Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > 145 AI-wetten werden aangenomen in 2025. Privacyteams krijgen geen adempauze.
145 AI-wetten werden aangenomen in 2025. Privacyteams krijgen geen adempauze.

145 AI-wetten werden aangenomen in 2025. Privacyteams krijgen geen adempauze.

by Patrick Spencer updated juni 10, 2026 Wettelijke naleving
Reading Time: 6 minutes

De meeste discussies over shadow AI binnen ondernemingen richten zich op medewerkers die ongeautoriseerde tools gebruiken. Het DataGrail Privacy and AI Trends Report 2026 wijst echter op een fundamenteler probleem: shadow AI die is ingebed in geautoriseerde bedrijfssoftware. Wanneer 63,6% van de AI-leveranciers hun derde partij-subprocessors niet bekendmaakt, heeft elke organisatie die deze tools gebruikt standaard shadow AI in zijn omgeving — goedgekeurd en actief.

Het praktische gevolg is dat gegevensbeheerframeworks die ervan uitgaan dat juridische documentatie de gegevensstromen nauwkeurig beschrijft, gebaseerd zijn op onjuiste aannames. Een gegevensverwerkingsovereenkomst die subprocessors niet benoemt, kan geen GDPR-analyse ondersteunen, geen HIPAA-beoordeling van een business associate agreement uitvoeren, en geen CMMC 2.0-beoordeling van informatiesysteemboundaries mogelijk maken. De organisatie denkt het risico van gegevensverwerking te hebben geëvalueerd. Dat is niet het geval.

Dit veroorzaakt specifieke problemen voor gereguleerde sectoren. Een zorgorganisatie die patiëntgegevens verwerkt via een AI-tool waarvan de subprocessors niet-geopenbaarde modeltrainingsdiensten omvatten, heeft mogelijk de HIPAA geschonden zonder dat er enig signaal van overtreding is. Een defensie-aannemer die CUI via een AI-systeem met niet-geopenbaarde subprocessors stuurt, kan CMMC-grenzen hebben overschreden zonder dat er een waarschuwing wordt geactiveerd. Het risico is onzichtbaar, juist omdat de leverancier ervoor kiest het niet te melden. Zorgvuldigheid rondom gegevensprivacy vereist dat expliciet wordt gevraagd naar AI-subprocessors en dat contractueel wordt vastgelegd dat het antwoord volledig is.

5 Belangrijkste Inzichten

1. Amerikaanse deelstaatwetgevers voerden in 2025 145 AI-gerelateerde wetten in — met meer dan 1.000 wetsvoorstellen geïntroduceerd of aangepast.

Privacyteams die tot 33% minder medewerkers hebben, moeten zich tegelijkertijd staande houden in een reguleringssnelheid die geen enkel handmatig complianceprogramma aankan. Elke nieuwe wet creëert nieuwe rechten voor betrokkenen, nieuwe documentatievereisten en in veel gevallen een privaat recht op actie dat het risico op rechtszaken vergroot, los van handhaving door toezichthouders. De compliancefunctie loopt niet achter — er wordt simpelweg fundamenteel meer gevraagd met fundamenteel minder middelen.

2. 63,6% van de AI-leveranciers verbergt hun derde partij-subprocessors.

Van de 2.400 zakelijke softwareleveranciers die AI-functionaliteit aanbieden, maakt bijna tweederde hun AI-subprocessors niet bekend in hun juridische documentatie. Organisaties die deze producten gebruiken, zetten AI-systemen in die gegevens via niet-geopenbaarde partijen sturen — zonder zicht op waar die gegevens naartoe gaan, welke modellen ermee worden getraind of welke bewaarbeleid van toepassing is. Dit is shadow AI op leveranciersniveau, actief in tools die door juridische en inkoopteams expliciet zijn goedgekeurd. Zorgvuldigheid bij gegevensbeheer vereist dat leveranciers expliciet worden gevraagd om elke AI-subprocessor te benoemen.

3. 32,8% van de AI-systemen voert ten minste één risicovolle activiteit uit.

Het verwerken van gevoelige gegevens en geautomatiseerde besluitvorming leiden tot strengere vereisten onder de EU AI-wet en opkomende Amerikaanse deelstaatwetten. Een aanzienlijk deel van de AI-inzet binnen ondernemingen voldoet nu al aan die vereisten onder meerdere actieve kaders — terwijl de meeste organisaties formeel nog niet hebben vastgesteld in welke categorie hun inzet valt.

4. 42% van de bedrijven stopte in 2025 met AI-projecten vanwege privacyzorgen.

Organisaties zonder een gereguleerd AI-infrastructuur die nalevingsvereisten afdwingt op het dataniveau, staan voor een binaire keuze: inzetten zonder compliance, of niet inzetten. Tweeënveertig procent koos ervoor niet in te zetten. Een gereguleerd AI-kanaal — beleidsmatig afgedwongen paden waarbij elke gegevensbeweging wordt gelogd, elke subprocessor bekend is en elke toegangsbeslissing herleidbaar is — maakt van die binaire keuze een derde optie: doorgaan en verdedigbaar zijn.

5. Californië’s attestatievereiste voor 2028 introduceert persoonlijke strafrechtelijke aansprakelijkheid voor bestuurders.

Privacy-risicobeoordelingen die worden ingediend onder ede verschuiven de nalevingsverantwoordelijkheid van het organisatieniveau naar individuele carrières. Elke attestatie die onder dit kader wordt ingediend, moet de werkelijke AI-gegevensstromen nauwkeurig beschrijven — inclusief subprocessors. Organisaties waarvan de AI-leveranciers tot de 63,6% behoren die subprocessors verbergen, zullen het erg moeilijk vinden om een correcte attestatie te ondertekenen. GDPR-kaders werken al jaren met vergelijkbare verantwoordelijkheid via DPIA-vereisten; Amerikaanse bestuurders worden nu aan een vergelijkbare standaard gehouden.

Welke Data Compliance Standards Zijn Belangrijk?

Read Now

De Versnelling van Regelgeving en Wat Dit Vereist

145 wetten in één kalenderjaar is een tempo dat de meeste complianceprogramma’s niet aankunnen. Elke nieuwe wet creëert nieuwe rechten voor betrokkenen, nieuwe complianceverplichtingen, nieuwe documentatievereisten en in veel gevallen privaatrechtelijke mogelijkheden tot rechtszaken, los van handhaving door toezichthouders.

Amerikaanse deelstaatwetten voor gegevensprivacy zijn nu de belangrijkste oorzaak van binnenlandse compliancecomplexiteit voor organisaties buiten zwaar gereguleerde federale sectoren. Californië, Texas, Colorado, Virginia en Connecticut hebben uitgebreide privacykaders ingevoerd met specifieke vereisten rond geautomatiseerde besluitvorming, verwerking van gevoelige gegevens en consumentenrechten. De DataGrail-vaststelling dat 32,8% van de AI-systemen aan minstens één risicovolle activiteit deelneemt, betekent dat een aanzienlijk deel van de AI-inzet binnen ondernemingen nu al aan strengere vereisten voldoet onder meerdere actieve kaders.

De attestatievereiste van Californië voor 2028 verhoogt de inzet aanzienlijk. Een privacy impact assessment die wordt ingediend met een bestuursattestatie onder ede moet de werkelijke AI-gegevensstromen nauwkeurig weerspiegelen — inclusief de subprocessors die 63,6% van de leveranciers niet bekendmaakt. GDPR heeft dit model jaren geleden al ingevoerd via DPIA-vereisten. Amerikaanse toezichthouders volgen nu dezelfde logica.

Het $1,5 Miljoen Probleem van Handmatige Verwerking

De DataGrail-vaststelling dat middelgrote bedrijven jaarlijks $1,5 miljoen uitgeven aan handmatige afhandeling van verzoeken van betrokkenen, beschrijft een structurele inefficiëntie die toeneemt naarmate het aantal toepasselijke wetten groeit. Elke nieuwe wet die consumentenrechten creëert — toegang, verwijdering, correctie, overdraagbaarheid, opt-out — vergroot de hoeveelheid verzoeken die organisaties moeten verwerken. Elke nieuwe rechtsbevoegdheid vergroot het aantal consumenten dat die rechten kan uitoefenen.

Gereguleerde AI-inzet verandert deze rekensom. Wanneer AI-interacties via een beleidsmatig afgedwongen kanaal verlopen, wordt het auditlogboek van die interacties de infrastructuur voor het beantwoorden van verzoeken van betrokkenen. Een organisatie die exact kan aantonen welke gegevens door welk AI-systeem zijn verwerkt, onder welke beleidsautorisatie en voor welk zakelijk doel, kan toegang- en verwijderingsverzoeken beantwoorden zonder handmatige reconstructie. Dataminimalisatiebeleid dat wordt afgedwongen op het AI-data access layer vermindert de hoeveelheid persoonsgegevens die AI-workflows überhaupt binnenkomen — waardoor de reikwijdte van wat moet worden bekendgemaakt of verwijderd bij consumentenverzoeken kleiner wordt.

De Kiteworks AI Data Gateway dwingt zowel de beleidscontroles als de logging af die van compliance-respons een operationele capaciteit maken in plaats van een arbeidsintensief handmatig proces.

Een AI Complianceprogramma Bouwen dat 145 Wetten Aankan

Geen enkel privacyteam kan individueel 145 wetten plus meer dan 1.000 lopende wetsvoorstellen bijhouden en voor elk handmatige complianceprocessen uitvoeren. Organisaties die dit landschap beheren, behandelen AI-compliance als een infrastructuurprobleem, niet als een juridisch onderzoeksprobleem. De onderliggende vereisten — dataminimalisatie, toegangscontrole, verwerkingstransparantie, auditlogging — zijn vrijwel overal gelijk in moderne privacykaders. Een AI-governance-infrastructuur die deze vereisten afdwingt, voldoet gelijktijdig aan meerdere wetten.

Privacy by design toegepast op AI betekent dat governancecontroles in de inzetarchitectuur worden ingebouwd voordat gevoelige gegevens het systeem binnenkomen. ABAC-handhaving binnen een AI-inzet biedt de toegangscontrollaag — zodat AI-systemen alleen toegang krijgen tot gegevens die zij mogen verwerken onder voorwaarden die passen bij de toepasselijke wettelijke vereisten. Voor organisaties die onder GDPR vallen, wordt AI-data access begrensd door een wettelijke grondslag en dataminimalisatievereisten. Voor organisaties onder CMMC 2.0 wordt AI-data access begrensd door CUI-verwerkingsvereisten. Dezelfde ABAC-infrastructuur ondersteunt beide.

Naleving van regelgeving met de snelheid van 145 wetten per jaar vereist automatisering, geen extra personeel. Organisaties die die automatisering nu in hun AI-governance-architectuur bouwen, hebben straks een structureel voordeel als het reguleringstempo verder toeneemt.

Meer weten over het beschermen van gevoelige gegevens in een AI-wereld? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Meer dan zes op de tien AI-geschikte softwareproducten kunnen de gegevens van uw organisatie via derde partij AI-diensten sturen die niet in hun privacybeleid of gegevensverwerkingsovereenkomsten worden genoemd. Volgens de GDPR moeten verwerkingsregisters subprocessors bevatten en moeten DPA’s hen binden aan gelijkwaardige gegevensbeschermingsnormen. Als een leverancier een subprocessor niet bekendmaakt, kunt u deze niet hebben geëvalueerd. Zorgvuldigheid bij gegevensbeheer vereist dat leveranciers expliciet worden gevraagd om elke AI-subprocessor te benoemen en contractueel vast te leggen dat de bekendmaking volledig is.

Bestuurlijke attestatie onder ede verschuift de complianceverantwoordelijkheid van het organisatieniveau naar het individuele niveau — waardoor er persoonlijke strafrechtelijke aansprakelijkheid ontstaat voor bestuurders die een onjuiste attestatie ondertekenen. Elke beoordeling die onder dit kader wordt ingediend, moet de werkelijke AI-gegevensstromen nauwkeurig beschrijven, inclusief subprocessors. Organisaties waarvan de AI-leveranciers tot de 63,6% behoren die subprocessors verbergen, zullen het erg moeilijk vinden om een correcte attestatie te ondertekenen. Privacy impact assessments zijn geen administratieve formaliteiten meer.

Het percentage van 42% weerspiegelt een structurele kloof: organisaties die AI-mogelijkheden wilden inzetten, maar niet konden voldoen aan de toepasselijke compliancevereisten zonder gereguleerde infrastructuur. Organisaties zonder een gereguleerd AI-kanaal staan voor een binaire keuze — inzetten zonder compliance of niet inzetten. Een gereguleerd kanaal met beleidsafdwinging, volledige transparantie over subprocessors en uitgebreide audittrails biedt de derde optie: doorgaan op een manier die daadwerkelijk verdedigbaar is onder de geldende wetgeving.

Door het te behandelen als een infrastructuurprobleem, niet als een juridisch onderzoeksprobleem. Gedocumenteerde gegevensstromen, afdwingbare toegangscontroles, dataminimalisatie en audittrails zijn gemeenschappelijk voor vrijwel alle moderne privacykaders. AI-governance-infrastructuur die deze vereisten afdwingt, voldoet gelijktijdig aan meerdere wetten. Auditlogs die elk AI-data access event vastleggen, vormen de bewijsgrondslag voor het beantwoorden van verzoeken van betrokkenen en voor toezichthoudervragen — waardoor de kosten per verzoek vrijwel tot nul worden gereduceerd.

Minimaal: een gereguleerd data access-kanaal dat beleidsvoorwaarden afdwingt voordat AI-systemen gevoelige gegevens lezen of schrijven; uitgebreide auditlogging van elke AI-interactie; dataminimalisatiecontroles die AI-toegang buiten de taakvereisten voorkomen; een volledige inventaris van AI-subprocessors met contractuele toezeggingen over gegevensbescherming; en een proces voor verzoeken van betrokkenen waarbij het auditlogboek als bewijs dient. De Kiteworks AI Data Gateway en het Compliant AI-framework bieden dit als een geïntegreerd platform in plaats van losse oplossingen die maatwerkintegratie vereisen.

Aanvullende Bronnen

  • Blog Post
    Zero‑Trust Strategieën voor Betaalbare AI Privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt op AI-gegevensbeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch Roulette speelt met gegevensbeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor uw data
  • Blog Post
    Toezichthouders willen niet meer weten of u een AI-beleid heeft. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks