Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Het datadiscovery-gat dat bedrijven verrast — en hoe je het kunt dichten
Het datadiscovery-gat dat bedrijven verrast — en hoe je het kunt dichten

Het datadiscovery-gat dat bedrijven verrast — en hoe je het kunt dichten

by Bob Ertl updated juni 5, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Shadow data is niet primair een technisch probleem. Het is een organisatorisch verandermanagementprobleem dat zich uit als een technisch probleem. Cloudmigraties laten data achter. Ontwikkelomgevingen worden opgezet met productiedatacopieën voor testen en worden nooit opgeruimd. Cloudopslagbuckets worden ingericht voor een project, gevuld en vergeten zodra het project is afgerond. SaaS-applicaties worden vervangen, maar de exportbestanden van de overgang blijven staan in gedeelde mappen die niemand beheert omdat de maker inmiddels vertrokken is.

Niets hiervan is ongebruikelijk. Dit zijn routinematige organisatorische gebeurtenissen. Het probleem is dat processen voor gegevensbeheer in de meeste organisaties niet zijn ingericht om hier in real time op te reageren. Frameworks voor gegevensbeheer die afhankelijk zijn van periodieke audits en handmatige catalogusupdates lopen achter op de operationele realiteit. Tegen de tijd dat de volgende audit de verlaten bucket of de oude export ontdekt, ligt de data daar al maanden.

DSPM-tools helpen door geautomatiseerde detectie, maar detectie zonder handhaving is niet volledig. Shadow data vinden laat zien waar het probleem zich al bevindt. Het voorkomt niet dat het volgende project hetzelfde probleem elders creëert. De governance-architectuur moet beide aanpakken — beleid moet ingebed zijn in de processen die data creëren en verplaatsen, niet alleen in de processen die er achteraf op scannen.

5 Belangrijkste Inzichten

1. Detectiescans brengen routinematig data aan het licht waarvan organisaties dachten dat deze weg was.

Verlaten cloudopslagbuckets, oude ontwikkelomgevingen en legacy SaaS-exports bevatten regelmatig gevoelige klantdata waarvan de organisatie dacht dat deze was verwijderd. Avani Desai, CEO van Schellman, ziet dit consequent: organisaties overschatten hoe compleet hun datakaarten zijn en onderschatten hoe snel operationele veranderingen de governance inhalen. Elke cloudmigratie, overname, uitfasering van SaaS of herinrichting van infrastructuur levert een datakaart op die de realiteit niet meer weerspiegelt.

2. M&A-scenario’s creëren geconcentreerde datarisico’s die kopers consequent onderschatten.

Wanneer een koper een bedrijf overneemt, neemt deze alles over wat dat bedrijf ooit heeft gecreëerd, verzameld of opgeslagen — inclusief data van eerdere overnames, legacy-systemen die al jaren niet zijn aangeraakt, en klantdata zonder vastgelegd retentiebeleid. Post-close detectiescans brengen datasets aan het licht waarvan de verkoper niet wist dat ze bestonden. Het gevolg: mogelijke meldingsplicht bij datalekken onder de GDPR, nationale privacywetgeving of HIPAA — en integratievertragingen die de koper niet had meegenomen in de zorgvuldigheid.

3. De verantwoordingskloof is waar shadow data zich ophoopt.

“Wie is verantwoordelijk voor het valideren van je datakaart na een operationele wijziging?” De meeste organisaties kunnen geen duidelijke eigenaar aanwijzen. De verantwoordelijkheid ligt ergens tussen IT, juridisch, compliance en security — allemaal met aanpalende taken, maar niemand die specifiek de taak heeft om de datakaart af te stemmen op de actuele infrastructuur na elke belangrijke wijziging. Precies daar hoopt shadow data zich op: in de ruimte tussen operationele verandering en de volgende governance-review.

4. Governance bovenop architectuur kan het tempo niet bijhouden.

Punt-in-tijd compliance-oefeningen leveren nauwkeurige datakaarten op die direct onnauwkeurig worden zodra de volgende migratie, overname of uitfasering plaatsvindt. DSPM-tools helpen met geautomatiseerde detectie, maar detectie zonder handhaving is niet volledig — shadow data vinden laat zien waar het probleem zich al bevindt; het voorkomt niet dat het volgende project hetzelfde probleem elders creëert.

5. Governance ingebouwd in architectuur lost op wat retroactieve governance niet kan.

Wanneer beleid wordt afgedwongen op het moment van gegevensuitwisseling, is elke transactie al gedocumenteerd. De datakaart is een bijproduct van de operatie, geen aparte oefening. Zero-trust data protection-principes vereisen dat elk verzoek om data te benaderen, te verplaatsen of te delen wordt geverifieerd, geautoriseerd en gelogd — waardoor continue datamapping ontstaat als structureel neveneffect.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

Het M&A-dataprobleem is een meldingsplicht bij datalekken in vermomming

Fusies en overnames zijn het moment waarop falend gegevensbeheer zich het directst vertaalt in juridische en financiële aansprakelijkheid. Wanneer een koper een bedrijf overneemt, neemt deze alles over wat dat bedrijf ooit heeft gecreëerd, verzameld of opgeslagen — inclusief data uit eerdere overnames van het overgenomen bedrijf zelf, legacy-systemen op infrastructuur die al jaren niet zijn aangeraakt, en klantdata op locaties zonder vastgelegd retentiebeleid.

Detectiescans die na de overname worden uitgevoerd, brengen datasets aan het licht waarvan de verkoper niet wist dat ze bestonden, met klantdata waar de koper nu juridisch eigenaar van is. Als die data op enig moment toegankelijk was voor onbevoegden — en in uitgefaseerde systemen die niemand meer monitort, is dat vaak niet uit te sluiten — kan de koper meldingsplicht hebben onder de GDPR, nationale privacywetgeving of beide. De kosten zijn niet alleen de melding. Het is ook de integratievertraging, de extra aandacht van toezichthouders, en de reputatieschade als een geërfd datalek openbaar moet worden gemaakt.

Dataclassificatie en gedocumenteerde datastromen zijn de due diligence-onderdelen vóór de overname die dit risico beperken. Organisaties die een volledige, actuele datakaart kunnen overleggen, vormen materieel minder M&A-risico dan organisaties die dat niet kunnen. Veilige virtuele dataruimten met volledige audit logs geven beide partijen een duidelijk overzicht van wat is gedeeld, onder welke voorwaarden en met wie — wat zowel tijdens de due diligence als na de overname van belang is.

“Wie is verantwoordelijk voor het valideren van je datakaart na operationele wijziging?”

Desai’s vraag raakt een operationele realiteit die de meeste governance-frameworks omzeilen. Datakaarten worden opgesteld tijdens catalogiseer-oefeningen. Die zijn accuraat op het moment van oplevering. Daarna verandert de organisatie. Een nieuwe cloudomgeving wordt ingericht. Een SaaS-applicatie wordt uitgefaseerd. Een overname wordt afgerond. Een team wordt gereorganiseerd. Elk van deze gebeurtenissen kan delen van de datakaart ongeldig maken zonder dat er een automatisch updateproces wordt gestart.

Het valideren van datakaarten na operationele wijzigingen is in de meeste organisaties niemands expliciete taak. De verantwoordelijkheid ligt ergens tussen IT, juridisch, compliance en security — allemaal met aanpalende taken, maar niemand die specifiek verantwoordelijk is. Precies daar hoopt shadow data zich op.

Frameworks voor gegevenscompliance zoals de GDPR vereisen nauwkeurige registraties van verwerkingen van persoonsgegevens, maar specificeren niet hoe organisaties deze registraties actueel moeten houden. Organisaties die het meest effectief compliant zijn, hebben datatracking ingebouwd in hun operationele processen in plaats van het als periodieke opschoning te behandelen. Chronologische documentatie die automatisch wordt gegenereerd als bijproduct van gereguleerde gegevensuitwisseling is per definitie actueel — er is geen reconciliatie nodig omdat deze nooit verouderd is geweest.

Governance ingebouwd in architectuur, niet erbovenop gelegd

De GDPR heeft vastgesteld dat privacy by design betere resultaten oplevert dan privacy by retrofit. Gegevensbeheer volgt dezelfde logica. Organisaties die governance in hun data-uitwisselingsarchitectuur inbouwen, hebben geen kloof tussen de datakaart en de operationele realiteit, omdat die kloof er niet is. De kaart is het log.

Wanneer organisaties Kiteworks gebruiken voor gevoelige gegevensuitwisseling, zijn audit logs een doorlopend overzicht van wat, waar, wanneer en onder welk beleid is verplaatst. Er is geen aparte datamapping-oefening nodig, omdat de datakaart als bijproduct van de operatie wordt gegenereerd. Wanneer een toezichthouder, auditor of M&A-tegenpartij om bewijs van gegevensverwerking vraagt, is het antwoord een rapport, geen reconstructieproject. Het Kiteworks Private Data Network beheert e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één beleidsengine en één geconsolideerd audit log.

Shadow data in legacy SaaS-exports en uitgefaseerde systemen

Wanneer een organisatie een SaaS-applicatie vervangt, levert het overgangsproces exportbestanden op: grote CSV’s of database-dumps met volledige klantgegevens, transactiegeschiedenis of personeelsdata. Sommige worden geïmporteerd in het nieuwe systeem. Andere blijven achter op een gedeelde schijf door het team dat de migratie beheerde, en omdat dat team inmiddels is gereorganiseerd of vertrokken, zoekt niemand ernaar.

Die bestanden zijn shadow data. Ze bevatten dezelfde gevoelige informatie als het productiesysteem, zonder toegangscontrole die aansluit bij de huidige organisatiestructuur, zonder retentiebeleid en zonder monitoring. En omdat de overgang soms jaren geleden is, weet niemand meer dat ze bestaan tot een detectiescan ze vindt — of tot een toezichthouder ernaar vraagt.

Beveiligde beheerde bestandsoverdracht met gedocumenteerde chronologische documentatie pakt dit bij de bron aan. Wanneer datamigraties en exports via een gereguleerd platform verlopen, wordt elk verplaatst bestand gelogd, herleidbaar en onderworpen aan een vastgelegd retentiebeleid vanaf het moment van aanmaak.

Wat “datakaart na operationele wijziging” daadwerkelijk vereist

De verantwoordingskloof dichten vereist dat validatie van de datakaart wordt behandeld als een operationeel proces, niet als een auditcyclus. Dat betekent beleidsafdwinging inbouwen in de data-uitwisselingsinfrastructuur zodat de kaart continu wordt bijgewerkt, en expliciet eigenaarschap vastleggen voor validatie na wijzigingen buiten die gereguleerde laag.

Dataclassificatie die met de data meereist houdt gevoeligheidsniveaus consistent over de hele kaart, ongeacht in welk systeem de data zich bevindt. Risicobeoordelingsprocessen in organisaties die gereguleerde data-uitwisseling gebruiken, starten vanuit een actueel beeld van datastromen in plaats van een datakaart die op een eerder moment klopte. Wanneer een incident response-proces wordt gestart, is de scope snel te bepalen in plaats van weken reconstructie om te achterhalen welke data betrokken was.

Meer weten over gegevensbeheer wanneer shadow data overal opduikt? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Shadow data is gevoelige informatie die zich buiten actieve governance-controles bevindt — verlaten cloudopslagbuckets, vergeten SaaS-exports, oude back-ups en ontwikkelomgevingen met productiedatacopieën. Shadow IT is de niet-goedgekeurde infrastructuur die vaak shadow data creëert, maar shadow data kan zich ook ophopen in goedgekeurde infrastructuur. De risico’s voor gegevensbeheer van beide worden versterkt door alleen periodiek te scannen — DSPM-tools en continue dataclassificatie verkleinen het venster waarin shadow data onopgemerkt kan blijven.

Wanneer een overname wordt afgerond, erft de koper de juridische verantwoordelijkheid voor alle data die het overgenomen bedrijf in bezit had. Als na de overname detectiescans klantdata aan het licht brengen in uitgefaseerde of onvoldoende beveiligde systemen, en onbevoegde toegang niet kan worden uitgesloten, kunnen meldingsplichten ontstaan onder de GDPR, nationale privacywetgeving of HIPAA. Due diligence vooraf, waarbij wordt vastgelegd waar klantdata zich bevindt, toegangscontroles worden bevestigd en retentiebeleid wordt gedocumenteerd, beperkt dit risico — net als het uitvoeren van het due diligence-proces via een gereguleerd platform met volledige audit logs.

Het betekent dat gegevensverwerkingscontroles zijn ingebed in de systemen waar data doorheen stroomt, in plaats van als aparte compliance-laag achteraf te worden toegepast. Elke overdracht wordt gelogd, elk deelmoment is herleidbaar en elke toegangsbeslissing wordt vastgelegd als onderdeel van de transactie zelf. De datakaart is per definitie actueel omdat deze continu door de operatie wordt gegenereerd. Privacy by design en zero-trust data protection wijzen beide op dit model als basis voor duurzame compliance — niet compliance die standhoudt tot de volgende operationele wijziging.

Exportbestanden moeten worden aangemaakt via een proces dat logt wat is geëxporteerd, waar het wordt opgeslagen en welk retentiebeleid geldt. Organisaties die dit overslaan, creëren de shadow data die detectiescans jaren later aan het licht brengen: exportbestanden met volledige klantgegevens, zonder toegangscontrole en zonder retentieplanning. Beveiligde beheerde bestandsoverdracht met gedocumenteerde chronologische documentatie zorgt ervoor dat het overdrachtsdossier compleet is en retentiebeleid vanaf het moment van aanmaak geldt.

Kiteworks genereert een doorlopend auditrecord van elke bestandsoverdracht, deelactie en toegangsbeslissing die via het platform verloopt — zodat de datakaart een rapport is van de feitelijke operatie, geen reconstructie. Wanneer operationele wijzigingen plaatsvinden — nieuwe cloudomgeving, uitfasering van systemen, overname — legt het gereguleerde uitwisselingsrecord vast welke data tijdens de overgang is verplaatst. Zero-trust data protection-principes maken van deze continue kaart een structureel kenmerk van de infrastructuur, geen losstaand programma dat apart gefinancierd en bemand moet worden.

Aanvullende bronnen

  • Blog Post Hoe klinische proefdata te beschermen in internationaal onderzoek
  • Blog Post De CLOUD Act en Britse gegevensbescherming: waarom rechtsbevoegdheid ertoe doet
  • Blog Post Zero Trust Data Protection: implementatiestrategieën voor betere beveiliging
  • Blog Post Data Protection by Design: hoe bouw je GDPR-controles in je MFT-programma
  • Blog Post Hoe datalekken te voorkomen met beveiligde bestandsoverdracht over grenzen heen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks