Bijna de helft van de Nederlandse mkb-medewerkers heeft vorige maand klant- of bedrijfsdata geplakt in een gratis AI-tool. Gemiddeld deed de groep die dat deed dit 3,1 keer per week. Dat zijn de resultaten van eigen onderzoek van TheAIDaily onder 225 respondenten bij honderd Nederlandse mkb-bedrijven.
Maar het getal dat er bovenuit springt staat elders in de data: slechts 27 procent van alle respondenten wist dat gratis AI-modellen ingevoerde gegevens mogen opslaan en gebruiken voor modeltraining. De rest handelde vanuit onbekendheid, niet vanuit bewuste afweging.
Methode
TheAIDaily voerde dit onderzoek uit via een gestructureerde enquête onder 225 respondenten bij honderd Nederlandse mkb-bedrijven (2 tot 249 medewerkers). De steekproef bestond uit 75 werkgevers of leidinggevenden en 150 werknemers, verspreid over sectoren als handel, zakelijke dienstverlening, zorg en bouw. Het veldwerk liep van mei tot juni 2026. De statistische marge bedraagt plus of min 5,5 procentpunt bij een betrouwbaarheidsniveau van 95 procent.
Drie kernbevindingen
1. 44 procent deelde vorige maand bedrijfsdata met een gratis AI-tool
Van alle 225 respondenten gaf 44 procent aan in de afgelopen maand klant- of bedrijfsdata te hebben ingevoerd in een gratis AI-tool, zoals de gratis versie van ChatGPT, Gemini, Claude of Copilot. Het gaat niet om eenmalige pogingen. Met 44 procent is het geen randgeval maar een structureel patroon.
2. Gebruikers doen het gemiddeld 3,1 keer per week
Wie data deelt, doet dat structureel. De gemiddelde frequentie onder de 44 procent die data inbracht, lag op 3,1 keer per week. Dat wijst op een ingebakken werkgewoonte. Shadow AI is in het Nederlandse mkb geen uitzondering meer; het is dagelijkse praktijk geworden.
3. Slechts 27 procent wist dat gratis AI-tools data mogen gebruiken voor training
Dit is het cijfer dat de andere twee verklaart. Op de vraag of gratis AI-tools ingevoerde gegevens mogen opslaan of gebruiken voor de verbetering van hun model, antwoordde 27 procent van alle respondenten bevestigend. De overige 73 procent dacht dat dit niet het geval was, twijfelde, of wist het simpelweg niet.
De combinatie is veelzeggend: de meeste mkb-medewerkers die bedrijfsdata met gratis AI-tools delen, weten niet dat die tools het recht hebben die data te gebruiken voor modeltraining. Shadow AI in het mkb is daardoor in de eerste plaats een kennisrisico, en pas in de tweede plaats een compliance-risico.
Waarom doet het mkb dit?
De data geven richting, maar de onderliggende logica vraagt om duiding. Vier factoren verklaren waarom 44 procent van de ondervraagden vorige maand bedrijfsdata in een gratis AI-tool invoerde.
Gemak wint het van beleid
Gratis AI-tools zijn beschikbaar zonder aanvraag, goedkeuring of IT-ticket. Als je snel een klantenbrief wil herschrijven of een offerte wil samenvatten, open je een browser en plak je de tekst. Dat is sneller dan wachten op een bedrijfsgekeurde tool, als die er al is. In het mkb, waar IT-afdelingen klein of afwezig zijn, is de drempel naar gratis tools structureel lager dan in het enterprise-segment.
Onbekendheid over datagebruik
De 73 procent die niet wist dat gratis AI-modellen trainingsdata mogen gebruiken, is geen toeval. De meeste gratis AI-tools communiceren dit niet prominent. De toestemmingsverklaring staat in de algemene voorwaarden, niet in een waarschuwingspop-up die verschijnt zodra je klantdata invoert. Wie de privacyverklaring nooit actief heeft gelezen, weet simpelweg niet wat er met de data gebeurt.
Dit is een wezenlijk ander probleem dan nalatigheid. Een medewerker die bewust risico neemt is een andere situatie dan een medewerker die denkt geen risico te nemen. Uit dit onderzoek valt het overgrote deel van de mkb-gebruikers in de tweede categorie.
Geen richtlijnen, geen alternatief
Een meerderheid van de ondervraagde werkgevers gaf aan geen formeel beleid te hebben voor AI-gebruik op de werkvloer. Zonder duidelijke grenzen vullen medewerkers die zelf in en kiezen daarbij voor de weg van de minste weerstand. Dat is geen onwil; dat is de onvermijdelijke uitkomst van een vacuüm in governance. Als er geen beleid is, ontstaat er informeel beleid. En dat informele beleid heet: gebruik wat werkt.
Tijdsdruk
In het mkb is snelheid een overlevingsfactor. Klanten verwachten snelle reacties, offertes moeten dezelfde dag de deur uit, rapportages worden 's avonds afgemaakt. AI-tools comprimeren die tijd. In dat frame maakt het weinig uit of een tool gratis of betaald is, zolang hij maar werkt en snel beschikbaar is.
Internationaal perspectief
De TheAIDaily-cijfers staan niet op zichzelf. Internationaal onderzoek laat zien dat shadow AI snel groeit in alle sectoren. Gartner schatte eerder al dat in 2027 meer dan 40 procent van alle enterprise AI-implementaties buiten het zicht van IT-afdelingen plaatsvindt. Nederlandse mkb-bedrijven lopen daarin niet achter, maar ze hebben wel minder compliance-buffers dan grote organisaties. Meer Nederlandse AI-adoptiecijfers vind je in de AI-adoptiestatistieken van TheAIDaily.
Het verschil zit niet in gedrag; het zit in de omgeving. Een groot bedrijf heeft een CISO, een verwerkingsregister, en een IT-afdeling die tools goedkeurt. Een mkb-bedrijf heeft een medewerker die een klantenbrief moet herschrijven voor het einde van de werkdag.
Wat zegt de wet?
De Europese AI Act raakt het mkb op twee concrete punten die nu al spelen.
Artikel 4, over AI-geletterdheid, is al van kracht sinds 2 februari 2025. Werkgevers zijn verplicht ervoor te zorgen dat medewerkers die met AI-systemen werken, over voldoende kennis beschikken om dit verantwoord te doen. De Omnibus-aanpassing maakte dit een inspanningsverplichting in plaats van een harde norm, maar de verplichting bestaat. Een situatie waarin 73 procent van de gebruikers niet weet hoe gratis AI-tools omgaan met data, is lastig te rijmen met artikel 4.
Artikel 50, over transparantie bij AI-gegenereerde content en chatbotinteracties, treedt in werking op 2 augustus 2026.
Voor hoog-risico-AI, waaronder systemen voor personeelsselectie, kredietbeoordeling of onderwijs (Bijlage III van de AI Act), geldt een deadline van 2 december 2027. Dat is de herziene datum na de Omnibus-aanpassing: de oorspronkelijke datum van 2 augustus 2026 is met zestien maanden verlengd.
Naast de AI Act gelden de AVG-verplichtingen onverkort. Het invoeren van klantdata in een AI-tool is een verwerkingshandeling. Als die verwerking niet is opgenomen in jouw verwerkingsregister en er geen verwerkersovereenkomst is gesloten met de aanbieder van de AI-tool, is er sprake van een AVG-schending. Ongeacht of de tool gratis of betaald is. Meer over de AVG-kant van AI-gebruik vind je in ons eerdere onderzoek naar AI-agents en de AI Act.
Vier stappen die je nu kunt zetten
Op basis van de onderzoeksresultaten zijn er vier concrete stappen voor mkb-bedrijven.
1. Inventariseer welke AI-tools jouw medewerkers gebruiken
Vraag medewerkers zonder oordeel welke tools ze inzetten en waarvoor. Dat is de nulmeting voor elk beleid. Wie niet weet wat er al gebruikt wordt, kan niets reguleren. Je zult waarschijnlijk verrast zijn door wat er al op de werkvloer leeft.
2. Stel een eenvoudig AI-gebruiksbeleid op
Een beleid hoeft niet lang te zijn. Drie regels zijn voldoende: welke data mag in een AI-tool, welke niet, en welke tools zijn goedgekeurd. Zorg dat jouw medewerkers dit kennen. In dit artikel vind je zeven concrete checks voor veilig databeheer bij AI-gebruik.
3. Overweeg een betaald abonnement voor de dagelijkse gebruikers
Bij betaalde versies van ChatGPT, Gemini en Claude geldt standaard dat data niet wordt gebruikt voor modeltraining. De kosten zijn laag; het risicoverschil is groot. Voor mkb-bedrijven met medewerkers die dagelijks AI gebruiken, is een zakelijk abonnement van tien tot twintig euro per gebruiker per maand de eenvoudigste risicovermindering.
4. Train op bewustzijn, niet alleen op verboden
De 73 procent die niet wist hoe gratis AI-tools omgaan met data, handelde niet uit kwade wil. Training gericht op begrip is effectiever dan een verbod zonder uitleg. Dit stappenplan helpt je je team in dertig dagen AI-vaardig te maken, inclusief bewustzijn over datarisico's.
44 procent. Gemiddeld 3,1 keer per week. En 73 procent die niet wist wat er met die data gebeurde.
Shadow AI is in het Nederlandse mkb dagelijkse praktijk geworden. De combinatie van gemak, tijdsdruk en onbekendheid zorgt ervoor dat gevoelige data routinematig bij externe AI-aanbieders terechtkomt: buiten het zicht van IT, buiten het verwerkingsregister, en buiten de governance-structuren die grotere organisaties wel hebben.
De AI Act geeft tot december 2027 de tijd voor de zwaarste compliance-verplichtingen. Maar artikel 4, de AI-geletterdheidsplicht, is al van kracht. En de AVG heeft nooit gewacht op een deadline. Dit stappenplan helpt je een AI-werkwijze op te stellen die je hele team volgt.
De bedrijven die nu actie ondernemen, hoeven in 2027 niet meer bij te werken.
