Shadow IT is het gebruik van software, apps of clouddiensten door medewerkers zonder toestemming of medeweten van de organisatie. Een gratis online tool om een bestand te vertalen valt eronder, net als een prive-Dropbox voor werkdocumenten. De organisatie heeft er geen zicht op en de data verlaat ongemerkt het kantoor.
De term bestaat al langer, maar is de laatste jaren urgenter geworden. Clouddiensten en gratis AI-tools zijn met een paar klikken in gebruik, zonder installatie of goedkeuring. Bijna altijd gaat het om goedbedoeld gedrag: iemand wil sneller werken en grijpt naar een tool die binnen dertig seconden resultaat geeft. Het probleem zit niet in de intentie, maar in het ontbreken van afspraken en overzicht.
Voorbeelden van shadow IT
Shadow IT ziet er zelden spannend uit. Het gaat om alledaagse tools die medewerkers erbij pakken omdat ze handig zijn. Een prive-account bij een clouddienst om werkbestanden met een klant te delen. Een gratis online tool die een PDF omzet of een tekst vertaalt. Een WhatsApp-groep met klanten omdat dat sneller voelt dan de officiele mail. Een AI-chatbot die een verslag samenvat.
Wat deze voorbeelden delen: degene die in een klein kantoor de IT-rol vervult, weet er niets van. Daardoor kan niemand beoordelen of de tool veilig is, waar de data terechtkomt, of het abonnement via een automatische verlenging blijft doorlopen. De tool zelf is meestal niet het probleem. Het gebrek aan zicht erop is dat wel.
Waarom shadow IT ontstaat
Shadow IT ontstaat zelden uit onwil. Medewerkers ervaren tijdsdruk, zien een tool die hun werk versnelt, en gebruiken die zonder erbij stil te staan dat er geen beleid voor is.
Drie dingen versterken dat. De meeste tools zijn gratis en werken direct in de browser, zonder installatie of aanvraag. Er is vaak geen goedgekeurd alternatief, dus de medewerker zoekt er zelf een. En omdat veel organisaties nog bezig zijn hun AI-beleid te vormen, handelen mensen voordat er richtlijnen liggen.
Dat maakt shadow IT eerder een structureel gat dan een disciplineprobleem. Wie het als ongehoorzaamheid behandelt, pakt de verkeerde oorzaak aan. De vraag is niet hoe je medewerkers strenger houdt, maar waarom het goedgekeurde pad ontbrak.
Welke risico’s shadow IT met zich meebrengt
De risico’s van shadow IT draaien om een ding: je kunt niet beschermen wat je niet ziet. Zodra data buiten het zicht van de organisatie beweegt, komen de veiligheid, de naleving van regels en de grip op kosten onder druk. Voor kennisintensieve dienstverleners weegt dat zwaar, omdat ze werken met vertrouwelijke klantgegevens.
De compliance-kant is voor dienstverleners het meest concreet. Een medewerker die een vertrouwelijk dossier in een gratis tool plakt, verwerkt persoonsgegevens buiten elke verwerkersafspraak om, wat botst met de AVG. Grip op tools weegt bovendien zwaarder sinds de EU AI Act voor bedrijven ook eisen stelt aan de AI-geletterdheid van medewerkers.
Verlies van zicht op bedrijfsdata
Verlies van zicht op bedrijfsdata is het kernrisico van shadow IT. Zodra een bestand in een ongoedgekeurde clouddienst of chatbot belandt, weet de organisatie niet meer waar het staat, wie erbij kan, of het na gebruik wordt bewaard.
Bij een datalek betekent dat vertraging op het slechtst mogelijke moment. Je kunt een incident niet indammen in een tool waarvan je het bestaan niet kende. Voor een kantoor dat draait op vertrouwelijkheid is dat een reeel aansprakelijkheidsrisico richting klanten.
Dubbele softwarekosten
Dubbele softwarekosten zijn de minder zichtbare kant van shadow IT. Als drie teamleden los een eigen abonnement afsluiten op vergelijkbare tools, betaalt het kantoor meerdere keren voor hetzelfde zonder dat iemand het overziet.
Die uitgaven lopen via declaraties of persoonlijke creditcards en duiken nergens gebundeld op. Naast verspilling maakt dat het contractbeheer lastig, want niemand houdt bij welke abonnementen automatisch verlengen.
Shadow AI als scherpste vorm van shadow IT vandaag
De snelst groeiende vorm van shadow IT is op dit moment ongecontroleerd AI-gebruik. Gratis AI-chatbots zijn overal, werken direct in de browser en leveren binnen seconden resultaat. Dat maakt ze laagdrempelig, onzichtbaar en direct gevoed met bedrijfsdata.
Uit onderzoek van beveiligingsbedrijf Vanta uit 2026 bleek dat 70 procent van de bedrijven met shadow IT te maken heeft, vaak doordat medewerkers AI-tools inzetten zonder beveiligingscontrole of toezicht. Bij ongecontroleerd gebruik brengt shadow AI bovenop de gewone datarisico’s ook outputrisico’s mee, zoals verzonnen feiten die onopgemerkt in klantwerk belanden.
De aanpak blijft dezelfde als bij elke andere vorm van shadow IT: niet verbieden, maar zichtbaar maken en er afspraken omheen bouwen.
Shadow IT bij kantoren zonder IT-afdeling
Shadow IT bij kantoren zonder IT-afdeling vraagt een ander antwoord dan de securityvendors geven. De adviezen van partijen als IBM of Cisco draaien om detectiesoftware die voortdurend het netwerk scant, en dat veronderstelt een IT-team dat een kantoor van vijftien mensen simpelweg niet heeft.
Bij een accountantskantoor, notariskantoor of marketingbureau is er geen CISO die tools blokkeert. Er is een partner of eigenaar die het er druk mee heeft, en een handvol mensen die zelf hun tools kiezen. De oplossing zit daar niet in dure software, maar in een gedeelde werkwijze.
De aanpak is daarom bewust klein. In plaats van een complete compliance-afdeling werk ik met een interne champion en een werkbaar governance-document dat past bij de schaal van het kantoor. Bij kleine kantoren draait AI voor het MKB om een paar processen goed inrichten in plaats van een brede uitrol. Bij kleine kennisorganisaties hoort die grip op tools bij de bredere vraag hoe je AI voor bedrijven verantwoord in een team inzet.
Hoe je shadow IT beheersbaar maakt
Shadow IT beheersbaar maken begint niet met een verbod, maar met zicht. Een verbod op AI-tools werkt averechts: medewerkers gebruiken ze dan alsnog, alleen stiekem, waardoor je nog minder overzicht houdt.
De eerste stap is inventariseren welke tools nu al in gebruik zijn, zonder er een afrekening van te maken. Daarna stel je een korte lijst met goedgekeurde tools samen, zodat er een legaal en makkelijk pad is. Vervolgens maak je afspraken over welke data wel en niet in een externe tool mag, want dat onderscheid is voor dienstverleners het belangrijkste.
Niet elke taak heeft hetzelfde risicoprofiel. Een interne memo vraagt minder controle dan een klantadvies dat de deur uitgaat, en daar zou de controle-intensiteit op mee moeten bewegen. Op dat soort high-stakes output pas ik het four-eyes-principe uit de bankenpraktijk toe: niets gepubliceerd of verstuurd zonder een tweede blik.
Het vastleggen van die afspraken is de kern van verantwoord AI-gebruik binnen een organisatie. Voor een kantoor dat dit gestructureerd wil aanpakken, bouwt een traject voor AI implementatie voor bedrijven die werkwijze in enkele weken op, inclusief toolkeuze en de bijbehorende controlepunten.
Shadow IT verdwijnt niet door het te verbieden, maar door er een gedeelde werkwijze omheen te bouwen die je team ook echt volhoudt. Wil je weten hoe je ongecontroleerd tool- en AI-gebruik binnen jouw kantoor omzet in een controleerbare aanpak? Vraag een offerte aan of plan een kennismaking voor een implementatietraject.



