoelige bedrijfsdata zonder toestemming met AI-tools te delen. Dat is geen hypothetisch risico. Dat gebeurt nu, in jouw organisatie.

Wat kost dit eigenlijk?

De gemiddelde kosten van een shadow AI-datalek bedragen $4,2 miljoen. Organisaties met veel onbeheerd AI-gebruik zien $670.000 aan extra lekkosten in vergelijking met organisaties die wél controlemaatregelen hebben getroffen.

En de omvang van de blootstelling is alarmerend. Microsoft Copilot alleen al stelde in de eerste helft van 2025 zo’n 3 miljoen gevoelige gegevens per organisatie bloot. Een datalek bij een AI-chatapp in februari 2026 legde 300 miljoen berichten bloot van 25 miljoen gebruikers. Zelfs overheidsdocumenten met de aanduiding “For Official Use Only” werden geüpload naar het publieke platform van ChatGPT. Als het overheden kan overkomen, kan het jou ook overkomen.

De governance-kloof

De krantenkoppen spreken voor zich. Gestolen databases, gelekte klantgegevens, uitgelekte interne documenten; het lijkt wel of er geen twee weken voorbijgaan zonder dat er weer een datalek in het nieuws komt. En als je naar de cijfers achter deze incidenten kijkt, valt alles op zijn plek. 63% van de organisaties die een datalek meemaakten, had ofwel geen AI-governancebeleid, ofwel was er nog mee bezig. 83% heeft geen echt zicht op hoe AI-tools binnen hun teams worden gebruikt. En één op de vijf organisaties is al specifiek door shadow AI getroffen door een datalek. Dit zijn geen uitzonderingen. Alleen al in februari 2026 legde een AI-chatapp 300 miljoen berichten bloot van 25 miljoen gebruikers. Overheidsdocumenten met de aanduiding "For Official Use Only" werden rechtstreeks in ChatGPT geüpload. Zelfs bij Grok werden meer dan 370.000 gesprekken van gebruikers door zoekmachines geïndexeerd vanwege een simpele fout in de deelfunctie. Het patroon is duidelijk: waar governance ontbreekt, volgen datalekken.

En slechts 32% van de medewerkers heeft enige formele AI-training gehad. Bijna 60% van de organisaties noemt kennis- en trainingstekorten hun grootste obstakel voor verantwoorde AI.

Regelgeving komt eraan, en snel

Als de zakelijke risico’s je niet in beweging krijgen, zouden de juridische dat wel moeten doen. De EU AI Act wordt in augustus 2026 volledig afdwingbaar, over slechts een paar maanden. De boetes? Tot €35 miljoen of 7% van je wereldwijde jaaromzet. En 40% van de enterprise-AI-systemen heeft op dit moment onduidelijke risicoclassificaties, wat betekent dat de meeste bedrijven niet eens weten waar ze staan.

Naar verwachting maakt non-compliance van AI met een hoog risico na 2026 meer dan 70% van de handhavingsacties uit. Dit is geen “nice-to-have”-gesprek meer. Dit is een “maak-je-klaar-of-betaal-de-prijs” realiteit.

‍Dus, wat doen we eraan?

Het goede nieuws is: dit is oplosbaar. Maar het vraagt om actie, niet alleen om bewustzijn. Organisaties die vooroplopen in AI-governance hebben een paar dingen gemeen. Ze hebben duidelijk gecommuniceerd beleid voor AI-gebruik dat elke medewerker kent. Ze beleggen echt eigenaarschap voor AI-governance, niet zomaar een commissie die één keer per maand vergadert. Ze verankeren governance in bestaande workflows in plaats van het als bijzaak te behandelen. En, cruciaal, ze investeren in AI-geletterdheid in de hele organisatie, niet alleen bij het techteam.

Er is nog één element dat vaak over het hoofd wordt gezien: upskilling. Een governancebeleid op papier hebben is één ding, maar ervoor zorgen dat je mensen het ook echt begrijpen is iets heel anders. Teams moeten weten hoe verantwoorde AI er in de praktijk uitziet; welke data wel en niet gedeeld mag worden, hoe je AI-output kritisch beoordeelt en waar de grenzen liggen. Maar het houdt niet op bij bewustzijn rond governance. Mensen hebben ook de vaardigheden nodig om écht effectief én binnen de vangrails van je organisatie met AI te werken. Zonder dat krijg je ofwel shadow AI (mensen die omwegen zoeken) ofwel stilstand (mensen die AI uit angst helemaal vermijden). Het ideale punt is bereikt wanneer je medewerkers zowel de regels als de tools begrijpen. Dan is governance niet langer een blokkade, maar een concurrentievoordeel.

De meest volwassen organisaties hebben iets belangrijks door: governance vertraagt innovatie niet. Het maakt innovatie juist mogelijk. Als mensen de grenzen kennen, bewegen ze sneller en met meer vertrouwen.

Bij Data Booster helpen we organisaties deze kloof te dichten, en dat doen we op grote schaal. We werken met internationaal opererende bedrijven aan capability-programma’s die medewerkers niet alleen informeren over verantwoord AI-gebruik, maar die ook een voorwaarde vormen om überhaupt toegang te krijgen tot AI-tools. Voordat je mensen de tools aanraken, kennen ze de regels. Met hands-on trainingen en programma’s op maat geven we teams de AI-geletterdheid en het governance-inzicht die ze nodig hebben; zodat je mensen AI niet zomaar gebruiken, maar op een verantwoorde manier. Want de sluipmoordenaar blijft alleen stil tot de schade is aangericht.

Deze teams gingen je voor

Rabobank logoING logoPostNL logoJust Eat Takeaway logoSkyscanner logoJumbo logoPGGM logoAllianz Partners logoJaarbeurs logoSHV Energy logoProvincie Limburg logo