Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI Governance in 2026: Waarom raden van bestuur die wachten een onbestuurbare chaos zullen erven
AI Governance in 2026: Waarom raden van bestuur die wachten een onbestuurbare chaos zullen erven

AI Governance in 2026: Waarom raden van bestuur die wachten een onbestuurbare chaos zullen erven

by Patrick Spencer updated mei 20, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

Belangrijkste inzichten

  1. Kloof in bestuursprioriteit. 54% van de raden van bestuur heeft AI-governance niet in hun top vijf prioriteiten geplaatst, terwijl betrokkenheid van de raad de sterkste voorspeller is van governancevolwassenheid.
  2. Druk door regelgeving en deadlines. De bepalingen voor hoog risico van de EU AI-wet treden in augustus 2026 in werking en vereisen conformiteitsbeoordelingen en documentatie, met boetes tot €35 miljoen of 7% van de omzet.
  3. Besturen of erven. Organisaties die uitstellen, zullen ongecontroleerde AI-systemen erven die zijn ingebed in kritieke processen; 63% kan nu al geen doellimieten afdwingen of agenten beëindigen.
  4. Kloof in controle over Shadow AI. 92% van de organisaties meldt dat GenAI het delen van data heeft veranderd, maar slechts 13% heeft hun beveiligingsstrategie aangepast, wat leidt tot $19,5 miljoen aan jaarlijkse kosten door interne incidenten.

Elke raad van bestuur staat in 2026 voor een beslissing, maar de meeste beseffen niet dat ze die nemen. De keuze is niet of AI ingezet moet worden. Die beslissing is maanden of jaren geleden al genomen, vaak zonder betrokkenheid van de raad. AI-agenten zijn al geïntegreerd in financiële rapportageprocessen, juridische onderzoekspijplijnen, klantenservice, HR-selectie en automatisering van de toeleveringsketen in vrijwel elke sector.

De beslissing is of u gaat sturen op wat al is ingezet — of het erft.

De beslissing die uw raad nu al neemt

Volgens het Kiteworks 2026 Data Security, Compliance and Risk Forecast Report heeft 54% van de raden van bestuur AI-governance niet in hun top vijf agendapunten staan. Toch blijkt uit hetzelfde rapport dat betrokkenheid van de raad de sterkste voorspeller is van volwassenheid op het gebied van AI-governance. De organisaties met de meest effectieve AI-controles zijn niet die met het grootste beveiligingsbudget — het zijn de organisaties waar de raad tijdig de juiste vragen stelde.

Governance-commentaar van Clyde & Co schetst 2026 als het kantelpunt waarop deze keuze voor de meeste organisaties onomkeerbaar wordt. Organisaties die wachten, erven ongecontroleerde AI-inzet in kritieke bedrijfsprocessen — en governance achteraf toevoegen aan systemen die al in productie zijn, al bedrijfswaarde genereren en al zijn gekoppeld aan gevoelige data, stuit op weerstand op elk niveau.

5 belangrijkste inzichten

1. 54% van de raden van bestuur heeft AI-governance niet in hun top vijf prioriteiten.

Toch is betrokkenheid van de raad de sterkste voorspeller van volwassenheid op het gebied van AI-governance — de organisaties die AI goed besturen, zijn die waar de raad erop stond. Uit de Kiteworks 2026 Forecast blijkt dat organisaties met betrokkenheid van de raad 26–28 punten hoger scoren op elk AI-governancemetric. Organisaties die wachten, krijgen geen tweede kans op proactieve governance.

2. De bepalingen voor hoog risico in de EU AI-wet treden in augustus 2026 in werking.

Organisaties die AI inzetten voor werkgelegenheid, krediet, wetshandhaving of kritieke infrastructuur krijgen te maken met verplichte conformiteitsbeoordelingen, documentatie en eisen voor menselijk toezicht — zonder uitstelmogelijkheid. Een AI-agent die toegang heeft tot gereguleerde data zonder audittrail, doellimiet of kill switch is niet alleen ongecontroleerd — het is niet compliant onder een regelgeving met boetes tot €35 miljoen of 7% van de wereldwijde omzet.

3. “Besturen of erven” is de bepalende strategische keuze van 2026.

Organisaties die AI-inzet proactief besturen, houden controle over hun architectuur. Organisaties die uitstellen, erven ongecontroleerde systemen in kritieke processen die vrijwel niet meer achteraf te corrigeren zijn. Uit de Kiteworks 2026 Forecast blijkt dat 63% geen doellimieten kan afdwingen voor AI-agenten en 60% geen misdragende agent kan beëindigen — wat betekent dat de meeste organisaties zich al in het erfenisscenario bevinden.

4. 92% zegt dat GenAI de manier waarop medewerkers data delen heeft veranderd — maar slechts 13% heeft de beveiligingsstrategie aangepast.

De kloof tussen erkende verstoring en strategische reactie is de grootste die ooit is gedocumenteerd in een categorie van bedrijfstechnologie, volgens het 2026 DTEX/Ponemon Insider Threat Report. Shadow AI is nu de belangrijkste oorzaak van nalatige interne incidenten met $19,5 miljoen aan jaarlijkse kosten. Datalekken door onbeheerde AI-tools kunnen niet worden voorkomen door beleid dat de meeste medewerkers nooit hebben gelezen.

5. Elke ondervraagde organisatie heeft agentische AI op de roadmap — met controles die 15 tot 20 punten achterlopen.

Adoptie is universeel; governance niet. Organisaties schrijven AI-beleid sneller dan ze de technische controles implementeren die dat beleid beschrijft. Deze asymmetrie bepaalt welke organisaties te maken krijgen met handhavingsmaatregelen en welke compliance kunnen aantonen als toezichthouders om bewijs vragen in plaats van documenten.

U vertrouwt erop dat uw organisatie veilig is. Maar kunt u het aantonen?

Lees nu

De regelgevende klok is niet theoretisch

De gefaseerde implementatie van de EU AI-wet komt samen op concrete deadlines in 2026. Systemen die als hoog risico zijn geclassificeerd — gebruikt bij personeelsbeslissingen, kredietwaardigheidsbeoordelingen, wetshandhaving, beheer van kritieke infrastructuur en toegang tot onderwijs — moeten uiterlijk rond augustus 2026 voldoen aan verplichte conformiteitsbeoordelingen en governance-eisen.

De vereisten zijn operationeel, niet ambitieus. Organisaties die AI-systemen met hoog risico inzetten, moeten documentatie kunnen overleggen waarin wordt aangetoond hoe het systeem werkt, welke data het gebruikt, welke beslissingen het neemt, hoe het wordt gemonitord en welke mechanismen voor menselijk toezicht bestaan. Een AI-agent die toegang heeft tot gereguleerde data zonder audittrail, doellimiet of kill switch is niet alleen ongecontroleerd — het is niet compliant onder een regelgeving met boetes tot €35 miljoen of 7% van de wereldwijde omzet.

Tegelijkertijd hebben 19 Amerikaanse staten nu uitgebreide privacywetten van kracht, die verplichtingen opleggen rond dataminimalisatie, doellimieten en geautomatiseerde besluitvorming waar AI-agenten direct invloed op hebben. Het 2026 Thales Data Threat Report toont aan dat snelle veranderingen in het AI-ecosysteem het meest zorgwekkende AI-gerelateerde risico zijn, genoemd door 70% van de respondenten — juist omdat het moeilijk is om duurzame controlekaders te ontwerpen wanneer het regelgevend landschap elk kwartaal verandert.

De data die elke raad van bestuur moet alarmeren

De governancekloof is niet abstract. Ze is gekwantificeerd, herhaald in meerdere onafhankelijke databronnen en wordt groter.

Het 2026 DTEX/Ponemon Insider Threat Report toont aan dat 92% van de organisaties zegt dat GenAI de manier waarop medewerkers informatie delen heeft veranderd — maar slechts 13% heeft AI geïntegreerd in hun beveiligingsstrategie. Shadow AI is nu de belangrijkste oorzaak van nalatige interne incidenten, met een gemiddelde jaarlijkse kost van $19,5 miljoen per organisatie. Slechts 19% van de organisaties classificeert AI-agenten als gelijkwaardig aan menselijke insiders, terwijl 44% verwacht dat kwaadwillend gebruik van AI-agenten het risico op dataverlies zal vergroten.

De Kiteworks 2026 Forecast documenteert de controlekloof nauwkeurig: 63% van de organisaties kan geen doellimieten afdwingen voor AI-agenten, 60% kan een misdragende agent niet beëindigen en 55% kan AI-systemen niet isoleren van het bredere netwerk. Er is consequent een kloof van 15 tot 20 punten tussen governancecontroles (beleid, inventarisaties, risicobeoordelingen) en containmentcontroles (kill switches, isolatie, doellimieten).

Het WEF Global Cybersecurity Outlook 2026 bevestigt dit wereldwijd: slechts ongeveer 40% van de organisaties voert periodieke AI-beveiligingsreviews uit en ongeveer 33% heeft geen enkel proces om AI-beveiliging voorafgaand aan inzet te valideren. Zonder sterke governance krijgen agenten te veel privileges, worden ze gemanipuleerd via ontwerpfouten of prompt-injecties, of verspreiden ze fouten op grote schaal.

Hoe “erven” er in de praktijk uitziet

Het “erven”-scenario is niet hypothetisch. Het volgt een voorspelbaar patroon dat meerdere organisaties nu al ervaren.

Het begint met een afdeling die een AI-tool inzet om een reëel zakelijk probleem op te lossen — juridisch onderzoek, financiële analyse, automatisering van klantenondersteuning. De tool werkt. Hij wordt onderdeel van de dagelijkse operatie. Andere afdelingen zetten vergelijkbare tools in. Binnen enkele maanden heeft de organisatie tientallen AI-touchpoints die toegang hebben tot gevoelige data in diverse systemen, zonder centrale inventarisatie, zonder consistente handhaving van beleid en zonder uniforme audittrail.

Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in AI-ondersteunde aanvallen door tegenstanders op jaarbasis. Wanneer tegenstanders AI-tools aanvallen die zijn ingebed in kritieke workflows — via prompt-injectie, diefstal van inloggegevens of social engineering — ontdekt de organisatie dat ze geen antwoord kan geven op basisvragen: Welke AI-systemen hebben toegang tot welke data? Onder welk beleid? Kunnen we deze agent beëindigen zonder het bedrijfsproces dat hij ondersteunt te verstoren?

De Agents of Chaos-studie — een project uit februari 2026 van 20 onderzoekers van MIT, Harvard, Stanford en CMU — documenteerde precies deze faalpatronen in live omgevingen. Onderzoekers bereikten identiteitsvervalsing, verspreiding van kwaadaardige gedragsregels tussen agenten en volledige overname van governance met niets meer dan gesprekken en het wijzigen van weergavenamen. Een organisatie die ongecontroleerde AI-inzet heeft geërfd, heeft deze kwetsbaarheden op grote schaal in productie geërfd.

Betrokkenheid van de raad is de sterkste voorspeller van governancevolwassenheid

De data uit de Kiteworks 2026 Forecast onthult een inzicht dat de aanpak van AI-toezicht door raden van bestuur zou moeten veranderen: de sterkste voorspeller van volwassenheid op het gebied van AI-governance is betrokkenheid van de raad — niet het budget, niet het aantal medewerkers, niet de technologische complexiteit.

Organisaties waar de raad actief betrokken is bij AI-governance tonen consequent een hogere controlvolwassenheid op elk gemeten vlak: AI-inventarisaties, risicobeoordelingen, doellimieten, kill switches, audittrails en compliance-bewijs. Het mechanisme is eenvoudig: als de raad vraagt “Hoe besturen we AI-toegang tot data?” ontstaat er organisatorische verantwoordelijkheid. Als de raad niet vraagt, wordt governance een optioneel initiatief dat concurreert met projecten die omzet genereren.

Het 2026 Thales Data Threat Report toont een vergelijkbaar patroon in bredere beveiliging: 78% van de CEO’s zegt geen datalek te hebben meegemaakt, maar over alle rollen heen daalt dat cijfer naar 58%. Als leiderschap risico onderschat, investeert de organisatie te weinig in controles — en de AI-governancekloof wordt groter omdat leiders nog niet de vragen stellen die verantwoordelijkheid creëren.

Hoe Kiteworks AI-governance op bestuursniveau mogelijk maakt

De Kiteworks Secure MCP Server en AI Data Gateway creëren een gecentraliseerde governance-laag tussen AI-agenten en de gevoelige data waartoe ze toegang hebben. Elke AI-interactie wordt geauthenticeerd via op attributen gebaseerde toegangscontrole, versleuteld met FIPS 140-3 gevalideerde cryptografie en gelogd in een manipulatiebestendige audittrail. Wanneer een bestuurslid vraagt “Kunt u aantonen dat onze AI-systemen onder beleid toegang hebben tot gereguleerde data?” is het antwoord een rapport, geen onderzoek.

Voor organisaties die onder de hoog-risico vereisten van de EU AI-wet vallen, levert Kiteworks de documentatie- en loginfrastructuur die conformiteitsbeoordelingen vereisen. Voor CMMC, HIPAA, PCI DSS en SEC-gereguleerde omgevingen voldoet dezelfde audittrail aan meerdere kaders tegelijk. Het Kiteworks Private Data Network bundelt beveiligde e-mail, bestandsoverdracht, SFTP, MFT en AI-integraties onder één beleidsengine en één auditlog — met een single-tenant architectuur die waarborgt dat governance niet kan worden gecompromitteerd door de configuratie van een andere tenant.

Uit de Kiteworks 2026 Forecast blijkt dat slechts 43% van de organisaties een gecentraliseerde AI Data Gateway heeft. De organisaties die er een inzetten vóór de deadline van de EU AI-wet in augustus 2026 zijn degenen waarvan de raad governance kan aantonen in plaats van het te beloven.

Wat raden van bestuur vóór augustus 2026 moeten eisen

Ten eerste, eis een AI-inventarisatie. Elke AI-agent, copilot en geautomatiseerde workflow die toegang heeft tot bedrijfsdata moet worden gecatalogiseerd met het bereik van data-toegang, type inloggegevens, status van beleidshandhaving en mogelijkheid tot beëindiging. Uit het DTEX-rapport blijkt dat shadow AI de belangrijkste oorzaak is van nalatige interne incidenten — u kunt niet besturen wat u niet heeft geïnventariseerd.

Ten tweede, eis een analyse van de kloof tussen governance en containment. De Kiteworks Forecast documenteerde een kloof van 15 tot 20 punten tussen governancecontroles en containmentcontroles. Raden moeten specifiek vragen: Kunnen we elke AI-agent binnen enkele minuten beëindigen? Kunnen we doellimieten afdwingen voor elke agent? Kunnen we elk AI-systeem isoleren van het bredere netwerk? Als het antwoord op een van deze vragen nee is, heeft containment prioriteit.

Ten derde, stel een centrale AI Data Gateway in vóór de deadline van de EU AI-wet. Decentrale AI-governance — waarbij elke afdeling zijn eigen AI-tools, beleid en audittrails beheert — veroorzaakt fragmentatie die het aantonen van compliance onmogelijk maakt.

Ten vierde, sta op adversarial testing. De Agents of Chaos-studie toonde aan dat AI-agenten met alleen gesprekken kunnen worden gecompromitteerd. Als de AI-agenten van uw organisatie nooit zijn getest op identiteitsvervalsing, prompt-injectie en verspreiding tussen agenten, neemt uw raad governancebeslissingen op basis van onvolledige risico-informatie.

Ten vijfde, behandel AI-governance als een vast agendapunt voor de raad. Het regelgevend landschap verandert elk kwartaal, de snelheid van inzet neemt toe en aanvallende technieken ontwikkelen zich sneller dan jaarlijkse reviews kunnen bijhouden. Jaarlijkse governance-reviews zijn onvoldoende voor een technologie die maandelijks verandert.

De organisaties die AI nu besturen — met betrokkenheid van de raad, gecentraliseerde datagateways en manipulatiebestendige audittrails — zullen compliance aantonen, de eerste golf van handhavingsacties overleven en hun competitieve voordeel behouden. De organisaties die wachten, erven een onbestuurbare chaos die geen enkel achteraf opgesteld beleid kan oplossen.

Meer weten over AI data governance? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Begin met de kloof tussen adoptie en governance: 100% van de organisaties heeft agentische AI op de roadmap, maar 63% kan geen doellimieten afdwingen en 60% kan geen misdragende agent beëindigen volgens de Kiteworks 2026 Forecast. Betrokkenheid van de raad is de sterkste voorspeller van volwassenheid op het gebied van AI-governance. De deadline van de EU AI-wet in augustus 2026 geeft de regelgevende urgentie — boetes kunnen oplopen tot €35 miljoen of 7% van de wereldwijde omzet voor overtredingen met AI met hoog risico.

AI-governance vereist geen enterprise-budgetten — het vraagt om architecturale keuzes. Het 2026 Thales Data Threat Report toont aan dat auditprestaties de sterkste voorspeller zijn van het voorkomen van datalekken, ongeacht de omvang van de organisatie. Een gecentraliseerde AI Data Gateway biedt doellimieten, audittrails en beleidshandhaving zonder dat een groot beveiligingsteam nodig is om elke controle afzonderlijk te configureren en te onderhouden.

De EU AI-wet is van toepassing op organisaties die AI-systemen op de EU-markt brengen of waarvan AI-uitvoer binnen de EU wordt gebruikt, ongeacht waar de organisatie is gevestigd — vergelijkbaar met de extraterritoriale reikwijdte van de GDPR. Organisaties die persoonlijke data van EU-burgers verwerken met AI-systemen moeten direct starten met conformiteitsbeoordelingen, met focus op documentatie, mechanismen voor menselijk toezicht en audittrail-infrastructuur.

Een AI-inventarisatie brengt in kaart welke AI-systemen er zijn, welke data ze gebruiken en wie verantwoordelijk is. Een AI-governanceprogramma voegt beleidshandhaving, risicobeoordeling, monitoring en bewijsvoering toe. Begin met de inventarisatie — governance zonder inventarisatie is beleid zonder zichtbaarheid. Uit het DTEX/Ponemon 2026-rapport blijkt dat shadow AI de grootste oorzaak is van nalatige interne risico’s, wat betekent dat veel AI-inzet onzichtbaar is voor beveiligingsteams en daardoor onbestuurbaar.

Microsoft Copilot regelt AI-toegang binnen het M365-ecosysteem, maar niet de toegang tot data buiten de Microsoft-omgeving — externe content, partner-bestanden of gevoelige repositories die extra bescherming vereisen. Het Kiteworks Private Data Network vult Copilot aan door AI-toegang tot gevoelige data te besturen met onafhankelijke audittrails, op attributen gebaseerde toegangscontrole en FIPS 140-3-encryptie — en overbrugt zo de governancekloof die M365 openlaat.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor uw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of u een AI-beleid heeft. Ze willen bewijs dat het werkt.

Veelgestelde vragen

Volgens het Kiteworks 2026 Data Security, Compliance and Risk Forecast Report heeft 54% van de raden van bestuur AI-governance niet in hun top vijf agendapunten, ondanks dat betrokkenheid van de raad de sterkste voorspeller is van volwassenheid op het gebied van AI-governance binnen organisaties.

De bepalingen voor hoog risico van de EU AI-wet treden in augustus 2026 in werking. Organisaties die AI inzetten voor werkgelegenheid, krediet, wetshandhaving of kritieke infrastructuur moeten voldoen aan verplichte conformiteitsbeoordelingen en eisen voor menselijk toezicht, met boetes tot €35 miljoen of 7% van de wereldwijde omzet bij overtredingen.

Uit de Kiteworks 2026 Forecast blijkt dat 63% van de organisaties geen doellimieten kan afdwingen voor AI-agenten, 60% geen misdragende agent kan beëindigen en 55% AI-systemen niet kan isoleren van het bredere netwerk, wat een consistente kloof van 15 tot 20 punten tussen governancebeleid en daadwerkelijke containmentcontroles aantoont.

Organisaties waar de raad actief betrokken is bij AI-governance tonen een hogere controlvolwassenheid op het gebied van inventarisaties, risicobeoordelingen, doellimieten, kill switches en audittrails. Wanneer de raad directe vragen stelt over het besturen van AI-toegang tot data, ontstaat er organisatorische verantwoordelijkheid die effectieve implementatie stimuleert.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks