OutlierReport
1 op 5 bedrijven gehackt door eigen medewerkers met AI

1 op 5 bedrijven gehackt door eigen medewerkers met AI

·4 min leestijdBeveiliging en Privacy
Arthur Roschildt
Geschreven doorArthur Roschildt
In dit artikel

Eén op de vijf bedrijven is al gehackt, niet door cybercriminelen met geavanceerde tools, maar door eigen medewerkers die bedrijfsdata in AI-tools plakken waar niemand toezicht op houdt. Het is een probleem dat stil groeit, en de rekening is fors.

Het IBM 2025 Cost of a Data Breach Report, uitgevoerd door het Ponemon Institute bij 600 organisaties wereldwijd, laat zien dat datalekken door shadow AI gemiddeld 4,1 miljoen euro kosten. Organisaties met veel ongeautoriseerd AI-gebruik betalen daar nog eens ruim 620.000 euro bovenop. In 65% van de gevallen lekte persoonlijke klantdata. Intellectueel eigendom, de duurste categorie, dook op in 40% van de incidenten.

Geen techprobleem, maar een gedragsprobleem

Wat shadow AI zo verraderlijk maakt: medewerkers handelen niet kwaadwillig. Ze willen gewoon sneller werken. Een marketingmanager uploadt een strategiedocument naar ChatGPT voor een samenvatting. Een developer plakt bedrijfscode in een AI-assistent. Een financieel analist voert kwartaalcijfers in bij een gratis taalmodel.

Volgens het Cyberhaven 2026 AI Data Security Report bevat 39,7% van alle AI-interacties gevoelige data. Medewerkers voeren ongeveer elke drie dagen vertrouwelijke informatie in bij ongeautoriseerde AI-tools. En 71,6% van het generatieve AI-gebruik gebeurt via persoonlijke accounts, volledig onzichtbaar voor de beveiligingsafdeling.

Een Gartner-onderzoek onder 302 cybersecurityleiders bevestigt het beeld: 69% van de organisaties vermoedt dat medewerkers verboden GenAI-tools gebruiken. Slechts 37% heeft enig AI-governancebeleid.

Het gat tussen beleid en werkelijkheid

Van de organisaties die in het IBM-onderzoek een AI-gerelateerd datalek meldden, miste 97% adequate AI-toegangscontroles. Bijna elk getroffen bedrijf had geen manier om bij te houden welke AI-tools medewerkers gebruikten, welke data erin ging, of die tools aan enige beveiligingsstandaard voldeden.

Zelfs bedrijven met beleid op papier houden zichzelf voor de gek: slechts 34% voert regelmatige audits uit op ongeautoriseerd AI-gebruik. De rest heeft ergens een document in een gedeelde map dat niemand leest.

Het is hetzelfde patroon dat dagelijkse beveiligingsfouten op kantoor zo kostbaar maakt: de kloof tussen geschreven beleid en daadwerkelijk gedrag is precies waar datalekken ontstaan.

Wat shadow AI werkelijk kost (voorbij het incident)

De extra 620.000 euro aan directe incidentkosten is nog maar het begin. De echte schade stapelt zich geruisloos op:

  • Intellectueel eigendom lekt weg: elk bedrijfsdocument, stuk code of strategienotitie dat in een consument-AI-tool wordt geplakt, wordt trainingsdata die je nooit meer terugkrijgt
  • Regelgevingsrisico: de AVG (GDPR) houdt bedrijven aansprakelijk voor data die met ongeautoriseerde verwerkers wordt gedeeld, ongeacht de intentie van de medewerker
  • Detectievertraging: het duurt gemiddeld 241 dagen om een shadow AI-lek te ontdekken en in te dammen, wat aanvallers maanden toegang geeft
  • Concurrentieschade: wanneer AI-tools gehackt kunnen worden zonder dat iemand het merkt, verergert de data die medewerkers vrijwillig delen het risico

Ondertussen zijn cyberaanvallers je al 29 minuten voor: het venster tussen blootstelling en misbruik wordt steeds kleiner.

Wat bedrijven doen die shadow AI wél onder controle hebben

Het IBM-rapport toont dat organisaties die AI en automatisering inzetten voor hun beveiliging gemiddeld 2 miljoen euro minder kwijt zijn aan datalekken en incidenten 108 dagen sneller detecteren. Bedrijven die shadow AI-risico beheersen, delen drie kenmerken:

Ze maken goedgekeurde tools makkelijker dan de alternatieven. Als medewerkers naar ChatGPT grijpen, is dat vaak omdat het bedrijfsalternatief langzamer is of niet bestaat. De oplossing is niet AI verbieden; het is tools aanbieden die beter presteren dan wat medewerkers zelf vinden.

Ze monitoren AI-datastromen, niet alleen netwerkverkeer. Traditionele DLP-tools zijn niet gebouwd voor het AI-tijdperk. Bedrijven hebben zicht nodig op welke AI-diensten medewerkers gebruiken en of werkdata via privéaccounts loopt.

Ze behandelen AI-governance als dagelijkse operatie, niet als compliance-afvinklijst. Regelmatige audits, automatische detectie van ongeautoriseerde tools en kwartaal-trainingen zijn het minimum. Aangezien de meeste bedrijven nog geen basisverdediging tegen AI-aanvallen hebben, vergt dit een fundamentele omslag in beveiligingscultuur.

De ongemakkelijke rekensom

Je IT-afdeling kan niet beschermen tegen wat ze niet ziet. Bijna 40% van elke AI-interactie bevat gevoelige data. Zeven op de tien gebeuren via privéaccounts. Zonder AI-governancebeleid voer je een experiment van 4,1 miljoen euro uit, zonder controlegroep.

Shadow AI bestaat in jouw organisatie. De enige vraag is of je de infrastructuur bouwt om het te beheersen, voordat je het volgende datapunt wordt in het rapport van IBM.

Aanbevolen artikelen:

Bronnen en Referenties

  1. IBM / Ponemon Institute1 in 5 orgs breached by shadow AI, 70K extra cost.
  2. IBM Newsroom63% lack AI governance. Only 34% audit.
  3. Cyberhaven39.7% of AI interactions involve sensitive data.
  4. Gartner69% suspect employees using prohibited GenAI.

Lees over onze redactionele standaarden

Misschien vind je dit ook leuk: