Deel 1 van een driedelige serie over shadow AI voor FG’s en privacy officers.

Eind 2025 meldde de gemeente Eindhoven bij de Autoriteit Persoonsgegevens (AP) dat medewerkers Jeugdwetdocumenten, cv’s en interne verslagen hadden geüpload naar openbare AI-tools zoals ChatGPT en Gemini(1). De AP had al in 2024 gewaarschuwd dat het gebruik van AI-chatbots kan leiden tot datalekken. Eind 2025 bleek dat de AP dat jaar al tientallen meldingen had ontvangen over vergelijkbare AI-gerelateerde datalekken, met een stijging ten opzichte van het jaar daarvoor(2). Het patroon is telkens hetzelfde: medewerkers zetten AI-tools in buiten het zicht van de organisatie.

Deze driedelige serie bespreekt de juridische risico’s van het fenomeen ‘shadow AI’ voor organisaties en de rol van hun Functionaris Gegevensbescherming (FG). In dit eerste deel staan twee vragen centraal: wat shadow AI is en waarom het een wezenlijk ander risicoprofiel heeft dan klassiek ‘shadow IT’, en welke verplichtingen de AVG aan de verwerking stelt. In deel 2 behandelen we de gevolgen wanneer het misgaat: wanneer shadow AI kwalificeert als een (meldplichtig) datalek, en wat er met persoonsgegevens gebeurt zodra zij in een model belanden. In deel 3 volgt het handelingsperspectief: welk beleid, welke training en welke inkoopvereisten nodig zijn, hoe je daarmee ook bedrijfsgeheimen en contractuele geheimhouding beschermt, hoe de AP nu al handhaaft, en wat de rol van de FG is.

Wat is shadow AI?

Shadow IT (het gebruik van software en diensten die niet door de organisatie zijn goedgekeurd) bestaat al decennia. Denk aan een medewerker die via een privé-Dropbox-account bestanden deelt omdat het bedrijfsnetwerk te traag is, of die via een persoonlijk e-mailadres werkt. Shadow AI is de actuele variant: medewerkers zetten AI-tools in zoals ChatGPT, Claude of Gemini, vaak via gratis persoonlijke accounts, om werkzaamheden te versnellen, maar buiten het zicht van IT en de FG.

Toch is shadow AI juridisch ingrijpender dan klassiek shadow IT en wel om twee redenen. Ten eerste is de kans groot dat daarbij (onnodig veel) persoonsgegevens worden verwerkt: een HR-medewerker die op basis van een (geheel) personeelsdossier een ontslagbrief laat opstellen met ChatGPT voert persoonsgegevens in bij een externe aanbieder en een klantenservicemedewerker die een klantmail door Gemini laat herschrijven en de gehele gespreksgeschiedenis toevoegt doet hetzelfde. Ten tweede ontstaan bij AI extra risico’s die klassiek shadow IT niet kent. Bij shadow IT is doorgaans nog te achterhalen waar een kopie van een bestand zich bevindt en kan verwijdering of toegangsbeperking soms worden afgedwongen. Vaak heeft een IT leverancier die in haar dienstverlening standaard als verwerker acteert een standaard verwerkersovereenkomst en gebruikt (als het goed is) de gegevens niet voor haar eigen doeleinden.

Bij shadow AI is dat lastiger: afhankelijk van de dienst en de configuratie kunnen prompts en uploads worden bewaard, door menselijke reviewers worden beoordeeld, voor modelverbetering worden gebruikt of later niet meer volledig uit het systeem worden verwijderd. Waar shadow IT op die manier ongecontroleerde opslag bij derde partijen creëert; kan shadow AI kan daar een laag van modelverwerking en onomkeerbaarheid aan toevoegen.

Zodra persoonsgegevens in een AI-tool van een externe aanbieder worden ingevoerd, ontstaan daardoor privacyrisico’s(3). Zoals uit het volgende hoofdstuk blijkt dat het dan wezenlijk verschil maakt of een medewerker een gratis consumentenversie gebruikt of een zakelijk gecontracteerde enterprise-omgeving.

Shadow AI en de AVG

De AI Act laat de AVG uitdrukkelijk onverlet(4). De analyse begint daarom bij een ontleding van de verwerking en kwalificatie van de rollen onder de AVG, want: een verwerking bestaat uit fasen, en per fase moet worden bepaald wie de verwerkingsverantwoordelijke (en eventueel de verwerker) is en welke grondslag geldt.

Twee verwerkingen, mogelijk twee verwerkingsverantwoordelijken

Wanneer een medewerker persoonsgegevens in een externe AI-tool invoert, kunnen zich, afhankelijk van de inrichting van de dienst, meerdere verwerkingen met verschillende doeleinden voltrekken. De eerste is de verzameling en de verstrekking door doorzending van de gegevens aan de aanbieder, ten dienste van het bedrijfsdoel van de organisatie (een tekst laten herschrijven, een dossier laten samenvatten). Indien de aanbieder van de AI-toepassing de invoer ook voor eigen doeleinden verwerkt, in het bijzonder voor training of verbetering van het model, moet die verwerking afzonderlijk worden beoordeeld.

Dat onderscheid is in de rechtspraak al aan de orde gekomen: in Fashion ID oordeelde het Hof van Justitie dat een partij die de doeleinden en middelen van de verzameling en de doorzending mede bepaalt, voor die fase verwerkingsverantwoordelijke is, maar niet voor de latere verwerking waarover zij geen zeggenschap heeft. De EDPB past deze gefaseerde benadering rechtstreeks op generatieve AI toe(5).

Voor de kwalificatie van de aanbieder past terughoudendheid. Of de aanbieder verwerker dan wel zelfstandig verwerkingsverantwoordelijke is, is een feitelijke vraag die afhangt van wie de doeleinden en de essentiële middelen bepaalt, van de inrichting en de presentatie van de dienst en van de contractuele rol(6). Verwerkt de aanbieder de invoer voor eigen doeleinden, zoals training, dan handelt hij in zoverre als zelfstandig verwerkingsverantwoordelijke en is een verwerkersovereenkomst niet aan de orde. Verwerkt hij uitsluitend volgens instructie en voor het doel van de klant, dan is hij verwerker. Het is niet gezegd dat een gratis dienst altijd op invoer traint (sommige varianten kennen een opt-out), zodat de kwalificatie per dienst en configuratie moet worden vastgesteld.

De grondslag: voor welke verwerking precies?

Voor zover de aanbieder de invoer ook voor eigen doeleinden verwerkt, moet de grondslag voor die verwerking afzonderlijk worden beoordeeld; elke verwerking vergt een eigen grondslag in artikel 6, lid 1, AVG(7). Voor de eerste verwerking, het interne gebruik, kan de organisatie mogelijk een grondslag hebben (bijvoorbeeld een gerechtvaardigd belang bij efficiëntie). Voor publieke organisaties ligt dat anders: voor verwerkingen in het kader van hun publieke taak staat de grondslag van het gerechtvaardigd belang niet open op grond van artikel 6, lid 1, onder f, laatste volzin, AVG, zodat zij zich op een andere grondslag moeten baseren (een wettelijke verplichting of een taak van algemeen belang), voor zover die de concrete AI-verwerking daadwerkelijk dekt. Die grondslag dekt echter niet de stap waarin diezelfde persoonsgegevens ter beschikking worden gesteld aan de aanbieder voor diens zelfstandige trainingsdoel. Voor die verstrekking ontbreekt doorgaans toestemming van de betrokkene, is zij niet noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene, en laat een gerechtvaardigd belang dat de gerechtvaardigde-belangentoets doorstaat zich moeilijk construeren wanneer de gegevens dienen om het model van een derde te verbeteren(8). Dat de organisatie zich voor haar eigen doel op een grondslag kan beroepen, betekent dus niet dat de verstrekking aan de aanbieder rechtmatig is.

Bijzondere categorieën: het verbod van artikel 9

Gaat het om bijzondere categorieën van persoonsgegevens, dan is een grondslag in artikel 6 niet voldoende. Naast die grondslag moet dan ook een uitzondering op het verwerkingsverbod van artikel 9, lid 1, AVG van toepassing zijn. Bij shadow AI ontbreekt die uitzondering vrijwel steeds: er is geen uitdrukkelijke toestemming, en de gedachte dat gegevens openbaar zijn helpt niet, want het enkele feit dat gegevens toegankelijk zijn, betekent niet dat de betrokkene ze kennelijk openbaar heeft gemaakt(9). Het openingsvoorbeeld van dit blog illustreert dit scherp: Jeugdwetdocumenten met gezondheidsgegevens van minderjarigen vallen onverkort onder artikel 9, en voor het invoeren daarvan in een publieke chatbot is op deze feiten geen verdedigbare uitzondering onder artikel 9, lid 2, te identificeren.

Contract en doorgifte

Treedt de aanbieder als verwerker op, dan is een verwerkersovereenkomst op grond van artikel 28 AVG vereist, die de verwerking van prompts, uploads en output uitdrukkelijk afdekt, inclusief bewaartermijnen, instructiemechanismen en subverwerkers(10).
Treedt hij als zelfstandig verantwoordelijke op, dan is zo’n overeenkomst niet aan de orde, maar mist de organisatie juist de waarborgen die een verwerkersovereenkomst zou bieden. Bepalend is daarbij de inrichting: of er een verwerkersovereenkomst is, of op invoer wordt getraind, welke bewaartermijnen gelden en of menselijke beoordeling plaatsvindt.

Verwerkt de aanbieder buiten de EER, dan is bovendien een doorgiftegrondslag vereist zoals het Data Privacy Framework (DPF) of de standaardcontractbepalingen of een adequaatheidsbesluit van de Europese Commissie (hoofdstuk V AVG). Het EU-US Data Privacy Framework biedt een adequaatheidsgrondslag voor gecertificeerde Amerikaanse aanbieders. Het Gerecht bevestigde op 3 september 2025 de geldigheid daarvan, maar tegen die uitspraak is op 31 oktober 2025 hoger beroep ingesteld bij het Hof van Justitie(11). Het kader is daarmee vooralsnog bruikbaar, maar niet zonder voorbehoud, en voor kritieke of grootschalige verwerkingen is het verstandig alternatieve doorgiftemechanismen en exit-scenario’s in kaart te brengen.

Transparantie, beginselen en verantwoording

De betrokkene wiens gegevens worden ingevoerd, is doorgaans niet de gebruiker maar een derde: een klant, een patiënt, een sollicitant. Jegens die derde geldt de informatieplicht van artikel 14 AVG, die bij shadow AI in de praktijk doorgaans niet, of niet voldoende specifiek, wordt nageleefd(12). Daar komt de bredere normschending bij. De verwerking staat op gespannen voet met de beginselen van artikel 5 (rechtmatigheid, behoorlijkheid en transparantie, doelbinding, minimale gegevensverwerking, en integriteit en vertrouwelijkheid) en ondermijnt de verantwoordingsplicht van artikel 5, lid 2, en artikel 24: de organisatie kan niet aantonen dat zij aan de verordening voldoet. Technische onmogelijkheid vormt daarbij geen rechtvaardiging, en de bewijslast voor de effectiviteit van de getroffen maatregelen ligt bij de verwerkingsverantwoordelijke(13). Deze tekortkomingen bestaan los van de vraag of zich een meldplichtig datalek voordoet.

In het volgende deel

Daarmee is de eerste laag in kaart gebracht: shadow AI is vaak al onrechtmatig op het moment van invoer, ook zonder dat een derde de gegevens daadwerkelijk inziet. Maar onrechtmatigheid is iets anders dan een meldplichtig datalek. In deel 2 bespreken we wanneer shadow AI kwalificeert als een (meldplichtig) datalek, en wat er met persoonsgegevens gebeurt zodra zij in een model belanden. 

_

1. Gemeente Eindhoven, ‘Datalek openbare AI in Eindhoven’, 18 december 2025, eindhoven.nl/nieuws/datalek-openbare-ai-in-eindhoven. De melding bij de AP vond plaats op 23 oktober 2025; Raadsinformatiebrief gemeente Eindhoven, december 2025.

2.  AP, ‘Let op: gebruik AI-chatbot kan leiden tot datalekken’, autoriteitpersoonsgegevens.nl (2024); AP, ‘AP: tientallen datalekken door uploaden van persoonsgegevens naar AI-chatbots’, Security.nl 30 december 2025, security.nl/posting/919037.

3.  Art. 2 lid 1 AVG (materieel toepassingsgebied), art. 4 onder 1 AVG (definitie persoonsgegevens) en art. 4 onder 2 AVG (definitie verwerking). Elke verwerking van persoonsgegevens binnen het territoriale toepassingsgebied van art. 3 AVG is aan de AVG onderworpen.

4.  Art. 2 lid 7 AI Act (Verordening (EU) 2024/1689): de AI-verordening laat het Unierecht inzake gegevensbescherming, met inbegrip van de AVG, onverlet.

5.  HvJ EU 29 juli 2019, C-40/17 (Fashion ID), punt 70 e.v.: gezamenlijke verwerkingsverantwoordelijkheid kan bestaan voor de fasen van verzameling en doorzending, terwijl een latere fase aan een partij toerekenbaar is. De verstrekking door doorzending is zelf een verwerking (art. 4 onder 2 AVG). De EDPB past deze gefaseerde benadering toe op AI: EDPB, Report of the work undertaken by the ChatGPT Taskforce, 23 mei 2024, par. 14 (met verwijzing naar Fashion ID).

6.  Art. 4 lid 7 en 8 AVG; EDPB, Guidelines 07/2020 on the concepts of controller and processor, par. 24-40. De kwalificatie is feitelijk en hangt af van wie de doeleinden en essentiële middelen bepaalt, de inrichting en presentatie van de dienst en de contractuele rol; zij moet per dienst en configuratie worden vastgesteld.

7.  Elke verwerking moet aan ten minste een voorwaarde van art. 6 lid 1 AVG voldoen: EDPB, ChatGPT Taskforce Report, 23 mei 2024, par. 13; HvJ EU 21 december 2023, C-667/21 (Medizinischer Dienst), punt 79.

8.  Gerechtvaardigd belang vergt de drietrapstoets (legitiem belang, noodzaak en een belangenafweging waarin de redelijke verwachtingen van de betrokkene meewegen): HvJ EU 4 juli 2023, C-252/21 (Bundeskartellamt), punt 106; EDPB, ChatGPT Taskforce Report, par. 16-17; EDPB, Opinion 28/2024 van 17 december 2024 (gerechtvaardigd belang per geval te beoordelen).

9.  Art. 9 AVG (verwerkingsverbod bijzondere categorieën, behoudens art. 9 lid 2). Het enkele feit dat gegevens toegankelijk zijn, betekent niet dat de betrokkene ze kennelijk openbaar heeft gemaakt (art. 9 lid 2 sub e): EDPB, ChatGPT Taskforce Report, par. 18; HvJ EU 4 juli 2023, C-252/21 (Bundeskartellamt), punt 77.

10.  Art. 28 AVG. De verwerkersovereenkomst moet de verwerking van prompts, uploads en output uitdrukkelijk afdekken, inclusief bewaartermijnen, instructiemechanismen en subverwerkers.

11. Art. 44-49 AVG. Het EU-US Data Privacy Framework (adequaatheidsbesluit van 10 juli 2023) is geldig: het Gerecht verwierp op 3 september 2025 een beroep tot nietigverklaring (zaak T-553/23, Latombe/Commissie, ECLI:EU:T:2025:831). Tegen die uitspraak is op 31 oktober 2025 hoger beroep ingesteld bij het Hof van Justitie. Voor standaardcontractbepalingen: art. 46 lid 2 sub c AVG.

12.  Art. 13 en 14 AVG. Jegens de derde-betrokkene (de klant of patiënt wiens gegevens worden ingevoerd) geldt art. 14; zie EDPB, ChatGPT Taskforce Report, par. 27-28 (art. 14 bij verzameling uit andere bron, art. 13 bij directe interactie).

13.  Art. 5 lid 1 sub a (rechtmatigheid, behoorlijkheid, transparantie), sub b (doelbinding), sub c (minimale gegevensverwerking) en sub f (integriteit en vertrouwelijkheid) AVG, en art. 5 lid 2 en art. 24 (verantwoordingsplicht). Technische onmogelijkheid rechtvaardigt geen niet-naleving en gegevensbescherming door ontwerp geldt onverkort (art. 25); de bewijslast ligt bij de verwerkingsverantwoordelijke: EDPB, ChatGPT Taskforce Report, par. 7 en 19.