“Kun je dit even herschrijven voor een klant?” Het is maandagochtend. Een collega plakt een klantparagraaf in een AI-assistent. Binnen seconden staat er een nette tekst op het scherm. Dagen later komt de vraag: “Waar staat die informatie nu? Is die ergens opgeslagen?” Dan wordt het stil.
AI-tools versnellen werk en verhogen kwaliteit. Ze kunnen ook iets anders doen: informatie laten wegstromen naar een plek die niet onder jouw controle valt. Dat is precies wat shadow AI is: AI-gebruik buiten zicht of buiten de afgesproken spelregels.
Waar het misgaat
In veel AI-diensten kan ingevoerde tekst worden opgeslagen of verwerkt buiten je eigen systemen. Soms is verdere modeltraining uitgeschakeld; soms niet. Ook als training uit staat, heb je nog steeds te maken met een externe dienst: bewaartermijnen, toegang, locatie van verwerking. De vraag van je klant – “is dit gedeeld buiten onze afspraken?” is dan ineens geen theoretische.
Waarom het MKB dit vaker voelt
Kleine teams bewegen snel. Medewerkers proberen tools uit voordat beleid is geschreven. Niet uit onwil, maar omdat ze willen leveren. Als niemand het gebruik registreert of de spelregels helder maakt, ontstaan onzichtbare datastromen. Dan komen de AVG-vragen – grondslag, verwerkersrol, bewaarlocaties – achteraf, precies wanneer je ze niet kunt gebruiken.
AI-governance, maar dan praktisch
AI-governance is niets anders dan duidelijke afspraken plus naleving. Je bepaalt welke tools mogen, onder welke instellingen, en met welke soorten informatie ze wel of juist niet gevoed mogen worden. Je borgt AVG-eisen (zoals een DPIA waar nodig), je wijst eigenaarschap toe, en je zorgt dat het beleid niet in een map verdwijnt, maar in gedrag landt.
Concreet begint het zo:
- Eén pagina spelregels. Plain language. Wat mag je wel plakken? Wat nooit? Waar staat wie voor aan de lat?
- Herkenbare dataclassen. Openbaar, intern, vertrouwelijk, persoonsgegevens. Alleen de eerste categorie gaat zonder extra checks een AI-dienst in.
- Bewust gekozen tools. Niet de snelste link, maar een versie en configuratie waarbij je datagebruik, opslag en logging kunt verantwoorden.
Meer hoeft het in het begin niet te zijn. Liever klein en zichtbaar, dan volledig en ongelezen.
En wat als het toch misgaat?
Registreer wat er gebeurde, welke gegevens het betrof, waar ze mogelijk terechtkwamen en welke maatregel volgt. Niet om te straffen, maar om het beleid te verbeteren. Incident -> inzicht -> aanpassing. Zo wordt AI-gebruik een leerproces in plaats van een risico-roulette.
Structuur zonder zwaarte
Een lichtgewicht GRC-oplossing kan helpen om dat ritme vast te houden: beleid centraal, eigenaarschap zichtbaar, periodieke checks als herhaaltaken, en een dashboard dat laat zien wat er openstaat. Geen grote transformatie, wel aantoonbare grip.
Verder lezen
- Wat we leerden van een klantincident: waarom een PIMS geen luxe is – over structuur, eigenaarschap en privacy in de praktijk.
- PIMS of ISMS: wat is het verschil en wat past bij jouw organisatie? – context bij privacy- versus security-management.
Donderdag volgt deel 2: AI-governance voor het MKB: beleid, risico’s en 10 haalbare controles – een compact stappenplan met checklist.
Geef een reactie