Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Interne gegevens zijn het meest gestolen bezit. Uw medewerkers exporteren deze vrijwillig.
Interne gegevens zijn het meest gestolen bezit. Uw medewerkers exporteren deze vrijwillig.

Interne gegevens zijn het meest gestolen bezit. Uw medewerkers exporteren deze vrijwillig.

by Patrick Spencer updated mei 29, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

De 2026 DBIR bevat een zin die in elke board-level risicovergadering geciteerd zou moeten worden: “Intern betekent meestal e-mails, plannen en rapporten — het soort materiaal dat je zou verwachten te vinden zodra een aanvaller binnenkomt via gestolen inloggegevens of een niet-gepatchte kwetsbaarheid.” Interne data kwam voor in 67% van de datalekken. Inloggegevens in 28%. Persoonlijke data in 23%.

De meeste enterprise data security-programma’s zijn opgebouwd rond gereguleerde categorieën — PII voor privacywetgeving, PHI voor HIPAA, betalingskaartgegevens voor PCI DSS, CUI voor CMMC. Die categorieën verdienen de bescherming die ze krijgen. Maar de compliance-druk weerspiegelt niet de werkelijke voorkeur van aanvallers. Interne data op 67% is ongeveer drie keer zoveel als het cijfer voor persoonlijke data — toch richten de meeste enterprise programma’s het merendeel van hun classificatie-, encryptie-, monitoring- en DLP-investeringen op de persoonlijke-datazijde van die verhouding. Strategische plannen, M&A-documentatie, prijsmodellen, technische specificaties, directiecorrespondentie, board-materialen, financiële prognoses — deze worden doorgaans geregeld door ad-hoc maprechten en ad-hoc deelbeslissingen, niet door content-bewuste beleidsafdwinging.

5 Belangrijkste Inzichten

1. Interne data is met afstand het meest gestolen bezit.

De 2026 Verizon DBIR vond dat interne data — e-mails, plannen en rapporten — werd gecompromitteerd in 67% van de datalekken. Inloggegevens kwamen voor in 28%, persoonlijke data in 23%. Het meest gestolen bezit zijn niet klantgegevens of betalingskaartdata. Het is de werkende inhoud van de organisatie: strategiedocumenten, contracten in onderhandeling, competitieve intelligence, technische specificaties, board-materialen. De categorie die de meeste organisaties ondergeclassificeerd hebben, is de categorie die het vaakst wordt gestolen.

2. Dezelfde inhoud stroomt vóór het datalek AI-tools in.

Uit 858.440 DLP-events gericht op AI-diensten bleek dat broncode het meest geüploade datatype was, gevolgd door gestructureerde data en onderzoeks- en technische documentatie. De data waar aanvallers post-datalek op uit zijn, is dezelfde data die medewerkers vrijwillig pre-datalek exporteren naar ongereguleerde AI-diensten. Beide stromen weerspiegelen hetzelfde governance-gat, bekeken vanuit twee richtingen.

3. Gemak is nu het dominante motief van insiders.

60% van de kwaadwillende insider-datalekken in het 2026 DBIR Privilege Misuse-patroon werd gedreven door gemak — medewerkers die hun werk buiten het beleid om proberen te doen. Geen kwaadwillendheid; maar wrijving. Shadow AI weerspiegelt precies dit motivatieprofiel. Beleid gebaseerd op verbod blijft falen. Beleid gebaseerd op goedgekeurde alternatieven die aansluiten bij de werkpraktijk van medewerkers, slaagt waar verbod faalt.

4. Beide stromen beschrijven hetzelfde governance-gat.

De data die aanvallers post-datalek buitmaken, is dezelfde data die medewerkers vrijwillig pre-datalek naar AI-diensten sturen. Beide stromen ontsnappen aan dezelfde AI-governance-laag die hen zou moeten reguleren. Slechts 33% van de organisaties heeft volledig inzicht in waar hun gevoelige data zich bevindt volgens het 2026 Thales Data Threat Report — je kunt de stromen die je niet kunt lokaliseren niet reguleren.

5. De architectuur die beide stromen afsluit, is dezelfde.

Content-bewuste beleidsafdwinging op het data layer, gereguleerde AI-toegang via enterprise-kanalen, en manipulatiebestendige audit logs van elke interactie. Wanneer dezelfde policy engine elk data access-verzoek reguleert — mens, aanvaller via gestolen inloggegevens, AI-agent — worden beide vectoren door één architectuur aangepakt.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

De 858.440 DLP-events: Het Pre-Datalek Beeld

Dezelfde inhoudscategorieën die post-datalek domineren, zijn de categorieën die medewerkers vrijwillig naar AI-diensten sturen die de organisatie niet beheert. De 2026 DBIR analyseerde 858.440 DLP-events met uploads naar generatieve AI-tools. Broncode stond met afstand bovenaan. Gestructureerde data volgde. In 3,2% van de beleidschendingen werd onderzoeks- en technische documentatie geüpload naar niet-goedgekeurde AI-systemen. Opmerking van Verizon: “alsof het uploaden van broncode niet genoeg was, loopt nu mogelijk intellectueel eigendom de deur uit.”

Regelmatig AI-gebruik op zakelijke apparaten bereikte 45% van de medewerkers, tegenover 15% het jaar ervoor. 67% van de gebruikers benadert AI vanaf niet-zakelijke accounts op hun zakelijke apparaten. Shadow AI is nu de derde meest voorkomende niet-kwaadwillende insider-actie in DLP-data — een verviervoudiging jaar-op-jaar. Het 2026 DTEX Insider Threat Report onderstreept het gat: 92% van de organisaties zegt dat generatieve AI het delen van informatie door medewerkers heeft veranderd, maar slechts 13% heeft AI geïntegreerd in hun formele insider threat-strategie. Het gedrag is op grote schaal veranderd. De governance niet.

Gemak is het meest onderschatte motief van insiders

Van de kwaadwillende insider-datalekken in het 2026 DBIR Privilege Misuse-patroon werd 60% gedreven door gemak. Voorbeeld van Verizon: “een medewerker wil thuiswerken en mailt bedrijfsdata naar een persoonlijk account.” Financiële motieven waren goed voor 33%. Spionage en andere motieven verdeelden de resterende 7%.

Het Shadow AI-patroon weerspiegelt precies dit motivatieprofiel. Een medewerker met een deadline plakt een contract in een publieke LLM om het samen te vatten voor een vergadering — niet om het aan een concurrent te verkopen, maar om het werk gedaan te krijgen. Het verbod dat faalt bij het persoonlijke e-mailaccount faalt om dezelfde structurele reden ook in het AI-geval. Security-leiders moeten het constructieve gevolg internaliseren: beleid gebaseerd op de aanname dat medewerkers zich aan beperkende controles houden als die hun werk vertragen, zal blijven falen. Beleid gebaseerd op goedgekeurde, gereguleerde alternatieven slaagt waar verbod faalt.

De asymmetrie tussen Threat Defense en AI Defense

De meeste organisaties investeren fors in verdediging tegen de aanvallerszijde — het CrowdStrike 2026 Global Threat Report meldt een stijging van 89% in AI-gedreven aanvallersactiviteit, zero-day-exploits, supply chain-patronen. Die investeringen zijn noodzakelijk. Maar ze beschermen slechts tegen de helft van het probleem.

De vrijwillige uitgaande stroom van interne data naar AI-diensten op persoonlijke accounts is grotendeels onbeschermd. De DLP-events zijn het zichtbare deel. Het onzichtbare deel is de data die vertrekt via browserextensies, AI-gedreven SaaS-plugins en agentic workflows die DLP helemaal niet activeren. De bevinding van het 2026 Thales Data Threat Report dat slechts 33% van de organisaties volledig inzicht heeft in waar hun gevoelige data zich bevindt, betekent dat geen van beide zijden van de asymmetrie volledig kan worden aangepakt. Hetzelfde onderliggende probleem — onvoldoende content-bewuste dataclassificatie en inventarisatie — beperkt beide verdedigingslijnen.

De architecturale reactie: één governance-laag, twee beschermde stromen

De architecturale reactie op het threat-side probleem en het AI-side probleem is dezelfde. Beide stromen grijpen naar dezelfde data via dezelfde kanalen. De verdediging die de ene afsluit, sluit de andere af als deze op het juiste niveau is gebouwd — content-bewuste beleidsafdwinging op het data layer in plaats van het netwerk- of applicatieniveau.

Wanneer een verzoek gevoelige inhoud bereikt — of het nu van een legitieme gebruiker, een aanvaller met gestolen inloggegevens, een AI-agent of een AI-dienst is waaraan een medewerker toegang heeft verleend — beoordeelt dezelfde policy engine het verzoek. Het verzoek wordt geauthenticeerd. Autorisatie wordt gecontroleerd op ABAC- en RBAC-controles. De actie wordt gelogd. Inhoud wordt geleverd, geanonimiseerd of geweigerd op basis van beleid, niet op basis van het kanaal waarmee het werd benaderd.

De Kiteworks Secure MCP Server biedt een gereguleerde brug voor AI-assistenten zoals Claude en Microsoft Copilot om te interacteren met enterprise data via het Model Context Protocol — OAuth 2.0-authenticatie, beleidsevaluatie bij elke operatie, manipulatiebestendige audit log van elke interactie. De AI Data Gateway breidt gereguleerde toegang uit naar RAG-pijplijnen en geautomatiseerde documentverwerking. Content-bewuste redactie en classificatie op het data layer maakt het mogelijk om een contractsamenvatting door AI te laten genereren zonder dat de volledige contractvoorwaarden het governance-perimeter verlaten.

Het Kiteworks Private Data Network breidt deze architectuur uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren, API’s en AI-integraties onder één policy engine en één geconsolideerde audit log. Het forensisch dossier dekt elke data access, ongeacht het kanaal — mens, AI, intern of derde partij — en levert het antwoord wanneer een incident wordt onderzocht.

Wat security- en risicoleiders nu moeten doen

Ten eerste, breid dataclassificatie uit voorbij gereguleerde categorieën. De meeste classificatieprogramma’s zijn gericht op PII, PHI, betalingskaartdata en CUI. De DBIR pleit voor het toevoegen van interne categorieën — strategische plannen, M&A-documentatie, technische specificaties, directiecorrespondentie, board-materialen, financiële prognoses — aan het classificatieregime. De categorie die aanvallers prioriteren, is de categorie die de meeste programma’s ondergeclassificeerd hebben.

Ten tweede, behandel Shadow AI als een content-control probleem, niet als een gebruikersgedragsprobleem. Beleid dat medewerkers vraagt geen niet-goedgekeurde AI-diensten te gebruiken, zal falen. Content-bewuste controles op het data layer slagen waar verbod faalt — door de data te reguleren, ongeacht via welk kanaal deze wordt benaderd.

Ten derde, bied goedgekeurde AI-toegangsroutes. 45% van de medewerkers gebruikt regelmatig AI op zakelijke apparaten — dat zal niet teruggedraaid worden. Organisaties die gereguleerde AI-toegang bieden via gevalideerde platforms met beleidsafdwinging en audittrail op het data layer, sturen Shadow AI naar gereguleerde kanalen.

Ten vierde, consolideer het auditdossier over alle data access-kanalen. Zowel aanvallersexfiltratie als AI-uploads van medewerkers vereisen hetzelfde forensische antwoord: welke data is verplaatst, door wie, wanneer, via welk kanaal. Het antwoord bestaat ofwel op één plek of moet over meerdere bronnen worden samengesteld.

Ten vijfde, behandel content-bewuste beleidsafdwinging als fundamenteel, niet als een premium DLP-feature. Beide stromen — datalek-exfiltratie en Shadow AI-export — worden aangepakt door hetzelfde architecturale patroon. Investeringen nu beschermen tegen beide vectoren naarmate ze zich verder ontwikkelen.

Meer weten over het beschermen van intellectueel eigendom en andere gevoelige data tegen AI-inname? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Interne data — e-mails, plannen, rapporten — was het meest gestolen type in 67% van de datalekken, drie keer zo vaak als persoonlijke data (23%). De meeste security-programma’s richten hun bescherming op gereguleerde categorieën omdat compliance dat vereist. De DBIR-data laat zien dat aanvallers andere prioriteiten hebben, en de categorie die de meeste organisaties ondergeclassificeerd hebben, is de categorie die het vaakst wordt gestolen.

858.440 DLP-events met AI-uploads, waarbij broncode, gestructureerde data en onderzoeksdocumentatie de belangrijkste categorieën zijn. 45% van de medewerkers gebruikt regelmatig AI op zakelijke apparaten (tegenover 15% het jaar ervoor); 67% gebruikt niet-zakelijke accounts. Shadow AI is nu de derde meest voorkomende niet-kwaadwillende insider-actie in DLP-data — interne data verlaat via deze kanalen op grote schaal de organisatie, vaak zonder dat er een DLP-event plaatsvindt.

Gedeeltelijk, maar steeds minder goed afgestemd. 60% van de kwaadwillende insider-datalekken in het 2026 Privilege Misuse-patroon werd gedreven door gemak, niet door kwaadwillendheid. Het Shadow AI-patroon weerspiegelt hetzelfde motivatieprofiel. Programma’s die primair zijn afgestemd op kwaadwillende actoren missen het dominante insider-risico — en op verbod gebaseerde beleidsmaatregelen die zijn ontworpen voor kwaadwillenden falen onder druk van gemak.

De 67% interne-data bevinding van de DBIR versus 23% persoonlijke data pleit daarvoor. Aanvallers stelen interne data drie keer zo vaak. Het uitbreiden van dataclassificatie naar strategische plannen, M&A-documentatie, technische specificaties en directiecorrespondentie — met dezelfde governance als PII en PHI — stemt bescherming af op de werkelijke voorkeur van aanvallers, niet alleen op wettelijke vereisten.

Het architecturale antwoord is hetzelfde voor beide stromen: content-bewuste beleidsafdwinging op het data layer, ABAC/RBAC toegepast op elk toegangsverzoek ongeacht het kanaal, OAuth 2.0-authenticatie voor AI-integraties en manipulatiebestendige audit logs die naar SIEM worden gestreamd. De Kiteworks Secure MCP Server en AI Data Gateway reguleren AI-data access via één laag die zowel aanvallersexfiltratie als Shadow AI-export gelijktijdig aanpakt.

Aanvullende bronnen

  • Blog Post Hoe klinische proefdata te beschermen in internationaal onderzoek
  • Blog Post De CLOUD Act en Britse gegevensbescherming: waarom rechtsbevoegdheid ertoe doet
  • Blog Post Zero Trust Data Protection: implementatiestrategieën voor betere beveiliging
  • Blog Post Data Protection by Design: hoe u GDPR-controls in uw MFT-programma opneemt
  • Blog Post Hoe u datalekken voorkomt met beveiligde bestandsoverdracht over de grens

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks