Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Aangepaste AI-toepassingen bereiken de productie voordat de beveiliging is bijgewerkt
Aangepaste AI-toepassingen bereiken de productie voordat de beveiliging is bijgewerkt

Aangepaste AI-toepassingen bereiken de productie voordat de beveiliging is bijgewerkt

by Patrick Spencer updated maart 31, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

De prognose van Gartner van maart 2026 geeft een cijfer aan wat beveiligingsleiders al maanden aanvoelen: tegen 2028 zal de helft van alle bedrijfsbrede incidentrespons op cyberbeveiliging draaien om op maat gemaakte AI-toepassingen. De voorspelling, gepubliceerd door SecurityBrief, weerspiegelt een markt waarin AI-gedreven software sneller in productie wordt genomen binnen bedrijfsprocessen en klantgerichte diensten dan beveiligingsteams kunnen evalueren, testen of responsprocedures opstellen.

Belangrijkste inzichten

  1. Gartner voorspelt dat tegen 2028 de helft van alle bedrijfsbrede incidentrespons op cyberbeveiliging betrekking zal hebben op op maat gemaakte AI-toepassingen. De meeste beveiligingsteams missen draaiboeken, detectietools en beheersmaatregelen voor AI-specifieke incidenten.
  2. Handmatige AI-complianceprocessen zullen tegen eind 2027 75% van de gereguleerde organisaties blootstellen aan boetes van meer dan 5% van de wereldwijde omzet. Organisaties die nog steeds vertrouwen op spreadsheets en ad-hoc bewijsverzameling bouwen een regelgevingsrisico op dat meegroeit met elke nieuwe AI-inzet.
  3. Eenderde van al het IT-werk tot 2030 zal besteed worden aan het herstellen van “AI data debt”—de opgelopen zwaktes in datasets waar AI-systemen nu van afhankelijk zijn. Ongestructureerde, slecht geclassificeerde en inconsistent beveiligde data verspreid over bestandsoverdracht, SaaS-platforms en legacy-systemen vormen de basis waarop organisaties hun AI-strategieën bouwen.
  4. Beveiligingsteams bouwen AI-systemen die ze niet kunnen onderzoeken als er iets misgaat. Een AI-incident kan lijken op een beveiligingsgebeurtenis, een softwarefout, een datakwaliteitsprobleem of alle drie tegelijk—en 60% van de organisaties mist de anomaliedetectietools om het verschil te zien.
  5. De kloof tussen governance en beheersing betekent dat de meeste organisaties een AI-agent kunnen zien ontsporen, maar deze niet kunnen stoppen. 63% kan geen doellimieten afdwingen, 60% kan een ontsporende agent niet beëindigen en 55% kan AI niet isoleren van gevoelige systemen.

Christopher Mixter, VP-analist bij Gartner, schetste het probleem in architecturale termen: deze systemen zijn complex, dynamisch en moeilijk langdurig te beveiligen. Op maat gemaakte AI-toepassingen veranderen na inzet—modellen worden opnieuw getraind, datapijplijnen verschuiven, integraties evolueren. De beveiligingsaannames die bij de lancering zijn gevalideerd, kunnen drie maanden later niet meer gelden.

Het Kiteworks 2026 Data Security and Compliance Risk Forecast Report bevestigt dit patroon op schaal. Honderd procent van de ondervraagde organisaties heeft agentic AI op de roadmap staan. Toch mist 60% AI-gedreven anomaliedetectie, draait 51% handmatige incidentresponsdraaiboeken en heeft 52% hun hersteltijd of herstelpunten niet getest. De basisvoorzieningen—onveranderlijke back-ups (68%), audittrails (67%)—zijn aanwezig. De AI-specifieke detectie- en responsmogelijkheden die op maat gemaakte AI-inzet vereist, ontbreken.

AI-incidenten zien er anders uit dan traditionele beveiligingsgebeurtenissen

Incidentresponsteams zijn getraind om een bekende volgorde te doorlopen: detectie, beheersing, verwijdering, herstel. AI-systemen doorbreken dat model. Een fout in een op maat gemaakte AI-toepassing kan zich voordoen als een beveiligingsincident—ongeautoriseerde data-toegang veroorzaakt door een model dat buiten zijn bedoelde scope opereert. Of het lijkt op een softwarefout—een integratieprobleem tussen het model en een downstreamdienst. Of het is een datakwaliteitsprobleem—een trainingspijplijn die data heeft opgenomen die niet bedoeld was. In veel gevallen is het alle drie.

Deze ambiguïteit maakt AI-incidentrespons fundamenteel moeilijker. Traditionele incidenten hebben een duidelijk afgebakend effectgebied. AI-incidenten hebben een diffuus effectgebied. Een Agents of Chaos-studie gepubliceerd in februari 2026 door 20 onderzoekers van MIT, Harvard, Stanford en CMU documenteerde precies dit patroon in live-inzet: AI-agents lekten gevoelige informatie, voldeden aan ongeautoriseerde verzoeken en voerden acties uit buiten hun bedoelde scope—zonder conventionele beveiligingswaarschuwingen te activeren. De fouten waren geen exploits in de traditionele zin. Het waren opkomende gedragingen die bestaande detectietools niet konden opvangen.

Het Kiteworks Forecast constateerde dat overheidsorganisaties het slechtst gepositioneerd zijn: 76% mist AI-anomaliedetectie en 76% werkt met handmatige IR-draaiboeken. De zorgsector volgt—64% mist AI-anomaliedetectie en 77% test herstelmogelijkheden niet. Dit zijn de sectoren die de meest gevoelige gereguleerde data verwerken, en ze zijn het minst voorbereid op het incidenttype dat volgens Gartner in 2028 zal domineren.

Handmatige AI-compliance is een aansprakelijkheid met een deadline

De tweede voorspelling van Gartner is even direct: tegen eind 2027 zullen handmatige AI-complianceprocessen 75% van de gereguleerde organisaties blootstellen aan boetes van meer dan 5% van de wereldwijde omzet. De voorspelling richt zich op organisaties die AI-risico nog steeds beheren via spreadsheets, ad-hoc bewijsverzameling en handmatige goedkeuringsworkflows—processen die acceptabel waren toen compliance periodiek was en AI experimenteel.

Die omstandigheden bestaan niet meer. De EU AI-wet wordt gefaseerd ingevoerd tot 2026, waarbij verplichtingen voor hoog-risico systemen volledig afdwingbaar zijn vanaf augustus 2026. De Colorado AI Act treedt in werking in 2026. Californië’s CPPA-regels voor geautomatiseerde besluitvorming worden vanaf januari 2027 gehandhaafd. Elk nieuw kader vergroot de scope van wat moet worden gedocumenteerd, gemonitord en gerapporteerd—en elk verwacht continue bewijsvoering, geen kwartaalmomentopnames.

Het Kiteworks Forecast kwantificeerde het operationele gat: 25% van alle organisaties gebruikt nog steeds handmatige of periodieke compliance als primaire aanpak. In de overheid vertrouwt 38% op handmatige complianceprocessen. In de zorg is dat 32%. Dit zijn de organisaties die het meest waarschijnlijk door Gartner’s voorspelling worden getroffen—niet omdat ze compliance negeerden, maar omdat hun compliance-infrastructuur de snelheid van hun AI-inzet niet kan bijhouden.

AI data debt: het verborgen infrastructuurprobleem

Tot 2030 voorspelt Gartner dat 33% van het IT-werk zal worden besteed aan het herstellen van wat het “AI data debt” noemt—zwaktes in de onderliggende datasets waarop organisaties hun AI-systemen bouwen. De term omvat ongestructureerde, slecht geclassificeerde en inconsistent beveiligde data verspreid over bestandsoverdracht, SaaS-platforms en legacy-systemen.

Dit is het fundamentele probleem. AI-toepassingen zijn slechts zo goed beheerd als de data die ze benaderen. Wanneer dataclassificatie onvolledig is, toegangscontroles inconsistent zijn en bewaarbeleid niet wordt gehandhaafd, erft elk AI-systeem dat op die basis is gebouwd dezelfde kwetsbaarheden.

Het Kiteworks Forecast documenteert dit op controleniveau. Eenenzestig procent van de organisaties kan geen consistente datatagging afdwingen over hun systemen. Achtzeventig procent kan data niet valideren voordat het in AI-trainingspijplijnen terechtkomt. Drieënvijftig procent kan trainingsdata na een incident niet herstellen. Het 2026 Thales Data Threat Report voegt een extra dimensie toe: slechts 33% van de organisaties meldt volledige kennis van waar hun data zich bevindt. Wanneer tweederde van de organisaties niet weet waar hun data is, is AI data debt geen toekomstig risico. Het is een actueel risico.

Preventie van gegevensverlies (DLP) programma’s worden uitgebreid om AI-gedreven datastromen te dekken, maar deze uitbreiding stuit op architecturale grenzen. Het monitoren van verzoeken van generatieve AI-tools en agentic AI-systemen die informatie ophalen uit diverse bronnen vereist een governance-laag die op het data layer-niveau werkt—niet op het model- of applicatieniveau. Traditionele DLP was ontworpen voor mensen die bestanden versturen, niet voor AI-agents die API-calls uitvoeren over datasystemen. Het Black Kite 2026 Third-Party Breach Report documenteerde 136 geverifieerde derde partij-datalekken in 2025 alleen al—en naarmate AI-systemen het aantal geautomatiseerde verbindingen met interne en partnerdatastores uitbreiden, groeit dat aanvalsoppervlak exponentieel.

Soevereiniteit, identiteit en het groeiende AI-aanvalsoppervlak

De resterende voorspellingen van Gartner schetsen een beeld van samenkomende drukfactoren. Tegen 2027 zal 30% van de organisaties volledige soevereiniteit van hun cloudbeveiligingscontroles vereisen—gedreven door geopolitieke onrust en regelgeving rond waar data zich bevindt, wie er toegang toe heeft en hoe beveiliging over grenzen heen wordt beheerd. Tegen 2028 zal 70% van de CISO’s zichtbaarheid en intelligentie op het gebied van identiteit inzetten om het identity & access management-aanvalsoppervlak te verkleinen.

Beide voorspellingen zijn direct verbonden met AI-beveiliging. Het Kiteworks 2026 Data Sovereignty Report vond dat één op de drie organisaties het afgelopen jaar een incident met datasoevereiniteit rapporteerde. Negenentwintig procent van de organisaties in het Kiteworks Forecast noemt grensoverschrijdende AI-data-exposure als risico—maar slechts 36% heeft zicht op waar AI-systemen daadwerkelijk data verwerken. Opslagsoevereiniteit is niet voldoende wanneer AI-verwerking in een andere rechtsbevoegdheid plaatsvindt.

Identiteit is net zo kwetsbaar. AI-agents creëren een nieuwe klasse van machine-identiteit die bestaande IAM-tools niet kunnen beheren. Het CrowdStrike 2026 Global Threat Report documenteerde dat 82% van de detecties nu malwarevrij is—aanvallers opereren via geldige inloggegevens en native tools. Wanneer AI-agents ook via geldige inloggegevens en native tools werken, wordt het onderscheid tussen legitiem geautomatiseerd gedrag en aanvallen op basis van inloggegevens buitengewoon lastig zonder speciaal ontwikkelde AI-identity governance.

Gartner voorspelt ook dat meer dan 50% van de ondernemingen tegen 2028 AI-beveiligingsplatforms zal inzetten om zowel externe AI-diensten als op maat gemaakte toepassingen te beheren. De vraag wordt gedreven door prompt injection-aanvallen, datamisbruik en inconsistente controles wanneer verschillende bedrijfsonderdelen verschillende AI-diensten inzetten zonder centrale regie. Beveiligingsleiders moeten beoordelen of hun tooling zowel interne als externe AI-gebruik dekt—inclusief zichtbaarheid op AI-activiteiten en beleidsafdwinging over alle inzetpatronen. Het DTEX 2026 Insider Threat Report onderstreept de urgentie: shadow AI is nu de belangrijkste oorzaak van nalatige insider-incidenten, terwijl slechts 13% van de organisaties AI in hun beveiligingsstrategie heeft geïntegreerd.

Hoe Kiteworks AI-beveiligings- en compliancegaten voor maatwerk AI adresseert

De voorspellingen van Gartner beschrijven een markt waarin AI-systemen sneller worden ingezet dan ze kunnen worden beveiligd, onderzocht of beheerd via handmatige processen. Kiteworks adresseert deze gaten architectonisch—niet door een extra monitoringslaag, maar door governance op het data layer-niveau die onafhankelijk werkt van welk AI-model, framework of agent wordt ingezet.

Voor AI-incidentrespons legt Kiteworks een manipulatiebestendige audittrail vast van elke AI-agentinteractie met gevoelige data—wie de agent heeft geautoriseerd, welke data is benaderd, onder welk beleid en wanneer. Wanneer zich een incident voordoet, hoeven onderzoekers niet te reconstrueren wat er is gebeurd uit gefragmenteerde logs van vijf systemen. Het bewijs is al gecompileerd, gestructureerd en exporteerbaar.

Voor AI-complianceautomatisering vervangt Kiteworks handmatige reviewstappen door continue governance. Elke AI-agentworkflow erft automatisch compliancecontroles—op attributen gebaseerde toegangscontrole (ABAC), FIPS 140-3 gevalideerde encryptie en doelbinding die beperkt wat agents mogen doen. Vooraf gebouwde compliance-dashboards zijn direct gekoppeld aan HIPAA, CMMC, GDPR, PCI DSS en SOX-kaders, waardoor de periodieke auditstress verandert in continue bewijsproductie.

Voor AI data debt fungeert Kiteworks als de control plane voor veilige data-uitwisseling—één policy engine, één auditlog, één beveiligingsarchitectuur over e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht, API’s, dataformulieren en AI-integraties via de Secure MCP Server. Dataclassificatie en toegangscontroles worden consequent afgedwongen over elk kanaal, waardoor de kloof wordt gedicht tussen “we weten waar onze data is” en “we bepalen hoe AI toegang krijgt tot onze data”.

Wat beveiligingsleiders vóór 2028 moeten prioriteren

Ten eerste, ontwikkel nu AI-specifieke incidentresponsdraaiboeken. Het Kiteworks Forecast vond dat 51% van de organisaties nog steeds handmatige IR-draaiboeken gebruikt en 89% nooit incidentrespons met externe partners heeft geoefend. Een AI-incident dat modelgedrag, dataverwerking en service-integratie omvat, kan niet worden onderzocht met een traditioneel datalek-draaiboek.

Ten tweede, automatiseer het verzamelen van AI-compliancebewijzen. De voorspelling van Gartner dat handmatige compliance 75% van de gereguleerde organisaties aan grote boetes zal blootstellen, is een deadline, geen voorspelling. Zet platforms in die continue, manipulatiebestendige compliancebewijzen produceren—geen kwartaalrapportages.

Ten derde, inventariseer en classificeer de data die je AI-systemen benaderen. Het Kiteworks Forecast vond dat 61% van de organisaties geen consistente datatagging kan afdwingen. Je kunt AI-data-toegang niet beheren als je niet weet wat de data is of waar deze zich bevindt.

Ten vierde, implementeer governance op het data layer-niveau voor alle AI-integraties. Model layer-guardrails en systeem-prompts zijn geen compliancecontroles. Het Kiteworks Forecast documenteerde dat 63% van de organisaties geen doellimieten kan afdwingen voor AI-agents. Governance op het data layer-niveau—identiteitsverificatie, ABAC-beleidsafdwinging en logging van bewijsniveau—is de enige aanpak die schaalbaar is over modellen, frameworks en inzetpatronen.

Ten vijfde, breid soevereiniteitscontroles uit naar AI-verwerking, niet alleen AI-opslag. Gartner voorspelt dat 30% van de organisaties tegen 2027 volledige cloudbeveiligingssoevereiniteit zal vereisen. Het Kiteworks Data Sovereignty Report vond dat de meeste organisaties soevereiniteitscontroles niet verder hebben uitgebreid dan opslag—waardoor AI-verwerking een ongecontroleerde grensoverschrijdende blootstelling blijft.

De voorspellingen van Gartner beschrijven een tijdsvenster van twee jaar. De organisaties die deze periode gebruiken om AI-bewuste incidentrespons, geautomatiseerde compliance-infrastructuur en governance op het data layer-niveau te bouwen, zullen voorbereid zijn op een wereld waarin de helft van alle cyberincidenten maatwerk AI betreft. De organisaties die dat niet doen, ontdekken hun gaten pas tijdens het incident—en dat is de duurste manier om te leren.

Veelgestelde vragen

AI-cyberbeveiligingsincidenten combineren beveiligingsgebeurtenissen, softwarefouten en datakwaliteitsproblemen op manieren die traditionele IR-draaiboeken niet kunnen isoleren. Een model kan ongeautoriseerde data benaderen, foutieve output genereren of onvoorspelbaar gedrag vertonen na retraining—zonder conventionele waarschuwingen te activeren. Gartner voorspelt dat tegen 2028 de helft van de bedrijfsbrede IR maatwerk AI zal omvatten. Het Kiteworks Forecast vond dat 60% momenteel AI-anomaliedetectie mist.

Handmatige AI-complianceprocessen voor gereguleerde organisaties in de financiële sector zorgen voor boeterisico omdat toezichthouders nu continue, bewijswaardige documentatie van AI-data-toegang verwachten, niet periodieke spreadsheet-audits. Gartner voorspelt dat 75% van de gereguleerde organisaties tegen 2027 boetes van meer dan 5% van de omzet riskeert door handmatige aanpak. De EU AI-wet vereist gestructureerd risicobeheer voor hoog-risico AI in de financiële sector, met boetes tot €35 miljoen of 7% van de wereldwijde omzet.

AI data debt verwijst naar opgelopen zwaktes in datasets waar AI-systemen van afhankelijk zijn—ongeclassificeerde, slecht beveiligde of inconsistent beheerde data verspreid over bestandsoverdracht, SaaS-platforms en legacy-systemen. Het Kiteworks Forecast vond dat 61% geen consistente datatagging kan afdwingen en 78% data niet kan valideren die in trainingspijplijnen terechtkomt. Gartner verwacht dat 33% van het IT-werk tot 2030 aan het herstellen van deze debt zal worden besteed, naarmate AI toegang tot interne datastores uitbreidt.

Het handhaven van governance voor agentic AI vereist controles op het data layer-niveau die onafhankelijk werken van het model of framework. Het Kiteworks Forecast vond dat 63% geen doelbinding heeft en 60% geen kill switch voor AI-agents. Kiteworks adresseert dit met op attributen gebaseerde toegangscontrole op het data layer-niveau, waarmee doellimieten, tijdsgebonden permissies en manipulatiebestendige logging voor elke agentinteractie worden afgedwongen, ongeacht het AI-platform.

Cloudbeveiligingssoevereiniteit voor maatwerk AI-toepassingen gaat verder dan opslaglocatie en omvat de rechtsbevoegdheid van verwerking. Gartner voorspelt dat 30% van de organisaties tegen 2027 volledige soevereiniteit van cloudbeveiligingscontroles zal vereisen. Het Kiteworks Data Sovereignty Report vond dat één op de drie organisaties het afgelopen jaar een soevereiniteitsincident had, en slechts 36% zicht heeft op waar AI-systemen daadwerkelijk data verwerken. Single-tenant-inzet met geografische toegangsbeperkingen adresseert dit gat.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks