Press Release

Kiteworks Data Forms Report onthult kritieke beveiligingsgaten: 44% kreeg te maken met datalekken via formulierinzendingen en 85% vraagt om datasoevereiniteit-controles

Kiteworks, dat organisaties in staat stelt om risico effectief te beheren bij elke verzending, het delen, ontvangen en gebruik van privégegevens, heeft vandaag zijn uitgebreide 2025 Data Security and Compliance Risk: Data Forms Survey Report uitgebracht. Het onderzoek onder 324 professionals op het gebied van cybersecurity, risico, IT en compliance onthult een harde realiteit: Organisaties worden geconfronteerd met een kritiek beveiligingsgat tussen hun vertrouwen in de bescherming van webformulieren en het werkelijke aantal incidenten, waarbij vereisten rondom datasoevereiniteit en encryptie zorgen voor een dringende verschuiving van verouderde webformulieren naar beveiligde dataformulieren.

De onderzoeksresultaten schetsen een ontnuchterend beeld van de kwetsbaarheid van webformulieren binnen moderne ondernemingen. Ondanks dat 64% van de organisaties hun beveiligingsvolwassenheid als geavanceerd of leidend beoordeelt, heeft maar liefst 88% in de afgelopen twee jaar minimaal één beveiligingsincident met webformulieren meegemaakt, waarbij 44% te maken kreeg met bevestigde datalekken via formulierinzendingen.

“De bevindingen zijn duidelijk. Stop met het gebruik van verouderde webformulieren. Begin met het gebruiken van beveiligde dataformulieren,” aldus Tim Freestone, CMO bij Kiteworks. “Dit onderzoek onthult een fundamentele waarheid die beveiligingsleiders al vermoedden, maar niet konden kwantificeren. Traditionele webformulieren zijn het zwakste punt geworden in de bescherming van bedrijfsdata. Organisaties verzamelen hun meest gevoelige informatie via formulieren—financiële gegevens, gezondheidsdata, authenticatiegegevens, overheids-ID’s—maar de meeste formulieroplossingen zijn gebouwd voor gemak, niet voor veiligheid. De sector moet formulieren niet langer zien als simpele invoervelden, maar erkennen als kritieke infrastructuur die bescherming op militair niveau, volledige datasoevereiniteit en continue compliance-validatie vereist.”

Aanvalslandschap toont hardnekkige bedreigingen

Het rapport documenteert wijdverspreide en complexe aanvallen op webformulieren in diverse sectoren:

• 61% kreeg te maken met bot- en geautomatiseerde aanvallen die formulieren overspoelden met kwaadaardig verkeer
• 47% ondervond SQL-injectieaanvallen ondanks brede inzet van geparametriseerde queries
• 39% werd geconfronteerd met cross-site scripting (XSS) kwetsbaarheden
• 28% had te maken met sessie hijacking-incidenten
• 21% kreeg te maken met man-in-the-middle aanvallen

Deze aanvallen blijven bestaan ondanks een hoge inzet van traditionele beveiligingsmaatregelen. De data suggereert dat deze maatregelen wel op platformniveau aanwezig zijn, maar geen consistente dekking bieden over verouderde, ingebedde en afdelingsgebonden formulieren.

Datasoevereiniteit wordt een niet-onderhandelbare vereiste

De meest opvallende bevinding uit het onderzoek: 85% van de organisaties beoordeelt datasoevereiniteit als kritiek of zeer belangrijk, waarbij 61% aangeeft dat het strikt vereist is voor compliance. De vereisten rondom soevereiniteit blijven consequent hoog in alle sectoren—overheid (94%), financiële sector (93%), zorgprocessen (83%) en technologie (86%).

“De bevindingen over soevereiniteit veranderen het gesprek over formulierbeveiliging fundamenteel,” aldus Patrick Spencer, SVP Americas Marketing en Industry Research bij Kiteworks. “Organisaties kunnen niet simpelweg afzien van soevereine controle—ze moeten aantonen dat burger- en klantgegevens binnen goedgekeurde rechtsbevoegdheden blijven. Traditionele formulieroplossingen kunnen deze mogelijkheden niet bieden, omdat ze nooit zijn ontworpen met multi-region isolatie of inzet in overheidsclouds. De markt splitst zich nu tussen leveranciers die dataresidentie kunnen aantonen en zij die dat niet kunnen.”

Regelgevingscomplexiteit drijft marktsegmentatie

Organisaties opereren onder meerdere overlappende kaders: 92% heeft te maken met GDPR-vereisten, 58% moet voldoen aan PCI DSS, 41% valt onder HIPAA (97% in zorgprocessen), en 75% van de overheidsrespondenten vereist FedRAMP-autorisatie. Deze samenkomst van regelgeving creëert duidelijke marktsegmenten met sterk uiteenlopende beveiligingsbehoeften.

Het high-security segment—overheid en financiële sector—eist FedRAMP-autorisatie, FIPS 140-3 gevalideerde cryptografie en strikte dataresidentiecontrole. Overheidsinstanties vereisen dat 75% van de data binnen nationale grenzen blijft, waardoor leveranciers zonder overheidskeurmerken effectief worden uitgesloten. De financiële sector kent het hoogste risicoprofiel (90% verzamelt financiële gegevens, 83% verwerkt betaalkaarten), terwijl zorgprocessen de meest gevoelige data verwerken (97% verzamelt beschermde gezondheidsinformatie). Uit het onderzoek blijkt dat 71% binnen zes maanden upgrades plant, gedreven door recente incidenten (82%) en regelgeving (76%).

Detectie-responskloof laat organisaties kwetsbaar achter

Het onderzoek onthult een kritisch operationeel gat: Hoewel 82% van de organisaties realtime dreigingsdetectie heeft, beschikt slechts 48% over geautomatiseerde incidentrespons. Dit betekent dat ongeveer 34% aanvallen in realtime kan detecteren, maar nog steeds afhankelijk is van handmatige processen—tickets, e-mails en menselijke overdracht—om deze te beheersen.

Organisaties die realtime detectie combineren met geautomatiseerde respons rapporteren aanzienlijk lagere datalekken en snellere beheersing. De data suggereert dat detectie zonder orkestratie gevaarlijke vertragingen veroorzaakt, waardoor de kans toeneemt dat verkenningsaanvallen uitgroeien tot volledige datalekken.

Mobiele beveiliging blijft achter ondanks dominant gebruik

Mobiele apparaten zijn nu het primaire kanaal voor formulierinzendingen, waarbij 71% van de organisaties 21% tot 60% van de inzendingen via mobiele apparaten ontvangt. Toch blijven mobiele beveiligingsmaatregelen aanzienlijk achter bij desktopbescherming. Slechts 23% beoordeelt certificate pinning als kritiek, en biometrische authenticatie—gebruikt door 48%—wordt zelden afgedwongen bij risicovolle processen.

Dit gat creëert aanzienlijk risico, aangezien aanvallers zich steeds vaker richten op mobiel-intensieve formulieren zoals klantidentificatie, workflows voor wachtwoordherstel, aanmelding voor voordelen en serviceportalen waar gevoelige data samenkomt met zwakkere client-side verdediging.

Belangrijkste aanbevelingen voor organisatieleiders in beveiliging

Het rapport biedt strategische aanbevelingen om formuliergerelateerde risico’s te verkleinen, waaronder:

• Centraliseer governance over alle formulieren om uniforme beveiligingsstandaarden af te dwingen
• Handhaaf end-to-end encryptie met FIPS 140-3 validatie en encryptie op veldniveau
• Implementeer datasoevereiniteitscontroles met flexibele inzetopties
• Koppel realtime monitoring aan geautomatiseerde incidentrespons
• Automatiseer het genereren van compliance-bewijs

Het volledige 2025 Data Forms Survey Report is hier beschikbaar

About Kiteworks

Kiteworks’ mission is to empower organizations to effectively manage risk in every send, share, receive, and use of private data. The Kiteworks platform provides customers with a Private Data Network that delivers data governance, compliance, and protection. The platform unifies, tracks, controls, and secures sensitive data moving within, into, and out of their organization, significantly improving risk management and ensuring regulatory compliance on all private data exchanges. Headquartered in Silicon Valley, Kiteworks protects over 100 million end-users and over 1,500 global enterprises and government agencies.

Perscontact:
Kiteworks Public Relations
press@kiteworks.com
(650) 800-1234