Het Europese vertrouwen in samenwerkingstools: waarom vertrouwen in je tools niet hetzelfde is als controle over je data

Het Europese vertrouwen in samenwerkingstools: waarom vertrouwen in je tools niet hetzelfde is als controle over je data

Vertrouwen is geen control. Dat onderscheid is het verhaal dat schuilgaat in een nieuwe enquête onder IT-professionals in het VK, Frankrijk en Duitsland, uitgevoerd in opdracht van communicatieprovider Wire en gerapporteerd door Dark Reading. Op papier klinken Europese organisaties veilig: 84% van de IT-professionals zegt vertrouwen te hebben in de beveiliging van hun samenwerkingsomgevingen, en 79% vertrouwt op hun vermogen om toegang tot samenwerkingsdata te beheren. Maar wie verder kijkt dan het headlinecijfer, ziet dat dezelfde groep respondenten een heel ander verhaal vertelt over wat er werkelijk gebeurt binnen hun omgevingen.

Slechts 29% gaf aan dat hun huidige tools volledig geschikt zijn voor het verwerken van gevoelige communicatie. Eenenzestig procent zei dat toegang tot gedeelde bestanden vaak langer actief blijft dan nodig is. Vierendertig procent heeft moeite om überhaupt te bepalen wie toegang heeft tot een bepaald gevoelig bestand, en 19% omschrijft het intrekken van die toegang, zodra verleend, als zeer moeilijk. Aan de kant van externe samenwerking, waar data de muren van de organisatie verlaat, wordt het beeld nog zorgwekkender: 75% gebruikt hetzelfde e-mailplatform voor interne en externe communicatie, 45% vertrouwt op links voor bestandsoverdracht, 42% gebruikt consumentenberichtenapps voor zakelijke inhoud en slechts 28% gebruikt een speciaal beveiligd hulpmiddel dat is gebouwd voor externe samenwerking.

Dit is geen verhaal over een datalek. Geen enkele organisatie die in de enquête wordt genoemd, heeft een incident meegemaakt, en de gegevens van Wire beschrijven een marktoverstijgend sentiment in plaats van een specifieke aanval. Juist dat maakt het waardevol. Het biedt een zeldzaam, gestructureerd inzicht in hoe een grote groep IT-professionals daadwerkelijk het verschil ervaart — en verkeerd inschat — tussen “wij voelen ons veilig” en “wij kunnen beveiliging aantonen en afdwingen”. Voor elke organisatie die samenwerking laat verlopen via e-mail, consumentenberichtenapps en ad-hoc links voor bestandsoverdracht, is deze enquête een spiegel die precies laat zien waar governance tekortschiet.

Kiteworks secure data exchange bestaat omdat deze kloof tussen waargenomen en daadwerkelijke controle precies het probleem is dat unified data governance oplost. De rest van deze post licht toe wat de cijfers daadwerkelijk betekenen, waarom het vertrouwen misleidend is als je het los bekijkt, en hoe het dichten van de kloof er in de praktijk uitziet.

Belangrijkste inzichten

1. Vertrouwen en controle zijn twee verschillende zaken, en de meeste IT-leiders halen ze door elkaar.

Een nieuwe enquête onder Britse, Franse en Duitse IT-professionals toont aan dat 84% vertrouwen heeft in hun samenwerkingsbeveiliging, terwijl slechts 29% vindt dat hun tools volledig geschikt zijn voor het verwerken van gevoelige communicatie.

2. Toegang verloopt niet wanneer dat zou moeten.

Eenenzestig procent van de respondenten gaf aan dat toegang tot gedeelde bestanden vaak langer actief blijft dan nodig, en 19% vindt het zeer moeilijk om toegang in te trekken zodra deze is verleend. Dataminimalisatieprincipes — toegepast op de reikwijdte en duur van toegang op het moment van delen — vormen het beleidsfundament voor automatische vervaldatum als standaardgedrag.

3. Externe samenwerking draait op een gefragmenteerde, niet-gecontroleerde toolstack.

Driekwart van de organisaties gebruikt hetzelfde e-mailplatform voor interne en externe communicatie, 45% vertrouwt op links voor bestandsoverdracht, en 42% gebruikt consumentenberichtenapps om gevoelige inhoud buiten het bedrijf te delen.

4. Zichtbaarheidsproblemen zijn de oorzaak, niet het gevolg.

Vierendertig procent van de IT-professionals heeft moeite om te bepalen wie momenteel toegang heeft tot gevoelige bestanden, waardoor gecontroleerd offboarden en reageren op een datalek vrijwel onmogelijk wordt.

5. De oplossing is architectonisch, niet gedragsmatig.

Het dichten van de kloof vereist het samenbrengen van samenwerking op één gecontroleerd platform met toegangscontrole per bestand, automatische vervaldatum en volledige audit logging, in plaats van medewerkers te vragen om gefragmenteerde tools zorgvuldiger te gebruiken.

Waarom kunnen 84% vertrouwen en 29% geschiktheid allebei waar zijn?

Het is verleidelijk om het cijfer van 84% vertrouwen en 29% geschiktheid als een tegenstelling te zien. Dat zijn ze niet. Ze meten twee verschillende dingen, en dat verschil verklaart bijna alles in de enquête.

Vertrouwen, zoals de meeste respondenten de vraag waarschijnlijk interpreteerden, meet of de tools die een organisatie al gebruikt tot nu toe stand hebben gehouden — geen zichtbaar datalek, geen incident in het nieuws, geen duidelijke mislukking. Dat is een terugblikkend, beschikbaarheidsgericht oordeel. Het antwoordt op de vraag: “Is er iets misgegaan waar ik van weet?”

Geschiktheid meet iets toekomstgericht en veel moeilijker te beoordelen: of de daadwerkelijke architectuur van de tool — de toegangscontrole, de logging, het vermogen om beleid consistent af te dwingen over elk kanaal — ontworpen is om gevoelige inhoud standaard veilig te verwerken. Dat is de vraag die een 29% “ja” oplevert.

De kloof tussen die twee cijfers is waar risico onopgemerkt blijft. Een organisatie kan jarenlang geen zichtbare beveiligingsfout hebben, terwijl de onderliggende controls ontbreken die een langzaam, stil datalek zouden voorkomen of zelfs maar zouden onthullen: een externe partner die achttien maanden na afloop van een project nog steeds toegang heeft tot een gedeelde map, een gevoelig contract in een persoonlijk berichtenkanaal, bestandsoverdrachtslinks van een ex-medewerker die nooit zijn ingetrokken. Niets daarvan verschijnt als een “incident” dat het vertrouwen aantast. Maar alles verschijnt als onbeheerd risico zodra een toezichthouder, auditor of aanvaller op onderzoek uitgaat. Voor organisaties die persoonlijk identificeerbare informatie of andere gereguleerde datacategorieën beheren, brengt dat onbeheerde risico specifieke meldings- en herstelverplichtingen met zich mee die vertrouwen alleen niet kan afdekken.

Dit is ook waarom risicobeheer cyberbeveiliging-programma’s die vertrouwen op zelfgerapporteerde vertrouwensenquêtes of jaarlijkse pentests structureel de blootstelling in samenwerkingsomgevingen onderschatten. De tools falen niet luidruchtig. Ze falen stilletjes, telkens bij een ongecontroleerde deelactie, en stille fouten beïnvloeden het vertrouwen pas als ze een nieuwswaardig incident worden.

Het probleem van de toegangslevenscyclus: toegang verlenen is makkelijk, intrekken is moeilijk

Kijk goed naar de drie cijfers over toegangsbeheer en er ontstaat een patroon dat elke CISO meer zorgen zou moeten baren dan de vertrouwenscijfers geruststellen. Eenenzestig procent zegt dat toegang vaak langer actief blijft dan nodig. Vierendertig procent heeft moeite om te bepalen wie momenteel toegang heeft tot gevoelige bestanden. Negentien procent vindt het zeer moeilijk om toegang in te trekken zodra deze is verleend.

Tel die bij elkaar op en je krijgt een volledige omschrijving van een gebroken toegangslevenscyclus: toegang verlenen is eenvoudig en snel, omdat iedereen dat optimaliseert — een nieuwe leverancier heeft een map nodig, een nieuwe partner een bestand, geregeld in dertig seconden. Maar niemand heeft het spiegelbeeldige proces gebouwd om toegang weer in te trekken als deze niet meer nodig is. Er is geen consistente trigger, geen eigenaar, geen systeem van registratie dat een deelactie markeert voor herziening wanneer een project eindigt of een contract afloopt.

Dit is de klassieke asymmetrie in toegangscontrole die is gebouwd op algemene samenwerkingstools in plaats van gecontroleerde contentplatforms. E-mailbijlagen, consumentenlinks voor bestandsoverdracht en berichtenapp-transfers delen allemaal hetzelfde structurele probleem: zodra een bestand de controle van de verzender verlaat, is er geen betrouwbare, centrale manier om te weten wie het nog heeft, laat staan om toegang in te trekken. Een gedeelde link vraagt geen toestemming om te blijven werken. Een e-mailbijlage checkt niet bij een beleidssysteem voordat een ontvanger het opnieuw doorstuurt. Op attributen gebaseerde toegangscontrole (ABAC: Attribute Based Access Control) — waarbij toegangsbeslissingen inhoudsgevoeligheid, gebruikersrol en tijdscontext tegelijk evalueren — is het technische mechanisme dat contextuele, tijdsgebonden rechten afdwingt die statische roltoewijzingen en linkdeling niet kunnen evenaren.

Vergelijk dat met wat digital rights management en toegangsbeheer per bestand juist beogen: toegang koppelen aan het bestand zelf, niet aan degene die toevallig een kopie heeft, zodat rechten tijdsgebonden, gemonitord en centraal ingetrokken kunnen worden, ongeacht waar het bestand fysiek staat. Dat is het architectonische verschil tussen “we hebben het verstuurd en hopen dat het goed gaat” en “wij beheren het gedurende de hele levenscyclus”. De 19% die intrekken als zeer moeilijk omschrijft, beschrijft geen trainingsprobleem. Ze beschrijven een toolingprobleem dat training niet kan oplossen.

De 34% die niet kunnen bepalen wie toegang heeft, kampen met een nog acutere versie van hetzelfde probleem. Je kunt niet beheren wat je niet kunt zien. Zonder een geconsolideerde audittrail over elk samenwerkingskanaal heen, wordt “wie heeft nu toegang tot dit bestand” een vraag die handmatig zoeken vereist in e-mailserverlogs, adminconsoles van bestandsoverdrachtplatforms en berichtenapp-logs — ervan uitgaande dat die logs überhaupt bestaan en lang genoeg worden bewaard. Tijdens een incident is dat geen ongemak, maar het verschil tussen een ingeperkte reactie en een datalekmelding met onbekende omvang.

Externe samenwerking: waar fragmentatie blootstelling wordt

De interne cijfers beschrijven een governanceprobleem. De cijfers over externe samenwerking beschrijven iets dat meer lijkt op een open deur.

Vijfenzeventig procent van de ondervraagde organisaties gebruikt hetzelfde e-mailplatform voor interne en externe communicatie. Op het eerste gezicht klinkt dat efficiënt — één platform, één inbox, één set vaardigheden voor iedereen. In de praktijk betekent het dat dezelfde e-mailbeveiligingsstatus die bedoeld is voor vertrouwd intern verkeer, grotendeels ongewijzigd wordt toegepast op communicatie met leveranciers, partners, aannemers en klanten van wie de eigen beveiligingsstatus voor de verzendende organisatie onzichtbaar is en buiten hun controle valt. De implicaties voor risicobeheer toeleveringsketen zijn direct: elke externe e-mailontvanger met niet-ingetrokken toegang tot gevoelige bestanden is een derdepartijrisico dat de organisatie niet via de eigen infrastructuur kan monitoren of beheersen.

Vijfenveertig procent gebruikt links voor bestandsoverdracht voor externe samenwerking — handig, vertrouwd, en vrijwel onmogelijk te beheren zodra ze zijn gedeeld. Een link die met één externe ontvanger wordt gedeeld, kan worden doorgestuurd, en de verzender heeft meestal geen idee dat dit gebeurt, geen standaard vervaldatum, en geen centrale log van elke toegang. Tweeënveertig procent gebruikt consumentenberichtenapps voor zakelijke inhoud die buiten de organisatie wordt gedeeld, tools die zijn gebouwd voor persoonlijk contact, niet voor gegevensbeheer, bewaarbeleid of een audittrail voor regelgeving.

Slechts 28% gebruikt een speciaal beveiligd hulpmiddel dat specifiek is gebouwd voor externe samenwerking. Dat betekent, volgens de cijfers uit de enquête, dat ongeveer zeven op de tien organisaties hun risicovolste datastromen — die de organisatiegrens oversteken naar omgevingen die het IT-team niet beheert — laten verlopen via tools die daar nooit voor ontworpen zijn. En 33% geeft openlijk toe dat ze geen vertrouwen hebben in het behouden van controle over bestanden zodra deze extern zijn gedeeld, wat de eerlijke, ongefilterde versie is van wat de andere cijfers in samenhang beschrijven.

Deze fragmentatie stapelt zich op een specifieke, voorspelbare manier. Elk extra kanaal voor externe samenwerking — e-mail, links voor bestandsoverdracht, consumentenberichten, plus wat de toegewijde 28% gebruikt — is een apart systeem met eigen toegangscontrole, eigen logging (of het ontbreken daarvan) en een eigen intrekkingsmechanisme (of het ontbreken daarvan). Een beveiligingsteam dat wil weten “welke gevoelige data hebben we met deze leverancier gedeeld, en kunnen we de toegang afsluiten als de relatie eindigt”, moet het antwoord reconstrueren over vier of vijf losstaande systemen, elk met onvolledige zichtbaarheid. Die reconstructie kost tijd die de organisatie zelden heeft tijdens een incident, en wordt simpelweg nooit gedaan tijdens normale operaties — precies waarom toegang maanden of jaren langer blijft bestaan dan nodig.

Kiteworks secure file sharing en secure MFT zijn juist gebouwd op het tegenovergestelde uitgangspunt: dat intern en extern delen van inhoud via één gecontroleerde omgeving moet verlopen met consistente toegangscontrole, encryptie en logging, ongeacht aan welke kant van de organisatiegrens de ontvanger zit. Die consolidatie maakt van “we hebben geen vertrouwen in het behouden van controle” een vraag met een concreet, verifieerbaar antwoord.

Wat is er echt nodig om de kloof te dichten?

De reflex na het lezen van zulke enquêtegegevens is om te grijpen naar een trainingsprogramma of beleidsmemo: medewerkers eraan herinneren geen consumentenberichtenapps te gebruiken voor gevoelige bestanden, vragen om dubbel te checken wie toegang heeft voor het delen, een regel toevoegen aan de security awareness-presentatie. Die reflex is begrijpelijk en vrijwel volledig onjuist. De Wire-enquête beschrijft geen populatie van onzorgvuldige medewerkers. Het zijn IT-professionals — mensen met beveiliging als taak — die aangeven dat hun eigen tools niet de geschiktheid, zichtbaarheid of intrekkingsmogelijkheden bieden die ze nodig hebben. Je kunt een toolingprobleem niet oplossen met training.

Het dichten van de kloof vereist vier specifieke architectonische mogelijkheden die gefragmenteerde e-mail-, link- en berichtentools nooit samen in één omgeving bieden.

Ten eerste, uniforme toegangscontrole die hetzelfde beleid toepast, of de ontvanger nu een medewerker, leverancier of klant is. Ten tweede, governance per bestand in plaats van per platform, zodat rechten met de inhoud meereizen en kunnen worden aangepast of ingetrokken zonder te weten waar overal een kopie bestaat. Ten derde, automatische vervaldatum als standaardgedrag in plaats van een handmatige bijzaak, zodat toegang die “langer actief blijft dan nodig” structureel zeldzaam wordt in plaats van de norm die 61% van de respondenten beschrijft. Ten vierde, één enkele audittrail over elk samenwerkingskanaal, zodat de 34% die nu niet kan antwoorden “wie heeft toegang tot dit bestand” binnen enkele seconden een echt antwoord heeft, in plaats van een onderzoek over meerdere systemen.

Een CISO Dashboard dat actieve deelacties, verouderde rechten en externe toegang in één overzicht toont, maakt van de meest alarmerende cijfers uit de enquête een oplosbaar operationeel probleem in plaats van een blijvend risico. In plaats van te vragen “weet iemand nog met wie we dat contract gedeeld hebben”, is het antwoord slechts een zoekopdracht verwijderd. In plaats van te hopen dat de toegang van een vertrokken leverancier vanzelf verlopen is, wordt vervaldatum bij beleid afgedwongen op het moment dat toegang wordt verleend. Door deze zichtbaarheid te koppelen aan een SIEM-platform krijgen beveiligingsteams gedragsmeldingen wanneer toegangs­patronen afwijken van de norm — de detectielaag die de “stille fouten” uit de enquête omzet in waarneembare, actiegerichte signalen voordat ze meldingsplichtige incidenten worden.

Dit alles vereist niet dat e-mail of berichtenapps volledig worden afgeschaft — medewerkers zullen altijd behoefte hebben aan vertrouwde communicatiekanalen. Het vereist dat de gevoelige inhoud zelf, de bestanden en data die daadwerkelijk risico dragen, via een gecontroleerde laag worden gerouteerd die onder en over die kanalen ligt, en overal consistent beleid afdwingt, ongeacht in welke app het gesprek plaatsvindt. Dat is het praktische verschil tussen vertrouwen gebaseerd op het ontbreken van bewijs en vertrouwen gebaseerd op daadwerkelijke, aantoonbare controle.

Regelgeving verhoogt de prijs van de vertrouwenskloof

Europese organisaties kunnen zich niet permitteren om deze kloof als een toekomstig probleem te zien. Het regelgevend landschap in het VK, Frankrijk en Duitsland beweegt zich onmiskenbaar richting het vereisen van precies het soort aantoonbare controle dat deze enquête grotendeels als ontbrekend laat zien.

GDPR vereist al jaren dat organisaties weten waar persoonsgegevens zich bevinden en wie er toegang toe heeft, maar de handhaving is aangescherpt en toezichthouders verwachten steeds vaker bewijs in plaats van geruststellende woorden tijdens een onderzoek. De NIS 2-richtlijn, nu van kracht in EU-lidstaten waaronder Frankrijk en Duitsland, breidt de verplichtingen voor risicobeheer cyberbeveiliging uit naar een veel bredere groep “essentiële” en “belangrijke” entiteiten en vereist expliciet beveiligingsmaatregelen voor de toeleveringsketen — een directe impact op organisaties die nog steeds vertrouwen op e-mail, links voor bestandsoverdracht en consumentenberichtenapps voor de externe samenwerking waar de richtlijn zich juist op richt. Organisaties in de financiële sector krijgen te maken met DORA-vereisten rondom risico door derden en ICT-incidentrapportage, waarbij wordt aangenomen dat de organisatie daadwerkelijk kan traceren waar gevoelige data naartoe is gegaan en wie erbij kon.

De rode draad in alle drie de kaders is hetzelfde onderscheid dat de Wire-enquête blootlegt: toezichthouders nemen geen genoegen meer met vertrouwen als vervanging voor controle. Een organisatie die tijdens een GDPR-onderzoek of een NIS2-audit zegt “wij hebben vertrouwen in onze beveiliging”, zal gevraagd worden om de toegangslogs, intrekkingsrecords en de actuele rechtenlijst voor de betreffende dataset te tonen. Als het eerlijke antwoord is “in 34% van de gevallen kunnen we niet bepalen wie toegang heeft”, is dat geen communicatieprobleem. Het is een tekort aan audittrail en gegevensbeheer waar toezichthouders nu expliciet bevoegd en steeds meer geneigd zijn om sancties voor op te leggen.

Organisaties die externe samenwerking nog steeds via gefragmenteerde, niet-gelogde kanalen laten verlopen, stellen zich bloot aan die controle op het slechtst denkbare moment — pas nadat de handhaving de kloof heeft ingehaald, niet ervoor. Het Kiteworks 2026 Data Security and Compliance Risk: Annual Forecast Report volgt dit soort regelgevings- en derdepartijrisico’s over sectoren heen en is een nuttige benchmark voor organisaties die willen inschatten waar hun eigen externe samenwerkingspraktijken staan.

Van vertrouwen naar aantoonbare controle

Het meest waardevolle aan de Wire-enquête is wat er niet wordt gezegd. Er wordt niet beweerd dat Europese organisaties onzorgvuldig zijn, en er wordt geen specifiek datalek beschreven waar men zich zorgen over zou moeten maken. Wat het wel doet, is een grote, gestructureerde groep IT-professionals de kans geven hun eigen omgeving eerlijk te beschrijven, en wat zij beschrijven is een kloof tussen het vertrouwen dat ze voelen en de controle die ze daadwerkelijk kunnen aantonen.

Die kloof is te dichten, en dat vereist geen ander waakzaamheidsniveau van medewerkers die nu al overbelast zijn. Het vereist een andere architectuur: één waar toegangscontrole consistent is voor interne en externe samenwerking, waar toegang standaard verloopt in plaats van bij uitzondering, waar één audittrail direct antwoord geeft op “wie heeft hier nu toegang”, zonder een onderzoek over meerdere systemen, en waar intrekken een beleidsactie is in plaats van een handmatige zoektocht over vijf verschillende tools.

Kiteworks secure data exchange brengt de gefragmenteerde e-mail-, link- en consumentenberichtenkanalen die deze enquête beschrijft samen in één gecontroleerde omgeving, specifiek gebouwd om de kloof tussen vertrouwen en controle te dichten — voor interne teams en externe partners. Het Kiteworks Private Data Network breidt deze uniforme governance uit over elk communicatiekanaal voor inhoud, zodat organisaties de aantoonbare controle krijgen die GDPR, NIS2 en DORA-handhaving steeds vaker vereist.

Meer weten over het dichten van de kloof tussen samenwerkingsvertrouwen en aantoonbare controle? Plan vandaag nog een demo op maat.

Veelgestelde vragen

Het verwijst naar het verschil tussen hoe veilig IT-professionals zich voelen over hun samenwerkingstools en hoe geschikt die tools daadwerkelijk zijn voor het verwerken van gevoelige data. In de enquête in opdracht van Wire gaf 84% aan vertrouwen te hebben in hun beveiliging, maar slechts 29% vond hun tools volledig geschikt voor gevoelige communicatie. Die kloof is belangrijk omdat vertrouwen op basis van het ontbreken van een zichtbaar incident niet standhoudt onder toezicht van regelgeving, een audit of een daadwerkelijk datalekonderzoek — situaties waarin organisaties toegangscontrole en audittrail moeten aantonen, niet alleen een gevoel rapporteren. Organisaties die moeten voldoen aan regelgeving — GDPR, NIS2, DORA — lopen het grootste risico door deze kloof: een onderzoek van een toezichthouder zal gedocumenteerd bewijs eisen van toegangscontrole en intrekkingsmogelijkheden, niet een score uit een vertrouwensenquête.

De meeste samenwerkingstools zijn sterk geoptimaliseerd voor het snel verlenen van toegang en bieden weinig tot geen gestructureerd proces om die toegang weer in te trekken. E-mailbijlagen, links voor bestandsoverdracht en consumentenberichtenapps verlopen doorgaans niet automatisch, houden niet bij waar een bestand overal terechtkomt en markeren verouderde rechten niet voor herziening als een project of contract afloopt. Eenenzestig procent van de ondervraagde IT-professionals meldde precies dit probleem, en de oplossing vereist toegangscontrole per bestand met ingebouwde vervaldatum in plaats van te vertrouwen op iemand die handmatig toegang intrekt. Het toepassen van dataminimalisatieprincipes bij het toekennen van toegang — waarbij de kortst verdedigbare toegang als standaard wordt ingesteld in plaats van onbeperkt delen — vormt het beleidsfundament dat automatische vervaldatum operationeel houdbaar maakt.

Externe samenwerking brengt de data van de organisatie buiten omgevingen die zij direct beheert, en de enquête laat zien dat de meeste organisaties dit doen via tools die zijn gebouwd voor gemak, niet voor governance: 75% gebruikt hetzelfde e-mailplatform intern en extern, 45% gebruikt links voor bestandsoverdracht en 42% gebruikt consumentenberichtenapps. Slechts 28% gebruikt een speciaal beveiligd hulpmiddel voor externe samenwerking. Elk van deze kanalen heeft zwakke of ontbrekende toegangscontrole en logging, waardoor gevoelige inhoud die extern wordt gedeeld veel moeilijker te traceren, auditen of intrekken is dan inhoud die binnen één intern systeem blijft. Het risicobeheer toeleveringsketen-aspect versterkt dit: elke externe partner met niet-ingetrokken toegang tot bestanden is een derdepartijrisico dat de organisatie niet via de eigen beveiligingsinfrastructuur kan monitoren of afsluiten.

Nee. De respondenten zijn IT-professionals die beperkingen in hun eigen tools beschrijven, niet een gebrek aan bewustzijn bij medewerkers. Vierendertig procent kan niet bepalen wie toegang heeft tot gevoelige bestanden en 19% vindt intrekken zeer moeilijk omdat de onderliggende platforms geen uniforme toegangscontrole, gecentraliseerde audittrail en automatische vervaldatum bieden — structurele tekortkomingen die een architectonische oplossing vereisen, namelijk het samenbrengen van samenwerking op een gecontroleerd platform, in plaats van een trainings- of beleidsoplossing. Een gedocumenteerd incident response plan met een stap “bepaal wie toegang heeft tot het bestand” zal snel duidelijk maken of de onderliggende tooling die vraag daadwerkelijk kan beantwoorden — organisaties die dat niet kunnen, moeten het toolingprobleem als een risico voor incident response behandelen, niet als een toekomstig aandachtspunt.

Beide kaders vereisen dat organisaties aantonen — niet alleen beweren — dat ze weten waar gevoelige data zich bevindt, wie er toegang toe heeft en hoe data delen met derden en in de toeleveringsketen is beveiligd. GDPR-handhaving verwacht steeds vaker gedocumenteerde toegangscontrole en auditbewijs, terwijl de NIS 2-richtlijn de verplichtingen voor cyberbeveiliging expliciet uitbreidt naar de toeleveringsketen en data delen met derden in alle EU-lidstaten, waaronder Frankrijk en Duitsland. Een organisatie die tijdens een onderzoek niet kan beantwoorden “wie heeft nu toegang tot dit bestand”, loopt direct compliance-risico, niet alleen reputatieschade. DORA-compliance voegt een dimensie voor de financiële sector toe: ICT-incidentrapportage en verplichtingen voor risicobeheer door derden onder DORA vereisen dat organisaties precies kunnen traceren waar gevoelige data naartoe is gegaan en wie erbij kon — dezelfde aantoonbare controle die volgens de Wire-enquête bij de meeste Europese organisaties nu ontbreekt.

Aanvullende bronnen

  • Blog Post Zero Trust Architectuur: Nooit vertrouwen, altijd verifiëren
  • Video Microsoft GCC High: Nadelen die defensie-aannemers richting slimmere voordelen sturen
  • Blog Post Hoe je geclassificeerde data beveiligt zodra DSPM het signaleert
  • Blog Post Vertrouwen opbouwen in Generatieve AI met een Zero Trust-aanpak
  • Video De definitieve gids voor het veilig opslaan van gevoelige data voor IT-leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks