Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Het monitoren van AI-gedrag is niet hetzelfde als het beheren ervan
Het monitoren van AI-gedrag is niet hetzelfde als het beheren ervan

Het monitoren van AI-gedrag is niet hetzelfde als het beheren ervan

by Patrick Spencer updated juni 1, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Anthropic deed deze week een belangrijke aankondiging. Claude Enterprise integreert nu met 28 security- en compliancepartners via de nieuwe Claude Compliance API, waarmee beveiligingsteams van ondernemingen programmatisch toegang krijgen tot gespreksinhoud, geüploade bestanden en AI-activiteitsevenementen — die direct kunnen worden doorgezet naar de DLP-, CASB-, SIEM– en eDiscovery-tools die al aanwezig zijn in de enterprise stack.

Het marktsignaal dat hiervan uitgaat, is misschien nog belangrijker dan het product zelf. Als Anthropic een compliance-API bouwt, is dat omdat hun zakelijke klanten erom vragen. Uit de KPMG 2025 AI Governance-enquête blijkt dat 62% van de ondernemingen een gebrek aan governance-mogelijkheden noemt als de belangrijkste belemmering voor het uitbreiden van AI-gebruik bij gevoelige bedrijfsprocessen. Ondernemingen zijn niet langer bereid AI in te zetten voor gevoelige workflows zonder governance-infrastructuur. Dat is de juiste reflex. De vraag die gesteld moet worden, is of governance-infrastructuur die AI-gedrag achteraf logt hetzelfde is als governance-infrastructuur die AI-toegang vooraf controleert.

Dat is het niet — en dat verschil is van groot belang voor gereguleerde sectoren.

5 Belangrijkste Inzichten

1. De Compliance API van Claude is een echte stap vooruit voor enterprise AI.

De Claude Compliance API van Anthropic integreert met 28 enterprise security-partners — Cloudflare, CrowdStrike, Microsoft Purview, Varonis, Wiz, Relativity, Datadog en 21 andere — en geeft gereguleerde ondernemingen programmatische toegang tot gesprekslogs, geüploade bestanden en AI-activiteitsevenementen voor opname in bestaande DLP-, CASB-, SIEM- en eDiscovery-stacks. Dit is een waardevolle functionaliteit die voorheen niet in gestructureerde, via API toegankelijke vorm bestond. Het marktsignaal is minstens zo belangrijk als het product zelf: ondernemingen eisen AI-governance-infrastructuur voordat ze AI inzetten voor gevoelige workflows.

2. Elke integratie werkt pas nadat het gesprek al heeft plaatsgevonden.

Alle 28 Compliance API-integraties draaien achteraf, waardoor de tool een monitoringsysteem is in plaats van een governance-systeem. Het legt vast wat er is gebeurd — het kan niet voorkomen wat niet had mogen gebeuren. De data is verwerkt. De inhoud is naar het model gestuurd. Het gesprek heeft plaatsgevonden. De API creëert een registratie; het verandert de uitkomst niet. Voor gereguleerde inhoud is dat verschil geen nuance. Het is het verschil tussen een detectieve en een preventieve controle.

3. Gevoelige data bereikt het model voordat er een waarschuwing wordt gegeven.

Een medewerker die Claude Enterprise gebruikt met de Compliance API volledig ingeschakeld, kan nog steeds CUI plakken, PHI toevoegen of ITAR-gereguleerde data in een gesprek invoeren. De API logt de activiteit, maar blokkeert deze niet. Een governance-laag vóór het model blokkeert de inhoud voordat deze de sessie binnenkomt. De meeste regelgevende kaders vereisen toegangscontroles als primaire maatregel — het loggen dat gereguleerde data zonder autorisatie is benaderd, is geen vervanging voor het voorkomen van ongeautoriseerde toegang.

4. Governance-gaten zijn organisatiebreed, niet vendorspecifiek.

63% van de organisaties kan geen doeleindebeperkingen afdwingen voor AI-agenten, 60% kan een AI-systeem dat zich misdraagt niet beëindigen, en slechts 18% heeft volledig geïntegreerde AI-governancebeleid volgens de Kiteworks 2026 Forecast. De aankondiging van Anthropic bevestigt dat het marktgat echt is. Het lost het echter niet op. Dit zijn controlegaten — geen monitoringgaten — en ze worden niet opgelost door een geavanceerdere audittrail.

5. Pre-model controles bepalen de opkomende standaard voor regulatoire governance.

CMMC Level 2 vereist dat organisaties “toegang tot CUI controleren” — toegangscontrole is het kernbegrip, niet toegangslogging. De technische beveiligingsmaatregelen van HIPAA specificeren dat organisaties beleid moeten implementeren dat “alleen toegang toestaat aan die personen of softwareprogramma’s die toegangsrechten hebben gekregen.” De compliance-standaard voor gereguleerde enterprise AI zal pre-model contentcontroles vereisen, niet alleen monitoring achteraf. De vraag voor CISO’s is of ze nu al voor die standaard moeten ontwerpen of pas na een regulatoire actie moeten aanpassen.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het ook aantonen?

Lees nu

De Structurele Limiet van Monitoring Achteraf

Dit is de structurele beperking die de Compliance API per definitie niet kan oplossen: al deze 28 integraties werken pas nadat het gesprek al heeft plaatsgevonden. De data is verwerkt. De inhoud is naar het model gestuurd. Het gesprek heeft plaatsgevonden. De Compliance API legt vast wat er is gebeurd — het verandert niet wat er is gebeurd.

Denk aan hoe gegevensbeheer werkt in volwassen enterprise security-architecturen. Een DLP-systeem logt niet alleen dat een medewerker een gevoelig document naar een privé-account heeft gemaild — het voorkomt het verzenden. Een contentfirewall registreert niet alleen welke bestanden zijn overgedragen — het handhaaft het toegangsbeleid op het moment van overdracht. De architectuur die effectief is gebleken voor e-mail, bestandsoverdracht en samenwerkingsplatforms werkt volgens het principe: eerst voorkomen, daarna loggen. De Compliance API past een model toe van eerst loggen, dan waarschuwen op AI.

Dat is waardevol. Maar het is architectonisch anders dan preventie. Voor gereguleerde inhoud — CUI, PHI, ITAR-gereguleerde data, advocaat-cliënt vertrouwelijke informatie — staan regelgevende kaders een log-en-waarschuw-model niet toe als primaire controle. Ze vereisen toegangscontroles. Loggen dat gereguleerde data zonder autorisatie is benaderd, is geen vervanging voor het voorkomen van ongeautoriseerde toegang.

Wat Er Kan Gebeuren Voordat de Compliance API Het Opmerkt

Een medewerker die Claude Enterprise gebruikt met de Compliance API volledig ingeschakeld en geconfigureerd kan: de tekst van een Controlled Unclassified-document in een gespreksvenster plakken; een bestand met beschermde gezondheidsinformatie toevoegen als context voor een Claude-taak; ITAR-gereguleerde technische specificaties in een chatbericht typen; Claude bevragen over de inhoud van een gevoelige financiële dataset waartoe hij of zij in een ander systeem toegang heeft.

In elk van deze gevallen zal de Compliance API de activiteit loggen. Als de juiste DLP-regels downstream zijn geconfigureerd, wordt er een waarschuwing gegenereerd. Wat niet gebeurt: de inhoud wordt niet geblokkeerd voordat deze Claude bereikt. Het gesprek wordt niet voorkomen. De data wordt niet gestopt bij een toegangscontrolegrens voordat deze het model binnenkomt. De Compliance API documenteert de blootstelling; het voorkomt deze niet.

Voor securityteams in gereguleerde sectoren is dit belangrijk omdat de meeste regelgevende kaders preventieve controles vereisen, niet alleen detectieve controles. CMMC Level 2 vereist dat organisaties “toegang tot CUI controleren.” De technische beveiligingsvereisten van HIPAA specificeren dat organisaties beleid moeten implementeren dat “alleen toegang toestaat aan die personen of softwareprogramma’s die toegangsrechten hebben gekregen.” De standaard is controle over toegang, niet documentatie van toegang.

De Pre-Model Governance Laag: Een Andere Architectuur

Een pre-model governance-laag werkt volgens een fundamenteel ander principe: deze bepaalt welke inhoud als input voor een AI-sessie is toegestaan voordat de sessie begint, niet nadat deze is afgelopen. De controlelogica is gebaseerd op de identiteit en rol van de gebruiker, de classificatie van de gevraagde inhoud, het specifieke AI-gebruiksscenario en het toepasselijke compliancekader. Wanneer een gebruiker een AI-sessie start, evalueert de governance-laag deze factoren aan de hand van expliciet beleid — en staat specifieke inhoud toe, beperkt deze of blokkeert deze voordat deze de sessie binnenkomt.

De Kiteworks Secure MCP Server bevindt zich tussen enterprise datasystemen en AI-modellen — waaronder Claude — en handhaaft het content governancebeleid op het raakvlak. Gevoelige inhoud is alleen toegankelijk voor AI-sessies wanneer de rol van de gebruiker, het doel van de sessie en de classificatie van de inhoud allemaal voldoen aan expliciete beleidsvereisten. Auditrecords leggen niet alleen vast welke inhoud is benaderd, maar ook wat is aangevraagd en geblokkeerd. De AI Data Gateway breidt dezelfde governance uit naar RAG-pijplijnen en geautomatiseerde workflows. Elke aanvraag wordt geauthenticeerd, geautoriseerd op basis van op attributen gebaseerde toegangscontrole en gelogd in een fraudebestendige audittrail — met FIPS 140-3 gevalideerde encryptie die elk datapad beschermt.

Deze architectuur stelt gereguleerde ondernemingen in staat AI-toegang uit te breiden naar gevoelige workflows — defensie-inkoop, zorgprocessen, financieel advies — zonder het compliance-risico te creëren dat monitoring achteraf wel kan documenteren, maar niet kan voorkomen. Het Kiteworks Private Data Network breidt dit uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één beleidsengine en één geconsolideerde auditlog.

Wat Dit Betekent voor Gereguleerde Enterprise AI-Implementaties

Voor security- en complianceleiders die enterprise AI-platforms evalueren, is de vraag die je elke leverancier moet stellen: “Wat gebeurt er als een medewerker beperkte inhoud naar het model stuurt voordat jullie compliance-laag het opmerkt?”

Als het antwoord is “we loggen het en sturen een waarschuwing”, heb je een monitoringsysteem. Dat is waardevol voor forensisch onderzoek, incident response en auditdocumentatie. Het voldoet echter niet aan de toegangscontrolevereisten van de meeste regelgevende kaders voor gevoelige data. Als het antwoord is “we voorkomen het”, heb je een governance-systeem. Dat onderscheid bepaalt of je AI-inzet voldoet aan je regulatoire verplichtingen of alleen achteraf als niet-conform wordt gedocumenteerd.

Compliancekaders ontwikkelen zich in de loop der tijd richting de meest beschermende interpretatie. Dit patroon zagen we bij cloudopslag, beheer van mobiele apparaten en beveiligde e-mail — in elk geval groeide de governance-standaard naar preventie en toegangscontrole in plaats van detectie en logging. AI volgt hetzelfde traject. Organisaties die nu al voor de volwassen standaard ontwerpen — door de pre-model governance-laag te bouwen die bepaalt tot welke gevoelige inhoud AI-modellen toegang krijgen — zullen de minste aanpassingskosten hebben wanneer de regulatoire richtlijnen de technologie inhalen.

Wil je meer weten over het beheren van AI-workflows? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

AI compliance monitoring legt vast wat AI-modellen hebben gedaan. AI governance bepaalt wat AI-modellen mogen doen — tot welke inhoud ze toegang hebben, voor welke gebruikers, onder welke voorwaarden, voor welke doeleinden. De Claude Compliance API is een monitoringtool. De Kiteworks Secure MCP Server en AI Data Gateway implementeren governance: zij handhaven toegangsbeleid voordat inhoud het model bereikt en voorkomen ongeautoriseerde toegang in plaats van het achteraf te documenteren.

Voor de meeste gereguleerde datatypes — CUI, PHI, ITAR-gereguleerde technische data — nee, niet op zichzelf. CMMC, HIPAA en ITAR vereisen dat toegang tot gevoelige data wordt gecontroleerd. Een compliance-API die logt dat PHI is ingediend bij een AI-model, documenteert het niet voldoen aan de toegangscontrolevereiste — het voldoet er niet aan. Pre-model governance biedt de preventieve toegangscontroles die aan deze vereisten voldoen.

Een pre-model governance-laag bevindt zich tussen enterprise datasystemen en AI-modellen en handhaaft het toegangsbeleid op inhoud voordat een AI-sessie begint. Het evalueert de rol van de gebruiker, de classificatie van de gevraagde inhoud en het doel van de sessie aan de hand van expliciet beleid — en staat inhoud toe, beperkt deze of blokkeert deze voordat deze de sessie binnenkomt. De Kiteworks Secure MCP Server implementeert pre-model governance via op attributen gebaseerde toegangscontrole en fraudebestendige auditlogging op elke handeling.

Defensie-aannemers die CUI verwerken onder CMMC, zorgorganisaties die PHI beheren onder HIPAA, bedrijven in de financiële sector onder SEC- en FINRA-vereisten voor gegevensbeheer, en lucht- en ruimtevaartbedrijven die ITAR-gereguleerde technische data beheren, lopen het meeste directe risico. Uit de Kiteworks 2026 Forecast blijkt dat 90% van de overheidsorganisaties en 77% van de zorgorganisaties geen gecentraliseerde AI Data Gateway hebben — het controlepunt dat het gat sluit.

De Secure MCP Server bevindt zich tussen Claude en enterprise datasystemen en handhaaft het governancebeleid op het raakvlak. Wanneer Claude toegang vraagt tot gevoelige inhoud, evalueert de server dat verzoek aan de hand van expliciet beleid, staat het toe of blokkeert het op basis van die evaluatie en logt het resultaat in een fraudebestendige audittrail. Deze pre-model governance vult de post-hoc monitoring van de Compliance API aan — en biedt de preventieve controlelaag die compliance-documentatie omzet in daadwerkelijke compliance-handhaving.

Aanvullende Bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt op het gebied van AI-gegevensbeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russische roulette speelt met gegevensbeveiliging in 2025
  • Blog Post
    Er bestaat geen “–dangerously-skip-permissions” voor je data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks