← Alle artikelen
Shadow AI

Inzicht in AI-gebruik van je collega's, zonder hun prompts te lezen

24 juni 2026 · Redactprompt · 7 min lezen

InzichtShadow AIDashboardAVG

Je hebt vast een AI-beleid. Een document op de gedeelde schijf met daarin welke tools mogen en welke gegevens niet in een chatbot horen. Alleen houdt zo’n document niets tegen op het moment dat het misgaat. De browser van je medewerker kent het niet. Iemand opent ChatGPT, plakt een klantenlijst en krijgt zijn samenvatting, en jij weet van niets.

Een beleid op papier vertelt je ook niet wat er live gebeurt. Welke AI-tools gebruiken je mensen elke dag? En welke gegevens verlaten hun prompts? Bij bijna elke organisatie ontbreekt dat zicht, en sturen op iets wat je niet ziet lukt nu eenmaal niet.

In dit artikel lees je hoe je dat zicht terugkrijgt. Niet door mee te lezen met je collega’s, maar door te laten zien wat er gebeurt. Met echte schermen uit het dashboard.

Hoeveel zicht heb je nu op AI-gebruik?

Waarschijnlijk weinig. Software AG ondervroeg in 2024 ruim 6.000 kenniswerkers. Driekwart gebruikt AI-tools. Bijna de helft blijft dat zelfs doen als de werkgever het verbiedt. Dat ongevraagde gebruik heet shadow AI. Het speelt zich per definitie buiten het zicht van IT af.

Je ziet het terug bij de toezichthouder. De Autoriteit Persoonsgegevens kreeg in 2024 en 2025 tientallen meldingen van datalekken waarbij medewerkers persoonsgegevens in een AI-chatbot plakten. Geen toekomstscenario dus. Het gaat nu al mis, zonder dat je het doorhebt.

Laat je team AI gebruiken. Zonder de datalekken.

Redactprompt haalt BSN, IBAN en klantdata lokaal uit de prompt en geeft je centraal beleid én inzicht per chatbot. Gratis te starten, geen creditcard.

Start gratis

Waarom een enquête of netwerkmonitoring tekortschiet

Het gangbare advies is een anonieme enquête plus monitoring van je netwerkverkeer. Allebei helpen ze een beetje, maar ze beantwoorden de verkeerde vraag.

Een enquête vertelt je wat mensen zéggen te doen. Het is bovendien een momentopname. Netwerkmonitoring ziet dat er verkeer naar OpenAI of Anthropic gaat, maar niet wát er verstuurd werd of het gevoelig was.

En juist dat wil je weten. Welke soort gegevens had kunnen lekken, en op welke tool? Het liefst zonder de prompts zelf te lezen, want anders bespioneer je je mensen en verzamel je zelf een berg persoonsgegevens.

Inzicht zonder te bespioneren

Het uitgangspunt is simpel. Je beschermt je medewerkers, je bespioneert ze niet. Een goed beeld bestaat uit aggregaat. Hoeveel prompts er gescand zijn, hoeveel daarvan gevoelige data bevatten, welke soorten en op welke chatbots. Wat je niet wilt zien, en niet hoort op te slaan, is de inhoud van de prompts.

Dat past ook bij de AVG. Je houdt je aan dataminimalisatie door alleen metadata te bewaren, niet de getypte tekst. Redactprompt werkt zo. De detectie draait lokaal in de browser en het dashboard ziet alleen tellingen, nooit promptinhoud.

Zo ziet inzicht in AI-gebruik eruit

Hieronder zie je het dashboard met voorbeelddata. In één oogopslag lees je af hoeveel prompts gescand zijn, hoeveel daarvan gevoelige gegevens bevatten, hoeveel niet-goedgekeurde chatbots geblokkeerd zijn en hoeveel mensen de extensie gebruiken.

Redactprompt-dashboard met inzicht in AI-gebruik: KPI-kaarten voor gescande prompts en gedetecteerde gevoelige data, met grafieken van prompts per dag, top detectiecategorieën en chatbotgebruik.
Het dashboard met voorbeelddata. Welke gegevens zijn weggehaald en op welke chatbot, zonder dat iemand een prompt hoeft te lezen.

Over een maand zijn hier bijna 1.900 prompts gescand, en in ongeveer een kwart daarvan zat gevoelige data. Onderaan links zie je om welke soorten het ging. E-mailadressen en namen springen eruit, want die staan in zowat elke prompt. Daaronder volgen adressen, IBAN’s en telefoonnummers, en af en toe een BSN of creditcard.

Rechts zie je welke chatbots je team gebruikt. ChatGPT staat bovenaan, en je ziet zelfs of mensen de gratis of de zakelijke versie pakken. Dat onderscheid telt. De gratis ChatGPT traint standaard mee op wat je erin typt, de zakelijke variant niet. Zit het grootste deel van je team op gratis, dan weet je meteen waar je gesprek begint. Daaronder volgen Copilot, Gemini en Claude, en onderaan duikt DeepSeek op. Of dat erg is, bepaal jij. Maar je weet het nu, in plaats van na een incident.

Dat is het verschil met een enquête of een netwerklog. Die vertellen je hooguit dát er AI gebruikt wordt. Het dashboard laat zien welke gevoelige gegevens zijn tegengehouden en op welke tool, zonder dat er ooit een prompt op tafel komt.

Van losse cijfers naar grip

De rapportagepagina vertelt hetzelfde verhaal uitgebreider, en laat ook zien wat er met de detecties gebeurde.

Rapportagepagina van het Redactprompt-dashboard met detectiepercentage, een grafiek van detecties per dag, een verdeling van wat er met detecties gebeurde en een ranglijst van chatbots.
De rapportages, met voorbeelddata. Het grootste deel van de gevoelige gegevens werd beschermd voordat de prompt de deur uit ging.

Het grootste deel van de detecties werd beschermd. De gevoelige gegevens zijn geredacteerd of vervangen door een pseudoniem voordat de prompt verstuurd werd. Een kleiner deel ging in report-only modus gewoon door, zodat je eerst kunt meten zonder in te grijpen. Dit zijn de cijfers waarmee je het gesprek met je directie of je DPO voert, en niet langer met een onderbuikgevoel.

Van inzicht naar beleid

Zien wat er gebeurt is stap één. Sturen is stap twee. Op basis van wat je in het dashboard ziet, stel je per chatbot in wat mag. ChatGPT toestaan, een risicotool blokkeren, of bepaalde gegevenstypes altijd tegenhouden.

Pagina AI-chatbots in het Redactprompt-dashboard: per chatbot instelbaar op toegestaan, beperkt of geblokkeerd.
Per chatbot stel je in of hij toegestaan, beperkt of geblokkeerd is.

Hier loopt een kaal verbod ook stuk. Blokkeer je een tool helemaal, dan pakken mensen hun telefoon of een privé-account, en ben je het zicht weer kwijt. Grijp je in op het moment dat iemand iets gevoeligs plakt, dan blijft de data veilig én blijft je team gewoon doorwerken. Hoe dat zit lees je in ChatGPT blokkeren op het werk. En het is geen vrijblijvende keuze meer. De EU AI Act verplicht organisaties sinds februari 2025 tot AI-geletterdheid, en daar hoort aantoonbaar zicht op je AI-gebruik bij.

En hoe snel staat dit live?

Voor een individuele gebruiker binnen een minuut. Je installeert de extensie in Chrome of Edge en de detectie draait meteen, volledig lokaal.

Organisatiebreed regel je het via SSO of Intune. Met SSO logt iedereen in met zijn Microsoft-account en valt automatisch onder je organisatie. Met Intune push je de extensie headless naar je beheerde apparaten, met één org-token en nul kliks voor je medewerker. Letterlijk één script, en in minder dan vier minuten staat het er.

Geen proxy, geen netwerk-appliance, geen DNS of firewall die je ombouwt. Waar een klassieke DLP- of proxy-oplossing een traject van weken is, ben jij in de tijd van een kop koffie klaar. De standaardinstellingen zijn meteen veilig. Alle detectoren staan aan en de gevoeligheid op een verstandige stand. Valt de configuratie even weg, dan gaat de extensie dicht in plaats van open.

Veelgestelde vragen

Kan ik zien wat mijn collega's precies in ChatGPT typen?
Nee, en dat is een bewuste keuze. Het dashboard toont alleen tellingen: hoeveel prompts gescand zijn, welke soorten gevoelige gegevens eruit gehaald werden en welke chatbots gebruikt zijn. De inhoud van een prompt wordt nooit getoond of opgeslagen. Zo bescherm je de gegevens zonder je medewerkers te bespioneren.
Mag ik het AI-gebruik van medewerkers monitoren onder de AVG?
Geaggregeerde, niet tot een persoon herleidbare statistiek over AI-gebruik past binnen dataminimalisatie, juist omdat de promptinhoud niet bewaard wordt. Leg het wel vast in je AI- of privacybeleid en wees er open over richting je medewerkers en ondernemingsraad. Monitoring die wél de inhoud logt, is een heel ander verhaal, en dat doet Redactprompt bewust niet.
Hoe verschilt dit van netwerkmonitoring of een enquête?
Netwerkmonitoring ziet dat er verkeer naar een AI-dienst gaat, maar niet of er gevoelige data in zat. Een enquête vertelt je wat mensen zeggen te doen. Het dashboard laat zien welke soorten gevoelige gegevens daadwerkelijk tegengehouden zijn en op welke chatbot, doordat de detectie in de browser zelf gebeurt op het moment van plakken.
Welke chatbots zie ik terug in het dashboard?
Alle chatbots waarop de extensie actief is, waaronder ChatGPT, Microsoft Copilot, Google Gemini, Claude, Perplexity en DeepSeek. Per chatbot stel je in het beleid in of hij toegestaan, beperkt of geblokkeerd is.

Wil je dit beeld voor je eigen organisatie? Je rolt Redactprompt in minuten uit, gratis te starten, en ziet je eerste cijfers in het dashboard verschijnen. Of neem vrijblijvend contact op om de uitrol voor je team te bespreken.

Voorkom datalekken naar AI-chatbots

Redactprompt detecteert en beschermt gevoelige gegevens vóór ze een AI-chatbot bereiken. Volledig lokaal in je browser.

Bekijk de zakelijke uitrol