
Je Medewerkers Lekken Je Geheimen Al naar ChatGPT — en een Verbod Maakte het Alleen Erger
Ik zat tegenover een CISO van een grote financiële dienstverlener toen hij iets zei dat me wekenlang bijbleef. Hij leunde achterover, wreef over zijn slapen en zei: "We hebben ChatGPT geblokkeerd op elk apparaat dat we beheren. We hebben het beleid voor aanvaardbaar gebruik bijgewerkt. We hebben drie bedrijfsbrede e-mails verstuurd. En afgelopen dinsdag ontdekte ik dat ons hele M&A-team tijdens de lunch dealvoorwaarden in Claude aan het plakken was op hun persoonlijke telefoons."
Hij was niet boos. Hij was uitgeput. Hij had alles gedaan wat het cybersecurity-draaiboek hem opdroeg, en het had niet gewerkt.
Dat gesprek kristalliseerde iets uit dat ik bij elke enterprise-opdracht die mijn team bij Veriprajna had aangenomen, was gaan zien: generatieve AI verbieden weerhoudt mensen er niet van om het te gebruiken — het zorgt er alleen voor dat ze het verbergen. En verborgen gebruik is oneindig veel gevaarlijker dan zichtbaar gebruik. De cijfers vertellen hetzelfde verhaal. Zesenveertig procent van de werknemers zegt dat ze AI-tools zouden blijven gebruiken, zelfs als hun bedrijf ze expliciet zou verbieden. Achtendertig procent geeft toe dat ze al gevoelige werkgegevens hebben gedeeld met openbare AI-platforms zonder het iemand te vertellen. Het volume aan data dat naar generatieve AI-apps stroomt, is jaar op jaar met een factor dertig toegenomen. Dit is geen beleidsprobleem. Het is een architectuurprobleem.
De Nacht Waarin Samsung Alles Veranderde
In mei 2023 deden drie ingenieurs bij Samsungs halfgeleiderdivisie iets volkomen rationeels. Ze waren bezig met het debuggen van eigen chipfabricagecode — complex werk met hoge inzet, waarbij een second opinion dagen aan inspanning kon besparen. Dus plakten ze hun code in ChatGPT.
Een van hen uploadde broncode voor databases voor halfgeleidermetingen. Een ander deelde programmalogica voor het identificeren van opbrengstdefecten — precies het soort data dat rechtstreeks de aandelenkoers van Samsung beïnvloedt. Een derde uploadde een interne vergaderopname om notulen te genereren.
Geen van hen probeerde het bedrijf schade te berokkenen. Ze probeerden hun werk goed te doen. Ze behandelden ChatGPT zoals je een rekenmachine zou behandelen: er iets in stoppen, er iets uit krijgen, doorgaan. Wat ze niet helemaal doorhadden, was dat de servicevoorwaarden van OpenAI destijds toestonden dat invoer werd bewaard — mogelijk gebruikt voor modeltraining, en zeker opgeslagen op servers buiten Samsungs controle.
Ik herinner me dat ik de nieuwsberichten las en een knoop in mijn maag voelde. Niet omdat het lek verrassend was — ik had klanten precies voor dit scenario gewaarschuwd — maar omdat Samsungs reactie zo voorspelbaar was. Ze kondigden een bedrijfsbreed verbod af. Dreigden met ontslag bij overtredingen. Grendelden het netwerk af.
En ik wist, met absolute zekerheid, dat het niet zou werken.
Waarom Slaat een AI-Verbod Altijd Terug?
Dit is wat de meeste beveiligingsteams verkeerd doen: ze modelleren de dreiging alsof werknemers tegenstanders zijn. Bouw een hogere muur en het probleem verdwijnt. Maar de mensen die data naar ChatGPT lekken, zijn geen tegenstanders. Het zijn je beste presteerders.
Denk eens na over wie op het werk daadwerkelijk AI-tools gebruikt. Het is niet degene die zijn dag uitzit. Het is de ingenieur die onder druk staat om vrijdag op te leveren. De analist die tegen de ochtend veertig pagina's due diligence moet samenvatten. De ontwikkelaar die weet dat de AI in enkele seconden een bug kan opsporen die hem handmatig een uur zou kosten.
Wanneer je de tool verbiedt, vertel je je meest productieve mensen: "Wees trager. Wees minder effectief. Kijk toe hoe je concurrenten je voorbijstreven, en accepteer het." Natuurlijk gehoorzamen ze niet. Ze schakelen gewoon over op hun persoonlijke telefoons. Ze gebruiken 4G-hotspots om het bedrijfsnetwerk te omzeilen. Ze vinden een van de meer dan 317 afzonderlijke generatieve AI-apps die Netskope in enterprise-omgevingen heeft geregistreerd — want zelfs als je OpenAI, Google en Anthropic blokkeert, staan er honderden kleinere, minder veilige alternatieven klaar.
Wanneer beveiliging wordt gezien als een blokkade in plaats van een facilitator, worden je meest gewetensvolle werknemers je voornaamste beleidsovertreders.
Ik ben dit in gesprekken met mijn team de "Plakkloof" gaan noemen. Data verlaat de beveiligde bedrijfslaptop, reist naar een persoonlijk apparaat en wordt in een openbare clouddienst geplakt. Geen firewall vangt het op. Geen CASB registreert het. Het is onzichtbaar. En het gebeurt op dit moment, in elke organisatie die dit probleem probeerde op te lossen met een beleidsmemo.
De cijfers zijn duizelingwekkend: een toename van 485% in eigen broncode die in AI-tools wordt geplakt. Tweeënzeventig procent van het enterprise-AI-gebruik verloopt via persoonlijke accounts, volledig buiten het zicht van de IT-afdeling. Dit is geen straaltje. Het is een vloed, en de dijken zijn van papier.
Wat Ik Verkeerd Zag Over "Enterprise"-AI-Niveaus
Ik zal eerlijk zijn — toen OpenAI ChatGPT Enterprise lanceerde, dacht ik dat het misschien genoeg zou zijn. Nul dataretentie. Geen training op bedrijfsdata. SOC 2-compliance. Het vinkte de vakjes af.
Toen begonnen we diepgaandere due diligence te doen voor onze klanten, en de scheuren werden zichtbaar.
Zelfs enterprise-overeenkomsten bevatten doorgaans een korte dataretentieperiode — vaak dertig dagen — voor misbruikmonitoring. Dat zijn dertig dagen waarin je meest gevoelige prompts op andermans servers staan. En "iemand anders" is een in de VS gevestigd bedrijf, wat ons bij een probleem brengt waar Europese CISO's 's nachts van wakker liggen.
De Amerikaanse CLOUD Act — de Clarifying Lawful Overseas Use of Data Act — stelt Amerikaanse rechtshandhaving in staat om Amerikaanse technologiebedrijven te dwingen data die op hun servers is opgeslagen af te staan, ongeacht waar die servers zich fysiek bevinden. Als een Duitse bank Azure OpenAI gebruikt met een datacenter in Frankfurt, mag de data dan wel "in rust" in de EU staan, maar de controlerende juridische entiteit valt nog steeds onder Amerikaanse gerechtelijke bevelen. Tijdens de inferentie — wanneer het model je data daadwerkelijk verwerkt — kan het nog steeds via door de VS gecontroleerde infrastructuur lopen.
Ik zag een zaal vol compliance-functionarissen wegtrekken toen ik ze dit stap voor stap uitlegde. Ze hadden de enterprise-overeenkomst getekend in de veronderstelling dat ze het soevereiniteitsprobleem hadden opgelost. Ze hadden het nog niet eens aangeraakt.
Ik heb over dit architectuurprobleem — en het volledige dreigingsmodel — geschreven in onze interactieve whitepaper over Shadow AI en private enterprise-LLM's. Het kwam voort uit precies deze gesprekken.
De Wrapper-Val
Rond dezelfde tijd raakte mijn inbox vol met verkooppraatjes van AI-consultancybureaus. "Wij bouwen een AI-oplossing op maat voor je!" De meeste waren wrappers — een mooie interface bovenop de OpenAI API geschroefd, misschien met een systeemprompt die zei: "Je bent een behulpzame juridische assistent."
Ik zat een demo uit waarbij de leverancier trots een "eigen AI-platform" voor contractanalyse toonde. Ik stelde één vraag: "Waar gaat de data heen wanneer een gebruiker een contract uploadt?" Stilte. Toen: "Nou, het gaat naar de OpenAI API, maar we hebben een BAA afgesloten."
Dat is geen oplossing. Dat is een tussenpersoon die latency toevoegt aan je datalek.
Een wrapper lost het datasoevereiniteitsprobleem niet op. Het verfraait alleen de interface van datavuitstroom.
Wrappers stellen enterprises op drie specifieke manieren teleur. Ten eerste zijn ze triviaal reproduceerbaar — als je "AI-oplossing" een prompt plus een API-sleutel is, kan je stagiair hem in een middag namaken. Ten tweede missen ze diepe integratie met je werkelijke data, en worstelen ze met de nuance van bedrijfsspecifieke terminologie, verouderde codebases of toegangscontroles. Ten derde — en dit is de nekslag — sturen ze je data nog steeds over het openbare internet naar een externe provider. Het beveiligingsrisico is niet veranderd. Je hebt er alleen een logo aan toegevoegd.
Wat Betekent "De Intelligentie Bezitten" Eigenlijk?

Er was een specifiek moment waarop onze aanpak bij Veriprajna uitkristalliseerde. We werkten met een klant in een gereguleerde sector — ik kan niet zeggen welke, maar denk aan "het soort data waarbij een lek het achtuurjournaal haalt." Hun juridische team had zojuist een veelbelovende AI-pilot gekild omdat die afhankelijk was van een openbare API. Het engineeringteam was razend. De business unit dreigde eigenmachtig te werk te gaan en hun eigen ding te bouwen met persoonlijke accounts.
Ik was in gesprek met mijn hoofdarchitect, en hij zei iets simpels: "Waarom ruziën we over welke API we moeten gebruiken? We zouden het model gewoon zelf moeten draaien."
Dat is het moment waarop we ons volledig verbonden aan wat ik nu Deep AI noem — het inzetten van open-source grote taalmodellen rechtstreeks binnen de eigen infrastructuur van de klant. Niet het inpakken van andermans model. Niet intelligentie huren per token. Het echt bezitten.
Zo ziet dat er in de praktijk uit. Je neemt een hoogpresterend open-weights-model — bijvoorbeeld Llama 3 van Meta, waarbij de 70B-parameterversie op veel benchmarks kan wedijveren met GPT-4 — en je zet het in op GPU-instances binnen de Virtual Private Cloud van de klant. De modelgewichten staan op hardware die de klant beheert. De inferentie-engine draait achter de bedrijfsfirewall. Wanneer een ontwikkelaar het model voedt met eigen code, reist die code van zijn laptop naar een interne server, wordt in het geheugen verwerkt en komt terug. Het raakt nooit het openbare internet aan. Het belandt nooit op een server van derden.
We combineren dit met wat we Private RAG noemen — retrieval-augmented generation gebouwd op vectordatabases die binnen dezelfde beveiligde omgeving worden ingezet. De documenten van het bedrijf worden geïngest, geëmbed en lokaal opgeslagen. En cruciaal is dat het systeem bestaande toegangscontroles respecteert. Als je geen toestemming hebt om een document in SharePoint te zien, zal de AI het ook niet ophalen om je vraag te beantwoorden. Dat "platte autorisatie"-probleem — waarbij een chatbot per ongeluk vertrouwelijke data prijsgeeft aan iedereen die erom vraagt — bestaat simpelweg niet in deze architectuur.
Hoe Maak Je van een Kaal Model iets van Enterprise-Kwaliteit?
Een van de moeilijkste lessen die we vroeg leerden: het inzetten van een model is misschien dertig procent van het werk. Het veilig maken zodat duizenden werknemers het elke dag kunnen gebruiken — dat is de andere zeventig.
Kale taalmodellen zijn onvoorspelbaar. Ze bespreken maar al te graag onderwerpen die niet zouden mogen, genereren content die het bedrijfsbeleid schendt, of reageren op slimme prompt injections die zijn ontworpen om veiligheidsprotocollen te omzeilen. Je hebt guardrails nodig — in wezen een firewall voor prompts.
We implementeren NVIDIA NeMo Guardrails als een programmeerbare laag rondom het model. Voordat een prompt het model bereikt, wordt hij gescand. Als iemand een burgerservicenummer of een creditcardnummer typt, vangt de guardrail het op. Als iemand een HR-bot naar databasewachtwoorden vraagt, herkent het systeem de mismatch in intentie en weigert het. Als iemand een jailbreak-aanval probeert — die "negeer alle voorgaande instructies"-trucs — onderschept de verdedigingslaag hem.
Ik herinner me een penetratietest die we uitvoerden op een van onze vroege implementaties. Ons red team besteedde twee dagen aan pogingen om trainingsdata te onttrekken of onderwerpbeperkingen te omzeilen. Ze werden creatief — geneste rollenspel-prompts, gecodeerde instructies, alles erop en eraan. De guardrails hielden stand. Mijn architect stuurde me om 2 uur 's nachts een screenshot van het logboek met geblokkeerde pogingen, met één bericht: "Muur is solide." Dat was een goede nacht.
Voor de volledige technische uiteenzetting van deze architectuur — de inferentiestack, de configuratie van de vectordatabase, de implementatie van de guardrails — zie onze technische verdieping over enterprise-AI-beveiliging.
"Maar GPU's Zijn Duur en API's Zijn Goedkoop"

Dit is het bezwaar dat ik het vaakst hoor van CFO's, en het is fout op een manier die het waard is om uit te pluizen.
Ja, API-prijzen ogen op het eerste gezicht goedkoop — fracties van een cent per token. Maar enterprise-RAG-toepassingen zijn onverzadigbaar token-hongerig. Om één enkele vraag te beantwoorden, kan het systeem tien pagina's context ophalen als input-tokens. Vermenigvuldig dat over duizend werknemers die tien vragen per dag stellen, en je zit al gauw op $1.000 tot $3.000 per dag. Dat is potentieel een miljoen dollar per jaar, en het schaalt lineair. Als het gebruik verdubbelt, verdubbelt de rekening.
Zelfgehoste modellen werken anders. Je betaalt voor de hardware — GPU-huur of -aankoop — en elektriciteit. Eén goed geconfigureerde node kan duizenden verzoeken per seconde aan. Totdat je die node verzadigt, is de marginale kostprijs van het volgende token in feite nul. Voor een middelgroot bedrijf dat een miljard tokens per maand verwerkt, hebben we gezien dat zelfhosting uitkomt op 50 tot 70 procent goedkoper dan vergelijkbare API-kosten, met privacy als gratis bonus.
En er zijn verborgen kosten aan API's die nooit op de factuur verschijnen. Rate limits die storingen veroorzaken tijdens bedrijfsbrede uitrol. Model-deprecaties die je dwingen om elke prompt en workflow opnieuw te testen wanneer de provider een versie uitfaseert. Bij een zelfgehost model verandert er niets, tenzij je besluit het te upgraden. Je krijgt stabiliteit. Je krijgt voorspelbaarheid. Je hoeft je niet langer druk te maken over wat de prijscommissie van OpenAI volgend kwartaal beslist.
Op enterprise-schaal is zelfhosting niet de dure optie. Het is de optie die je niet failliet laat gaan wanneer adoptie slaagt.
Waarom Doet Nog Niet Iedereen Dit Al?
Mensen vragen me dit, en het eerlijke antwoord is: het is lastig. Niet conceptueel — de logica is rechttoe rechtaan — maar operationeel. Je hebt mensen nodig die GPU-orchestratie met Kubernetes begrijpen, die vLLM kunnen configureren voor optimale doorvoer, die weten hoe je RBAC-bewuste retrieval-pijplijnen bouwt, die guardrails kunnen implementeren die streng genoeg zijn om misbruik te voorkomen maar flexibel genoeg om gebruikers niet te frustreren.
De meeste enterprises hebben dat team niet. De meeste AI-consultancybureaus ook niet — ze weten hoe ze een API moeten aanroepen, niet hoe ze een inferentiestack moeten inzetten. Dat is het gat dat wij bij Veriprajna opvullen. Wij verkopen geen toegang tot een model. Wij bouwen het vermogen om modellen zelfstandig te draaien. Wanneer wij vertrekken, bezit de klant alles — de fijngetunede modelgewichten, de vectorindices, de orchestratie-infrastructuur. Het is van hen. Dat is het hele punt.
Het andere dat adoptie vertraagt, is inertie. De CISO die ChatGPT blokkeerde, heeft het gevoel dat hij iets heeft gedaan. Toegeven dat het verbod niet werkte, betekent toegeven dat het afgelopen jaar aan beleidshandhaving theater was. Dat is een lastig gesprek om met een bestuur te voeren. Maar het alternatief — doen alsof het probleem niet bestaat terwijl werknemers broncode in persoonlijke AI-accounts plakken — is erger. Het is geen kwestie van óf het volgende lek op Samsung-schaal gebeurt. Het is een kwestie van wanneer, en of het jou overkomt.
Het Signaal Verborgen in Shadow AI
Dit is wat volgens mij de meeste mensen missen aan de Shadow AI-epidemie: het is niet alleen een beveiligingsprobleem. Het is een signaal. Een luid, onmiskenbaar signaal dat je personeel wanhopig verlangt naar betere tools en bereid is zijn baan te riskeren om ze te krijgen.
Zesenveertig procent van de werknemers zegt dat ze een expliciet verbod zouden trotseren. Dat is geen ongehoorzaamheid om de ongehoorzaamheid zelf. Dat zijn mensen die je, via hun daden, vertellen dat AI essentieel is geworden voor hoe ze werken. De vraag is niet óf je organisatie generatieve AI zal gebruiken. Die beslissing is al genomen — door je werknemers, zonder je toestemming, op hun persoonlijke apparaten, tijdens de lunch.
De enige vraag die overblijft, is of je een veilige manier gaat bieden om te doen wat ze toch al onveilig doen.
Shadow AI is je personeel dat stemt met zijn toetsaanslagen. Ze hebben voor AI gekozen. Nu kies jij: zichtbaar en veilig, of onzichtbaar en data-lekkend.
We zijn het tijdperk voorbij waarin "nee" een acceptabele AI-strategie was. De open-source modellen zijn goed genoeg. De implementatie-infrastructuur is volwassen genoeg. De economie klopt. Het enige dat tussen de meeste enterprises en soevereine AI-capaciteit in staat, is de bereidheid om te stoppen met doen alsof een verbod werkt.
Je hoeft AI niet te verbieden. Je moet het bezitten.