Wanneer medewerkers AI-tools gebruiken zonder goedkeuring van de IT-afdeling, lopen organisaties het risico op datalekken, schendingen van de regelgeving en blinde vlekken in de beveiliging. Governance van 'shadow AI' biedt het beleid, de monitoringkaders en de trainingsstructuren die nodig zijn om de controle terug te krijgen. Deze handleiding behandelt de oorzaken van 'shadow AI', hoe u een alomvattend AI-beleid kunt ontwikkelen en praktische stappen voor het beheren van niet-goedgekeurde generatieve AI-tools binnen uw organisatie.

Key Takeaways

Waarom vereist de regulering van schaduw-AI meer urgentie dan de regulering van traditionele schaduw-IT?
Shadow AI-tools verwerken, genereren en bewaren actief gevoelige gegevens op servers van derden, waardoor het achteraf veel moeilijker is om gegevens te achterhalen, te verwijderen of te controleren.

Wat is de meest voorkomende reden waarom werknemers hun toevlucht nemen tot niet-goedgekeurde AI-tools?
De productiviteitsdruk in combinatie met een gebrek aan goedgekeurde AI-alternatieven is de belangrijkste oorzaak van het ongeoorloofde gebruik: werknemers vullen zelf de gaten in de beschikbare tools wanneer organisaties geen gecontroleerde opties aanbieden.

Hoe moet een beleid voor het gebruik van AI gegevens classificeren om verborgen risico's te verminderen?
Beleid voor de regulering van schaduw-AI moet gebruikmaken van expliciete classificatieniveaus voor gegevens – van onbeperkte openbare informatie tot absoluut beperkte broncode en gereguleerde gegevens – waarbij elk niveau wordt gekoppeld aan toegestane AI-interacties.

Waarom is de browser het cruciale handhavingspunt voor het beheersen van schaduw-AI?
Vrijwel alle interacties met generatieve AI vinden plaats via webbrowsers, waardoor AI-DLP op browserniveau acties op het klembord, formulierinzendingen en tekstinvoer in realtime kan inspecteren, ongeacht het apparaattype of netwerkinstellingen.

Hoe kunnen organisaties hun medewerkers trainen in de beste AI-praktijken zonder uitsluitend te vertrouwen op jaarlijkse modules?
Just-in-time coaching, die wordt gegeven op het moment dat er risico is – zoals contextuele browserwaarschuwingen wanneer gevoelige gegevens in een AI-prompt worden geplakt – versterkt het beheer van schaduw-AI veel effectiever dan periodieke training alleen.

Wat is de eerste praktische stap om een ​​schaduw-AI-governanceprogramma op te zetten?
Begin met een inventarisatie en een nulmeting: analyseer browserverkeer, controleer SaaS-platformen op ingebouwde AI-functies en enquêteer medewerkers om al het ongeautoriseerde gebruik van AI-tools binnen de organisatie in kaart te brengen.

Hoe kunnen beveiligingsteams meten of hun inspanningen op het gebied van AI-governance effectief zijn?
Houd de afname van het gebruik van AI-tools zonder toestemming, de daling van incidenten met betrekking tot het blootleggen van gevoelige gegevens, de groei van de adoptie van goedgekeurde tools en de doorlooptijd van de goedkeuring van nieuwe AI-tools in de gaten om ervoor te zorgen dat governance innovatie mogelijk maakt in plaats van deze te belemmeren.

Wat is schaduw-AI en waarom is het een prioriteit voor de overheid?

Shadow AI verwijst naar het gebruik van tools, modellen en diensten voor kunstmatige intelligentie door werknemers zonder medeweten, goedkeuring of toezicht van IT- en beveiligingsteams. Het is een directe uitbreiding van het bredere fenomeen shadow IT, maar het brengt een eigen en complexere reeks risico's met zich mee, omdat AI-tools actief gevoelige bedrijfsgegevens verwerken, genereren en soms opslaan.

Schaduw-IT versus schaduw-AI: belangrijkste verschillen

Hoewel schaduw-IT en schaduw-AI een gemeenschappelijke oorzaak hebben – ongeoorloofde technologie-adoptie – lopen hun risicoprofielen sterk uiteen. Schaduw-IT betreft doorgaans niet-goedgekeurde SaaS-applicaties, persoonlijke apparaten of cloudopslagdiensten. Schaduw-AI daarentegen omvat tools die data verzamelen en transformeren, en deze vaak doorsturen naar externe aanbieders van grote taalmodellen (LLM's) waar het beleid rondom dataretentie en training mogelijk ondoorzichtig is.

Afmeting Schaduw IT Schaduw-AI
Primair risico Gegevensopslag op niet-goedgekeurde locaties Gegevensverwerking, -generatie en eventuele modeltraining door derden.
Zichtbaarheidsuitdaging Niet-goedgekeurde apps en services AI-functies ingebed in goedgekeurde apps, browserextensies en losstaande tools.
Nalevingsimpact Schendingen van gegevensopslag en toegangscontrole Blootstelling aan intellectueel eigendom, schendingen van regelgeving (AVG, HIPAA) en aansprakelijkheid voor onjuistheden in de output.
Detectiemoeilijkheid Gemiddeld – netwerk- en eindpuntbewaking Hoog – AI-gebruik vindt vaak plaats in de browser en versmelt met normale webactiviteit.

Waarom goed bestuur niet langer kan wachten

De risico's van schaduw-AI nemen in de loop der tijd toe. Elke niet-gecontroleerde prompt met persoonsgegevens van klanten, broncode, financiële prognoses of strategische plannen vormt een potentiële bron voor datalekken. In tegenstelling tot een bestand dat naar een niet-goedgekeurde cloudopslag wordt geüpload, kunnen gegevens die aan een AI-model worden verstrekt, achteraf onmogelijk worden teruggehaald, verwijderd of gecontroleerd. Organisaties die de invoering van governance voor schaduw-AI uitstellen, stellen zichzelf bloot aan sancties van de toezichthouder, verlies van intellectueel eigendom en reputatieschade die met elk kwartaal moeilijker te beperken wordt.

De schaal van het probleem

Onderzoek toont consequent aan dat een meerderheid van de kenniswerkers heeft geëxperimenteerd met generatieve AI-tools voor werktaken, en een aanzienlijk deel doet dit zonder hun werkgever te informeren. Dit betekent dat beveiligingsteams werken met onvolledig inzicht in waar gevoelige gegevens naartoe stromen. Browsergebaseerde AI-assistenten, AI-gestuurde browserextensies en AI-functies ingebed in overigens goedgekeurde SaaS-platformen dragen allemaal bij aan een kwetsbaarheid die traditionele endpoint- en netwerkbeveiligingstools niet kunnen detecteren.

Wat zijn de belangrijkste oorzaken van schaduw-AI op de moderne werkvloer?

Het is essentieel om de oorzaken van schaduw-AI te begrijpen voordat er beheersmaatregelen worden ontworpen. Werknemers gebruiken zelden ongeautoriseerde AI-tools uit kwade wil. De drijfveren zijn structureel, cultureel en procedureel van aard, en het aanpakken ervan vereist meer dan algemene verboden.

1. Productiviteitsdruk en gereedschapstekorten

Werknemers wenden zich tot generatieve AI-tools wanneer hun goedgekeurde tools de werkdruk niet meer aankunnen. Een marketinganalist die 50 klantinterviews moet samenvatten, een ontwikkelaar die complexe code debugt, of een jurist die contractteksten opstelt, zoekt naar de snelste manier om resultaten te behalen. Wanneer de organisatie geen goedgekeurde AI-oplossingen beschikbaar heeft gesteld, vullen werknemers dit gat zelf op.

2. Wrijvingsloze toegang tot AI-diensten

De meeste AI-tools vereisen niets meer dan een browser en een e-mailadres. Er hoeft geen software geïnstalleerd te worden, er is geen aanschafproces dat gestart moet worden en er is geen agent nodig om de activiteit te signaleren. Dit wrijvingsloze toegangsmodel verschilt fundamenteel van traditionele software-implementatie en maakt conventionele methoden voor het opsporen van schaduw-IT ontoereikend.

3. Gebrek aan duidelijke beleidsregels voor het gebruik van AI

Veel organisaties hebben nog geen expliciet beleid gepubliceerd met betrekking tot het gebruik van AI-tools. Zonder duidelijke richtlijnen over wat wel en niet is toegestaan, en welke gegevenscategorieën nooit aan externe AI-diensten mogen worden verstrekt, maken medewerkers zelf risico-inschattingen – vaak onnauwkeurige.

4. AI-functies ingebed in goedgekeurde platforms

Een groeiend aantal SaaS-leveranciers integreert AI-functionaliteiten rechtstreeks in hun platforms. Een medewerker die een goedgekeurde projectmanagementtool gebruikt, kan een AI-samenvattingsfunctie activeren zonder zich te realiseren dat dit de gegevens doorstuurt naar een externe LLM-provider met andere voorwaarden voor gegevensverwerking. Dit vervaagt de grens tussen goedgekeurd en niet-goedgekeurd AI-gebruik en maakt het voor beveiligingsteams moeilijk om het overzicht te behouden.

5. Onvoldoende monitoring op browserniveau

Aangezien de overgrote meerderheid van de AI-interacties via webbrowsers plaatsvindt, hebben organisaties die geen monitoring op browserniveau uitvoeren een kritieke blinde vlek. DLP-tools op netwerkniveau kunnen de inhoud van HTTPS-verzoeken aan AI-services vaak niet met voldoende detailniveau inspecteren, vooral niet wanneer die services worden benaderd via persoonlijke browsers of BYOD-apparaten.

Hoe ontwikkel je een alomvattend AI-beleid voor je organisatie?

Effectief beheer van schaduw-AI begint met beleid. Een goed opgesteld AI-beleid verbiedt niet alleen ongeoorloofd gebruik; het definieert acceptabel gebruik, classificeert de gevoeligheid van gegevens, stelt goedkeuringsprocedures vast en creëert verantwoordingsstructuren die afdelingsoverstijgend werken.

Definieer classificatieniveaus voor gegevens bij AI-interacties.

Niet alle gegevens brengen hetzelfde risico met zich mee wanneer ze aan een AI-tool worden aangeboden. Uw beleid moet expliciete niveaus vaststellen die gegevenscategorieën koppelen aan toegestane AI-interacties:

  • Niveau 1 – Onbeperkt: Openbaar beschikbare informatie, algemene kennisvragen, niet-vertrouwelijke onderzoeksvragen.
  • Niveau 2 – Alleen intern: Interne procesdocumentatie, niet-vertrouwelijke projectsamenvattingen. Mag onder specifieke voorwaarden worden gebruikt met goedgekeurde AI-tools.
  • Niveau 3 – Vertrouwelijk: Klantgegevens, personeelsdossiers, financiële gegevens, productinformatie vóór de release. Gebruik met externe AI-diensten is verboden, tenzij expliciet goedgekeurd en contractueel beschermd.
  • Niveau 4 – Beperkt: Broncode, bedrijfsgeheimen, gereguleerde gegevens (PHI, PCI). Absoluut verbod op het gebruik van externe AI-tools. Uitsluitend interne AI-implementaties, met volledige auditregistratie.

Stel een goedkeuringsproces voor AI-tools op.

In plaats van werknemers te dwingen te kiezen tussen productiviteit en naleving van regelgeving, kunt u beter een gestroomlijnd proces creëren voor het aanvragen en goedkeuren van nieuwe AI-tools. Dit proces moet belanghebbenden op het gebied van beveiliging, juridische zaken en privacy betrekken en elke tool beoordelen aan de hand van criteria zoals beleid voor gegevensbewaring, openbaarmaking van gegevens aan subverwerkers, SOC 2-conformiteit en de mogelijkheid om af te zien van modeltraining.

Wijs verantwoordelijkheid en eigenaarschap toe.

Elk AI-beleid heeft een aangewezen verantwoordelijke nodig – doorgaans een multidisciplinair AI-governancecomité met vertegenwoordigers van IT-beveiliging, juridische zaken, compliance en bedrijfsvoering. Dit comité moet verantwoordelijk zijn voor het bijhouden van een register met goedgekeurde AI-tools, het beoordelen van uitzonderingen op het beleid en het bijwerken van het beleid wanneer er nieuwe tools en regelgevingen verschijnen.

Pak de risico's van AI-output aan.

Beleid moet ook bepalen hoe door AI gegenereerde output wordt gebruikt. Validatie van AI-reacties is een cruciale controlemaatregel: werknemers moeten de door AI gegenereerde content controleren op nauwkeurigheid, vooringenomenheid en schending van intellectueel eigendom voordat deze wordt opgenomen in eindproducten, klantcommunicatie of code repositories. Dit is met name belangrijk voor gereguleerde sectoren waar onnauwkeurige AI-output tot juridische aansprakelijkheid kan leiden.

Communiceer en handhaaf

Een beleid dat alleen in een documentenarchief bestaat, heeft geen waarde voor governance. Verspreid het beleid via onboardingworkflows, teamvergaderingen en interne kennisbanken. Combineer het met technische handhavingsmechanismen – zoals browsergebaseerde AI DLP-controles – die gebruikers kunnen blokkeren of waarschuwen wanneer ze proberen beperkte gegevens in een niet-goedgekeurde AI-tool te plakken.

Een raamwerk implementeren voor het trainen van medewerkers in de beste AI-praktijken.

Beleid alleen verandert gedrag niet. Het trainen van medewerkers in het gebruik van AI, de risico's en de verwachtingen van de organisatie is het mechanisme dat geschreven regels omzet in dagelijkse praktijk. Effectieve AI-trainingsprogramma's zijn continu, functiespecifiek en worden versterkt door realtime feedback.

Gestructureerde training op basis van rol en risiconiveau

Een standaard AI-trainingsmodule die voor iedereen geschikt is, houdt geen rekening met de specifieke risico's waarmee verschillende functies te maken hebben. Stem uw trainingsinhoud af op de gegevenstypen en AI-toepassingen die het meest relevant zijn voor elke afdeling:

  1. Technische teams: Focus op de risico's van het aanleveren van bedrijfseigen broncode aan AI-codeerassistenten, veilige prompt-engineering en goedgekeurde tools voor codegeneratie.
  2. Verkoop en marketing: Beperkingen op het delen van klantgegevens, CRM-exports en concurrentie-informatie met externe AI-diensten moeten worden afgedekt.
  3. Juridisch en naleving: Behandel de nauwkeurigheid van de AI-output, de zorgen over toegangsrechten en de wettelijke verplichtingen met betrekking tot door AI gegenereerde documenten.
  4. Uitvoerend leiderschap: Benadruk strategische risico's, aansprakelijkheid en het belang van het modelleren van conform AI-gedrag.

Gebruik realistische scenario's en simulaties.

Abstracte training over 'gegevensgevoeligheid' is veel minder effectief dan concrete scenario's. Leg medewerkers realistische situaties voor: een collega vraagt ​​hen bijvoorbeeld om een ​​klantklacht in ChatGPT te plakken voor sentimentanalyse, of een AI-functie van een leverancier biedt aan om een ​​vertrouwelijke presentatie voor de raad van bestuur automatisch samen te vatten. Loop samen met de medewerkers het beslissingsschema door, inclusief hoe ze het register met goedgekeurde tools moeten raadplegen, hoe ze de betrokken gegevens moeten classificeren en wanneer ze de beveiligingsafdeling moeten inschakelen.

Integreer Just-in-Time Coaching

De meest effectieve training vindt plaats op het moment dat er risico is. Browsergebaseerde beveiligingsoplossingen kunnen contextuele waarschuwingen geven wanneer een medewerker probeert te interageren met een niet-goedgekeurde AI-tool of gevoelige inhoud plakt in een AI-promptveld. Deze realtime interventies fungeren als microtrainingsmomenten die het beleid versterken zonder dat de medewerker een training van maanden geleden hoeft te herinneren. LayerX Security biedt bijvoorbeeld beheermogelijkheden voor AI-gebruik op browserniveau waarmee aangepaste waarschuwingsberichten kunnen worden weergegeven, specifieke acties kunnen worden geblokkeerd en gebeurtenissen kunnen worden vastgelegd voor compliance-controle – allemaal zonder legitieme werkprocessen te verstoren.

Meet de effectiviteit van trainingen

Houd bij of training daadwerkelijk gedrag verandert, en niet alleen of medewerkers een module hebben voltooid. Nuttige indicatoren zijn onder andere het aantal pogingen tot beleidsovertreding dat door monitoringtools wordt gedetecteerd, het aantal aanvragen voor goedkeuring van AI-tools dat via de juiste kanalen is ingediend, en de afname van incidenten met blootstelling van gevoelige gegevens in de loop van de tijd. Gebruik deze gegevens als input voor het trainingsprogramma om hardnekkige tekortkomingen aan te pakken.

Het beheren van niet-goedgekeurde generatieve AI-tools zonder innovatie te belemmeren

Een van de grootste uitdagingen bij het beheer van AI in de schaduw is het vinden van een balans tussen beveiliging en productiviteit. Algemene verboden op generatieve AI-tools zijn zelden effectief – ze drijven het gebruik verder ondergronds en creëren vijandige relaties tussen beveiligingsteams en bedrijfsonderdelen. Een duurzamere aanpak combineert technische controles met organisatorische ondersteuning.

