De ICO heeft AI-beveiliging zojuist tot een UK GDPR Artikel 32-verplichting gemaakt

5 Belangrijkste Inzichten

1. AI-beveiliging is nu een plicht voor gegevensbescherming.
De nieuwe richtlijn van de ICO beschouwt AI-gedreven dreigingen als een actuele verplichting onder UK GDPR Artikel 32,
niet als een toekomstig risico. Organisaties die persoonsgegevens beheren, worden geacht nu actie te ondernemen.

2. Zeven aanvalscategorieën staan op de radar van de toezichthouder.
AI-versterkte phishing, deepfake social engineering, geautomatiseerde kwetsbaarheidsscans, AI-gedreven malware,
credential stuffing, data poisoning en indirecte prompt injection worden allemaal genoemd in de richtlijn.

3. Vijf stappen vormen de nieuwe compliance-basislijn.
Threat horizon scanning, beveiligingsfundamenten, bescherming van persoonsgegevens, gelaagd AI-beheer en
monitoring met incident response. Geen van allen is nieuw. De gecombineerde urgentie wel.

4. DPIA’s zijn nu verplicht bij AI-verwerking met hoog risico.
Organisaties die AI-tools inzetten die persoonsgegevens met hoog risico verwerken, moeten een data protection impact assessment uitvoeren en waarborgen tegen AI-gerichte aanvallen implementeren.

5. Capita is het precedent dat iedereen moet lezen.
De boete van 14 miljoen GBP die de ICO in oktober 2025 aan Capita oplegde, draaide om “passende technische en organisatorische maatregelen” onder Artikel 32. Dezelfde norm geldt nu voor AI-infrastructuur.

Wat de ICO Eigenlijk Zei op 13 Mei 2026

Op 13 mei 2026 publiceerde Ian Hulme, Interim Executive Director for Regulatory Supervision van de ICO,
een blogpost getiteld “Five steps to protect your organisation from AI-powered cyber threats”
(let op: de Britse spelling van de ICO is behouden in de titel). Het stuk is kort. Het is direct.
En voor elke organisatie die persoonsgegevens verwerkt in het Verenigd Koninkrijk is het het duidelijkste signaal tot nu toe
dat AI-beveiliging geen compliance-vraag voor de toekomst meer is.

De richtlijn begint met een opsomming van dreigingen die de toezichthouder volgt: AI-versterkte phishing die zeer overtuigende gepersonaliseerde berichten genereert, deepfake audio en video om collega’s te imiteren, geautomatiseerde tools die snel systemen scannen en zwakke plekken uitbuiten, AI-gedreven malware die zich aanpast om detectie te ontwijken, AI-versnelde credential stuffing, data poisoning gericht op modellen in productie, en indirecte prompt injection-aanvallen waarbij kwaadaardige instructies zijn ingebed in externe content die een AI-systeem als legitieme commando’s verwerkt.

Dan volgt het deel dat de houding in elk CISO- en DPO-kantoor zou moeten veranderen: “Uw verplichtingen onder de UK GDPR vereisen dat u passende technische en organisatorische maatregelen implementeert om persoonsgegevens te beschermen.” De toezichthouder introduceert geen nieuw framework. De toezichthouder koppelt AI-dreigingen aan het framework dat sinds 2018 van kracht is en zegt in feite dat de norm nu geldt, op AI-snelheid, zonder uitsteltermijn.

Waarom Dit Artikel 32 In De Praktijk Hervormt

Artikel 32 van de UK GDPR vereist “passende technische en organisatorische maatregelen” die zijn afgestemd op het risico van verwerking. De ICO heeft de afgelopen 18 maanden via handhaving laten zien hoe die norm eruitziet als controles falen. Het duidelijkste precedent is
de boete van 14 miljoen GBP voor Capita opgelegd in oktober 2025, nadat bij een cyberaanval in 2023 de persoonsgegevens van 6,6 miljoen mensen werden blootgesteld. De toezichthouder concludeerde dat Capita geen passende technische en organisatorische maatregelen had genomen, waaronder onvoldoende waarborgen voor bijzondere persoonsgegevens, gebrekkige controles om aanvallers te beletten zich door het netwerk te bewegen, en een inadequate reactie op vroege waarschuwingen.

Capita is geen AI-case. Maar het framework dat de toezichthouder toepaste, is identiek aan wat Hulme nu uitbreidt naar AI-dreigingen. Dezelfde Artikel 32-redenering die leidde tot een boete van 14 miljoen GBP voor trage incident response en zwakke toegangscontroles, zal in de toekomst boetes opleveren voor het niet adequaat beheren van AI-systemen die persoonsgegevens verwerken. De juridische toets verandert niet omdat de dreiging AI is. De technische lat komt simpelweg hoger te liggen.

De implicatie voor besturen is direct. Wanneer de volgende grote AI-gerelateerde datalek met persoonsgegevens in het VK plaatsvindt, zal de toezichthouder niet vragen of de organisatie prompt injection-verdedigingen heeft ingezet.
De toezichthouder zal vragen of de organisatie authenticatie, toegangscontrole, encryptie, monitoring, incident response en gedocumenteerde risicobeoordeling kan aantonen voor het AI-systeem dat persoonsgegevens heeft verwerkt. De lijst oogt vertrouwd omdat het dezelfde lijst is waarin Capita tekort schoot.

De Vijf Stappen Bekeken Door De Lens Van Persoonsgegevens

De eerste stap is horizon scanning — begrijpen hoe AI-gedreven dreigingen er in uw omgeving daadwerkelijk uitzien. De ICO noemt zeven categorieën. De meeste securityteams kunnen er drie of vier beschrijven. Het verschil tussen de verwachting van de toezichthouder en de operationele bewustwording is het eerste risico.

De tweede stap is beveiligingsfundamenten: de vijf technische controles van het Cyber Essentials-schema, de Cyber Governance Code of Practice, multi-factor authentication op alle externe toegang, beheerdersaccounts en e-mail, sterke wachtwoordbeleid en een solide patchproces. Dit is niet nieuw. Het punt van de ICO is dat dit het minimum is. AI verandert de vereiste niet. AI verandert de snelheid waarmee een fout een datalek wordt.

De derde stap is bescherming van persoonsgegevens: dataminimalisatie, regelmatige audits van welke persoonsgegevens worden bewaard en waar, en training van personeel over AI-gedreven social engineering. De problemen met datahygiëne die de helft van recente handhavingsacties hebben veroorzaakt, vallen precies onder deze stap.
Kiteworks Data Security and Compliance Risk: 2026 Forecast Report toont aan dat slechts 36% van de organisaties inzicht heeft in hoe partners data in AI-systemen verwerken, en 35% noemt persoonsgegevens in prompts als een belangrijk privacyrisico, waarbij de meesten vertrouwen op beleid en training in plaats van technische controles. Beleid voorkomt niet dat iemand om 23:00 uur een klantenlijst in een publieke AI-assistent plakt.

De vierde stap is gelaagde verdediging en AI-governance. De ICO benoemt specifiek: DPIA’s voor AI-verwerking met hoog risico, waarborgen tegen AI-gerichte aanvallen, naleving van de AI Cyber Security Code of Practice van de Britse overheid en overweging van encryptie en pseudonimisering om de impact van een datalek te beperken. “Gelaagd” is het sleutelwoord. Verdediging met één controle faalt al tien jaar in cyber. AI verkleint het tijdsvenster waarin het misgaat.

De vijfde stap is monitoring, beheer van de toeleveringsketen en incident response. De richtlijn schrijft uitgebreide security monitoring voor op verdachte activiteiten zoals ongebruikelijke inlogpatronen, onverwachte datatransfers en abnormaal API-gebruik. Er moet in kaart worden gebracht waartoe derden toegang hebben, hen houden aan passende beveiligingsnormen en beveiligingsvereisten opnemen in contracten. Een incident response-plan moet onderhouden en regelmatig getest worden.

Waar Het Containment-Gat Een Compliance-Risico Wordt

De nadruk van de ICO op gelaagde verdediging en AI-governance raakt direct een gedocumenteerd gat in de markt. Het 2026 Forecast Report toont dat 63% van de organisaties geen doelbinding kan afdwingen op AI-agents, 60% kan een ontsporende agent niet snel uitschakelen en 55% kan AI-systemen niet isoleren van bredere netwerktoegang. Dit zijn de containment-controls — het vermogen om AI te stoppen als er iets misgaat — en het zijn de grootste gaten in de hele
Kiteworks eigen onderzoeksresultaten.

Lees dat gat in het licht van de verwachting van de ICO. De toezichthouder wil menselijk toezicht, incident response en het vermogen om schade te beperken als één controle faalt. Een organisatie waarvan AI-agents niet snel kunnen worden beëindigd of geïsoleerd van gevoelige systemen, is in het framework van de toezichthouder een organisatie zonder passende technische en organisatorische maatregelen. De boeteberekening bij Capita — startpunt 58 miljoen GBP, verlaagd naar 14 miljoen GBP na schikking — geeft inzicht in hoe “passend” er in de praktijk uitziet als controles tekortschieten.

Externe AI-blootstelling vergroot het probleem. Het 2026 Forecast Report toont dat 30% van de organisaties het databeheer van externe AI-leveranciers als een belangrijk beveiligingsrisico ziet, maar slechts 36% heeft enig inzicht in hoe partners data in AI-systemen verwerken. De overige 64% vertrouwt op contracten en vragenlijsten om zich te beschermen tegen risico’s die ze niet kunnen zien. De ICO-richtlijn is hier expliciet: organisaties moeten in kaart brengen waartoe derden toegang hebben, hen houden aan passende beveiligingsnormen en beveiligingsvereisten opnemen in contracten. Het
2026 Thales Data Threat Report bevestigt de zichtbaarheidcrisis — slechts een derde van de organisaties weet precies waar hun data is opgeslagen, en slechts 39% kan alle data classificeren. AI bouwt voort op die al fragiele basis.

Hoe DPIA’s en AI-Gerichte Verdedigingen Van Optioneel Naar Verplicht Gaan

De ICO is ondubbelzinnig over DPIA’s bij AI-verwerking met hoog risico. Als uw organisatie AI-tools gebruikt die persoonsgegevens met hoog risico verwerken, heeft u een gedocumenteerde data protection impact assessment nodig en passende waarborgen tegen AI-gerichte aanvallen. “Optionele beste practice” is niet langer het uitgangspunt. “Gedocumenteerde verwachting onder Artikel 35 en 32” wel.

De data uit het 2026 Forecast Report over dit gat zijn verontrustend. 74% van de organisaties buiten het bereik van de EU AI-wet heeft geen AI-impactbeoordeling. 84% heeft geen AI red-teaming uitgevoerd. 72% mist doelbinding. Zelfs onder organisaties die wel onder de EU AI-wet vallen, liggen de vergelijkbare cijfers op 41%, 61% en 46%. De wet en de ICO bewegen naar dezelfde verwachting. De meeste organisaties zijn niet klaar.
DTEX 2026 Insider Threat Report bevestigt het gat vanuit een ander perspectief: 92% van de organisaties zegt dat generatieve AI fundamenteel heeft veranderd hoe medewerkers informatie benaderen en delen, maar slechts 13% heeft AI formeel geïntegreerd in hun bedrijfsstrategie. Het strategische gat is het governance-gat.

AI-gerichte aanvallen hebben een specifieke betekenis die de ICO nu in Artikel 32 opneemt. Indirecte prompt injection, waarbij tegenstanders kwaadaardige instructies in data verstoppen die het AI-systeem bij inference ophaalt. Data poisoning, waarbij aanvallers trainingsdata corrumperen of uitkomsten manipuleren. Tool poisoning, waarbij instructies verborgen zitten in de metadata van tools waarmee een AI-agent interacteert. Dit zijn geen generieke cyberdreigingen. Het zijn AI-specifieke exploitatieklassen die traditionele DLP-, EDR- en SIEM-regels niet detecteren. De verdediging moet plaatsvinden waar de AI toegang tot data krijgt.

Hoe Kiteworks De Vijf Stappen Van De ICO Operationaliseert Voor Persoonsgegevensbeheerders

De ICO-richtlijn noemt geen enkele leverancier. Dat hoeft ook niet. De beschreven architectuur is duidelijk: geauthentiseerde toegang, gelaagde verdediging, encryptie en pseudonimisering, monitoring op het dataniveau, incident response-gereedheid en gedocumenteerd governance. Kiteworks Compliant AI is precies rond deze set van controles gebouwd.

Kiteworks Compliant AI
beheert AI-agenttoegang op het dataniveau in plaats van op het model- of applicatieniveau. Elke AI-aanvraag wordt geauthenticeerd via OAuth 2.0 met tokens die in de keychain van het besturingssysteem worden opgeslagen en nooit aan het model worden blootgesteld. Elke bewerking wordt in realtime geëvalueerd tegen op attributen gebaseerde toegangscontrole en rolgebaseerde toegangscontrole. Elke interactie genereert een manipulatiebestendige audit log-entry,
direct doorgestuurd naar SIEM zonder throttling. FIPS 140-3 gevalideerde encryptie beschermt data in transit en in rust. De agent erft de rechten van de gemachtigde gebruiker en kan deze niet overschrijden, ongeacht of de standaardinstellingen van het AI-framework correct zijn, of een prompt injection slaagt, of het model zelf is gecompromitteerd.

Dit is hoe stap vier van de ICO er in de praktijk uitziet. De gelaagde verdediging houdt stand als één controle faalt. De audittrail levert het bewijs dat vereist is onder Artikel 5(2) accountability en Artikel 32 “passende maatregelen”. De DPIA wordt daadwerkelijk uitvoerbaar omdat de technische waarborgen gedocumenteerd, afdwingbaar en controleerbaar zijn. Het beheer van de toeleveringsketen uit stap vijf wordt mogelijk omdat het dataniveau beleid afdwingt op elke interactie, ook die van externe AI-tools.

Het belangrijkste is dat de architectuur het impliciete toezichtsvraagstuk van de toezichthouder beantwoordt: als een AI-agent persoonsgegevens opvraagt, wat voorkomt dat deze zijn autorisatie overschrijdt? Model-niveau guardrails kunnen worden omzeild. Logging op applicatieniveau kan worden omzeild als de applicatie ontworpen is om open te falen. Governance op het dataniveau kan dat niet, omdat het dataniveau de agent niet vertrouwt om correct te handelen. Elke aanvraag wordt elke keer aan het beleid getoetst.

Wat CISO’s, DPO’s en Besturen Dit Kwartaal Moeten Doen

Ten eerste, beschouw de ICO-richtlijn als compliance-basislijn, niet als commentaar.
De vijf stappen zijn direct gekoppeld aan de verwachtingen onder Artikel 32 en zullen terugkomen in toekomstige ICO-boetebesluiten als bewijs van hoe “passende maatregelen” er in 2026 uitzien. Documenteer de status van uw organisatie op elk van deze stappen.

Ten tweede, rond DPIA’s af voor elk AI-systeem dat persoonsgegevens met hoog risico verwerkt.
Het Kiteworks 2026 Forecast Report toont dat 74% van de organisaties buiten het bereik van de EU AI-wet geen AI-impactbeoordeling heeft. De ICO heeft dat gat nu tot een UK GDPR-risico gemaakt. Herstel is een gedocumenteerde DPIA per systeem, niet een generiek AI-beleid.

Ten derde, audit uw toeleveringsketen op AI-blootstelling.
Uit het Kiteworks 2026 Forecast Report blijkt dat slechts 36% van de organisaties enig inzicht heeft in hoe partners data in AI-systemen verwerken. De ICO verwacht dat u in kaart brengt waartoe derden toegang hebben en beveiligingsvereisten in contracten opneemt. Jaarlijkse leveranciersvragenlijsten voldoen niet aan de norm.

Ten vierde, sluit het containment-gat.
Data uit het Kiteworks 2026 Forecast Report laat zien dat 63% van de organisaties geen doelbinding kan afdwingen op AI-agents en 60% kan er niet snel één beëindigen. De nadruk van de ICO op menselijk toezicht, gelaagde verdediging en incident response betekent dat deze gaten nu compliance-gaten zijn, niet alleen beveiligingsgaten. Doelbinding, kill switches en netwerkisolatie gaan van stappenplan naar productie.

Ten vijfde, verplaats detectie naar het dataniveau.
AI-gerichte aanvallen — prompt injection, data poisoning, tool poisoning — omzeilen monitoring op applicatieniveau per definitie. De monitoringverwachting van de ICO is alleen realistisch als telemetrie plaatsvindt op het niveau waar de AI daadwerkelijk toegang tot data krijgt.

Ten zesde, informeer uw bestuur dit kwartaal.
Het Capita-precedent is een boete van 14 miljoen GBP die begon bij 58 miljoen GBP. Het volgende grote AI-gerelateerde datalek met persoonsgegevens in het VK zal worden beoordeeld aan de hand van het framework dat Ian Hulme zojuist publiceerde. Bewustzijn bij het bestuur is een controle. Leg het vast.

De framing van de ICO is nuchter, niet alarmistisch. “Niets hiervan is nieuw,” schrijft Hulme in de slotparagraaf, “maar AI brengt een hernieuwde urgentie en grotere snelheid.” Dat is de juiste insteek. De norm is niet veranderd. De klok wel.