Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Het 31%-probleem: Shadow AI-trainingsgaten vormen nu een insiderrisico
Het 31%-probleem: Shadow AI-trainingsgaten vormen nu een insiderrisico

Het 31%-probleem: Shadow AI-trainingsgaten vormen nu een insiderrisico

by Patrick Spencer updated mei 27, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Het 2026 DTEX/Ponemon Cost of Insider Risks Global Report noemt shadow AI als de belangrijkste oorzaak van nalatige insider-incidenten — nog vóór ongecontroleerde bestandsoverdracht, persoonlijke webmail en alle andere categorieën op de lijst. Die verschuiving zet de prioriteiten van elke CISO op zijn kop ten opzichte van een jaar geleden. De gemiddelde jaarlijkse kosten van insider-incidenten bedragen $19,5 miljoen. 92% van de organisaties geeft aan dat generatieve AI het delen van informatie door medewerkers heeft veranderd; slechts 13% heeft AI geïntegreerd in de formele bedrijfsstrategie. De kloof tussen gedrag en beleid is het hele probleem in één zin.

Het Kiteworks 2026 Forecast Report plaatst shadow AI in de top vijf van AI-beveiligingsrisico’s en beoordeelt de volwassenheid van de beheersmaatregelen als “zeer zwak”, met de duidelijke opmerking dat “weinig organisaties discovery tools hebben”. De meeste securityteams kunnen niet op papier zetten welke AI-diensten hun medewerkers deze week gebruiken.

5 Belangrijkste Inzichten

1. Shadow AI is nu de belangrijkste oorzaak van nalatige insider-incidenten.

Volgens de DTEX/Ponemon-data van 2026 is shadow AI nu de grootste veroorzaker van nalatige incidenten — nog vóór ongecontroleerde bestandsoverdracht en persoonlijke webmail. Dit herclassificeert een probleem dat door de meeste securityprogramma’s nog als bijzaak wordt gezien. Met $19,5 miljoen per organisatie per jaar is het de grootste onbeheerde kostenpost in het insider risk-portfolio, en de dataverliesroutes die het creëert zijn structureel onzichtbaar voor de meeste security stacks.

2. Het trainingsgat is het probleem.

Lenovo’s Work Reborn Research Series 2026, gebaseerd op een enquête onder 6.000 medewerkers wereldwijd, toont aan dat 31% van de AI-gebruikers geen formele AI-training ontvangt van hun werkgever — terwijl tot een derde AI al buiten IT-governance gebruikt. Ongeschoolde gebruikers maken niet uit zichzelf veiligere keuzes. Zonder te weten wat gereguleerde data is of welke tools zijn toegestaan, wordt de governancekloof pas gedicht als de data al verdwenen is.

3. De tweesporen-werknemerspopulatie is realiteit.

Lenovo beschrijft een werknemerspopulatie die zich opsplitst: medewerkers met door IT beheerde tools, training en toezicht, en zelfstandige gebruikers op consumenten-AI-diensten. In het tweede spoor lekt gereguleerde data weg. Slechts 13% van de organisaties heeft AI formeel geïntegreerd in de bedrijfsstrategie, terwijl 92% erkent dat AI het informatiegedrag heeft veranderd — het tweede spoor groeit dus sneller dan het eerste spoor het kan absorberen.

4. Zicht ontbreekt waar het het meest nodig is.

Slechts 36% van de organisaties heeft enig zicht op hoe derden data verwerken binnen AI-systemen. Discovery tools specifiek voor shadow AI zijn nog zeldzamer. Het Kiteworks 2026 Forecast beoordeelt de volwassenheid van shadow AI-controles als “zeer zwak” omdat de meeste organisaties werken op basis van zelfrapportage — medewerkers vragen welke AI-tools ze gebruiken en vertrouwen op hun antwoorden. Ongeschoolde medewerkers die zelf rapporteren over tools waar ze geen AI-governancekennis van hebben, is geen controlemaatregel.

5. De oplossing is gereguleerde productiviteit, geen verbod.

AI-verboden duwen het gebruik naar het tweede spoor en versnellen het lek. Data-layer governance — zero-trust toegang, ABAC-handhaving, content-level least privilege — behoudt de productiviteit en sluit de risico’s. Het doel is het geautoriseerde AI-pad frictielozer te maken dan de workaround. Dat is de enige interventie die de data ondersteunt.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

Waarom Lenovo’s 31% Geen-Training Statistiek Belangrijker Is Dan De Adoptiecijfers

De trainingsstatistiek is het meest relevant, omdat adoptiecijfers laten zien wat medewerkers doen, terwijl de trainingsstatistiek bepaalt of ze het veilig kunnen doen. Lenovo beschrijft het structurele patroon onder het cijfer: de werknemerspopulatie splitst zich in medewerkers met IT-beheerde tools, training en toezicht — en medewerkers die zelfstandig werken met consumenten-AI-diensten. De eerste groep is gereguleerd. De tweede groep veroorzaakt de datalekken.

Koppel dat aan een aparte bevinding uit de Cisco 2024 Data Privacy Benchmark Study onder 2.600 professionals: 48% gaf toe niet-openbare bedrijfsinformatie in GenAI-tools te hebben ingevoerd. Ongeschoolde gebruikers weten ook niet wat als niet-openbaar geldt. Ze nemen niet bewust slechte beslissingen. Ze nemen de enige beslissingen die ze kennen.

Dat is de werkdefinitie van nalatig insider-risico. Geen kwaadwillendheid — een werknemerspopulatie die AI-gedreven productiviteit moet leveren zonder dat de spelregels duidelijk zijn. Die 31% is het symptoom; het ontbreken van een duidelijke governance-architectuur is het probleem.

Hoe Shadow AI Verschilt Van Shadow IT — En Waarom Het Erger Is

Shadow IT was een software-inventarisatieprobleem. Shadow AI is een data-egressprobleem. Wanneer een financieel analist in 2018 een niet-goedgekeurde SaaS-tool gebruikte, bleef de data meestal in de database van die tool. Bij shadow AI verlaat de data het gebouw zodra de prompt wordt ingediend. Een consumenten-LLM neemt de prompt, verwerkt deze en kan deze gebruiken voor training of logging, afhankelijk van voorwaarden die de meeste medewerkers nooit hebben gelezen.

Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% jaar-op-jaar in AI-gedreven aanvallen door tegenstanders. Verdedigers proberen nu al het tempo bij te houden. Shadow AI voegt een tweede exfiltratiekanaal toe — volledig bemand door de eigen medewerkers van de verdediger, die te goeder trouw gereguleerde data naar niet-enterprise endpoints sturen omdat niemand hen heeft verteld dat het niet mag. Het DTEX-onderzoek noemt drie dominante oorzaken van nalatig risico: ongecontroleerde bestandsoverdracht, persoonlijke webmail en shadow AI. De eerste twee zijn decennia-oude categorieën met bekende controles. Shadow AI is de nieuwe categorie, en de controles ontbreken bij de meeste organisaties.

Wat CISOs Echt Missen In De Zichtbaarheidslaag

De zichtcijfers rond AI zijn slechter dan de grafieken doen vermoeden. Het Kiteworks 2026 Forecast constateert dat slechts 36% van de organisaties enig zicht heeft op hoe partners data verwerken in AI-systemen. De overige 64% vertrouwt op contracten en vragenlijsten. Dat is geen zicht — dat is papierwerk. In hetzelfde rapport staat AI-verwerking door derde partijen bovenaan de lijst van AI-beveiligingszorgen, genoemd door 30% van de organisaties als het grootste probleem. Het risico is benoemd. Het zicht ontbreekt.

Voor shadow AI is discovery tooling nog schaarser. De volwassenheid van de controles wordt beoordeeld als “zeer zwak” met de expliciete opmerking dat “weinig discovery tools zijn”. Het WEF-rapport “AI and Cyber: Empowering Defenders”, ontwikkeld met KPMG bij 84 organisaties in 15 sectoren, stelt dat 94% van de cyberleiders AI als de belangrijkste invloed op cyberbeveiliging ziet. Dat geloof is nog niet vertaald naar zicht op data-egress. CISOs zien AI als transformerend voor verdediging; ze hebben de verdediging rond het datapad van AI nog niet gebouwd.

Waarom Een AI-Verbod Het Risico Naar Het Verkeerde Spoor Duwt

Een verbod doet twee dingen. Het duwt de productiviteitsgerichte helft van de werknemerspopulatie naar workarounds — persoonlijke apparaten, mobiele netwerken, gekopieerde schermafbeeldingen, gratis accounts op platforms die IT niet kent. En het creëert een geloofwaardigheidskloof met de helft die AI gebruikt voor echt werk. Beide groepen belanden in het “tweede spoor” van Lenovo. Het verbod versnelt precies het patroon dat het moest voorkomen.

Het Thales 2026 Bad Bot Report vond dat geautomatiseerd verkeer in 2025 goed was voor 53% van al het internetverkeer. AI-agenten zijn opgekomen als een derde categorie die data namens menselijke identiteiten met machinesnelheid verplaatst. Verboden bereiken die laag niet. Het architectonische antwoord is het gereguleerde spoor makkelijker maken dan het tweede spoor: enterprise AI-tools met contentlaag-toegangscontrole, getrainde medewerkers en gelogde interacties op bewijsniveau.

De Architectuur Die De Kloof Dicht: Gereguleerde AI Data-toegang

De oplossing is geen beleidsmemo — het is een control plane. Data-layer governance is het architectonische patroon dat de shadow AI-kloof dicht zonder productiviteit te schaden. Drie eigenschappen maken een control plane geschikt voor AI:

Contentlaag least privilege. Autorisatie volgt de data, niet de gebruikersidentiteit. Een medewerker met toegang tot één HR-record heeft geen toegang tot het hele HR-archief, en een AI-assistent die namens die medewerker handelt, erft dezelfde per-record beperkingen. De meeste bestaande toegangsmodellen zijn gebouwd rond mapniveau-rollen die niet bestand zijn tegen retrieval-augmented generation, waarbij een AI-agent in milliseconden door een hele corpus kan lezen.

Discovery en classificatie op het egress-pad. Shadow AI is onzichtbaar tot een prompt een enterprise-grens passeert. De control plane moet uitgaand verkeer naar AI-endpoints inspecteren, de inhoud classificeren en beleid direct afdwingen. De bevinding van het Kiteworks 2026 Forecast dat “weinig discovery tools zijn” is precies de kloof die een echte control plane opvult.

Audittrails op bewijsniveau. Het Kiteworks 2026 Forecast constateert dat 33% van de organisaties onvoldoende audittrails heeft en 61% gefragmenteerde logs die niet bruikbaar zijn. Wanneer een toezichthouder of eiser vraagt wie wat heeft geraadpleegd, via welke AI-agent, moet het antwoord een enkele doorzoekbare registratie zijn — geen reconstructie over negen systemen. De Kiteworks AI Data Gateway biedt gereguleerde toegang, handhaving op contentlaag en logs op bewijsniveau over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en AI-verkeer in één control plane.

Wat CISOs Dit Kwartaal Moeten Doen

Ten eerste, voer een shadow AI discovery sprint uit. Inventariseer welke AI-diensten je werknemers daadwerkelijk gebruiken — niet de geautoriseerde, maar die welke uit egress logs, browsertelemetrie, onkostendeclaraties en anonieme enquêtes blijken. De bevinding van het Kiteworks 2026 Forecast dat “weinig discovery tools zijn” betekent dat de meeste CISOs dit uit bestaande telemetrie moeten samenstellen. Doe het toch — je kunt geen inventaris beheren die je niet hebt.

Ten tweede, sluit het trainingsgat. 31% van de AI-gebruikers krijgt geen formele AI-training. Maak korte verplichte trainingen over wat gereguleerde data is, wat een geautoriseerde AI-tool is, en de gevolgen van het combineren van beide. Combineer dit met een gepubliceerde lijst van goedgekeurde diensten zodat medewerkers zichzelf kunnen corrigeren zonder escalatie.

Ten derde, leid AI-verkeer door een control plane. Verkeer naar enterprise AI loopt via gereguleerde infrastructuur met contentlaag-toegangscontrole, classificatie op het egress-punt en volledige auditlogging. Verkeer naar niet-goedgekeurde AI wordt geblokkeerd of in quarantaine geplaatst met een duidelijke inline boodschap naar het alternatief. 61% van de organisaties werkt op gefragmenteerde data-uitwisselingsinfrastructuur die geen audittrails op bewijsniveau ondersteunt — dat is het grootste infrastructuurprobleem om op te lossen.

Ten vierde, los het zichtprobleem bij derde partijen op. Slechts 36% heeft zicht op AI-verwerking door partners. Voeg AI-specifieke clausules toe aan contracten met top-leveranciers: gebruik van trainingsdata, bewaartermijn, subverwerkers, incidentmelding. Verifieer daarna de antwoorden — alleen vragenlijsten zijn geen toezicht.

Ten vijfde, integreer AI-events in je insider risk-programma. De herclassificatie van shadow AI door DTEX als belangrijkste nalatige oorzaak moet de manier waarop je team meldingen triageert veranderen. AI-gerelateerde afwijkingen — ongebruikelijk prompthoeveelheid, gevoelige inhoud in uitgaande prompts, herhaald gebruik van niet-goedgekeurde diensten — horen in dezelfde workflow als verdachte bestandsoverdracht en persoonlijke webmail-egress.

Wil je meer weten over het beschermen van je gevoelige data tegen AI-inname, plan dan vandaag nog een demo op maat.

Veelgestelde Vragen

Verboden duwen AI-gebruik naar persoonlijke apparaten, mobiele netwerken en gratis accounts die het securityteam niet kan zien. DTEX/Ponemon 2026 noemt shadow AI als de belangrijkste oorzaak van nalatige insider-incidenten, juist omdat medewerkers om verboden heen werken in plaats van AI op te geven. Slechts 36% van de organisaties heeft zicht op hoe partners data verwerken in AI-systemen. Vervang het verbod door een gereguleerd AI Data Gateway-alternatief — maak het geautoriseerde pad frictieloos en het ongeautoriseerde pad geblokkeerd.

Koppel Lenovo’s 31% geen-training-cijfer aan de gemiddelde insiderkosten van $19,5 miljoen per organisatie per jaar uit het DTEX/Ponemon 2026-rapport. Voeg daar je eigen discovery-cijfers aan toe — het percentage AI-gebruik dat via gereguleerde infrastructuur loopt versus het tweede spoor. Het Kiteworks 2026 Forecast beoordeelde de volwassenheid van shadow AI-controles als “zeer zwak” met weinig discovery tools. De bestuursmaatstaf is niet AI-adoptie; het is het percentage AI-interacties dat een verdedigbare audittrail oplevert.

Ja. CMMC Level 2 access control families vereisen afdwingbare autorisatie op elk systeem dat CUI verwerkt, en consumenten-AI-diensten zijn geen geautoriseerde systemen. 61% van de organisaties werkt op gefragmenteerde data-uitwisselingsinfrastructuur die geen audittrails op bewijsniveau ondersteunt — de architectuur die CMMC-beoordelaars onderzoeken. Leid AI-verkeer via een gereguleerde control plane met ABAC-toegangscontrole en manipulatiebestendige logging vóór de audit, niet tijdens.

Shadow AI veroorzaakt ongecontroleerde grensoverschrijdende datatransfers en niet-gedocumenteerde verwerking — wat GDPR Artikel 30-verplichtingen voor registratie en Amerikaanse privacywetgeving voor openbaarmaking activeert. Het Kiteworks 2026 Forecast meldt dat 29% van de organisaties grensoverschrijdende AI-transfers als grootste risico noemt. Zonder auditlogs op bewijsniveau kunnen organisaties niet aantonen dat ze voldoen aan wettelijke grondslag, doellimiet of overdrachtsmechanisme zoals vereist door toezichthouders.

Zicht op egress met beleidsafdwinging op het AI-endpointpad. Inventariseer welke AI-diensten je werknemers bereiken, classificeer de verzonden inhoud en blokkeer of plaats niet-goedgekeurde bestemmingen in quarantaine met een inline verwijzing naar het goedgekeurde alternatief. Het Kiteworks Private Data Network implementeert dit patroon — eerst discovery, daarna gereguleerde handhaving over e-mail, bestandsoverdracht, MFT, SFTP en AI-verkeer in één control plane.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust Strategieën voor Betaalbare AI-Privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt in AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch Roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor jouw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of je een AI-beleid hebt. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks