NormeloModule 4 van 6
Shadow AI — het onzichtbare risico
In de vorige modules ging het over de AI-systemen die je als organisatie bewust inzet — je ATS, je matchingtool, je planningssoftware. Maar er is een tweede categorie AI-gebruik die minstens zo belangrijk is en waar de meeste uitzendbureaus geen zicht op hebben: shadow AI.
Wat is shadow AI?
Shadow AI is het gebruik van AI-tools door medewerkers zonder dat de organisatie hier weet van heeft of toestemming voor heeft gegeven. Denk aan een recruiter die ChatGPT gebruikt om cv's samen te vatten. Of een intercedent die Copilot inzet om kandidaatprofielen te beoordelen. Of iemand die een AI-tool gebruikt om vacatureteksten te schrijven op basis van kandidaatgegevens.
Het is geen kwade opzet. Medewerkers willen hun werk goed en efficiënt doen. AI-tools zijn gratis beschikbaar en ongelooflijk handig. Het probleem is dat niemand bijhoudt dat het gebeurt — en niemand beoordeelt of het veilig en compliant is.
Waarom is dit een risico?
Ongeregistreerd hoog-risico AI-gebruik
Wanneer een recruiter ChatGPT vraagt om cv's te ranken of te beoordelen, gebruikt die recruiter in feite een hoog-risico AI-systeem. Het maakt niet uit dat het een gratis online tool is — het effect is hetzelfde: AI neemt een beslissing over een kandidaat. Zonder menselijk toezicht, zonder logging, zonder dat de kandidaat het weet.
Privacy en gegevensbescherming
Medewerkers die kandidaatgegevens invoeren in ChatGPT, Claude of andere AI-tools delen persoonsgegevens met een externe partij. Dat is een AVG-risico. Cv's bevatten namen, adressen, werkgeschiedenis, opleidingen — allemaal persoonsgegevens die je niet zomaar mag delen met een AI-dienst.
Geen controle op kwaliteit en bias
AI-tools kunnen bevooroordeeld zijn. Als een recruiter ChatGPT vraagt om de "beste kandidaat" te selecteren, weet niemand op welke criteria die keuze is gebaseerd. Is er bias tegen bepaalde achternamen? Tegen gaten in een cv die veroorzaakt zijn door ziekte of mantelzorg? Bij officiële systemen kun je dit controleren. Bij shadow AI niet.
Geen audit trail
De EU AI Act vereist dat je kunt aantonen hoe AI-beslissingen tot stand zijn gekomen. Als een medewerker een beslissing neemt op basis van ChatGPT-output, is er geen log, geen documentatie, en geen manier om achteraf te reconstrueren wat er is gebeurd.
Hoe groot is het probleem?
Groter dan de meeste organisaties denken. Internationaal onderzoek laat zien dat meer dan de helft van werknemers AI-tools gebruikt zonder toestemming van hun werkgever. In de uitzendbranche is de kans extra groot: recruiters staan onder tijdsdruk, verwerken grote aantallen cv's, en hebben directe toegang tot tools die het werk sneller maken.
Het is geen kwestie van óf het bij jouw bureau gebeurt. Het is een kwestie van hoeveel.
Voorbeelden uit de praktijk
Voorbeeld 1:Een recruiter plakt 20 cv's in ChatGPT met de vraag: "Rank deze kandidaten op geschiktheid voor een logistiek medewerker." ChatGPT geeft een ranking. De recruiter nodigt de top-5 uit.
→ Hoog-risico AI-gebruik zonder toezicht, zonder logging, met persoonsgegevens in een externe tool.
Voorbeeld 2: Een intercedent gebruikt een AI-tool om een kandidaatprofiel samen te vatten voor een opdrachtgever. De tool laat bepaalde informatie weg of benadrukt andere informatie, waardoor een vertekend beeld ontstaat.
→ De opdrachtgever neemt een beslissing op basis van door AI beïnvloede informatie, zonder dit te weten.
Voorbeeld 3: Een medewerker gebruikt Copilot in Outlook om een afwijzingsmail te genereren voor een kandidaat. De AI bedenkt een reden die niet overeenkomt met de werkelijke reden van afwijzing.
→ De kandidaat ontvangt onjuiste informatie over waarom hij is afgewezen. Dit kan juridische gevolgen hebben.
Wat je eraan doet: een AI-beleid
De oplossing is niet om alles te verbieden. Dat werkt niet — medewerkers gaan het dan stiekem doen. De oplossing is een helder AI-beleid dat duidelijk maakt wat wel en niet mag, en waarom.
Een goed AI-beleid voor een uitzendbureau bevat minimaal:
1. Welke tools zijn toegestaan
Maak een lijst van AI-tools die medewerkers mogen gebruiken. Maak onderscheid tussen tools voor algemeen gebruik (vacatureteksten schrijven, e-mails formuleren) en tools die niet mogen worden ingezet voor kandidaat-gerelateerde beslissingen.
2. Wat er nooit in een AI-tool mag
Persoonsgegevens van kandidaten — namen, cv's, contactgegevens, BSN-nummers — mogen nooit worden ingevoerd in externe AI-tools zonder expliciete toestemming en een verwerkersovereenkomst.
3. Geen AI-beslissingen over kandidaten
Maak duidelijk dat AI-tools niet mogen worden gebruikt om kandidaten te selecteren, ranken, afwijzen of beoordelen — tenzij het een officieel goedgekeurd systeem is met de juiste waarborgen.
4. Meldplicht
Vraag medewerkers om aan te geven welke AI-tools ze gebruiken. Maak dit laagdrempelig — het doel is niet straffen maar inventariseren. Je kunt niet managen wat je niet weet.
5. Periodieke evaluatie
AI-tools veranderen snel. Evalueer het beleid minstens elk halfjaar. Zijn er nieuwe tools bijgekomen? Worden de regels nageleefd? Zijn er incidenten geweest?
Hoe je het gesprek voert
Het invoeren van een AI-beleid werkt alleen als je het goed communiceert. Medewerkers moeten begrijpen waarom de regels er zijn — niet als beperking, maar als bescherming. Voor de kandidaten, voor het bureau, en voor henzelf.
Begin met inventariseren. Vraag je team: welke AI-tools gebruik je? Waarvoor? Hoe vaak? Reageer niet veroordelend — je wilt eerlijke antwoorden. Gebruik die informatie om het beleid te maken. En leg uit dat Artikel 4 van de EU AI Act vereist dat iedereen die met AI werkt begrijpt wat de risico's zijn. Dat is precies wat deze training doet.
Samenvatting
Shadow AI is het ongecontroleerd gebruik van AI-tools door medewerkers. In de uitzendbranche creëert dit hoog-risico situaties zonder dat de organisatie het weet: AI-beslissingen over kandidaten zonder toezicht, persoonsgegevens in externe tools, en geen audit trail.
De oplossing is niet verbieden maar reguleren: stel een AI-beleid op dat duidelijk maakt welke tools zijn toegestaan, wat er nooit in een AI-tool mag, en hoe medewerkers gebruik moeten melden.
Shadow AI is waarschijnlijk het snelst te adresseren compliancerisico in jouw bureau. Je hebt er geen nieuwe software voor nodig — alleen een beleid en een goed gesprek met je team.