Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > 92% van de beveiligingsprofessionals maakt zich zorgen over AI-agenten. De data laat zien waarom.
92% van de beveiligingsprofessionals maakt zich zorgen over AI-agenten. De data laat zien waarom.

92% van de beveiligingsprofessionals maakt zich zorgen over AI-agenten. De data laat zien waarom.

by Patrick Spencer updated juni 5, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Traditionele beveiligingsmodellen gaan uit van menselijke actoren die bewuste keuzes maken. Een medewerker besluit een bestand te delen, een e-mail te versturen of een systeem te benaderen, en beveiligingsmaatregelen onderscheppen, loggen of blokkeren die actie. AI-agenten doorbreken die aanname. Ze handelen continu, autonoom en vaak onzichtbaar, en voeren reeksen acties uit die geen enkele mens afzonderlijk heeft goedgekeurd.

Het permissieprobleem is structureel. Medewerkers zetten agenten in met hun eigen inloggegevens, waardoor agenten toegang erven die aan een mens is toegekend voor werk op menselijke schaal, met menselijke controle. Die GitHub-token was niet bedoeld voor een agent die mogelijk repositories kloont, configuratiebestanden leest en wijzigingen doorvoert in één geautomatiseerde workflow. De cloud-inloggegevens zijn niet verstrekt met de verwachting dat een agent ze 10.000 keer per uur zou raadplegen. Eén verkeerd geconfigureerde agent, of één kwaadaardige interactie, kan meerdere systemen tegelijk raken.

Er is ook iets om bij stil te staan in het multidisciplinaire karakter van AI-beveiligingsrisico’s. Eén kwaadaardige AI-interactie kan tegelijkertijd identiteit, cloud, applicatie, data en toeleveringsketenbeveiliging omvatten. Geen enkel beveiligingstool lost dat op. Het vereist een platformbenadering — één die controles consequent afdwingt over alle kanalen waarlangs gevoelige data zich verplaatst.

5 Belangrijke Inzichten

1. Bezorgdheid over AI-agenten is vrijwel unaniem — maar de governance-kloof wordt groter.

Het Darktrace State of AI Cybersecurity 2026 rapport toont aan dat 92% van de security professionals zich zorgen maakt over de impact van AI-agenten op de beveiliging van ondernemingen — een bijna unaniem professioneel oordeel. Toch heeft slechts 37% van de organisaties een formeel AI-beleid, een percentage dat is gedaald ten opzichte van het voorgaande jaar. 52% bevindt zich nog in de “bespreekfase”. Securityteams maken zich zorgen over iets waarvoor ze nog geen AI-governance hebben ingericht.

2. Agenten erven permissies die nooit expliciet zijn toegekend.

Wanneer medewerkers AI-agenten inzetten met hun eigen inloggegevens, erven agenten toegang tot GitHub, cloud-inloggegevens, API-tokens en bestandspermissies — wat een aanvalsoppervlak creëert dat zich over meerdere systemen tegelijk uitstrekt. Die toegang was bedoeld voor werk op menselijke schaal, met menselijke controle. Agenten gebruiken deze op machineschaal, continu, vaak zonder menselijke controle van individuele acties. De impact van een gecompromitteerde agent is evenredig aan de geërfde permissies.

3. Blootstelling van gevoelige data is de grootste specifieke zorg met 61%.

56% signaleert dataveiligheid en beleidsinbreuken; 51% maakt zich zorgen over misbruik van tools. Agenten raadplegen databases, halen bestanden op, benaderen e-mail en trekken gegevens van API-endpoints — allemaal content die kan worden geëxfiltreerd of bewaard in contexten die de organisatie nooit heeft bedoeld. In gereguleerde omgevingen gelden de compliance-implicaties zelfs als het doel van de agent volledig onschuldig is: een agent die PHI ophaalt om een samenvatting te genereren, heeft PHI verwerkt ongeacht of een mens het resultaat heeft gezien.

4. De beleidskloof wordt elke week zonder governance groter.

52% van de organisaties bevindt zich in de “bespreekfase” terwijl agenten worden ingezet, inloggegevens worden overgenomen en data wordt benaderd zonder gereguleerde grenzen. De Kiteworks 2026 Forecast toont aan dat 63% van de organisaties geen doellimieten kan afdwingen voor AI-agenten en 60% kan een ontsporende agent niet beëindigen. Beleidsafname jaar-op-jaar terwijl de inzet versnelt betekent dat de governance-kloof groter wordt, niet kleiner.

