Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI Data Compliance Crisis: 88% van de bedrijven worstelt met gegevensbeheer en beveiliging
AI Data Compliance Crisis: 88% van de bedrijven worstelt met gegevensbeheer en beveiliging

AI Data Compliance Crisis: 88% van de bedrijven worstelt met gegevensbeheer en beveiliging

by Patrick Spencer updated december 5, 2025 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

De AI-revolutie binnen ondernemingen veroorzaakt een databeveiligingscrisis waar de meeste organisaties niet op voorbereid zijn. Volgens het Theta Lake’s 2025/26 Digital Communications Governance Report breidt 99% van de organisaties hun gebruik van AI uit, terwijl 88% nu al worstelt met uitdagingen rondom AI-gegevensbeheer en databeveiliging.

Belangrijkste inzichten

  1. AI-adoptie gaat sneller dan governance-capaciteiten. Vrijwel alle organisaties (99%) breiden hun AI-gebruik uit, maar 88% ervaart nu al uitdagingen op het gebied van governance en databeveiliging. Deze kloof tussen snelheid van inzet en governance-gereedheid zorgt voor een organisatiebrede blootstelling die bestaande frameworks niet kunnen adresseren.
  2. Blootstelling van gevoelige data via AI is een blinde vlek. Bijna de helft van de organisaties (45%) kan niet detecteren wanneer vertrouwelijke informatie in AI-gegenereerde content verschijnt. Zodra AI content creëert met gevoelige data, verliest 40% van de organisaties het vermogen om te volgen waar die informatie zich verspreidt.
  3. Toezichthouders houden organisaties verantwoordelijk voor AI-content. FINRA stelt expliciet dat bedrijven verantwoordelijk zijn voor communicatie, ongeacht of deze door AI of mensen is gegenereerd. Met 47% van de organisaties die niet kunnen garanderen dat AI-content voldoet aan compliance-standaarden, is de blootstelling aan regelgeving aanzienlijk en groeiend.
  4. Alleen infrastructuurmaatregelen beschermen gevoelige data niet. Toegangscontroles en gebruiksrechten bepalen wie AI-tools mag gebruiken, maar niet wat AI met die toegang genereert. Organisaties hebben contentinspectie en op gedrag gebaseerde governance nodig om blootstelling van gevoelige data en compliance-overtredingen te identificeren.
  5. Governance moet de datastroom naar AI-systemen beheersen. AI-risico bestaat zowel bij input als output—wat medewerkers delen met AI en wat AI genereert op basis van die data. Zonder controle op het moment van data-uitwisseling kunnen organisaties blootstelling van gevoelige content niet voorkomen, ongeacht de waarborgen binnen individuele AI-tools.

Deze jaarlijkse enquête onder 500 senior IT-, unified communications- en complianceleiders van financiële instellingen in de VS en het VK onthult een zorgwekkend patroon. Organisaties zetten AI-capaciteiten in met ongekende snelheid, maar missen de governance-frameworks om gevoelige data te beschermen of aan regelgeving te voldoen. De bevindingen komen tegen de achtergrond van meer dan $4 miljard aan wereldwijde boetes voor tekortschietende archivering en toezicht in de afgelopen jaren, waarbij toezichthouders nu hun aandacht richten op AI-gegenereerde content.

Hoewel de enquête zich richt op de financiële sector, reiken de implicaties verder dan elke gereguleerde branche. Elke organisatie die met gevoelige data werkt—zorg, juridisch, overheid, producenten—staat voor vergelijkbare uitdagingen op het gebied van AI-gegevensbeheer. De haast om AI te implementeren stelt vertrouwelijke informatie bloot, creëert juridische aansprakelijkheid en overtreft het vermogen van organisaties om controle te houden over hun meest gevoelige content.

AI-adoptie gaat sneller dan beveiliging en compliance

De snelheid van inzet

De snelheid waarmee ondernemingen AI adopteren is verbluffend. Vrijwel alle deelnemers (99%) zijn van plan AI-functionaliteiten te implementeren of uit te breiden binnen hun unified communications- en samenwerkingstools, waardoor AI-capaciteiten in vrijwel elke bedrijfsfunctie worden geïntegreerd.

De specifieke AI-functionaliteiten die worden ingezet, laten de breedte van de blootstelling zien. Op basis van de verzamelde data willen bedrijven vooral generatieve AI-assistenten (92%), AI-gestuurde notuleerders en samenvattingen (81%) en aangepaste Agentic AI (77%) implementeren of uitbreiden. Daarnaast verwacht 68% van de bedrijven dat het gebruik van AI-tools in de komende 12 maanden nog verder zal toenemen.

Elk van deze implementaties creëert nieuwe routes voor blootstelling van gevoelige data. Generatieve AI-assistenten verwerken vragen van medewerkers die vertrouwelijke informatie kunnen bevatten. Tools voor het samenvatten van vergaderingen leggen gevoelige discussies vast en condenseren deze. Agentic AI-systemen handelen autonoom op basis van de data waartoe ze toegang hebben.

Nieuwe risicocategorie

Het rapport benoemt “aiComms” als een nieuwe categorie van AI-gegenereerde communicatie die governance vereist. AI-assistenten, generatieve AI-tools en Agentic AI introduceren een geheel nieuwe categorie communicatie en gedrag. Deze aiComms zijn zowel een nieuw type communicatie die moet worden vastgelegd en gecontroleerd, als een nieuwe deelnemer aan interacties, met extra compliance-, governance- en beveiligingsuitdagingen tot gevolg.

Dit betekent een fundamentele verschuiving in het bedrijfsrisico rondom data. AI verwerkt niet alleen informatie—het genereert nieuwe content op basis van gevoelige input. Traditionele databeveiligingsframeworks, ontworpen om data in rust en onderweg te beschermen, kunnen geen content adresseren die AI-systemen creëren, transformeren en verspreiden.

Het 88%-probleem

De kloof tussen AI-inzet en governance-gereedheid heeft een kritiek niveau bereikt. 88% van de deelnemers geeft aan nu al uitdagingen te ervaren met AI-gegevensbeheer en databeveiliging, wat de dringende noodzaak voor een allesomvattende governance-strategie onderstreept.

Dit is geen toekomstig probleem—het is een actuele crisis die bijna negen van de tien ondervraagde organisaties treft. De resterende 12% die geen uitdagingen meldt, weerspiegelt waarschijnlijk een gebrek aan zichtbaarheid in plaats van effectieve governance.

Hoe AI databeveiligingslekken veroorzaakt

Blootstelling van gevoelige data via AI-uitvoer

Het grootste AI-databeveiligingsrisico betreft gevoelige informatie die verschijnt in AI-gegenereerde content. Het rapport laat zien dat 45% van de organisaties moeite heeft om te detecteren of vertrouwelijke of gevoelige data is blootgesteld in generatieve AI-uitvoer.

Deze blootstelling vindt plaats via diverse kanalen. AI-vergadersamenvattingen kunnen vertrouwelijke strategische discussies vastleggen en breed verspreiden. Generatieve assistenten kunnen bedrijfseigen data verwerken in antwoorden die extern gedeeld worden. AI-tools die getraind zijn op bedrijfsdata kunnen gevoelige informatie tonen in onverwachte contexten.

De uitdaging is dat AI-systemen data aggregeren en transformeren op manieren die vertrouwelijke informatie kunnen onthullen, zelfs als individuele input onschuldig lijkt. Een vergadersamenvatting die opmerkingen van meerdere deelnemers combineert, kan competitieve informatie blootleggen. Een AI-antwoord dat put uit meerdere documenten kan beschermde informatie samenvoegen tot deelbare content.

Gebrek aan zicht op AI-interacties

Organisaties kunnen niet sturen op wat ze niet zien, en de meeste missen zicht op hoe medewerkers met AI-systemen omgaan. Het rapport geeft aan dat 41% van de organisaties moeite heeft om risicovol eindgebruikersgedrag in interacties met AI-tools te identificeren.

Medewerkers kunnen gevoelige data invoeren in AI-prompts zonder de risico’s te overzien. Klantinformatie, financiële data, intellectueel eigendom en strategische plannen stromen via informele vragen AI-systemen binnen. Zonder zicht op deze interacties kunnen organisaties blootstelling pas identificeren als de schade al is aangericht.

Shadow AI-gebruik verergert dit probleem. Medewerkers nemen AI-tools in gebruik buiten het IT-beleid om, waardoor datastromen ontstaan die securityteams niet kunnen monitoren of controleren. Gevoelige content komt zo terecht in AI-systemen zonder bedrijfsbeveiliging, dataresidentie-garanties of passende toegangscontroles.

Onvermogen om verspreiding van AI-content te volgen

Zodra AI content genereert met gevoelige data, verliezen organisaties vaak het vermogen om te volgen waar die informatie naartoe gaat. Het rapport laat zien dat 40% van de organisaties moeite heeft om te achterhalen waar en met wie problematische AI-gegenereerde content of communicatie is gedeeld.

Een AI-gegenereerde samenvatting met vertrouwelijke informatie kan zich via e-mail, chat, bestandsoverdracht en externe communicatie verspreiden voordat iemand de blootstelling opmerkt. Zonder tracking op contentniveau kunnen organisaties datalekken niet indammen of de omvang inschatten. De verspreide aard van AI-content maakt traditionele DLP-methoden ontoereikend.

Falen van guardrail-validatie

Veel organisaties implementeren toegangscontroles en gebruiksbeperkingen op AI-tools, maar deze waarborgen falen vaak in de praktijk. Uit de enquête blijkt dat 36% van de organisaties moeite heeft om te valideren dat guardrails rond AI-toegang tot data of eindgebruikers-toegang tot AI-tools en modellen werken zoals bedoeld.

Aanvullende governancegaten verergeren het probleem. 35% heeft moeite om ongepaste AI-content uit gesprekken te verwijderen bij beleidschendingen. 33% ervaart uitdagingen bij het herstellen van AI-controles of het informeren en opnieuw trainen van gebruikers na incidenten. De kloof tussen beoogde AI-beperkingen en daadwerkelijk gedrag blijft aanzienlijk.

Uitdagingen voor naleving van regelgeving

Verantwoordelijkheid voor AI-gegenereerde content

Regelgevende kaders houden organisaties verantwoordelijk voor AI-gegenereerde content volgens dezelfde standaard als door mensen gemaakte communicatie. De grootste uitdaging—gemeld door bijna de helft (47%) van de organisaties—is het waarborgen dat AI-content accuraat is en voldoet aan regelgeving.

Er is geen wettelijke vrijwaring voor AI-fouten of hallucinaties. Wanneer AI onjuiste content genereert die klanten of tegenpartijen bereikt, draagt de organisatie de aansprakelijkheid, ongeacht de oorsprong van de content. Dit zorgt voor aanzienlijke blootstelling gezien de vastgestelde neiging van generatieve AI om plausibele maar onjuiste informatie te produceren.

Archiveringsverplichtingen gelden ook voor AI

Regelgevende archiveringsvereisten gelden voor AI-gegenereerde communicatie, wat compliance-uitdagingen creëert die de meeste organisaties nog niet hebben opgelost. Het rapport geeft aan dat 92% van de bedrijven moeite heeft om zakelijke communicatie vast te leggen om aan archiverings- en toezichtverplichtingen te voldoen, of genoodzaakt is functionaliteiten uit te schakelen vanwege compliance-zorgen.

AI-specifieke compliance-uitdagingen zijn aanzienlijk. Uit de enquête blijkt dat 41% van de organisaties uitdagingen ervaart met generatieve AI-assistenten, en nog eens 41% meldt uitdagingen met AI-gespreksnotulen of notuleerders.

Sommige organisaties reageren door AI-functionaliteiten volledig uit te schakelen om compliance-risico’s te vermijden. Deze aanpak levert productiviteitsverlies op om governance-uitdagingen te voorkomen, maar is niet houdbaar nu AI steeds meer in kernbedrijfsprocessen wordt geïntegreerd.

Toenemende aandacht van toezichthouders

Toezichthouders onderzoeken actief hoe organisaties AI-content beheren. De uitdagingen bij het beheren van zakelijke communicatie spelen zich af tegen een achtergrond van voortdurende regelgevende aandacht. In de afgelopen jaren zijn wereldwijd boetes van meer dan $4 miljard uitgedeeld voor tekortschietende archivering en toezicht, vooral door de inmiddels afgeronde onderzoeken van de SEC en CFTC.

Probleem van accuraatheid

Fouten in AI-accuraatheid creëren een specifiek regelgevingsrisico wanneer onjuiste content klanten, tegenpartijen of publieke kanalen bereikt. Generatieve AI-systemen kunnen zelfverzekerde maar onjuiste uitspraken doen over producten, diensten, prestaties of regelgeving. Klantgerichte AI-communicatie kan fouten of misleidende informatie bevatten die tot schendingen van meldingsplichten of geschiktheidsproblemen leidt.

Organisaties missen momenteel systematische methoden om AI-accuraatheid op schaal te verifiëren. Handmatige controle kan de hoeveelheid AI-content niet bijbenen, terwijl geautomatiseerde accuraatheidsvalidatie nog onvolwassen is.

Waarom traditionele governance faalt

Infrastructuurmaatregelen zijn onvoldoende

Veel organisaties benaderen AI-gegevensbeheer via infrastructuurcontroles: rolgebaseerde toegang, dataclassificatie en gebruiksrechten. Deze waarborgen zijn noodzakelijk maar fundamenteel onvoldoende.

Het rapport benadrukt dat voor bedrijven in de financiële sector de brede inzet van AI zorgt voor nieuw gedrag, nieuwe interactietypes en een nieuwe klasse communicatie met nieuwe risicotypes die niet alleen met infrastructuurmaatregelen kunnen worden beschermd.

Infrastructuurcontroles bepalen wie toegang heeft tot AI-tools en tot welke data AI toegang heeft. Ze bepalen niet wat AI met die toegang genereert. Een medewerker met de juiste rechten en een goed geconfigureerde AI-tool kan alsnog content genereren die gevoelige informatie blootlegt of compliance-vereisten schendt. Organisaties hebben inspectie van AI-interacties en de resulterende output op basis van gedrag nodig.

Gefragmenteerde systemen creëren blinde vlekken

AI-functionaliteiten worden ingezet in gefragmenteerde technologische omgevingen, wat governance-blinde vlekken veroorzaakt. Net als vorig jaar blijkt dat de moderne werkplek afhankelijk blijft van meerdere UCC-tools: 82% van de organisaties gebruikt er vier of meer. Het aandeel dat tien of meer tools gebruikt is verdrievoudigd tot 12%.

AI-functies die verspreid zijn over niet-verbonden systemen genereren content die via verschillende kanalen met inconsistente controles stroomt. Er is geen uniform overzicht van AI-content binnen de organisatie. Governance die op één AI-tool wordt toegepast, geldt niet automatisch voor andere tools, waardoor gevoelige data door de mazen kan glippen.

Beleidsmaatregelen kunnen niet opschalen

Organisaties die vertrouwen op beleid om AI-gebruik te reguleren, lopen tegen inherente beperkingen aan. Waar organisaties het gebruik van AI-notuleerders en assistenten verbieden, vertrouwt 60% op beleid en disclaimers die het gebruik verbieden, deelt 56% een schriftelijk beleid met medewerkers, en volgt 47% actief of medewerkers en externe deelnemers geen eigen AI-tools in communicatie gebruiken.

Beleid communiceert verwachtingen maar kan blootstelling van gevoelige data niet voorkomen. Medewerkers kunnen beleid onbewust of bewust overtreden. Het volgen van naleving vereist technische controles die de meeste organisaties missen. Naarmate AI alomtegenwoordig wordt, schiet governance op basis van beleid steeds meer tekort.

Uitdagingen rond datakwaliteit

Effectief AI-gegevensbeheer vereist volledige, contextuele data die de meeste organisaties niet kunnen leveren. Voor de helft van de respondenten heeft AI de effectiviteit en efficiëntie van toezicht verbeterd, terwijl de andere helft worstelt met problemen door gefragmenteerde databronnen en aangepaste infrastructuur. Specifiek werkt 31% aan verbetering van datakwaliteit.

Organisaties kunnen AI-interacties die ze niet vastleggen, niet beheren. Ze kunnen AI-output niet analyseren zonder contextueel begrip. Ze kunnen beleid niet afdwingen zonder zicht op de content. De datafundering die nodig is voor AI-gegevensbeheer ontbreekt in de meeste ondernemingen.

Bouwen aan AI-ready gegevensbeheer

De investeringsreactie

Organisaties erkennen dat huidige benaderingen falen en reageren met verhoogde investeringen. Bedrijven investeren fors meer in communicatie-compliance, als reactie op de toenemende complexiteit van digitale communicatie, waaronder aiComms, en voortdurende regelgevende aandacht. 86% investeert nu al meer (tegenover 65% vorig jaar) en nog eens 12% is dat van plan.

Het vertrouwen in bestaande aanpak is ingestort. Slechts 2% heeft nog vertrouwen in bestaande benaderingen, tegenover 8% vorig jaar. Deze bijna-unanieme erkenning van ontoereikendheid creëert urgentie voor nieuwe governance-modellen.

Onafhankelijk onderzoek bevestigt deze trend. Volgens Metrigy’s jaarlijkse onderzoek naar samenwerking op de werkplek blijkt uit voorlopige resultaten dat meer dan 65% van de bedrijven hun uitgaven aan beveiliging en compliance wil verhogen om de groeiende AI-bedreigingen bij te houden. Meer dan 90% van de organisaties heeft een speciale beveiligings- en compliance-strategie voor AI opgezet of is dat van plan.

Belangrijkste vereisten voor AI-gegevensbeheer

Effectief AI-gegevensbeheer vereist capaciteiten die de meeste organisaties momenteel missen.

  • Contentinspectie moet onderzoeken wat AI genereert, niet alleen wie toegang heeft tot AI-tools. Organisaties hebben zicht nodig op AI-output om blootstelling van gevoelige data, compliance-overtredingen en accuraatheidsfouten te identificeren.
  • Contextueel begrip moet AI-content analyseren aan de hand van regelgeving en bedrijfsbeleid. Ruwe vastlegging zonder contextuele analyse ondersteunt geen governance-beslissingen.
  • Omvattende vastlegging moet AI-interacties bewaren naast traditionele communicatie. Selectieve vastlegging creëert gaten die toezichthouders en juristen kunnen benutten.
  • Gedragsdetectie moet risicovolle patronen identificeren in hoe medewerkers AI gebruiken. Afwijkende vragen, gevoelige data-invoer en beleidschendingen moeten worden opgespoord voordat ze schade veroorzaken.

Governance uitbreiden over de AI-datalevenscyclus

AI-risico bestaat aan beide uiteinden van de datalevenscyclus—bij input als medewerkers gevoelige data delen met AI-systemen, en bij output als AI content genereert op basis van die data. Omvattende governance moet beide kanten adresseren.

Het beheersen van data-invoer in AI-systemen is essentieel om te voorkomen dat gevoelige content in omgevingen terechtkomt waar deze kan worden blootgesteld. Dit vereist governance die werkt op het moment van data-uitwisseling, waarbij wordt gevolgd welke privécontent AI-tools binnenkomt en beleid wordt afgedwongen voordat blootstelling plaatsvindt.

Oplossingen zoals Kiteworks AI Data Gateway en MCP Server pakken deze uitdaging aan door governance-controles te bieden over gevoelige datastromen naar en binnen AI-systemen. Organisaties krijgen zicht op welke privécontent AI-omgevingen binnenkomt, kunnen beleid afdwingen op AI-data-toegang en audittrails bijhouden voor compliance. Zonder deze controlerende laag op het punt van data-uitwisseling kunnen organisaties blootstelling van gevoelige content niet voorkomen, ongeacht de waarborgen binnen individuele AI-tools.

De AI-compliancekloof dichten

De kernuitdaging voor ondernemingen is duidelijk: AI-adoptie heeft governance-capaciteiten ver achter zich gelaten. Met 88% van de organisaties die worstelen met AI-gegevensbeheer, 45% die blootstelling van gevoelige data in AI-output niet kan detecteren en 47% die niet kan garanderen dat AI-content aan regelgeving voldoet, wordt de kloof tussen inzet en controle steeds groter.

De risico’s gaan verder dan boetes. Datalekken afkomstig uit AI-systemen kunnen klantinformatie, intellectueel eigendom en strategische plannen blootstellen. Compliance-falen kan leiden tot handhavingsmaatregelen die bedrijfsvoering beperken. Reputatieschade door AI-incidenten kan het vertrouwen van klanten en partners ondermijnen.

De weg vooruit vereist een fundamentele verschuiving van infrastructuurmaatregelen naar contentinspectie en op gedrag gebaseerde governance. Organisaties moeten zicht krijgen op welke data AI-systemen binnenkomt, welke content AI genereert en waar die content naartoe gaat. Ze moeten beleid afdwingen op het moment van data-uitwisseling, niet alleen bij systeemtoegang.

Organisaties die nu omvattend AI-gegevensbeheer implementeren, verkleinen hun risico en behouden vertrouwen van toezichthouders, terwijl concurrenten blootgesteld blijven. Wie wacht, zal merken dat de governancekloof steeds moeilijker te dichten is naarmate AI dieper in bedrijfsprocessen wordt geïntegreerd.

Veelgestelde vragen

De belangrijkste risico’s zijn blootstelling van gevoelige data via AI-output, gebrek aan zicht op AI-interacties van medewerkers en het onvermogen om te volgen waar AI-content zich verspreidt. Uit onderzoek blijkt dat 45% van de organisaties niet kan detecteren wanneer vertrouwelijke informatie in AI-content verschijnt, terwijl 41% risicovol gebruikersgedrag in AI-interacties niet kan identificeren.

Organisaties zetten AI sneller in dan dat ze governance-frameworks implementeren, waardoor er een kloof ontstaat tussen capaciteit en controle. Traditionele compliance-infrastructuur is ontworpen voor door mensen gemaakte content en kan de hoeveelheid, snelheid en verspreide aard van AI-gegenereerde communicatie niet aan.

Ja, regelgevende kaders houden organisaties verantwoordelijk voor AI-gegenereerde content volgens dezelfde standaard als door mensen gemaakte communicatie. FINRA stelt expliciet dat bedrijven verantwoordelijk zijn voor hun communicatie, ongeacht of deze door een mens of AI-technologie is gegenereerd.

AI-systemen aggregeren en transformeren data op manieren die vertrouwelijke informatie kunnen onthullen, zelfs als individuele input onschuldig lijkt. Vergadersamenvattingen kunnen gevoelige discussies vastleggen, generatieve assistenten kunnen bedrijfseigen data verwerken in antwoorden en AI-tools kunnen beschermde informatie tonen in onverwachte contexten.

AI-gegevensbeheer omvat het beleid, de processen en technologieën die bepalen hoe gevoelige data AI-systemen binnenkomt en hoe AI-content wordt gemonitord, bewaard en verspreid. Effectief AI-gegevensbeheer vereist contentinspectie, contextuele analyse, omvattende vastlegging van AI-interacties en gedragsgebaseerde risicodetectie.

Organisaties moeten governance-controles implementeren op het moment van data-uitwisseling om te volgen en te beheren welke privécontent AI-omgevingen binnenkomt. Dit vereist een stap verder gaan dan infrastructuurmaatregelen zoals toegangscontroles, naar inspectie op contentniveau die gevoelige data in zowel AI-input als output identificeert.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks