De meeste organisaties denken dat ze hun AI-risico's begrijpen. Ze weten dat medewerkers gevoelige gegevens in ChatGPT plakken. Ze hebben beleid opgesteld met betrekking tot goedgekeurde AI-tools. Sommige hebben zelfs bedrijfsbrede copilots en AI-governanceprogramma's geïmplementeerd.
Maar volgens nieuw onderzoek van LayerX ontstaan de grootste blinde vlekken op het gebied van AI niet daar. Het rapport onthult een veel complexere realiteit. De meeste organisaties besteden hun tijd aan het zich zorgen maken over een handvol AI-toepassingen, terwijl ze volledig voorbijgaan aan hoe AI daadwerkelijk wordt gebruikt.
De risico's van AI binnen bedrijven zijn niet gelijk verdeeld over gebruikers of platforms. In plaats daarvan zijn ze geconcentreerd bij een kleine groep ervaren AI-gebruikers, een handvol dominante AI-platforms en een snelgroeiend ecosysteem van AI-tools die vaak buiten de traditionele controlemechanismen en beheermogelijkheden opereren.
Het probleem zit niet langer in een paar afzonderlijke AI-toepassingen. Het gaat om alles eromheen.
AI is overal. Maar de meeste mensen gebruiken het nauwelijks.
Een van de meest verrassende bevindingen van het onderzoek is dat de adoptie van AI en de afhankelijkheid van AI twee heel verschillende dingen zijn. Hoewel bijna de helft van de zakelijke gebruikers het afgelopen jaar met AI-tools heeft gewerkt, gebruikt slechts 18% deze wekelijks.
Dit betekent dat de meesten AI af en toe gebruiken om een document samen te vatten, een e-mail op te stellen of een vraag te beantwoorden. Slechts een relatief klein percentage gebruikt AI consequent als onderdeel van hun dagelijkse werkzaamheden.
Op het eerste gezicht klinkt dat geruststellend. Minder gebruik zou minder risico moeten betekenen. Maar dat is niet wat de gegevens laten zien.
Het risico van AI is geconcentreerd bij een kleine groep ervaren AI-gebruikers.
De AI-activiteiten binnen bedrijven zijn sterk geconcentreerd bij een kleine groep werknemers. Terwijl de helft van de gebruikers 12 AI-gesprekken of minder had, genereerde de top 5% minstens 144 gesprekken. Zij interacteerden ook veel dieper met AI, met gemiddeld 18 prompts per gesprek, vergeleken met slechts 2 voor de gemiddelde gebruiker.
Dit creëert een nieuwe klasse van "AI-power users" die in hun dagelijkse werkzaamheden veelvuldig gebruikmaken van AI en vaak meerdere AI-platformen gebruiken. Ze overtreden niet per se het beleid of gedragen zich roekeloos. Ze integreren AI simpelweg in veel meer aspecten van hun werk dan anderen.
Het gevolg is dat de risico's van AI zeer ongelijk verdeeld zijn. Een relatief klein aantal werknemers is nu verantwoordelijk voor een onevenredig groot deel van de AI-activiteiten, de blootstelling van gevoelige gegevens en het platformoverschrijdende gebruik van AI.
ChatGPT blijft de zakelijke AI-markt domineren, maar Copilot verkleint de kloof.
Ondanks de constante berichtgeving over nieuwe modellen en opkomende concurrenten, blijft ChatGPT het dominante AI-platform binnen de meeste bedrijven. Het platform is goed voor 36% van de zakelijke AI-gebruikers en meer dan 55% van alle AI-gesprekken.
Copilot M365 groeit snel, met een adoptiepercentage van 29% en bijna een kwart van alle gesprekken over AI binnen bedrijven. De groei van Copilot is een belangrijk signaal: het gebruik van AI binnen bedrijven begint zich te splitsen tussen gecontroleerde, bedrijfseigen AI en door consumenten gedreven AI-adoptie. Maar afgezien van deze twee koplopers blijven de meeste AI-platformen achter, ondanks de aandacht die ze krijgen.
Tegelijkertijd brengen niet alle AI-platformen dezelfde uitdagingen op het gebied van governance met zich mee. Copilot M365 groeit snel, maar het meeste gebruik vindt plaats binnen door bedrijven beheerde Microsoft-omgevingen, waar organisaties een beter overzicht en meer controle behouden. Gemini heeft een ander risicoprofiel. Veel medewerkers gebruiken nog steeds de consumentenversie via persoonlijke accounts, wat potentiële blinde vlekken kan creëren met betrekking tot de verwerking, bewaring en training van gegevens.
De les is simpel: de adoptie van een platform vertelt slechts een deel van het verhaal. Niet alle AI-implementaties binnen bedrijven brengen hetzelfde risico met zich mee. Consumenten-AI-tools die via persoonlijke accounts worden gebruikt, creëren veel grotere blinde vlekken op het gebied van governance dan AI-platforms die door bedrijven worden beheerd.
Schaduw-AI is verder geëvolueerd dan ongeautoriseerde chatbots.
Wanneer de meeste mensen "Shadow AI" horen, stellen ze zich voor dat iemand in het geheim een niet-goedgekeurde chatbot gebruikt. Die definitie is echter al lang achterhaald.
Moderne 'schaduw-AI' is veel complexer. Werknemers combineren routinematig meerdere AI-tools binnen dezelfde workflow. Ze schakelen tussen chatbots, AI-zoekmachines, programmeerassistenten, ingebouwde copiloten en AI-gestuurde SaaS-functies, afhankelijk van wat ze willen bereiken. Het resultaat is een AI-ecosysteem dat steeds moeilijker in kaart te brengen is dan SaaS.
Het gaat niet om één malafide applicatie, maar om een groeiend aantal AI-tools die beveiligingsteams vaak moeilijk kunnen opsporen, volgen of beheren.
Het gebruik van AI binnen bedrijven is veel persoonlijker dan je denkt.
Bijna de helft van alle AI-activiteiten binnen bedrijven verloopt via persoonlijke identiteiten in plaats van via door het bedrijf beheerde accounts. Deze bevinding verraste ons het meest.
Medewerkers gebruiken persoonlijke ChatGPT-accounts. Persoonlijke Gemini-accounts. Soms gebruiken ze zelfs persoonlijke AI-licenties terwijl ze zijn ingelogd met bedrijfsaccounts. Vanuit een governance-perspectief is dit een nachtmerrie. Organisaties verliezen het overzicht over bewaarbeleid, controleerbaarheid, compliance-controles en hoe bedrijfsgegevens door deze AI-tools worden verwerkt.
Dit betekent dat de uitdaging voor AI binnen bedrijven niet langer alleen draait om het beheren van AI-toepassingen. Het gaat steeds meer om het reguleren van persoonlijk AI-gebruik binnen die bedrijven.
Gevoelige gegevens stromen nu al naar AI-tools.
Ons onderzoek wees uit dat meer dan 6% van de AI-gesprekken binnen bedrijven al gevoelige gegevens bevat. Werknemers delen dagelijks persoonlijke informatie, financiële gegevens en technische data met AI-systemen.
DeepSeek vertoonde het hoogste percentage blootstelling aan gevoelige gegevens, namelijk 12.63% van de gesprekken. ChatGPT volgde met 8.38%. Copilot M365 liet een aanzienlijk lager blootstellingspercentage zien van 3.65%.
De vraag is niet langer of werknemers gevoelige gegevens zullen delen met AI-systemen. Dat doen ze al. De echte uitdaging is om te begrijpen waar dit gebeurt, hoe vaak en via welke identiteiten en platforms.
Het risicooppervlak van AI groeit verder dan chatvensters dankzij AI-extensies en -connectoren.
Het rapport belicht ook twee snelgroeiende AI-kanalen die veel organisaties momenteel nauwelijks in de gaten houden: AI-browserextensies en AI-connectoren.
Ongeveer 15% van de zakelijke gebruikers gebruikt al minstens één AI-browserextensie. Bijna 75% van deze extensies vraagt om hoge of kritieke browserrechten. Meer dan 16% heeft al bekende kwetsbaarheden. Tegelijkertijd koppelen AI-connectoren AI-systemen steeds vaker rechtstreeks aan bedrijfsapplicaties zoals SharePoint, GitHub, Slack, Atlassian en Google Workspace.
Dit betekent dat AI-systemen niet langer beperkt zijn tot medewerkers die handmatig informatie in chatbotvensters plakken. Ze krijgen steeds vaker directe toegang tot bedrijfsgegevens, documenten, samenwerkingsplatformen en interne kennisbanken. Dit verandert de aard van de risico's van AI binnen een onderneming fundamenteel.
Wat te doen?
De eerste stap is inzicht. Je kunt het gebruik van AI niet reguleren als je het niet kunt zien. Vervolgens moeten organisaties zich richten op waar de risico's van AI zich daadwerkelijk concentreren: AI-power users, ongecontroleerd persoonlijk AI-gebruik en AI-systemen met directe toegang tot bedrijfsgegevens. Het doel is niet om AI te blokkeren, maar om te begrijpen hoe het wordt gebruikt en controles toe te passen waar ze het meest nodig zijn.
We hebben dit alles samengebracht, inclusief de gegevens, platformanalyses, analyses van blootstelling aan gevoelige gegevens en praktische aanbevelingen, in onze Rapport over de stand van zaken rond het gebruik van AI in 2026.
Download het volledige rapport hier.