5. Een governancebeleid dat technisch niet afdwingbaar is, is een risico.

Een beleid dat stelt “AI-agenten mogen alleen minimaal noodzakelijke toegang hebben” betekent niets als er geen technische controle is die dit op systeemniveau afdwingt. Zero-trust principes zijn van toepassing: toegang wordt expliciet verleend, elke interactie wordt gelogd, en geen enkele agent heeft bredere toegang dan het gedefinieerde doel. De handhavingslaag — niet het document — is waar toezichthouders en incident responders naar zullen kijken.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het ook aantonen?

Lees nu

Wat de Data Echt Laat Zien over de AI-beleidskloof

De beleidskloof in het Darktrace-rapport is verontrustender dan het percentage bezorgde respondenten. 92% van de professionals maakt zich zorgen, maar slechts 37% van de organisaties heeft een formeel AI-beleid — een percentage dat is gedaald ten opzichte van het voorgaande jaar. De meerderheid weet dat ze een serieus risico lopen, maar heeft er nog geen governance voor ingericht.

Een formeel AI-beleid is geen compliance-theater; het is de specificatie die handhaving mogelijk maakt. Zonder een gedefinieerd beleid kunnen securityteams geen tools configureren, toegangsgrenzen instellen, toegangsbeoordelingen uitvoeren of adequaat reageren op incidenten. Ze kunnen hun zorgen uiten, maar niet systematisch handelen.

De 52% die nog in de “bespreekfase” zit, staat voor een groeiend probleem. Elke week zonder formeel AI-beleid is een week waarin agenten worden ingezet, inloggegevens worden overgenomen en data wordt benaderd zonder gereguleerde grenzen. De constatering dat beleid minder wordt aangenomen dan vorig jaar, suggereert dat de governance-kloof groter wordt naarmate de adoptie versnelt.

Blootstelling van Gevoelige Data Is Niet voor Niets de Grootste Zorg

Van de specifieke zorgen die het rapport benoemt, staat blootstelling van gevoelige data bovenaan met 61%. De meest directe schade door misbruik of compromittering van AI-agenten is geen systeemuitval — het is data die buiten de controle van de organisatie raakt.

Het probleem wordt groter in gereguleerde omgevingen. Een agent die patiëntgegevens ophaalt om een samenvatting te maken, heeft PHI verwerkt, ongeacht of een mens het resultaat heeft gezien. Een agent die een contract leest om voorwaarden te extraheren, heeft mogelijk vertrouwelijke informatie benaderd. De compliance-implicaties van AI-agenten die data benaderen zijn reëel, en gelden zelfs als het doel van de agent volledig onschuldig is.

Voor organisaties die onder HIPAA, CMMC 2.0, ITAR of andere regelgevingskaders vallen, stopt de compliance-verplichting niet als een AI-agent het werk uitvoert. Een datalek dat wordt herleid tot een AI-agent die buiten gereguleerde grenzen opereert, heeft dezelfde wettelijke gevolgen als een lek door een andere oorzaak.

Waarom Compliant AI Infrastructuur Vereist, Niet Alleen Beleid

De benadering van het Darktrace-rapport — dat AI-beveiliging een multidisciplinaire aanpak vereist die identiteit, cloud, applicatie, data en toeleveringsketenbeveiliging omvat — wijst op een conclusie die Kiteworks vanuit een andere invalshoek bereikt: dit is een infrastructuurprobleem, geen beleidsprobleem.

Een beleid dat AI-agenten verbiedt om zonder autorisatie gevoelige data te benaderen, is alleen zo sterk als de technische controles die het afdwingen. De meeste bedrijfsomgevingen hebben nu AI-agenten die werken met tools, systemen en datastores die nooit bedoeld zijn om als één geheel te worden bestuurd. De data layer — de daadwerkelijke content die agenten lezen, schrijven en verzenden — heeft vaak geen specifiek handhavingsmechanisme voor AI-agenttoegang.

De Kiteworks Secure MCP Server creëert een gereguleerde interface tussen AI-agenten en gevoelige content. De AI Data Gateway breidt dezelfde governance uit naar RAG-pijplijnen en geautomatiseerde workflows. Elke agent-interactie wordt geauthenticeerd, geëvalueerd op basis van op attributen gebaseerde toegangscontrole, en gelogd in een manipulatiebestendige audittrail met FIPS 140-3 gevalideerde encryptie. Het Kiteworks Private Data Network breidt dit uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s — één beleidsengine, één geconsolideerd auditlogboek.

Praktische Stappen voor Organisaties die AI Governance Bouwen

Ten eerste, audit bestaande agent-inzet. Veel organisaties hebben AI-agenten in productie die zijn ingezet voordat governance-kaders bestonden. Het auditen van die inzet — welke inloggegevens ze hebben, welke data ze kunnen benaderen, welke logging bestaat — is het startpunt om het daadwerkelijke risicoprofiel te begrijpen. Een nieuw AI-beleid doet niets aan bestaand risico.

Ten tweede, stel een formeel AI-beleid op. Geen allesomvattend document dat maanden duurt om af te ronden, maar een werkbaar beleid dat definieert wat agenten mogen benaderen, onder welke voorwaarden en wie verantwoordelijk is voor het beoordelen van die toegang.

Ten derde, implementeer technische controles die het beleid afdwingen. Zero-trust dataprincipes zijn van toepassing: toegang wordt expliciet verleend, elke interactie wordt gelogd, en geen enkele agent heeft bredere toegang dan het gedefinieerde doel. Een AI-governancebeleid dat technisch niet afdwingbaar is, is een risico.

Ten vierde, zorg dat medewerkers begrijpen dat ze hun eigen permissies uitbreiden wanneer ze een agent inzetten. Het data privacy- en governancebeleid van de organisatie geldt voor agent-acties net zo goed als voor menselijke acties. Dat is nog geen breed begrepen concept.

Voor gereguleerde sectoren — zorg, defensie, financiële sector, overheid — is de technische handhavingsstap niet optioneel. Een datalek dat wordt herleid tot een AI-agent die buiten gereguleerde grenzen opereert, heeft dezelfde wettelijke gevolgen als een lek door een andere oorzaak.

Wil je meer weten over het beschermen van gevoelige data in een organisatie die steeds meer AI toepast? Plan vandaag nog een demo op maat.

Veelgestelde Vragen

92% van de security professionals maakt zich zorgen over de impact van AI-agenten op de beveiliging van ondernemingen. 61% van de securityleiders noemt blootstelling van gevoelige data als hun grootste zorg; 56% signaleert dataveiligheid en beleidsinbreuken; 51% signaleert misbruik van tools. Slechts 37% van de organisaties heeft een formeel AI-beleid — een percentage dat is gedaald ten opzichte van het voorgaande jaar — en meer dan de helft bevindt zich nog in de “bespreekfase”. De bezorgdheid is vrijwel universeel. Governance is dat niet.

Agenten die worden ingezet met medewerkers-inloggegevens, erven de GitHub-tokens, cloud-inloggegevens, API-toegang en bestandspermissies van die medewerker — en opereren vervolgens op machineschaal, continu, zonder menselijke controle van individuele acties. Toegang die bedoeld was voor werk op menselijke schaal, wordt nu benut door een autonoom systeem zonder limieten of toezicht. De Secure MCP Server biedt hier een oplossing door afgebakende, gereguleerde toegang te bieden in plaats van breed geërfde permissies.

Een beleid bepaalt wat agenten mogen doen, maar dwingt dit niet af op systeemniveau. Naarmate de inzet toeneemt, zal beleid dat vertrouwt op menselijke configuratie en reviewprocessen falen. De Darktrace-bevinding dat 52% van de organisaties zich in de “bespreekfase” bevindt, laat zien hoe beleidsintentie blijft steken op documentniveau. Zero-trust principes vereisen technische handhaving: altijd verifiëren, altijd loggen, altijd afdwingen. De AI Data Gateway en logs bieden die handhavings- en bewijslastlaag.

Allemaal. HIPAA, CMMC 2.0, ITAR en andere kaders stoppen niet omdat een AI-agent het werk uitvoert. Een agent die PHI ophaalt om een samenvatting te genereren, heeft PHI verwerkt met volledige compliance-implicaties. Gereguleerde AI-toegang met ABAC-handhaving en manipulatiebestendige audittrails is niet optioneel voor gereguleerde sectoren — het is dezelfde standaard als voor menselijke datatoegang.

Drie stappen: audit bestaande agent-inzet om de daadwerkelijke inloggegevens en toegankelijke data te begrijpen; stel een werkbaar AI-beleid op dat toegestane toegang en verantwoordelijkheid definieert; implementeer technische controles die dat beleid afdwingen met expliciete toegangsverlening, uitgebreide logging en doelgerichte agent-scope. De Kiteworks AI Data Gateway is een praktische start voor organisaties die die handhavingslaag willen bouwen — vooral voor gereguleerde omgevingen waar technische handhaving niet onderhandelbaar is.

Aanvullende Bronnen

  • Blog Post
    Zero‑Trust strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks