Ja, de wildgroei van AI-applicaties en verborgen AI in bestaande software vormt aantoonbare en serieuze privacyrisico’s. De Autoriteit Persoonsgegevens (AP) heeft dit in februari 2026 ook expliciet benoemd als een van de grootste uitdagingen van dit moment.
Wat maakt het zo risicovol?
De kern van het probleem is tweeledig: enerzijds de expliciete wildgroei van nieuwe AI-tools, anderzijds shadow AI – het gebruik van niet-goedgekeurde AI-tools door medewerkers buiten het zicht van IT, security of de FG. De AP waarschuwde begin 2026 dat de wildgroei aan applicaties die in hoog tempo op de markt worden gebracht – waarvan veel van Amerikaanse techbedrijven – de Europese digitale autonomie onder druk zet en “nieuwe en complexe uitdagingen op het gebied van beheersing” meebrengt.
Shadow AI: het grootste blinde vlekrisico
Shadow AI is inmiddels aantoonbaar een organisatiebreed probleem. Uit onderzoek bij overheidsinstanties blijkt dat 70% van de ambtenaren AI gebruikt zonder dat hun leidinggevende ervan weet, en dat 64% persoonlijke logins inzet op het werk als er geen goedgekeurde AI-tool beschikbaar is. Gratis AI-tools gebruiken wat medewerkers invoeren doorgaans voor modeltraining – en dat kunnen klantgegevens, personeelsdossiers of andere persoonsgegevens zijn. Dit levert direct een meldingsplichtig datalek op.
Een concreet voorbeeld: in december 2025 leed de gemeente Eindhoven een datalek nadat medewerkers privacygevoelige persoonsgegevens in openbare AI-modellen hadden ingevoerd.
AVG én AI Act: dubbele compliance-plicht
Wanneer een AI-systeem persoonsgegevens verwerkt, gelden zowel de AVG als de EU AI Act tegelijk. Dit betekent concreet:
- DPIA (Data Protection Impact Assessment) verplicht bij risicovolle AI-verwerkingen
- Conformiteitsbeoordeling verplicht voor hoog-risico AI-systemen onder de AI Act
- FRIA (Fundamental Rights Impact Assessment) voor publieke inzet van hoog-risico AI
- Transparantie en uitlegbaarheid van geautomatiseerde besluitvorming, verplicht onder de AVG
- AI-geletterdheid van medewerkers: organisaties moeten aantoonbaar zorgen dat medewerkers die AI gebruiken dit ook begrijpen en kunnen beoordelen
Financiële en juridische gevolgen
De risico’s zijn niet alleen theoretisch. IBM becijferde dat shadow AI gemiddeld $670.000 extra toevoegt aan de kosten van een datalek. Boetes onder de AI Act kunnen oplopen tot 35 miljoen euro of 7% van de jaaromzet. Daarnaast lopen organisaties reputatieschade en meldingsplichten richting de AP én betrokkenen op zodra persoonsgegevens in niet-goedgekeurde AI-tools zijn ingevoerd.
Wat moet een organisatie nu doen?
- Inventariseer alle (ook informeel gebruikte) AI-tools – maak shadow AI zichtbaar via een AI-register
- Stel beleid op voor toegestaan AI-gebruik, inclusief verbod op het invoeren van persoonsgegevens in niet-goedgekeurde tools
- Voer DPIA’s uit voor alle AI-verwerkingen die persoonsgegevens raken
- Train medewerkers op AI-geletterdheid en privacybewustzijn
- Monitor continu: nieuwe AI-functies verschijnen steeds vaker embedded in bestaande software (denk aan Copilot in Microsoft 365), zonder expliciete beslissing van de organisatie
De combinatie van snelle technologische ontwikkeling, onvoldoende bewustzijn bij medewerkers en een steeds complexer wordend juridisch kader maakt dit tot een van de meest urgente aandachtspunten voor elke FG op dit moment.