Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De financiële sector is nu de testcase geworden voor de vraag of AI-governance daadwerkelijk werkt
De financiële sector is nu de testcase geworden voor de vraag of AI-governance daadwerkelijk werkt

De financiële sector is nu de testcase geworden voor de vraag of AI-governance daadwerkelijk werkt

by Patrick Spencer updated mei 20, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Belangrijkste inzichten

  1. Hoge kosten van datalekken in de financiële sector. De gemiddelde kosten van een datalek in de financiële sector bedroegen in 2025 $5,56 miljoen per incident, het op één na hoogste bedrag van alle sectoren.
  2. Financiële motieven overheersen incidenten. Ongeveer 90% van de datalekken bij banken en verzekeraars had een financieel motief, verdeeld tussen datadiefstal en ransomware.
  3. Shadow AI veroorzaakt dataverlies. Niet-goedgekeurde AI-tools waren verantwoordelijk voor 20% van de AI-gerelateerde datalekken, veroorzaakt door een grote kloof tussen adoptie door medewerkers en governance-controles.
  4. Toename van deepfakes en risico’s van derden. Deepfake-aanvallen troffen 59% van de organisaties, terwijl compromittering van de toeleveringsketen zorgt voor lange meldingsvertragingen en nieuwe aanvalspaden.

Elke sector zal uiteindelijk verantwoording moeten afleggen over zijn AI-governance. De financiële sector doet dat nu al. Deze sector verwerkt de data waar aanvallers het meest op uit zijn, opereert onder de strengste regelgeving en was het snelst met de inzet van AI in klantgerichte en backoffice-processen.

De financiële sector is waar AI-governance als eerste slaagt of faalt

Een nieuw dreigingsrapport voor de financiële sector kwantificeert waar deze combinatie nu toe leidt. Financieel gemotiveerde aanvallen blijven het merendeel van de cyberincidenten bij banken, verzekeraars en betaalverwerkers in 2025 aansturen. Ongeveer 90% van de datalekken had een financieel motief — datalekken waren goed voor circa 64% en ransomware voor 36%. De gemiddelde kosten van een datalek in de financiële sector bedroegen $5,56 miljoen per incident, waarmee de sector op de tweede plaats staat qua kosten.

Persoonsgegevens kwamen voor in 54% van de gecompromitteerde records. Interne organisatiedata was goed voor 35%. Inloggegevens maakten 22% uit. Dit is niet nieuw. Wat wel nieuw is, is de rol die AI nu speelt in hoe aanvallen gereguleerde data bereiken — en hoe data weglekt als de verdediging faalt.

5 Belangrijkste inzichten

1. De financiële sector is nu de op één na duurste categorie voor datalekken in de economie.

De gemiddelde kosten van een datalek in de financiële sector bedroegen in 2025 $5,56 miljoen per incident. Persoonsgegevens kwamen voor in 54% van de gecompromitteerde records, inloggegevens in 22% en interne bedrijfsdata in 35%. De sector verwerkt de data waar aanvallers het meest op uit zijn, opereert onder de strengste regelgeving en was het snelst met AI-inzet — waardoor het de testcase is waar AI-governance als eerste slaagt of faalt.

2. Financiële motieven sturen 90% van de incidenten aan.

Ongeveer 90% van de datalekken bij banken, verzekeraars en betaalverwerkers had een financieel motief — 64% datalekken en 36% ransomware. De concentratie van financiële gegevens (90% van de organisaties), betaalkaartgegevens (83%) en inloggegevens (79%) maakt de sector structureel aantrekkelijk voor aanvallers. Het IBM Cost of a Data Breach Report 2025 schat de kosten per incident op $5,56 miljoen — het op één na hoogste van alle sectoren.

3. Shadow AI is nu de belangrijkste risicofactor.

Ongeveer 20% van de AI-gerelateerde datalekken in 2025 was te herleiden tot shadow AI — niet-goedgekeurde AI-tools buiten governance-programma’s om. 92% van de organisaties geeft aan dat GenAI het delen van informatie door medewerkers heeft veranderd, maar slechts 13% heeft AI geïntegreerd in hun beveiligingsstrategie. Die 92-op-13-verhouding is de dataverlieskloof die shadow AI creëert: het gedrag is veranderd op medewerkersniveau; AI-governance is niet veranderd op institutioneel niveau.

4. Deepfake-fraude is de nieuwe wire transfer-scam.

59% van de organisaties heeft deepfake-aanvallen meegemaakt en 97% meldt enige vorm van schade door AI-gegenereerde desinformatie. Het Thales Data Threat Report 2026 documenteert dat 77% van de respondenten een toename van cyberfraude ziet. Voice-authenticatie, video-KYC en documentauthenticatie zijn gebaseerd op aannames die deepfakes ongeldig maken — en de financiële sector is de sector waar deepfake-fraude de hoogste opbrengst per aanval oplevert.

5. Derdenrisico is de onbetaalde rekening.

Compromittering van de toeleveringsketen via leveranciers die transactiedata verwerken neemt toe, net als shadow AI en deepfake-fraude. Het Black Kite 2026 Third-Party Breach Report documenteerde een mediane meldingsvertraging van 73 dagen en 26.000 niet-genoemde getroffen bedrijven in 2025. Elke integratie van derden — analytics SaaS, fraudedetectiepartner, uitbestede verwerker — is nu een kandidaat voor vendor governance review, niet alleen een contractuele formaliteit.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Shadow AI is het snelst groeiende blinde vlek in de financiële sector

Shadow AI gedraagt zich in de financiële sector precies zoals shadow IT tien jaar geleden deed. Het begint als productiviteitsexperiment, schaalt via peer-adoptie en wordt een kanaal voor data-exfiltratie voordat beveiligingsteams het doorhebben.

De blootstelling van de sector is structureel. Fraudeteams gebruiken AI om transactiepatronen te correleren. Klantenserviceteams gebruiken AI om antwoorden op te stellen. Analyticsteams gebruiken AI om samenvattingen te genereren. Elk gebruik is op zichzelf verdedigbaar. Maar geaggregeerd over duizenden medewerkers en tientallen workflows ontstaat een ongecontroleerde stroom van gevoelige financiële data naar AI-diensten van derden.

Volgens het DTEX 2026 Insider Threat Report is shadow AI nu de belangrijkste oorzaak van nalatige insider-incidenten — nog vóór ongecontroleerde bestandsoverdracht en persoonlijk webmailgebruik. 92% van de organisaties zegt dat generatieve AI fundamenteel heeft veranderd hoe medewerkers informatie benaderen en delen, maar slechts 13% heeft AI formeel geïntegreerd in hun bedrijfsstrategie. Die kloof — 92% versus 13% — is het shadow AI-probleem in één verhouding. Het gedrag is veranderd op medewerkersniveau. Governance is niet veranderd op institutioneel niveau.

De financiële impact is meetbaar. Het IBM Cost of a Data Breach Report 2025 stelt dat shadow AI ongeveer $670.000 toevoegt aan de gemiddelde kosten van een datalek, en 97% van de organisaties met een AI-gerelateerd datalek had geen goede AI-toegangscontroles. Het rapport voor de financiële sector schat shadow AI op ongeveer 20% van alle AI-gerelateerde datalekken — en de financiële sector zit consequent boven het gemiddelde qua AI-adoptie.

Deepfakes ondermijnen de controles die banken decennia geleden hebben gebouwd

Voice-cloning, synthetische video’s en AI-vervalste documenten zijn nu operationele tools in het arsenaal van aanvallers — geen onderzoeksdemonstraties meer.

Het Thales Data Threat Report 2026 meldt dat 59% van de organisaties deepfake-aanvallen heeft meegemaakt en 97% enige vorm van schade heeft ervaren door AI-gegenereerde desinformatie, waaronder business email compromise en merkimitatie. Het WEF Global Cybersecurity Outlook 2026 documenteert dat 77% van de respondenten een toename van cyberfraude meldt, met phishing, betaalfraude en identiteitsdiefstal als de drie belangrijkste categorieën.

De hoogwaardige transactiecontroles van de sector — voice-verificatie, video-KYC, documentauthenticatie — zijn gebaseerd op aannames die deepfakes ongeldig maken. Voice-authenticatie ging ervan uit dat een aanvaller niet op commando de stem van de klant kon produceren. Video-identiteitsverificatie ging ervan uit dat visuele inspectie vervalsingen kon herkennen. Documentauthenticatie ging ervan uit dat synthetische documenten detecteerbare artefacten zouden bevatten. AI laat die artefacten verdwijnen — en de financiële sector is het doelwit waar deepfake-fraude de hoogste opbrengst per aanval oplevert.

Compromittering van de toeleveringsketen is de stille derde vector

Het Black Kite 2026 Third-Party Breach Report documenteerde 136 geverifieerde datalekken bij derden, 719 genoemde slachtoffers en circa 26.000 niet-genoemde getroffen bedrijven in 2025. De mediane meldingsvertraging was 73 dagen — wat betekent dat tegen de tijd dat de primaire organisatie ontdekt dat een leverancier is gehackt, aanvallers al meer dan twee maanden in de datasupply chain zitten.

Het Vercel-incident dat op 21 april 2026 werd gemeld, illustreert het patroon precies. Een medewerker gebruikte een AI-productiviteitstool van derden die was gecompromitteerd. De aanvaller bewoog zich van de tool naar de interne systemen van Vercel via de toegang die de medewerker had verleend. De financiële sector zit vol met dit soort integratiepaden — elke analytics SaaS, elke fraudedetectiepartner, elke uitbestede dienstverlener is een potentieel aanvalspunt in de bankomgeving.

Het CrowdStrike 2026 Global Threat Report documenteert dat tegenstanders systematisch softwareleveranciers, update-pijplijnen en SaaS-integraties compromitteren om klantdata te bereiken via vertrouwde kanalen. Voor de financiële sector betekent dit dat risicobeheer van derden nu een discipline voor gegevensbeheer is — niet alleen een contractuele formaliteit.

Waarom de reguleringsdruk in de financiële sector zowel een last als een voordeel is

Het Kiteworks 2025 Data Forms Report stelt dat financiële organisaties onder een van de strengste compliance-regimes opereren: 98% moet voldoen aan de GDPR, 90% aan PCI DSS, 62% aan CCPA/CPRA, 52% aan SOX en 41% aan privacywetgeving op staatsniveau.

De regelgevingsdichtheid is een last — het verhoogt compliancekosten en auditdruk. Maar het is ook een voordeel in het AI-governance-debat, want elke bestaande financiële regelgeving specificeert al vereiste voor data-toegangscontrole, audittrail, encryptie en minimaal noodzakelijke toegang. Geen enkele bevat een uitzondering voor AI-agenten, shadow AI of deepfake-fraude.

Het compliance-framework is al geschreven. Wat ontbreekt is de controlearchitectuur die het operationaliseert voor data-uitwisseling in het AI-tijdperk. Volgens het Kiteworks 2026 Forecast Report kan 63% van de organisaties geen doeleindebeperking afdwingen op AI-agenten en kan 60% een ontspoorde agent niet beëindigen. In de financiële sector vertaalt die kloof zich direct naar reguleringsrisico onder GDPR Artikel 32, PCI DSS Vereiste 7 en SOX interne controles.

De Kiteworks-aanpak: Gecontroleerde data-uitwisseling voor de financiële sector

Het Kiteworks Private Data Network adresseert de drie vectoren die het financiële cyberrisico hervormen via een governance-architectuur op dataniveau die aansluit op bestaande financiële regelgeving.

Shadow AI indammen via gecontroleerde toegang. AI-interacties met gereguleerde financiële data verlopen via de Kiteworks AI Data Gateway, die op attributen gebaseerde toegangscontrole afdwingt op het moment van data-opvraag. Medewerkers die niet-goedgekeurde AI-tools gebruiken, staan voor een structurele keuze: werken met data die door de organisatie is goedgekeurd voor AI-gebruik, of werken zonder deze data. Data-uitstroom naar willekeurige AI-diensten wordt architectonisch voorkomen in plaats van alleen beleidsmatig verboden.

Data-uitwisseling met derden onder één beleid. Elke communicatie met leveranciers, partners en klanten — bestandsoverdracht, SFTP, MFT, e-mail, webformulieren of API — valt onder één beleidssysteem met manipulatieresistente audittrail. Bij het volgende incident in de toeleveringsketen kan een financiële instelling de impact binnen enkele minuten bepalen. Dit verkort de mediane meldingsvertraging van 73 dagen die het Black Kite-rapport identificeerde.

Audittrail van bewijskwaliteit voor reguleringsverantwoording. Elke data-uitwisselingsactie genereert onveranderlijke logs die geschikt zijn voor SOX Section 404 interne controles, PCI DSS Vereiste 10 logging en GDPR Artikel 30 verwerkingsregisters. Voorgebouwde compliance-dashboards voor GDPR, HIPAA en PCI DSS verkorten de auditvoorbereiding van weken naar uren.

Deepfake-bestendige workflows voor waardevolle transacties. Beveiligde data-uitwisseling voor waardevolle transacties — contractondertekening, wire-autorisatie, levering van klantdocumenten — verloopt via geauthenticeerde, versleutelde, gecontroleerde kanalen. De deepfake die voice-verificatie omzeilt, moet alsnog kanaal-authenticatie doorbreken, wat aanzienlijk lastiger is.

Wat financiële organisaties nu moeten doen

Ten eerste, voer een shadow AI-detectieprogramma uit. Netwerkscans, analyse van SaaS-uitgaven, controle van declaraties en analyse van e-mailmetadata brengen niet-goedgekeurde AI-tools aan het licht. Het DTEX 2026-rapport toont aan dat alleen het blokkeren van populaire AI-tools niet werkt — gebruikers stappen over op alternatieven. Inventarisatie is stap één; gecontroleerde vervanging is stap twee.

Ten tweede, integreer AI-toegang in bestaande frameworks voor risicobeheer van derden en modelrisicobeheer. Elke AI-tool die de organisatie gebruikt of toestaat, is nu een derde partij onder leveranciersrisicostandaarden. De frameworks bestaan al — pas ze toe op AI.

Ten derde, moderniseer authenticatie van waardevolle transacties tegen deepfake-bedreigingen. Voice-verificatie, video-KYC en documentauthenticatie vereisen allemaal een update van de aannames. Het Thales-rapport 2026 documenteert wijdverspreide deepfake-incidenten — deepfake-bestendige authenticatie is een verplichting voor het huidige kwartaal.

Ten vierde, consolideer data-uitwisseling met derden op één governanceplatform met uniforme audittrail. Elke leveranciersintegratie is een potentieel aanvalspad in de toeleveringsketen. Een uniforme audittrail verkort de detectietijd en ondersteunt reguleringsrapportage tegelijk.

Ten vijfde, koppel AI-governance-lacunes aan specifieke reguleringsverplichtingen om urgentie bij het management te creëren. Elke lacune correspondeert met een specifiek risico op een bevinding onder GDPR, PCI DSS, SOX of privacywetgeving op staatsniveau. Managementaandacht volgt sneller op reguleringsrisico dan op dreigingsrapportages.

Ten zesde, behandel het AI-governanceprogramma als een competitief voordeel, niet alleen als een compliance-verplichting. Financiële instellingen die gecontroleerde AI kunnen aantonen aan klanten, tegenpartijen en toezichthouders winnen marktaandeel van organisaties die dat niet kunnen. McKinsey-onderzoek aangehaald in sectoranalyses toont aan dat ondernemingen met volwassen AI-governance 45% minder beveiligingsincidenten ervaren — dat is een prestatie-uitkomst, niet alleen een compliance-uitkomst.

De financiële sector heeft er niet voor gekozen om de testcase voor AI-governance te zijn. De sector werd het omdat ze de data beheert, onder de regelgeving valt en het snelst innoveert. De sector die de test succesvol doorstaat, bepaalt hoe gecontroleerde AI eruitziet voor de rest van de economie.

Veelgestelde vragen

De gemiddelde kosten van $5,56 miljoen per datalek weerspiegelen de concentratie van waardevolle doelwitten in de sector: 90% van de financiële organisaties verzamelt financiële gegevens, 83% verwerkt betaalkaartinformatie en 79% slaat inloggegevens op — allemaal data die hoge prijzen opleveren en zware boetes bij overtreding van regelgeving veroorzaken. Het IBM Cost of a Data Breach Report 2025 bevestigt dat de financiële sector op de tweede plaats staat qua kosten, waarbij boetes onder GDPR, PCI DSS en privacywetgeving op staatsniveau de directe diefstalschade vergroten.

Shadow AI omvat elke AI-tool die wordt gebruikt zonder formele goedkeuring vanuit governance: publieke LLM-chatbots voor het samenvatten van documenten, AI-browserextensies die context vasthouden, AI-productiviteitstools van derden met toegang tot bedrijfsomgevingen en AI-functionaliteit in SaaS-applicaties die niet is beoordeeld tijdens inkoop. Het DTEX 2026 Insider Threat Report noemt shadow AI de belangrijkste oorzaak van nalatige insider-incidenten — en daarmee een primair dataverlieskanaal in gereguleerde omgevingen.

Aanvallers gebruiken AI-gegenereerde voice-cloning om voice-verificatie bij waardevolle transacties te omzeilen, synthetische video om video-KYC-processen te misleiden en AI-vervalste documenten om frauduleuze wire transfer-autorisaties te ondersteunen. Het Thales-rapport 2026 vond dat 59% van de organisaties deepfake-aanvallen heeft gezien. De financiële sector is buitenproportioneel doelwit omdat de opbrengst per aanval — frauduleuze overboekingen, ongeautoriseerde leningen — hier het hoogst is.

Alle bestaande financiële regelgeving is van toepassing op AI-systemen die toegang hebben tot gereguleerde data. 98% van de financiële organisaties valt onder de GDPR, 90% onder PCI DSS en 52% onder SOX volgens het Kiteworks 2025 Data Forms Report. Geen enkele bevat uitzonderingen voor AI. Governance-lacunes — 63% kan geen doeleindebeperking afdwingen voor agenten — leiden direct tot bevindingen onder Artikel 32, Vereiste 7 en SOX interne controles.

Fase één — shadow AI-detectie, inventarisatie en classificatie van AI-tools als niet-menselijke insiders — is doorgaans binnen vier tot acht weken afgerond. Fase twee — gecontroleerde AI-data-toegang via een governanceplatform op dataniveau zoals de Kiteworks AI Data Gateway — vergt meestal drie tot zes maanden. Organisaties met volwassen AI-governance lossen datalekken gemiddeld 70 dagen sneller op volgens het 2026 Forecast Report, waarmee de investering zowel risicobeperkend als kostenverlagend werkt.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Veelgestelde vragen

De sector verwerkt de data waar aanvallers het meest op uit zijn, opereert onder de strengste regelgeving en was het snelst met de inzet van AI in klantgerichte en backoffice-processen. Daarmee is het de proeftuin waar AI-governance als eerste slaagt of faalt.

Shadow AI verwijst naar niet-goedgekeurde AI-tools die buiten governance-programma’s worden gebruikt. Het is verantwoordelijk voor circa 20% van de AI-gerelateerde datalekken en verhoogt de gemiddelde kosten van een datalek met ongeveer $670.000, waarbij 97% van de organisaties met een AI-gerelateerd datalek geen goede AI-toegangscontroles had.

Voice-cloning omzeilt voice-verificatie, synthetische video ondermijnt video-KYC en AI-vervalste documenten maken documentauthenticatie onbetrouwbaar. 59% van de organisaties heeft deepfake-aanvallen meegemaakt en de financiële sector loopt het hoogste risico op opbrengst per aanval door deze bedreigingen.

Voer een shadow AI-detectieprogramma uit, integreer AI-toegang in frameworks voor risicobeheer van derden en modelrisicobeheer, moderniseer authenticatie van waardevolle transacties, consolideer data-uitwisseling met derden onder één governanceplatform en koppel AI-governance-lacunes aan specifieke reguleringsverplichtingen zoals GDPR, PCI DSS en SOX.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks