Veel CIO’s dachten dat het ergste achter de rug was. De pc’s zijn eindelijk onder controle, het wilde westen van het internet heeft plaatsgemaakt voor security policies, de smartphone-tsunami is ingedamd met MDM, en zelfs GDPR – ooit de nachtmerrie van elke IT-afdeling – is intussen verteerd. En toen kwamen de AI agents.
Misschien nog niet officieel in jouw bedrijf en in jouw organisatie, maar ze zitten toch al in je teams. Wellicht niet grootschalig en niet open en bloot in het kunstlicht van het kantoor, maar eerder in de schaduw en kleinschalig door enkelingen. Maar ze zijn er. En ze worden ingezet, met alle gevolgen van dien.
Ik zie er niets minder dan een terugkeer van shadow IT in: medewerkers die tegen de company policy in en niet gehinderd door enige technische belemmering eigen stukjes software installeren; om productiever of efficiënter te werken. Of omdat ze het gewoon betere, aangenamere of gebruiksvriendelijkere tools vinden vergeleken met de software die het bedrijf hen aanbiedt. Zo’n shadow IT kent iedere CIO al lang, en dekt iedere CIO ondertussen ook af. Sommigen draaiden het slot van de laptop nog wat vaster, andere brachten shadow IT net in kaart, analyseerden het gebruik ervan in hun organisatie en namen er al dan niet maatregelen rond.
Maar in het geval van ‘shadow AI’ ligt dat allemaal net wat moeilijker. Shadow AI is een sluipend gevaar dat veel moeilijker te detecteren valt. Als een medewerker een cloudtool installeerde, zag de CIO dat dikwijls nog op de factuur. Een AI agent? Die draait ergens in een browser of in een externe service en logt vrolijk in op bedrijfsapplicaties. Tot iemand zich afvraagt waarom een klant plots rare mails krijgt. En dan blijkt ineens dat een AI-agent die uitgestuurd heeft: hetzij in naam van een medewerker, hetzij volledig autonoom. Alsof je ineens een nieuwe medewerker in je organisatie ontdekt. Eentje die binnengebracht werd door een collega zonder de baas in te lichten.
De IT-geschiedenis heeft geleerd dat elke golf uiteindelijk zijn plek opeist
Zo’n AI agents zijn geen relatief onschuldige tools meer. Nee, dit zijn autonome digitale medewerkers die API’s aan elkaar kunnen knopen, die beslissingen voorbereiden, die mails uitsturen en processen opstarten. Zonder menselijke tussenkomst. Handig, zeker. Maar tegelijk een black box die toegang heeft tot data én systemen.
En zo is het toch een beetje terug naar af voor de CIO. Net wanneer die dacht dat het ergste achter de rug was, zorgen AI agents voor dezelfde, oude problemen en uitdagingen in alweer een nieuw jasje. Externe platforms, afhankelijkheid van onbekende algoritmes, wie is aansprakelijk bij fouten? En dan die razendsnelle evolutie: tegen dat de security-afdeling een risicoanalyse klaar heeft, is de technologie alweer drie versies verder. Klassieke governance hinkt achterop.
Maar net zoals sommige CIO’s in shadow IT een opportuniteit zagen om te ontdekken wat eindgebruikers écht nodig hebben, schuilt in shadow AI ook zo’n kans. Wie erin slaagt om AI agents gecontroleerd te integreren, kan zijn organisatie niet alleen beschermen maar ook een voorsprong geven.
En de defensieve houding dan: alles verbieden? Vergeet het. De IT-geschiedenis heeft geleerd dat elke golf uiteindelijk toch zijn plek opeist. De uitdaging is dus wéér dezelfde: kaders bouwen zonder de innovatie te verstikken. Sandbox-omgevingen, verplichte logging, duidelijke policies en vooral: medewerkers opleiden die snappen wat die digitale assistenten wel en niet mogen doen. En een bedrijfscultuur kweken waarin medewerkers durven vertellen welke AI agents hen écht kunnen helpen. Aan de CIO om het beleid mee uit te tekenen: mogelijkheden scheppen, en toch de grenzen voor security en data privacy bewaken. Maar wie denkt dat hij AI agents zomaar gaat kunnen verbieden, die kan evengoed de elektriciteit uitzetten en terug naar de schrijfmachine grijpen.