Het gebruik van shadow AI is in 2026 verviervoudigd ten opzichte van 2025. Dat blijkt uit recente cijfers van de toonaangevende tech-website The Register. Van shadow AI is sprake wanneer medewerkers AI-oplossingen voor zakelijke doeleinden gebruiken terwijl die tools niet zijn gecontracteerd, of zelfs eenvoudigweg niet zijn toegestaan. De schattingen lopen wat uiteen, maar algemeen wordt aangenomen dat minimaal de helft, maar wellicht zelfs zo’n tachtig procent van de medewerkers bij westerse organisaties en kantoren momenteel weleens shadow AI gebruikt.
Ook in de juridische sector is shadow AI een groeiend probleem, merkt Arnoud Engelfriet van ICTRecht. Hij komt bij talloze organisaties en kantoren over de vloer en ziet maar al te vaak dat medewerkers op juridische afdelingen naar niet-gecontracteerde AI-oplossingen grijpen, vaak zonder dat de organisatie daar weet van heeft.
Waarom is shadow AI eigenlijk zo’n probleem? Het is toch ook niet zo erg als je iets opzoekt via Google, terwijl je kantoor of organisatie de Google-workspace niet formeel heeft gecontracteerd?
“Het grote probleem van shadow AI is dat je geen grip hebt op wat er met dossiers, persoonsgegevens of andere data gebeurt die je medewerkers daarmee verwerken. Compliance is vaak een zorg: schend je niet de AVG of je beroepsgeheim als je een brief naar zo’n (vaak Amerikaanse) partij uploadt voor een analyse? Daarnaast zijn de kosten verborgen: omdat iedereen een eigen account heeft, betaalt iedereen de volle mep en kun je niet op kantoorkorting rekenen. En het is vaak dubbelop met de eigen tools – waarvoor je wél netjes betaalt, compliance inregelt en die dan niets staan te doen.
Ook zien we steeds vaker zorgen over motivatie en uitleg achteraf. Als een collega een analyse uit Claude haalt en dit als “eigen onderzoek” in een dossier stopt, en hij moet dat later toelichten bij de (tucht-)rechter, dan val je snel door de mand. Bij eigen tooling heb je daar vooraf naar gekeken: je ontvangt logbestanden, context en inzicht in gebruikte prompts, afwegingen en de modelversie.”
Stel dat een medewerker op de juridische afdeling niet-gecontracteerde IT gebruikt, en het mondt uit in een incident, zoals een datalek. Wie is er dan verantwoordelijk, die medewerker of toch je organisatie?
“Juridisch is de organisatie te allen tijde aansprakelijk voor zaken als datalekken, cyberincidenten of fouten in documenten naar derden (zoals de rechter of wederpartij). Je kunt je niet verschuilen achter beleid waar werknemers zich aan hadden moeten houden, of zelfs getekende verklaringen dat men zich zou onthouden van shadow AI-gebruik. En het verhalen op je werknemer? Financieel kun je het vergeten, tenzij de werknemer het deed met het opzettelijke doel het kantoor schade te berokkenen. Een tik op de vingers en andere arbeidsrechtelijke sancties zijn mogelijk, maar daarmee heb je het incident nog niet opgelost.”
Veel organisaties die nog geen legal AI-software hebben ingekocht, hebben alle AI-gebruik simpelweg verboden. Sommige blokkeren zelfs tools als ChatGPT via de IT-afdeling. Hoe zinvol is zo’n aanpak in uw ogen?
“Enkel blokkeren is zinloos. Mensen gebruiken die tools met een reden. En als je dat gebruik dan moeilijk maakt, dan gaan ze vanwege die reden omwegen zoeken. Je moet dus gaan zoeken naar die redenen, en kijken hoe je die kunt oplossen of weerleggen. Soms is het persoonlijke voorkeur; mensen zijn gewend aan ChatGPT en willen niet met de Copilot-dienst praten, want “die begrijpt me niet zo goed”. Dat is met training op te lossen. Soms is het werkdruk: dat los je ‘gewoon’ op met taakverdeling. En soms is het onwetendheid of juist attitude, men denkt dat dit de beste oplossing is. Daar moet je mee in gesprek.”
Wat moet je als kantoor doen als je merkt dat er links en rechts shadow AI wordt gebruikt? Kun je daar goed grip op krijgen, moet je ‘toegeven’ en maar snel zelf iets contracteren, of zijn er nog andere opties?
“Ga in gesprek met de medewerkers. Waarom gebruiken ze deze tools, wat leveren ze op (of wat denken zij dat het oplevert) en hoe hebben ze nagedacht over de risico’s. Met een open gesprek kom je dan snel achter de onderliggende redenen, en die kun je dan weerleggen, nader onderzoeken of overnemen. Want er zijn ook kantoren die na zo’n inventarisatie besluiten dat ze officieel met die tools gaan werken.”
In wat voor type organisaties merkt u in de praktijk dat shadow AI-gebruik het meest voorkomt? En hoe komt dat in uw ogen?
“We zien AI-gebruik groeien bij kantoren van groot tot klein. Maar het verborgen karakter dat bij shadow IT in z’n algemeenheid hoort, zien wij vooral bij grote(re) kantoren. Daar is transparantie en een directe lijntje met het bestuur lastig, en hebben mensen meer het gevoel zelf (of met hun groepje) dingen te moeten doen. Denk aan klachten dat “IT altijd nee zegt” of dat je drie handtekeningen moet halen om 20 euro reiskosten te declareren. Dat correleert sterk met zelf en zonder te vragen een AI-dienst te gebruiken.
In kleine kantoren is men er meer open over, vaak zelfs trots: moet je kijken wat ik nu heb geknutseld, dit gaat ons vele uren werk schelen. Discussies over compliance of kosten voer je dan direct met de betrokkenen.”
Wat is het meest hardnekkige misverstand over legal AI dat u graag uit de wereld zou helpen?
“Het overheersende beeld is dat AI-tools allemaal barstensvol gehallucineerde onzin zitten, je naar de mond praten en jou vervolgens die onzin laten verkopen aan een rechter of cliënt. Dat is inderdaad waar bij de gratis tools voor het grote publiek, maar de enterprise-versies van die tools doen het een fors stuk beter. Zeker als je ze koppelt aan een eigen kennisbank, zoals wij deden met onze AI Pro Pack – AI-assistenten die een specifiek juridisch domein tot in de puntjes beheersen doordat we onze eigen kennis en documenten erin stopten als basis.”
Welke recente trend of gebeurtenis op AI-gebied in juridische context heeft u verrast?
“De enorme groei in kwaliteit van de dienst Claude van Anthropic. Deze presteert in onze benchmarks zeer goed, zeker in Europees geharmoniseerde domeinen zoals gegevensbescherming of auteursrecht. In specifieke nationale domeinen met snelle ontwikkelingen (arbeidsrecht, fiscaal) is het nog meer zoeken, maar biedt het vaak wel een goede aanzet.”
Is er ook een ontwikkeling op het gebied van legal AI waar u zich zorgen over maakt?
“Een paar. Allereerst dat ik bij niet-professionele rechtszoekenden een sterke toename in AI-gebruik zie, waarbij vaak ook de gratis versie wordt gebruikt. Dat geeft problemen bij de rechter (of het bestuursorgaan waar men in bezwaar gaat), want daar zitten hallucinaties en dergelijke te over in. Maar kennelijk is die behoefte er wel. Daar wordt nog te weinig mee gedaan.
Ten tweede zie ik dat de professionele tools vaak wel pretenderen op Nederland gericht te zijn, maar zelden Nederlandse jurisprudentie – laat staan artikelen – bevatten. Zonder specifiek Nederlandse kennisbronnen is het lastig advies genereren. En een lijst arresten van Rechtspraak.nl is niet hetzelfde als bijvoorbeeld Tekst&Commentaar of de noten van de bekende rechtsgeleerden.
Als derde: de trend bij middelgrote kantoren dat AI-gebruik vooral bij de mediors en seniors populair is. Het ondersteunt hun werk, ze hoeven niet meer op stagiairs of paralegals te wachten en je krijgt ook vaker te horen dat je écht goed en scherp bezig bent. Dit heeft enerzijds het probleem dat deze belangrijke groep mensen minder open staat voor feedback, en anderzijds dat die stagiairs en juniors geen ervaring meer opdoen door hun werk voor de mediors en seniors. Hoe worden zíj dan senior?”
Als u het voor het zeggen had, welke regel of wet rondom AI-gebruik zou u dan vandaag nog invoeren?
“Een verplichting tot het beschikbaar stellen van relevante content voor AI-gebruik, tegen een redelijke vergoeding. Net zoals muziek op de radio. De maatschappij heeft behoefte aan deze tools en die moeten gevoed.”
Is de juridische sector straks beter of slechter af dankzij AI, denkt u?
“Beiden. Het werk zal transformeren bij adoptie van deze tools, en dat zal zowel positieve als negatieve gevolgen hebben. Zoals de risico’s hierboven waar ik me zorgen over maak.”
| Eerder in deze reeks:
Ilona van de Kooi over institutionele verantwoordelijkheid |
