Ga direct naar inhoud
Profielen | Profielen translated
14 juli 2026

Zwart logo Profielen

Onafhankelijk nieuws van de Hogeschool Rotterdam

De essentie van schaduw IT is dat we het niet in beeld hebben, en dat is riskant

Gepubliceerd: 13 October 2025 • Leestijd: 2 minuten en 45 seconden • Nieuws

Schaduw-IT klinkt vrij duister maar gaat vaak over alledaagse, op het eerste gezicht onschuldige toepassingen. Toch schuilen er grote risico’s in. Anjo van Kelckhoven, chief information officer van de HR, legt uit waarom.

Google Forms werkte zo handig voor die enquête van de tennisvereniging dus hop, dat gebruik je nu om studenten om hun mening te vragen over je keuzevak. En grote bestanden deel je met je zus via WeTransfer, dus ook met je collega. Een laagdrempelig tooltje dat je online vond om je oefentoetsen aan je studenten voor te leggen: handig toch?

Een collega van Anjo van Kelckhoven op een andere instelling kreeg ooit de vraag of-ie zo snel mogelijk kon rapporteren welke schaduw-IT er allemaal draaide binnen hun instelling. ‘Maar dat kan dus niet, want het hele punt van schaduw-IT is dat het gaat om wat collega’s gebruiken buiten de standaard-toepassingen, zonder dat het gemeld wordt’, zegt hij.  

Niet nagedacht over risico’s

Schaduw-IT vat hij samen als ‘alle IT die wordt gebruikt buiten het blikveld en zonder goedkeuring van de mensen die er verstand van hebben’. ‘Dat betekent dus dat er niet is nagedacht over de risico’s die het gebruik met zich meebrengt, voor bijvoorbeeld studenten. Het is niet gezegd dat het altijd misgaat, maar iedereen zou de natuurlijke drang moeten hebben om de risico’s te willen weten en het gebruik bewust af te wegen. Informatie en technologie is inmiddels zo verweven met alles dat we doen dat het niet alleen meer de IT-specialist is die er wat van kan vinden. Wij zijn erin gespecialiseerd en kunnen adviseren (of zelfs verbieden) waar nodig. Maar iedereen zou dit “above board” moeten willen hebben.’

Enige tijd geleden was er een security incident bij een leverancier van onderwijsapplicaties – Van Kelckhoven noemt liever geen namen en rugnummers – waarbij hackers toegang hadden gekregen tot de systemen . ‘Zo’n leverancier moet melding maken van de hack met het risico dat gegevens van Hogeschool Rotterdam-studenten of -medewerkers ontvreemd zouden zijn. Toen wij het gingen onderzoeken bleek dat de applicatie drie keer zoveel gebruikt werd als waarvan we wisten. We zijn met security en privacy een dag bezig geweest om te achterhalen waar de applicatie draaide.’

Geen beheersmaatregelen

In zo’n geval blijkt dan soms ook dat de gangbare beheersmaatregelen waar de IT-specialisten altijd op hameren, niet zijn getroffen. ‘Denk aan data-minimalisatie, bijvoorbeeld door een single sign-on, zodat een applicatie zelf relatief weinig gegevens opslaat. En als zo’n single sign-on niet mogelijk is, wil je in elk geval dat gegevens niet onnodig lang worden bewaard, maar worden opgeruimd.’

Als je er niet dagelijks mee bezig bent, zie je dat soort beheersmaatregelen makkelijk over het hoofd, en daarom is de vuistregel dat je iets gebruikt en gaat inzetten in overleg – met bijvoorbeeld je manager bedrijfsvoering – en dat waar nodig specialisten meekijken. ‘Die kunnen vaststellen of alles goed geregeld is’, zegt Van Kelckhoven. ‘Daar zijn processen voor binnen onze hogeschool, maar overleg tenminste ook even met je privacy contactpersoon. Zeker in een open omgeving als de HR is dat enorm belangrijk, en zeker in deze tijd waarin er veel dreiging is.’

ChatGPT voldoet niet aan de standaard

Een uitvraag binnen de HR leverde een lijst op van zevenhonderd applicaties die worden gebruikt. ‘De standaard is natuurlijk: gebruik de applicaties die we als HR hebben aangeschaft. Biedt dat niet wat je zoekt, dan kun je op het EDU010-platform zoeken. Dan zie je bijvoorbeeld dat ChatGPT niet voldoet aan de privacy- en veiligheidsstandaarden van de hogeschool, en dat je als alternatief Copilot kunt gebruiken.’

Het is nooit zwart-wit, als in’Whatsapp fout/Signal goed’. Het gaat erom dat je niet op eigen houtje IT gaat gebruiken buiten de HR-systemen om. Als Van Kelkckhoven één advies zou willen meegeven is het dit: ‘Je bewust zijn van de risico’s voor medewerkers en studenten en aan de voorkant nadenken over elke IT-toepassing, én melden dat je het gebruikt. Anders creëer je weer nieuwe schaduw-IT.’

Tekst: Edith van Gameren
Beeld: Demian Janssen

Schrijf je in voor onze wekelijkse nieuwsbrief!


LinkedIn LogoProfielen is ook actief op LinkedIn. Volg ons, blijf op de hoogte en praat mee over actuele onderwerpen.

Recente artikelen

Recente reacties

Reacties

Laat een reactie achter

2 Responses to De essentie van schaduw IT is dat we het niet in beeld hebben, en dat is riskant

  1. Het stuk over de risico’s van schaduw-IT is natuurlijk waar, maar ik zou wel graag wat nuance zien ten aanzien van het gebruik van co-pilot. In dit stuk op HINT wordt het prima uitgelegd: https://hint.hr.nl/nl/HR/HR-Breed-nieuws/de-verschillende-varianten-van-microsoft-copilot/.
    En dit stuk van SURF raad het gebruik zelfs af: https://www.surf.nl/nieuws/advies-gebruik-microsoft-365-copilot-vooralsnog-niet-vanwege-privacyrisicos.
    Het delen van informatie met een openbare AI dienst heeft altijd risico’s.
    Als docent Responsible AI kan ik hier niet duidelijk genoeg over zijn.
    Naast de schade aan de ontwikkeling van het kritisch denkvermogen, moet ook het hergebruik van alles wat je deelt niet onderschat worden.

Spelregels

De redactie waardeert het als je onder je eigen naam reageert.

  1. Comments worden door de redactie gemodereerd. 's Avonds en in het weekend gebeurt dat niet standaard, en kan het dus langer duren voor je opmerking online komt.
  2. Houd het netjes, beschaafd, vriendelijk en respectvol. Niet vloeken of schelden.
  3. Dwaal niet af van het onderwerp (blijf ‘on topic’).
  4. Wees kort, duidelijk en maak een punt.
  5. Gebruik argumenten, geen uitroepen.
  6. Geen commerciële boodschappen.
  7. Niet op de persoon spelen.
  8. Niet discrimineren, aanzetten tot haat of oproepen tot geweld (ook niet voor de grap).
  9. Van bezoekers die een reactie achterlaten op de site wordt automatisch het IP-adres opgeslagen.
  10. De redactie geeft reacties die dreigende taal bevatten door aan de veiligheidscoördinator van de Hogeschool Rotterdam.

Lees hier alle details over onze spelregels.

Aanbevolen door de redactie

Back to Top