Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > De AI-beleidskloof: 90% gebruikt AI terwijl 25% geen regels heeft
De AI-beleidskloof: 90% gebruikt AI terwijl 25% geen regels heeft

De AI-beleidskloof: 90% gebruikt AI terwijl 25% geen regels heeft

by Patrick Spencer updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

De ISACA 2026 AI Pulse Poll ondervroeg 3.400 digital trust-professionals in IT-audit, governance, cyberbeveiliging, privacy en opkomende technologieën. Drie cijfers vertellen een verhaal dat de meeste securityleiders al kennen, maar nog niet in cijfers aan hun bestuur hebben gepresenteerd: 90% zegt dat medewerkers AI-tools gebruiken. Slechts 38% heeft een formeel, allesomvattend AI-beleid. Vijfentwintig procent heeft helemaal geen AI-beleid.

Zoals Infosecurity Magazine meldde, heeft deze kloof het voorspelbare resultaat opgeleverd: de opkomst van shadow AI, waarbij medewerkers tools zoals LLM’s gebruiken om hun dagelijkse werk te ondersteunen en daarbij gevoelige bedrijfsinformatie stilletjes via systemen sturen die door niemand binnen security zijn goedgekeurd of gecontroleerd. De poll bracht iets zorgwekkenders aan het licht: slechts 38% van de professionals heeft vertrouwen dat hun bestuur AI-risico begrijpt. De mensen die het probleem normaal gesproken zouden escaleren, weten niet zeker of degenen aan wie ze het rapporteren, begrijpen wat ze bedoelen.

5 Belangrijkste Inzichten

1. De AI-beleidskloof is nu concreet.

De ISACA 2026 AI Pulse Poll onder 3.400 digital trust-professionals laat zien dat 90% aangeeft dat medewerkers AI-tools gebruiken, terwijl slechts 38% een formeel, allesomvattend AI-beleid heeft en 25% helemaal geen beleid. Die stijging van tien procentpunten ten opzichte van 28% in 2025 lijkt vooruitgang, totdat je het vergelijkt met de adoptiecurve — het gebruik van AI groeide sneller dan het beleid, waardoor het verschil groter werd. Organisaties zonder beleid zijn geen uitzondering. Ze vormen één op de vier.

2. Beleid op papier is geen handhaving op het dataniveau.

Een geschreven document over acceptabel gebruik voorkomt niet dat iemand om 23.00 uur klantgegevens in een publieke LLM plakt. Controls moeten daar zijn waar de data zich bevindt. De Kiteworks 2026 Forecast laat zien dat 63% van de organisaties geen beperkingen op het doel van AI-agenten kan afdwingen en 60% een niet-correct functionerende agent niet kan beëindigen. Dit zijn tekortkomingen in de control-plane — geen beleidsfouten. AI-governance zonder handhaving tijdens runtime is een streven, geen naleving.

3. Shadow AI is nu de duurste insidercategorie.

Het 2026 Cost of Insider Risks Global Report noemt shadow AI de belangrijkste oorzaak van nalatige incidenten — de categorie die organisaties jaarlijks $10,3 miljoen kost en verantwoordelijk is voor 53% van de totale kosten van insider risk. 92% van de organisaties zegt dat generatieve AI de manier waarop medewerkers informatie delen heeft veranderd; slechts 13% heeft AI formeel geïntegreerd in hun bedrijfsstrategie. Die kloof van 79 procentpunten tussen gedragsverandering en strategische reactie is het dataverliesoppervlak waar shadow AI van profiteert.

4. Het bestuur weet niet wat het niet ziet.

Slechts 38% van de professionals heeft vertrouwen dat hun bestuur AI-risico begrijpt. De Kiteworks 2026 Forecast laat zien dat 54% van de besturen niet betrokken is bij AI-governance, en deze organisaties lopen 26 tot 28 punten achter op elk AI-volwassenheidscriterium — de sterkste correlatie in het onderzoek. Het shadow AI-probleem is een symptoom. De oorzaak is een disconnectie in governance aan de top, en geen enkel beleid op toetsenbordniveau dicht die kloof.

5. De oplossing is architectonisch, niet ambitieus.

Governance op dataniveau met op attributen gebaseerde toegangscontrole, handhaving op inhoudsniveau en niet-manipuleerbare audit logs regelt AI-toegang zonder afhankelijk te zijn van gebruikersgedrag. Als de AI-tool de gereguleerde inhoud niet kan lezen, maakt het plakken niet uit. Als de AI-agent zijn toegestane doel niet kan overschrijden, maakt een ongewenste prompt niet uit. Beleid dat op dataniveau wordt afgedwongen, is het enige beleid dat de 90/38/25-kloof dicht.

Je vertrouwt erop dat jouw organisatie veilig is. Maar kun je het verifiëren?

Lees nu

Shadow AI is nu al de duurste insidercategorie

Het 2026 Cost of Insider Risks Global Report van DTEX en Ponemon noemt shadow AI de belangrijkste oorzaak van nalatige insider-incidenten — de categorie die organisaties gemiddeld $10,3 miljoen per jaar kost en verantwoordelijk is voor 53% van de totale kosten van insider risk. De gemiddelde jaarlijkse kosten van insider risk zijn gestegen naar $19,5 miljoen, tegenover $17,4 miljoen in 2024. 26% van de MFT-operators heeft al incidenten meegemaakt waarbij data werd blootgesteld via AI-tools, volgens het Kiteworks 2025 MFT Survey Report.

De data van DTEX/Ponemon is duidelijk over de oorzaak: de belangrijkste drijfveer zijn goedbedoelende medewerkers die optimaliseren voor snelheid in complexe workflows. Een governance-strategie die zich vooral richt op het detecteren van kwaadwillende insiders, mist het daadwerkelijke datalekoppervlak volledig. De 92-tot-13-kloof tussen gedragsverandering en strategische reactie is waar de 90/38/25-triade zich bevindt.

Beleid op papier stopt geen plakactie om 23.00 uur

Stel je het meest gedisciplineerde acceptabel-gebruikbeleid voor dat je juridische team kan opstellen. Stel je nu een accountmanager voor aan het einde van het kwartaal, die een klantcontract van 30 pagina’s samenvat voor een bestuurscall om 8 uur ’s ochtends. Het beleid zegt: “plak geen klantinformatie in publieke AI-tools.” De accountmanager heeft negen uur, een concept om te schrijven, en ChatGPT open in het volgende tabblad. Het beleid stopt het plakken niet. Het beleid is een document. Het plakken is een runtime-gebeurtenis.

Zonder controls op dataniveau — waar het klantrecord daadwerkelijk staat — is er niets tussen intentie en exfiltratie. Dit noemt de Kiteworks 2026 Forecast de containment gap. 63% van de organisaties kan geen beperkingen op het doel van AI-agenten afdwingen. 60% kan een niet-correct functionerende agent niet snel beëindigen. 55% kan AI-systemen niet isoleren van het bredere netwerk. Dit zijn tekortkomingen in de control-plane, geen beleidsfouten. Geschreven beleid en handhaving tijdens runtime zijn niet hetzelfde, en toezichthouders controleren steeds vaker op dit verschil.

De blinde vlek van het bestuur vergroot elke andere kloof

De bevinding van ISACA dat slechts 38% van de professionals vertrouwen heeft dat hun bestuur AI-risico begrijpt, is geen zachte statistiek — het is de sterkste voorspeller van hoe ver een organisatie daadwerkelijk achterloopt. De Kiteworks 2026 Forecast laat zien dat 54% van de besturen niet betrokken is bij AI-governance, en deze organisaties lopen 26 tot 28 punten achter op elk AI-volwassenheidscriterium. Dat is de sterkste correlatie in het onderzoek.

Dit is belangrijk omdat AI-governance een fiduciaire kwestie is, geen technologisch probleem. De belangrijkste toepassingsdatum van de EU AI-wet is 2 augustus 2026. Het NIST AI Risicobeheer Framework blijft zich ontwikkelen. AI-wetten op staatsniveau stapelen zich op. Elk framework vereist niet alleen beleid, maar bewijs — tijdgestempeld, exporteerbaar, verdedigbaar bewijs van hoe AI-systemen zich in de praktijk hebben gedragen. Besturen die niet zijn geïnformeerd, kunnen het risico niet onderschrijven. Auditcommissies die geen AI-controlmap kunnen lezen, kunnen de 10-K-verklaring erover niet ondertekenen. De beleidskloof op toetsenbordniveau dichten werkt niet als het bestuur niet betrokken is bij wat die beleidsregels moeten afdwingen, welk bewijs ze moeten opleveren en welke investeringen ze vereisen.

Het architectonische antwoord: governance op dataniveau, geen hoop op gedrag

De oplossing is niet meer training. Training is noodzakelijk, maar het is de derde verdedigingslinie, niet de eerste. De eerste linie is architectuur. Drie eigenschappen kenmerken governance die werkt.

Op attributen gebaseerde toegangscontrole bij elk AI-verzoek. De beleidsbeslissing houdt rekening met gebruikersidentiteit, agentidentiteit, dataclassificatie, doel en context — bij elke bewerking, niet alleen bij het begin van een sessie. Wanneer de AI-tool de gereguleerde inhoud niet kan lezen, maakt het plakken niet uit.

Encryptie op inhoudsniveau die met de data meereist. Afgeleide kopieën blijven onder governance, zelfs als ze het originele systeem verlaten. De “plakactie om 23.00 uur” wordt op architectuurniveau voorkomen, niet door te hopen dat medewerkers het beleidsdocument lezen.

Onveranderlijke audit logs voor elke AI-interactie met gereguleerde inhoud. Bewijskwaliteit, niet-manipuleerbaar en geïntegreerd met bestaande SIEM– en compliance-infrastructuur. Beleid op dataniveau is afgedwongen beleid — en levert de artefacten die toezichthouders steeds vaker eisen als bewijs van handhaving.

Hoe Kiteworks de kloof tussen beleid en handhaving dicht

De Kiteworks Secure MCP Server en AI Data Gateway handhaven governance over AI-agenttoegang op het dataniveau in plaats van op model- of promptniveau. Toepassingen met grote taalmodellen interacteren met Kiteworks onder op attributen gebaseerde en rolgebaseerde toegangscontrole, waarbij elke bewerking wordt geëvalueerd door de Data Policy Engine en elke interactie wordt vastgelegd in een uitgebreide audit log. AI-agenten erven de autorisatiescope van de geauthenticeerde gebruiker — ze kunnen deze niet overschrijden. Een kwaadaardige prompt, een verkeerd geconfigureerde agent of een goedbedoelde plakactie van een medewerker stuiten allemaal op dezelfde handhaving.

Kiteworks SafeEDIT pakt het scenario van de plakactie om 23.00 uur architectonisch aan: gebruikers — inclusief externe partijen — bewerken een document binnen de beveiligde Kiteworks-omgeving zonder ooit het bestand in bezit te hebben. De inhoud kan niet worden gedownload naar een lokale AI-tool, gekopieerd naar een publieke LLM-prompt of buiten de beveiligde perimeter komen. Het Kiteworks Private Data Network breidt deze governance uit naar e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één policy engine en één geconsolideerde audit log — en levert de bewijskwaliteitsartefacten die de EU AI-wet en het NIST AI RMF vereisen. 33% van de organisaties kan deze artefacten vandaag nog niet leveren, volgens de Kiteworks 2026 Forecast.

Wat te doen vóór de volgende auditcyclus

Ten eerste, voer een realiteitscheck uit op je AI-beleid ten opzichte van de ISACA 90/38/25-benchmark. Documenteer de werkelijke positie van je organisatie — geen beleid, beperkt beleid of allesomvattend beleid — eerlijk en schriftelijk vóór de volgende auditcommissie. Dat document is het startpunt voor het gesprek met het bestuur.

Ten tweede, inventariseer de AI-tools die daadwerkelijk in gebruik zijn, niet alleen de tools die je hebt goedgekeurd. De Kiteworks 2026 Forecast laat zien dat 100% van de organisaties AI op de roadmap voor 2026 heeft staan, maar governance loopt 15 tot 20 punten achter op elk containmentcriterium. Browsertelemetrie, EDR en DLP kunnen binnen een week een reële inventarisatie opleveren.

Ten derde, scheid beleidsartefacten van handhavingsartefacten. Een beleidsdocument is geen control — een control is wat een toezichthouder kan controleren. Koppel elke AI-beleidsclausule aan een specifiek runtime-handhavingsmechanisme en een specifieke bewijsstroom. 33% van de organisaties mist bewijskwaliteit audit logs voor AI-activiteiten, wat betekent dat twee derde geen handhaving kan aantonen bij controle.

Ten vierde, informeer het bestuur met de 90/38/25-statistiek en de positie van je organisatie ten opzichte hiervan. Kader AI-governance als een fiduciaire verantwoordelijkheid gekoppeld aan de handhaving van de EU AI-wet, de verwachtingen van het NIST AI RMF en AI-wetten op staatsniveau. Besturen reageren op specifieke blootstelling, niet op abstracte risico’s.

Ten vijfde, verplaats governance van het promptniveau naar het dataniveau. Promptfilters en model-guardrails zijn te omzeilen — ISACA’s eigen whitepaper laat zien dat guardrails noch universeel noch waterdicht zijn. Governance op dataniveau, met op attributen gebaseerde toegangscontrole en encryptie op inhoudsniveau, is niet afhankelijk van correct gedrag van het model.

Wil je meer weten over het beheren van gevoelige data in een AI-gedreven organisatie? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Een geschreven beleid is documentatie, geen handhaving. Toezichthouders die AI-controls beoordelen, eisen steeds vaker bewijs van handhaving tijdens runtime — bewijs van wat het systeem daadwerkelijk heeft gedaan. De Kiteworks 2026 Forecast laat zien dat 33% van de organisaties geen bewijskwaliteit audit logs heeft. Zonder deze logs is een acceptabel-gebruikbeleid niet te bewijzen bij controle, ongeacht hoe goed het is opgesteld. Organisaties in de financiële sector krijgen daarnaast te maken met parallel toezicht onder SEC-, FINRA- en FFIEC-frameworks — die allemaal bewijs eisen, geen documentatie.

Shadow AI zorgt voor HIPAA-risico omdat elke AI-interactie met PHI een potentiële openbaarmaking aan een onbevoegde derde partij is. De handhavingsnorm van HIPAA is niet of de openbaarmaking opzettelijk was, maar of er redelijke waarborgen waren. Een beleid zonder handhaving op dataniveau voldoet niet aan die norm. Het 2026 Cost of Insider Risks Global Report noemt shadow AI de belangrijkste oorzaak van nalatige incidenten — de categorie waarop HIPAA-boetes zich het meest richten.

Begin met de ISACA 2026 AI Pulse Poll: 90% van de medewerkers gebruikt AI, 38% heeft een allesomvattend beleid en slechts 38% van de professionals heeft vertrouwen dat hun bestuur AI-risico begrijpt. Koppel dit aan de positie van je organisatie ten opzichte van de benchmark. Kader AI-governance als een fiduciaire verantwoordelijkheid gekoppeld aan de EU AI-wet (augustus 2026) en opkomende AI-wetten op staatsniveau. Besturen reageren op concrete blootstelling en compliance-deadlines, niet op abstracte risicobriefings.

CMMC Level 2 AC-, AU- en IA-families vereisen afgedwongen autorisatie voor elke toegang tot CUI — inclusief toegang door AI-agenten. De Kiteworks 2026 Forecast laat zien dat 63% van de organisaties geen beperkingen op het doel van AI-agenten kan afdwingen. Op attributen gebaseerde toegangscontrole op dataniveau voldoet tegelijkertijd aan de AC-, AU- en IA-vereiste en levert het audittrailevidence dat assessoren eisen.

Begin met architectuur, niet met verbod. Zet governance op dataniveau in waarmee geautoriseerd AI-gebruik op geautoriseerde data mogelijk is, terwijl ongeautoriseerde combinaties worden geblokkeerd. 100% van de organisaties heeft AI op de roadmap voor 2026 — het doel is gereguleerd mogelijk maken, niet algemene beperking. Op attributen gebaseerde toegangscontrole, content-level DRM via de AI Data Gateway en onveranderlijke audit logs zorgen dat governance meegroeit met adoptie in plaats van deze te belemmeren.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks