Er zijn momenten waarop een organisatie pas doorkrijgt hoe diep een technologie al verweven is in het dagelijks werk. Een medewerker plakt een patiëntdossier in ChatGPT om een rapport te schrijven. Een developer uploadt een codebestand naar een AI-assistent om een bug te fixen. Een ambtenaar laat een vergunningsaanvraag door een taalmodel halen. Allemaal met goede bedoelingen. Allemaal buiten het zicht van IT.

Het patroon is herkenbaar. Tien jaar geleden noemden we het Shadow IT. Vandaag heet het Shadow AI en het groeit sneller dan welk beleid het ook kan bijhouden.

In haar eerste podcastaflevering bij Jarviss ging Marina Spelbrink in gesprek met Sjoerd de Jong, onderdeel van het Solutions Engineering team bij SentinelOne. Sjoerd houdt zich daar bezig met AI Security en helpt organisaties dagelijks om grip te krijgen op een technologie die zich exponentieel verspreidt. Een gesprek over de risico’s, maar vooral over wat wél werkt.

Lees of luister hieronder het hele verhaal.

Shadow AI is Shadow IT, maar dan exponentieel

De parallel met Shadow IT dringt zich direct op. “Die termen Shadow IT en Shadow AI hebben heel veel gemeen met elkaar,” legt Sjoerd uit. Medewerkers die hun werk makkelijker willen maken, zoeken zelf oplossingen wanneer hun organisatie niets beschikbaar stelt. Vroeger waren dat Dropbox en WhatsApp. Nu zijn het ChatGPT, Claude en Copilot.

Het verschil is de snelheid. Waar Shadow IT zich over jaren ontwikkelde, ontvouwt Shadow AI zich in maanden. De adoptie gaat snel, de capabilities van de tools groeien snel, en of een organisatie het nu wil of niet: de adoptie raast door.

De gevolgen zijn meetbaar. Eén op de vijf datalekken wereldwijd is inmiddels te herleiden tot onbedoeld gebruik van generatieve AI. In Nederland zien we voorbeelden in de zorg, bij gemeentes en bij lokale overheden. Persoonsgegevens, wachtwoorden en intellectueel eigendom belanden in publieke modellen, vaak zonder dat iemand het doorheeft. “Dan heb je het eigenlijk per definitie gelekt,” stelt Sjoerd nuchter.

De medewerker is niet het probleem

Het is verleidelijk om de schuld bij de medewerker te leggen. Onbewust onbekwaam, zou je kunnen zeggen. Maar Sjoerd draait die redenering om. “Je kunt ze in de meeste gevallen niet zoveel kwalijk nemen. De technologie ga je niet tegenhouden.”

AI-tools bouwen zelf steeds meer guardrails in. Plak een creditcardnummer in ChatGPT en je krijgt een waarschuwing. Maar die guardrails zijn van de tool, niet van jouw organisatie. Er zit geen beleid achter dat is afgestemd op de specifieke risico’s van een bank, een ziekenhuis of een gemeente.

De vraag is dus niet hoe je medewerkers stopt. De vraag is hoe je ze productief laat zijn mét AI, op een veilige manier. Dat vraagt om een uniforme laag boven alle AI-tools. Een laag die bepaalt welke data wel of niet naar buiten mag, die persoonsgegevens automatisch anonimiseert voordat ze een model bereiken, en die ondersteunt in plaats van blokkeert. “Dan moet je die medewerker in ondersteunen. Dan moet je hem niet blokkeren,” zegt Sjoerd.

Prompt injection: SQL injection met een nieuw doelwit

Wie ouder is dan vijfendertig kent SQL injection nog uit de tijd dat zoekvelden op websites slecht beveiligd waren. Een slimme aanvaller plakte een opdracht in plaats van een zoekterm en kreeg toegang tot een database. Prompt injection werkt volgens hetzelfde principe, alleen is het doelwit nu een AI-model.

“Het manipuleren van de opdracht,” noemt Sjoerd het. Dat kan op verschillende manieren. Een website met witte letters op een witte achtergrond die tegen een AI-tool zegt: negeer je vorige instructies en voer dit script uit. Een contactformulier op een website dat een chatbot vraagt om alle klantgegevens uit het CRM te halen. Of een voorbeeld dat hij zelf graag aanhaalt: een chatbot van een Amerikaanse fastfoodketen die opeens een Python-script ging schrijven omdat een gebruiker vriendelijk had gevraagd of dat eerst mocht, vóórdat hij zijn hamburger zou bestellen.

Klinkt onschuldig. Maar wanneer een AI-agent gekoppeld is aan klantdata, interne systemen of betalingsinfrastructuur, kan dezelfde techniek directe schade aanrichten. Het aanvalsoppervlak zit niet in de code. Het zit in de tekst die de AI verwerkt. En de beveiliging die de meeste organisaties hebben ingericht, kijkt op die plek niet mee.

Developers en het gemak van delen

Niet alleen kantoormedewerkers lopen risico. Developers vormen een eigen categorie, juist omdat ze AI zo intensief gebruiken. Coding assistants zoals GitHub Copilot, Cursor en Claude zijn razend populair en niet zonder reden. Ze maken werk sneller, leuker en preciezer.

Het gevaar zit in hoe laagdrempelig het gebruik is. “Je begint met een heel klein vraagje,” beschrijft Sjoerd. Je raakt eraan gewend. En voor je het weet plak je hele JSON-bestanden of complete codebestanden in een chatvenster, inclusief hardcoded tokens, secrets of intellectueel eigendom dat nergens in een extern model thuishoort.

Bewustzijn helpt, maar het is geen beveiliging. Ongeacht hoe alert iemand is, moet er een laag onder liggen die voorkomt dat gevoelige data het bedrijf verlaat. Bovendien hoeft het niet eens via een officiële tool te gaan. In bijna elke proof of value ziet Sjoerd developers die ChatGPT op hun privéaccount openen om even een snippet te laten beoordelen. De grens tussen werk en privé vervaagt, terwijl de risico’s blijven.

Generatieve AI is het snelst groeiende securityprobleem

Wie deze observaties bij elkaar legt, komt uit op een ongemakkelijke conclusie. “Shadow AI is het grootst groeiende probleem op dit moment, als je het niet op een goede manier aanpakt,” stelt Sjoerd.

De reflex van veel organisaties is begrijpelijk, maar ontoereikend. Een firewallregel aan de rand van het netwerk. Een browserbeleid dat bepaalde URL’s blokkeert. Het geeft een gevoel van controle, niet de zekerheid ervan. Waar je weerstand introduceert zonder alternatief, vinden mensen wegen. Ze openen de tool op een privételefoon, kopiëren data via een omweg, of vinden een vergelijkbare app die nog niet op een blocklist staat. En daar zit de paradox: een verbod laat het gebruik niet verdwijnen, alleen het zicht erop. Een organisatie die AI verbiedt heeft geen logging, geen beleid en geen aanknopingspunt om in te grijpen als het misgaat. Een organisatie die het gecontroleerd toelaat wel. Verbieden levert in de praktijk dus geen veiligere omgeving op, maar een kwetsbaardere.

Daar komt bij dat de meeste organisaties onderschatten hoeveel verschillende AI-tools daadwerkelijk in gebruik zijn. Wie denkt dat Microsoft Copilot het enige verhaal is, mist het volledige beeld. In de praktijk zijn er binnen elke organisatie minimaal vijf verschillende generatieve AI-tools actief. Vaak meer.

De EU AI Act als leidraad, niet als eindstation

De EU AI Act zorgt voor druk. Organisaties moeten nadenken over governance, risicoclassificatie en transparantie. Sjoerd heeft er een haat-liefdeverhouding mee. Niet omdat de wet onzinnig is, maar omdat veel van wat erin staat al jaren gesneden koek had moeten zijn voor organisaties.

Het meest waardevolle onderdeel? Loggen. En dan niet het soort logging dat alleen registreert dát een AI-tool is benaderd. Echt loggen betekent weten welke tool door wie is gebruikt, met welk doel, welke input erin ging en welke output eruit kwam. “Loggen stopt niet bij: ik heb gezien dat een AI-app is benaderd. Dat is niet voldoende,” benadrukt Sjoerd.

Pas met die laag kun je beleid bouwen dat ergens op slaat. Pas dan kun je achteraf reconstrueren wat er is gebeurd en vooraf voorspellen waar de risico’s zich opbouwen. De wet is de vloer, niet het plafond. Wie écht in control wil zijn, gaat verder dan wat de regelgever vereist.

Inzicht is altijd stap één

Door alle thema’s heen loopt één rode draad: zonder inzicht geen beleid. Sjoerd herhaalt het meermaals in het gesprek. Voordat een organisatie kan besluiten welke tools veilig zijn, welke geanonimiseerd moeten worden en welke geblokkeerd horen, moet duidelijk zijn wat er nu al gebeurt. Welke applicaties worden gebruikt, door wie, met welk doel, en welke data gaat erin?

Die volgorde is geen detail. Het is het fundament. Beleid zonder inzicht is symboolpolitiek. Inzicht zonder beleid is een rapport in een la. De combinatie levert iets op wat steeds zeldzamer wordt in een tijd van exponentiële AI-adoptie: grip.

Waarom dit belangrijk is

Voor IT-managers, CISO’s en CTO’s komt het neer op een fundamentele keuze. Verbieden of begeleiden. Het eerste werkt niet en creëert blinde vlekken. Het tweede vraagt om inzicht, om context en om een laag die generiek beleid kan toepassen op een landschap dat elke week verandert.

De boodschap die Sjoerd zijn luisteraars meegeeft, is daarom geen security-cliché. “Zet je hakken niet in het zand. De teams die de tools gebruiken weten er vaak meer van dan het securityteam. Houd het gesprek gaande en bepaal beleid op basis van inzicht.”

Jarviss en SentinelOne werken samen om organisaties die volgende stap te laten zetten. Niet door AI te blokkeren, maar door het veilig adopteerbaar te maken. Met Prompt Security als technologische laag en de NOC- en SOC-diensten van Jarviss eronder, ontstaat een omgeving waarin medewerkers productief kunnen zijn én de organisatie in control blijft.

Wil je weten waar jouw organisatie staat als het gaat om Shadow AI, AI governance en de EU AI Act? Neem contact op met Jarviss voor een gesprek of een korte AI Security assessment.