Het gebruik van AI-tools buiten het zicht van IT-afdelingen groeit explosief. Uit nieuw onderzoek blijkt dat 78% van de medewerkers die AI gebruikt, dit doet zonder toestemming van IT. Tegelijkertijd vervijfvoudigde het aantal kliks op AI-phishing in twee jaar tijd.
Het gebruik van ongecontroleerde AI-tools op de werkvloer groeit razendsnel, terwijl organisaties nauwelijks zicht hebben op wat medewerkers daadwerkelijk gebruiken. Dat blijkt uit het nieuwe Trendrapport 2025 van Awareways, gebaseerd op gedragsanalyses bij tienduizenden medewerkers.
Volgens het onderzoek gebruikt 75% van de medewerkers AI voor werkgerelateerde taken. Van deze groep doet 78% dat zonder toestemming of toezicht van de IT-afdeling. Organisaties hebben naar schatting zicht op minder dan 11% van het daadwerkelijke AI-gebruik.
Phishing-risico vervijfvoudigd
Terwijl traditionele Shadow IT zich stabiliseert, groeit de dreiging vanuit AI snel. Het aantal medewerkers dat klikt op AI-gerelateerde phishingmails steeg in twee jaar van 1,2% naar 6,8%. Dit betreft bijvoorbeeld phishingmails die inspelen op populaire AI-tools of situaties waarin medewerkers gevoelige data invoeren in publieke AI-systemen.
De gemeente Eindhoven meldde in december 2025 een datalek nadat medewerkers persoonsgegevens invoerden in openbare AI-tools. Ook in de softwarewereld zijn vergelijkbare incidenten zichtbaar, zoals AI-extensies die code van meer dan een miljoen ontwikkelaars konden lekken.
Kloof tussen kennis en gedrag
Opvallend is dat medewerkers de securityregels meestal wel kennen. Bijna negen op de tien weet dat nieuwe software officieel moet worden aangevraagd, terwijl toch meer dan de helft nieuwe tools zonder overleg gebruikt.
Meer dan de helft (56%) laat zich beïnvloeden door het ‘halo-effect’: wanneer een tool er professioneel uitziet, wordt de veiligheid sneller overschat. Tegelijkertijd komt de aandacht voor privacy en regelgeving zoals de AVG onder druk te staan bij snelle adoptie van nieuwe technologie.
Volgens Awareways-CEO Maarten Timmerman zorgt de combinatie van directe voordelen en minder tastbare risico’s ervoor dat medewerkers sneller experimenteren dan ze van zichzelf verwachten. Het bedrijf stelt dat dit de kloof tussen kennis en gedrag onderstreept.
Blokkeren werkt averechts
Awareways waarschuwt dat traditionele reflexen van blokkeren en verbieden averechts werken. Volledige controle over AI-gebruik is volgens het bedrijf een illusie: wanneer organisaties AI blokkeren, verschuift het gebruik vaak juist buiten het zicht.
Het bedrijf ziet digitale veiligheid steeds meer als gedragsvraagstuk. De oplossing zou liggen in het vergroten van AI-geletterdheid en digitale weerbaarheid van medewerkers. Vroege adoptie kan organisaties bovendien een voordeel opleveren door betere organisatie van AI-gebruik en aantrekking van talent.
Timmerman stelt dat organisaties die investeren in AI-geletterdheid en gedragsinzicht zien dat mensen betere keuzes gaan maken. Het bedrijf wil hiermee innovatie en veiligheid met elkaar verbinden.
Structurele verandering
Awareways beschouwt Shadow AI niet als tijdelijke ontwikkeling, maar als structurele verandering in technologiegebruik. Organisaties die daarop inspelen kunnen volgens het bedrijf risico’s beperken en tegelijkertijd productiviteit versterken.
Tegelijkertijd groeit de druk door nieuwe regelgeving zoals de Europese AI Act, die organisaties verplicht medewerkers beter voor te bereiden op verantwoord AI-gebruik.