Stel een catalogus samen van goedgekeurde AI-tools.

Bied medewerkers goedgekeurde alternatieven die aansluiten bij hun productiviteitsbehoeften. Evalueer toonaangevende generatieve AI-tools aan de hand van uw beveiligings- en compliance-eisen, onderhandel over bedrijfsbrede overeenkomsten met passende bepalingen inzake gegevensbescherming en publiceer een interne catalogus van goedgekeurde opties. Wanneer medewerkers toegang hebben tot gecontroleerde tools die hen daadwerkelijk helpen sneller te werken, neemt de prikkel om naar niet-goedgekeurde alternatieven te zoeken aanzienlijk af.

Implementeer gedetailleerde toegangscontrole voor AI.

In plaats van alle AI-diensten op netwerkniveau te blokkeren, kunt u beter controlemechanismen implementeren die een gedetailleerd beheer van AI-interacties mogelijk maken. Effectieve toegangscontrole tot AI moet het volgende kunnen bieden:

  • Het onderscheid maken tussen goedgekeurde en niet-goedgekeurde AI-tools. en op elk geval een ander beleid toepassen.
  • Gegevens inspecteren die aan AI-services worden aangeleverd. in realtime en het blokkeren van inzendingen die beperkte gegevenscategorieën bevatten.
  • Het monitoren van AI-gebruikspatronen Om binnen de hele organisatie opkomende trends in het gebruik van tools te identificeren voordat ze leiden tot lacunes in de governance.
  • Het beheren van AI-gestuurde browserextensies die mogelijk gegevens doorsluizen via nevenkanalen die onzichtbaar zijn voor traditionele beveiligingsinstrumenten.

Browserniveau AI DLP implementeren

Omdat AI-interacties voornamelijk via de browser verlopen, is de browser het meest effectieve punt voor het voorkomen van dataverlies door AI. Oplossingen die op browserniveau werken, kunnen klembordacties, formulierinzendingen, bestandsuploads en tekstinvoer gericht aan AI-services inspecteren – ongeacht of de medewerker een beheerd apparaat, een BYOD-laptop of een virtuele desktop gebruikt. LayerX Security is gespecialiseerd in deze aanpak en biedt organisaties inzicht in verborgen AI-activiteiten en de mogelijkheid om AI-gebruiksbeleid rechtstreeks in de browser af te dwingen, zonder dat netwerkproxy's of endpointagents nodig zijn die de prestaties negatief beïnvloeden.

Monitor het gebruik van AI zonder een surveillancecultuur te creëren.

Transparantie is essentieel bij de implementatie van AI-monitoring. Communiceer duidelijk aan medewerkers wat er wordt gemonitord, waarom het belangrijk is en hoe de gegevens zullen worden gebruikt. Richt de monitoring op de bescherming van gegevens – het voorkomen dat gevoelige gegevens de organisatie verlaten – in plaats van op het volgen van individuele productiviteit. Deze benadering positioneert AI-governance als een gedeelde verantwoordelijkheid in plaats van een strafprogramma, wat de medewerking van medewerkers bevordert en de motivatie om controles te omzeilen vermindert.

Stel een feedbacklus in met de businessunits.

Creëer een formeel kanaal voor medewerkers en afdelingshoofden om behoeften aan AI-tools te melden, nieuwe tools voor evaluatie voor te stellen en knelpunten in bestaande beleidsregels aan te kaarten. Deze feedbackloop dient twee doelen: het brengt legitieme productiviteitsbehoeften aan het licht waar het governanceprogramma rekening mee moet houden, en het geeft medewerkers het signaal dat de organisatie hun input waardeert in plaats van simpelweg hun autonomie te beperken.

Aan de slag: uw eerste stappen in schaduw-AI-governance

Het opzetten van een schaduw-AI-governanceprogramma vereist niet dat het raamwerk vanaf dag één volledig is uitgewerkt. Een gefaseerde aanpak stelt organisaties in staat om snel fundamentele controles in te voeren en in de loop der tijd een alomvattende dekking op te bouwen.

Fase 1: Ontdekking en basislijnbeoordeling

Voordat je schaduw-AI kunt beheersen, moet je weten waar deze zich bevindt. Voer een grondige inventarisatie uit om te achterhalen welke AI-tools binnen de organisatie worden gebruikt, door wie en voor welke doeleinden. Deze inventarisatie moet het volgende omvatten:

  • Analyse van browseractiviteit: Identificeer verkeer naar bekende AI-servicedomeinen en detecteer AI-gestuurde browserextensies die zijn geïnstalleerd op beheerde en niet-beheerde apparaten.
  • SaaS-audit: Controleer bestaande SaaS-applicaties op ingebouwde AI-functies die mogelijk gegevens doorsturen naar externe modelaanbieders.
  • Enquête onder medewerkers: Vul het technisch onderzoek aan met een vertrouwelijke enquête waarin medewerkers worden gevraagd naar hun gebruik van AI-tools, waargenomen tekortkomingen in goedgekeurde tools en hun kennis van bestaande beleidsregels.

Fase 2: Beleid en snelle successen

Gebruik de bevindingen uit het onderzoek om uw eerste AI-governancebeleid op te stellen en de meest impactvolle beheersmaatregelen als eerste te implementeren. Snelle successen zijn doorgaans het blokkeren van de gevaarlijkste datastromen (broncode, persoonsgegevens van klanten, financiële gegevens) naar niet-goedgekeurde AI-diensten, het publiceren van een eerste lijst met goedgekeurde tools en het implementeren van waarschuwingen op browserniveau voor risicovolle AI-interacties. Deze eerste acties verminderen uw meest kritieke risico's terwijl het bredere programma zich verder ontwikkelt.

Fase 3: Training en organisatieafstemming

Implementeer functiespecifieke AI-trainingsprogramma's zoals eerder in deze handleiding beschreven. Stel tegelijkertijd een AI-governancecommissie samen en formaliseer het goedkeuringsproces voor tools. Betrek afdelingsleiders als ambassadeurs die de beleidsverwachtingen binnen hun teams kunnen versterken en feedback kunnen doorgeven aan de governancecommissie.

Fase 4: Continue monitoring en iteratie

Het beheer van verborgen AI is geen eenmalig project. Wekelijks verschijnen er nieuwe AI-tools en -mogelijkheden, het gedrag van medewerkers verandert en de wettelijke vereisten verschuiven. Implementeer continue monitoring om nieuwe toepassingen van verborgen AI te detecteren, trends in de naleving van beleid te meten en gebieden te identificeren waar controles verfijning behoeven. Oplossingen zoals LayerX Security bieden doorlopend inzicht in AI-interacties op browserniveau, waardoor beveiligingsteams hun governancebeleid kunnen aanpassen op basis van daadwerkelijke gebruiksgegevens in plaats van aannames.

Succes meten

Definieer duidelijke succesindicatoren voor uw governanceprogramma voor schaduw-AI om de waarde ervan aan te tonen en investeringsbeslissingen te onderbouwen:

  1. Vermindering van het ongeoorloofde gebruik van AI-tools zoals gemeten door middel van ontdekkingsscans en gegevens over browsermonitoring.
  2. Toename in de acceptatie van goedgekeurde AI-tools Dit geldt voor alle afdelingen, wat aangeeft dat de goedgekeurde alternatieven aan de behoeften van de werknemers voldoen.
  3. Afname van incidenten met blootstelling van gevoelige gegevens waarbij AI-diensten betrokken zijn, die worden bijgehouden via DLP-waarschuwingen en incidentregistraties.
  4. Beleidsbewustzijnsscores Uit periodieke evaluaties blijkt dat medewerkers de regels voor het gebruik van AI begrijpen en kunnen toepassen.
  5. Goedkeuringstijd voor nieuwe AI-tools ingediend via het governanceproces, waardoor wordt gewaarborgd dat het programma legitieme innovatie mogelijk maakt in plaats van belemmert.

Het beheer van schaduw-AI vereist een weloverwogen combinatie van helder beleid, technische handhaving, training van medewerkers en betrokkenheid binnen de organisatie. Organisaties die dit als een prioriteit beschouwen die verschillende afdelingen aangaat – in plaats van een puur IT-gedreven initiatief – zullen het best gepositioneerd zijn om de productiviteitsvoordelen van AI te benutten en tegelijkertijd de risico's op het gebied van beveiliging, compliance en intellectueel eigendom te beperken die ongecontroleerde implementatie met zich meebrengt.