Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI Agents hebben zojuist uw GDPR Artikel 32-beveiligingsstatus doorbroken
AI Agents hebben zojuist uw GDPR Artikel 32-beveiligingsstatus doorbroken

AI Agents hebben zojuist uw GDPR Artikel 32-beveiligingsstatus doorbroken

by Marc ten Eikelder updated april 30, 2026 AVG-naleving
Reading Time: 10 minutes

Zestig procent van de Duitse organisaties noemt het ongeautoriseerd verder delen van data door partners en leveranciers als een van hun grootste compliancezorgen, volgens het Kiteworks 2026 Data Security and Compliance Risk Forecast Report. Het wereldwijde gemiddelde is 31%. Het Duitse cijfer is geen cultureel artefact. Het is het voorspelbare resultaat van een decennium aan handhaving dat Datenschutzbeauftragte, compliance officers en CISO’s in de DACH-regio één les met pijnlijke duidelijkheid heeft geleerd: onder Artikel 82 van de GDPR blijf je aansprakelijk voor wat de downstream controller of verwerker doet met de persoonsgegevens die je hebt overgedragen, ongeacht of je nog controle hebt over de infrastructuur.

Belangrijkste inzichten

  1. De downstream actor is niet langer een menselijke verwerker. GDPR Artikel 32 is opgesteld met het idee van service-accounts en gecontracteerde partners. Wanneer de downstream actor een autonoom agent is die tool-calls over diverse rechtsbevoegdheden aan elkaar schakelt, moet het controlestelsel veranderen.
  2. Duitse organisaties zien het probleem al. Zestig procent noemt ongeautoriseerd verder delen van data als topzorg — bijna het dubbele van het wereldwijde gemiddelde. Een decennium aan GDPR-handhaving heeft aansprakelijkheid voor downstream datagebruik concreet gemaakt in plaats van theoretisch.
  3. Vier regelgevende kaders komen samen in dezelfde architectuur. GDPR Artikel 32, NIS 2, de EU AI-wet en DORA eisen elk bewijsbaar, real-time inzicht in waar gereguleerde data zich bevindt, wie er toegang toe had en onder welk beleid — mens of machine.
  4. Model-level guardrails zijn geen beveiligingsmaatregelen. Academisch onderzoek toont aan dat prompt injection-succespercentages boven de 86% liggen bij echte LLM-geïntegreerde applicaties. Veiligheidstraining vervangt geen geauthenticeerde identiteit, op attributen gebaseerde autorisatie en manipulatiebestendige audit.
  5. Governance op het data layer is het duurzame antwoord. Controls die aan de data zelf zijn gekoppeld — ABAC, FIPS-gevalideerde encryptie, sleutelbeheer binnen de rechtsbevoegdheid, real-time SIEM-streaming — overleven prompt injection, agent-compromittering en de volgende onbekende kwetsbaarheidsklasse.

Die les werd geleerd toen de downstream actor nog een mens was — een medewerker van een leverancier, een service-account, een gecontracteerde verwerker met een duidelijk afgebakende scope. De vraag die iedere Duitse security- en complianceleider zich in 2026 moet stellen, is of de “geeignete technische und organisatorische Maßnahmen” die drie jaar geleden zijn vastgelegd voor Artikel 32 nog steeds passend zijn nu de downstream actor een autonome AI-agent is die multi-step workflows uitvoert over drie rechtsbevoegdheden in één transactie. In de meeste gevallen is het eerlijke antwoord nee.

Het controlestelsel van Artikel 32 is opgesteld in 2016. Het ging uit van menselijke gebruikers, service-accounts en goed afgebakende applicaties. Het hield geen rekening met een model dat via prompt injection data kan exfiltreren die de applicatielaag nooit logde, de netwerklaag nooit signaleerde en de endpoint agent nooit waarnam. De regelgeving is niet veranderd, maar het dreigingsoppervlak eronder wel.

De vier-regime regelgevingsstack die 2026 bepaalt

Vier gelijktijdige regelgevende kaders leggen nu specifieke technische vereisten op aan dezelfde onderliggende datastromen die steeds vaker door AI-agents worden gemedieerd. Begrijpen hoe deze samenkomen is het startpunt voor elke verdedigbare compliancepositie in 2026.

GDPR Artikel 32 vereist state-of-the-art encryptie, pseudonimisering en het vermogen om beschikbaarheid en toegang tot persoonsgegevens te herstellen na een incident. Het artikel is principe-gebaseerd, wat betekent dat toezichthouders “state of the art” interpreteren op basis van het huidige dreigingslandschap — niet dat van 2016.

De NIS 2-richtlijn, in Duitsland geïmplementeerd via het
NIS-2-Umsetzungsgesetz, vergroot de scope van essentiële en belangrijke entiteiten aanzienlijk en introduceert persoonlijke aansprakelijkheid voor bestuursorganen die geen risicobeheersmaatregelen implementeren. ENISA’s Technical Implementation Guidance van juni 2025 maakt de bewijslast expliciet: encryptiebeleid, audit logs, cryptografie-governance en integriteitscontroles van back-ups worden allemaal gezien als bewijsdragende controls die op verzoek aantoonbaar moeten zijn.

De EU AI-wet voegt daar nog extra verplichtingen aan toe. De verplichtingen voor general-purpose AI gelden sinds augustus 2025; bepalingen voor hoog-risico-systemen zijn volledig afdwingbaar vanaf augustus 2026. Uit de Kiteworks Forecast blijkt dat 40% van de Europese respondenten de EU AI-wet als directe zorg noemt.

DORA is sinds januari 2025 van kracht voor EU-financiële instellingen en legt ICT-risicobeheer, incidentrapportage en testen van derde-partij-resilience op. Dit geldt voor banken, verzekeraars, beleggingsondernemingen en hun kritieke ICT-dienstverleners — waaronder inmiddels standaard de leveranciers van hun AI-stacks vallen.

Geen enkel controlestelsel voldoet afzonderlijk aan alle vier de kaders. Maar de onderliggende architectuurvraag waar ze op uitkomen is dezelfde: kun je tijdens een audit aantonen waar gereguleerde data zich bevindt, hoe deze wordt benaderd, door welke identiteiten — mens of machine — en onder welk beleid?

Waar Artikel 32 tekortschiet in een agent-gedreven omgeving

Het klassieke implementatiepatroon van Artikel 32 faalt op drie specifieke punten zodra AI-agents in beeld komen.

Ten eerste, identiteit. Een AI-agent die een interne retrieval-augmented generation pipeline aanroept, authenticeert niet zoals een menselijke gebruiker. Als er al authenticatie plaatsvindt, gebeurt dat meestal via een service-account of een brede API-token met blijvende permissies. ENISA’s NIS 2-richtlijn en
BSI IT-Grundschutz benadrukken beide least-privilege access en identity federation — concepten die uitgaan van een afgebakende identiteit met een afgebakend doel. Een niet-menselijke actor die zeventien tools over vier systemen kan aanroepen in één prompt-gedreven sessie past niet in dat model. OAuth 2.0 met gescope refresh tokens, gekoppeld aan de specifieke menselijke autorisator die de workflow heeft gedelegeerd, is geen optionele architectuur. Het is de voorwaarde voor de “geautoriseerd personeel”-bepaling van Artikel 32 om betekenis te hebben wanneer het personeel uit code bestaat.

Ten tweede, autorisatiegranulariteit. Rolgebaseerde toegangscontrole bepaalt of een principal een map mag lezen. Het bepaalt niet of die principal, namens die specifieke mens, in die specifieke context, voor dat specifieke doel, een document met een bepaald gevoeligheidsniveau mag lezen. Op attributen gebaseerde toegangscontrole — ABAC — doet dat wel. Een ABAC-policy engine die elk verzoek evalueert op agent-identiteit, dataclassificatie (bij voorkeur via Microsoft Purview of MIP-sensitivity labels), context en opgegeven doel is de enige control-laag die schaalbaar is naar het aantal AI-gebaseerde toegangsbeslissingen dat een moderne onderneming in 2026 en 2027 zal genereren.

Ten derde, bewijs. Een manipulatiebestendige audittrail die vastlegt wie (agent plus menselijke autorisator), wat (actie plus data-object), wanneer (tijdstempel tot op de milliseconde), waar (bron- en bestemmingslocatie) en waarom (beleidscontext en classificatie) is het artefact dat toezichthouders, DPA’s en NIS 2-autoriteiten daadwerkelijk zullen eisen. Uit de Kiteworks Forecast blijkt dat governance-controls — monitoring, logging, beleidsdefinitie — 15 tot 20 procentpunten voorlopen op containment-controls — agent-scoping, kill switches, netwerkisolatie. Duitse organisaties hebben geïnvesteerd in logging. De kloof zit in handhaving: het vermogen om te handelen op wat de logs laten zien voordat de data verdwenen is.

Waarom model-level guardrails geen beveiligingsmaatregelen zijn

De meest voorkomende fout die we zien in AI data governance-programma’s in de DACH-regio is dat model-level guardrails worden gezien als de beveiligingsgrens. Contentfilters, systeem-prompts, alignment-training en safety fine-tuning zijn allemaal nuttig om incidenteel misbruik te verminderen. Geen ervan is een beveiligingsmaatregel zoals toezichthouders die begrijpen.

Het academisch bewijs is ondubbelzinnig. Een veel geciteerde studie van 36 echte LLM-geïntegreerde applicaties vond dat 31 — 86,1% — kwetsbaar waren voor
prompt injection. Een paper uit 2026, gepresenteerd op het IEEE Symposium on Security and Privacy, analyseerde 17 chatbot-plugins van derden die op meer dan 10.000 publieke websites werden gebruikt en concludeerde dat 15 indirecte prompt injection mogelijk maken omdat ze geen onderscheid maken tussen vertrouwde en niet-vertrouwde content. Het
CrowdStrike 2026 Global Threat Report documenteert een stijging van 89% jaar-op-jaar in AI-gedreven aanvallen, waarbij 82% van de detecties nu malwarevrij is.

Vertaald naar de taal van Artikel 32: het model kan zichzelf niet verdedigen. Veiligheidstraining is geen toegangscontrole. Alignment is geen authenticatie. Een aanvaller die een prompt injection langs de guardrails van een model krijgt, heeft geen obscure edge case uitgebuit — hij heeft het primaire aanvalsvlak van elke RAG-pipeline, elke agent-gedreven workflow en elke AI-assistent in de onderneming benut.

Dit is relevant omdat NIS 2-autoriteiten, Duitse DPA’s en AI Act-markttoezichthouders niet zullen accepteren dat “we de standaardveiligheidsinstellingen van de leverancier hebben geïmplementeerd” als bewijs van passende technische maatregelen. Ze zullen vragen naar onafhankelijke controls die bestonden op het moment dat — niet als — de guardrails werden omzeild.

De architecturale verschuiving: governance op het data layer

De conclusie is dat beveiligingsmaatregelen die zijn verankerd aan de netwerkperimeter, het endpoint of zelfs de applicatielaag onvoldoende zijn voor dataflows in het AI-tijdperk. Ze waren voldoende toen applicaties de eindactor waren. Ze zijn niet voldoende nu de eindactor een model is dat prompt-injected kan worden, dat tool-calls kan schakelen en data kan exfiltreren via kanalen die endpoint agents nooit waarnemen.

Wat werkt is een control-plane die is ontworpen op het data layer zelf — het punt waar elk verzoek, ongeacht wie of wat het indient, wordt getoetst aan een consistente set checkpoints voordat data wordt verplaatst.

Geauthenticeerde identiteit gekoppeld via OAuth 2.0 aan een menselijke autorisator, met gescope refresh tokens die agent-sessies koppelen aan gedelegeerde menselijke beslissingen. Geen anonieme AI. Geen blijvende service-accounttoegang tot gereguleerde repositories.

Real-time ABAC-evaluatie op basis van agent-identiteit, dataclassificatie en context van het verzoek. Dezelfde beleidslogica die de organisatie al toepast op menselijke gebruikers, uitgebreid naar machine-actors op documentniveau in plaats van mapniveau.

FIPS 140-3 Level 1 gevalideerde encryptie voor data in transit en AES 256 encryptie voor data in rust, met sleutelbeheer binnen de rechtsbevoegdheid — een vereiste die Duitse DPA’s herhaaldelijk benadrukken in het post-Schrems II-tijdperk en die volgens het Data Forms Survey Report 2025 door 58% van de Duitse respondenten als kritiek wordt gezien.

Manipulatiebestendige auditstreaming naar de SIEM in real time, zonder throttling en zonder vertragingen. Wanneer het volgende datalek plaatsvindt, moet de reconstructie van welke data is verplaatst, door wie en wanneer, een rapportquery zijn — geen forensisch onderzoek.

Hardened deployment surface. Een defense-in-depth geharde virtuele appliance met ingebouwde WAF, IDPS en geautomatiseerde hardening-regels — het architectuurpatroon waardoor klanten industriebrede CVSS 10-kwetsbaarheden zoals Log4Shell konden ervaren als interne CVSS 4-incidenten, omdat de data-layer controls standhielden zelfs wanneer de applicatielaag werd blootgesteld.

De Kiteworks-aanpak: architectuur boven ambitie

Kiteworks is vanaf de basis opgebouwd als een data-layer governanceplatform voor precies de gereguleerde datastromen die nu door AI-agents worden gemedieerd. Het architectuurpatroon is consistent, of de actor nu een menselijke gebruiker is, een service-account, een Claude- of Copilot-assistent via de Secure MCP Server, of een productie-RAG-pipeline die bedrijfscontent benadert via de AI Data Gateway.

Elk toegangsverzoek doorloopt vier governance-checkpoints: geauthenticeerde identiteit via OAuth 2.0 gekoppeld aan de menselijke autorisator die de workflow heeft gedelegeerd; real-time ABAC-evaluatie op agent-identiteit, dataclassificatie en context via de Kiteworks Data Policy Engine; FIPS 140-3 Level 1 gevalideerde encryptie voor data in transit en AES 256 encryptie voor data in rust, met sleutelbeheer binnen de rechtsbevoegdheid; en een manipulatiebestendige audittrail die in real time naar de SIEM van de klant wordt gestreamd via de Real-time SIEM Feed. De controls worden afgedwongen op het data layer, niet op het model layer — wat betekent dat prompt injection, gecompromitteerde agents en onbekende toekomstige kwetsbaarheden deze niet kunnen omzeilen door de AI aan te vallen.

Hetzelfde platform levert framework-specifiek compliancebewijs op aanvraag. Vooraf gebouwde Compliance Reports zijn afgestemd op GDPR-naleving, HIPAA, CMMC 2.0-naleving, Bedreigingen van binnenuit en Bedreigingen van buitenaf. De Interactive Audit Log Map stelt compliance officers in staat audit-events geografisch te visualiseren, wat direct van belang is voor NIS2-incidentrapportage en voor elke cross-border transfer-vraag die een DPA kan stellen. De architectuur is niet ambitieus — het is dezelfde die Kiteworks-klanten gebruikten om Log4Shell als een intern incident te beheersen, terwijl de rest van de sector aan het heropbouwen was.

Wat Duitse organisaties in 2026 moeten doen

Voor CISO’s, DPO’s en NIS 2-programmaleiders die hun technische en organisatorische maatregelen dit jaar herbeoordelen, valt de minimaal haalbare architectuur voor AI data governance uiteen in vijf concrete acties.

Ten eerste, authenticeer elke AI-agent en geautomatiseerde workflow via OAuth 2.0 met een refresh-tokenmodel dat de agentsessie koppelt aan een geïdentificeerde menselijke autorisator. Geen gedeelde service-accounts met blijvende API-tokens voor toegang tot gereguleerde repositories. Als je de vraag “welke mens heeft deze agent nu toegang tot deze data gegeven” niet kunt beantwoorden, kun je je Artikel 32-positie niet verdedigen.

Ten tweede, evalueer elk datatoegangsverzoek via een ABAC-policy engine die sensitivity labels (Microsoft Purview, MIP of equivalent) verwerkt en doelgebonden beslissingen afdwingt op documentniveau, niet op mapniveau. Rolgebaseerde controls waren voldoende toen gebruikers functies hadden en functies data-acces impliceerden. Agents hebben sessies, geen functies.

Ten derde, versleutel alle data in rust met AES 256 encryptie, waarbij sleutels worden beheerd in een door de klant gecontroleerde HSM of een gelijkwaardige sleutelbeheeroplossing binnen de verwerkende rechtsbevoegdheid. Voor federale, defensie- of kritieke-infrastructuurscope is FIPS 140-3 Level 1 gevalideerde encryptiemodules vereist. Na Schrems II is “de cloudprovider versleutelt het” niet hetzelfde als “encryptiesleutels mogen onze juridische rechtsbevoegdheid niet verlaten”.

Ten vierde, produceer manipulatiebestendige auditrecords van elke interactie — agent of mens — die in real time naar je SIEM worden gestreamd met metadata die volledige data lineage kan reconstrueren. Uit de Kiteworks Forecast blijkt dat slechts 43% van de organisaties vandaag een gecentraliseerde AI Data Gateway heeft. Die kloof dichten is wat organisaties die binnen enkele uren een DPA-vraag kunnen beantwoorden onderscheidt van organisaties die daar weken voor nodig hebben.

Ten vijfde, implementeer en test containment-controls. Het vermogen om een misdragende agent te beëindigen, een gedelegeerde sessie in te trekken en een gecompromitteerde workflow te isoleren is het onderdeel dat de meeste organisaties overslaan omdat het operationeel moeilijker is dan logging. Uit de Kiteworks Forecast blijkt dat 60% van de organisaties momenteel geen misdragende agent kan beëindigen, 63% geen doellimieten kan afdwingen en 55% laterale beweging niet kan voorkomen. Die cijfers zijn het belangrijkste aandachtspunt voor de volgende ronde NIS 2-beoordelingen door bevoegde autoriteiten.

Organisaties die in 2026 op deze vijf punten actie ondernemen, zullen — enigszins tegenintuïtief — merken dat ze sneller AI adopteren dan concurrenten in minder gereguleerde markten. Omdat hun controls daadwerkelijk standhouden wanneer de eerste grote Europese handhavingsactie volgt op een AI-gedreven datalek.

Veelgestelde vragen

Artikel 32 is principe-gebaseerd, wat betekent dat de maatregelen moeten aansluiten bij de huidige stand van de techniek. Wanneer AI-agents toegang hebben tot persoonsgegevens, omvat dat nu geauthenticeerde agent-identiteit gekoppeld aan een menselijke autorisator, op attributen gebaseerde toegangscontrole op documentniveau en manipulatiebestendige auditlogging van elke agent-interactie. De ENISA NIS 2-richtlijn beschouwt deze expliciet als bewijsdragende controls.

De
NIS 2-richtlijn introduceert persoonlijke aansprakelijkheid voor bestuursorganen die geen cybersecurity risicobeheersmaatregelen implementeren en overzien. AI-agents die toegang hebben tot data van essentiële of belangrijke entiteiten vallen volledig binnen scope. Het management moet kunnen aantonen dat technische controls — waaronder identiteit, autorisatie, encryptie en audit — ook gelden voor AI-gebaseerde toegang, niet alleen voor menselijke gebruikers.

Beide zijn gelijktijdig van toepassing. De EU AI-wet legt risicobeheer, data governance en menselijke toezichtverplichtingen op aan hoog-risico systemen; GDPR blijft het wettelijk kader, dataminimalisatie en beveiliging van de persoonsgegevens die erdoorheen stromen reguleren. De bepalingen voor hoog-risico zijn volledig afdwingbaar vanaf augustus 2026, en markttoezichthouders zullen bewijs verwachten — geen intentie.

De Kiteworks 2026 Forecast laat zien dat Duitse organisaties dit sterk voelen omdat Artikel 82 downstream aansprakelijkheid reëel maakt. Het architecturale antwoord is governance op het data layer: op attributen gebaseerde controls die doellimieten afdwingen op contentniveau, encryptie met sleutelbeheer binnen de rechtsbevoegdheid en manipulatiebestendige logs van elke downstream-toegang — zodat je kunt aantonen wat partners met je data hebben gedaan.

DORA vereist gedocumenteerd ICT-risicobeheer en testen van derde-partij-resilience — wat nu ook geldt voor AI-leveranciers en de agents die zij inzetten. Je ICT-risicokader moet geauthenticeerde agent-identiteit omvatten, beleidsafgedwongen toegangscontrole tot gereguleerde data, manipulatiebestendige audittrails en geteste containment-controls voor AI-workflows. Toezichthouders die ICT-resilience beoordelen, verwachten dit bewijs — geen ambitieus beleid.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks