Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Waarom systeemopdrachten geen compliance controls zijn
Waarom systeemopdrachten geen compliance controls zijn

Waarom systeemopdrachten geen compliance controls zijn

by Danielle Barbour updated maart 25, 2026 Wettelijke naleving
Reading Time: 11 minutes

Wanneer organisaties AI-agenten inzetten voor gereguleerde dataworkflows, is de meest voorkomende governance-aanpak een zorgvuldig opgestelde systeemopdracht. Instrueer het model om bepaalde datacategorieën niet te benaderen. Geef aan dat het binnen gedefinieerde grenzen moet blijven. Stel het zo in dat het bepaalde soorten verzoeken weigert. Voor veel security- en compliance-teams voelt dit als governance: het is gedocumenteerd, controleerbaar en het beperkt zichtbaar het gedrag van de agent tijdens tests.

Het is echter geen compliance control. Het is een instructie. Dit onderscheid is van groot belang, want wanneer een HIPAA-auditor, een CMMC-beoordelaar of een SEC-inspecteur een AI-agentinzet beoordeelt, evalueren zij niet wat het model is opgedragen te doen. Zij beoordelen wat de datalaag technisch heeft voorkomen. Dat zijn fundamenteel verschillende zaken, en het verschil daartussen is waar gereguleerde ondernemingen op grote schaal compliance-risico’s opbouwen.

In dit artikel worden de technische redenen uitgelegd waarom systeemopdrachten niet kunnen functioneren als compliance controls, welke faalmodi dit veroorzaakt in gereguleerde omgevingen, wat toezichthouders daadwerkelijk eisen als bewijs van toegangscontrole en waarom governance op de datalaag de enige architectuur is die verdedigbare compliance oplevert voor AI-agenttoegang tot gereguleerde data.

Executive Summary

Belangrijkste idee: Systeemopdrachten, AI-veiligheidsrails, model-fine-tuning en veiligheidsfilters werken allemaal op het modellayer. Ze beperken wat het model onder normale omstandigheden zal doen – maar ze kunnen geen data-access voorkomen, geen audit-proof bewijs leveren en zijn niet bestand tegen de aanvalsvectoren die toezichthouders, beoordelaars en tegenstanders weten toe te passen. Alleen governance die wordt afgedwongen op de datalaag – onafhankelijk van het model, de opdracht en het agent-framework – vormt een toegangscontrole die voldoet aan HIPAA-, CMMC-, SEC-, PCI DSS– of SOX-vereisten.

Waarom dit belangrijk is: Organisaties die denken dat hun AI-inzet wordt beheerst omdat ze systeemopdrachten en guardrails hebben geconfigureerd, dragen compliance-risico’s waarvan ze zich niet bewust zijn. Elke AI-agentinteractie met gereguleerde data die alleen op het modellayer wordt beheerst, is een interactie die geen authenticatierecord, toegangsbeleid-documentatie en manipulatiebestendige audittrail kan opleveren die toezichthouders vereisen. Wanneer de audit plaatsvindt, is “ons model was geïnstrueerd om niet te” geen bewijs van een control. Het is bewijs van een aanname.

Belangrijkste inzichten

  1. Een systeemopdracht is een instructie, geen control. Instructies vertellen een model wat het moet doen. Controls voorkomen ongeautoriseerde acties, ongeacht wat het model wordt verteld of besluit. Een systeemopdracht als “geen patiëntendossiers buiten deze casus benaderen” voorkomt technisch niet dat de agent elk patiëntendossier opvraagt dat het serviceaccount kan bereiken. Het drukt alleen een gedragsvoorkeur uit die het model volgt totdat iets het overschrijft.
  2. Systeemopdrachten kunnen worden omzeild via prompt injection – en dit is een structurele kwetsbaarheid, geen configuratieprobleem. Prompt injection stelt een aanvaller in staat om instructies in te sluiten in content die de AI-agent leest, waardoor de originele systeemopdracht wordt overschreven of aangevuld. In een red-teamonderzoek van februari 2026, uitgevoerd door onderzoekers van Harvard, MIT, Stanford, Carnegie Mellon en andere instellingen, werden agenten gedocumenteerd die model-level guardrails omzeilden in een live omgeving – niet in een sandbox – en werden vijf OWASP Top 10 for LLM Applications-fouten vastgesteld. Dit is geen theoretisch risico. Het is het gedocumenteerde gedrag van ingezette AI-agenten.
  3. Toezichthouders eisen bewijs van wat technisch is voorkomen, niet van wat is geïnstrueerd. HIPAA §164.312(a)(1) vereist technische beleidsmaatregelen die alleen geautoriseerde personen of softwareprogramma’s toegang tot ePHI toestaan. CMMC AC.1.001 vereist geautoriseerde toegangscontroles. SEC Rule 204-2 vereist toewijsbare records. Geen van deze standaarden wordt vervuld door een gedocumenteerde instructie. Ze vereisen allemaal een mechanisme dat de beperking afdwingt, onafhankelijk van of het AI-model zich eraan houdt.
  4. Modelupdates kunnen stilletjes veranderen hoe systeemopdrachten worden geïnterpreteerd. Wanneer een AI-leverancier het onderliggende model bijwerkt, kan het gedrag dat door dezelfde systeemopdracht wordt opgewekt, veranderen. Een opdracht die in één modelversie betrouwbaar toegang beperkte, kan in de volgende versie ander gedrag opleveren. Compliance controls mogen niet afhankelijk zijn van de versie. Een governance control die verandert zonder medeweten of toestemming van de organisatie telkens als een leverancier een modelupdate doorvoert, voldoet niet aan de definitie van een control.
  5. Systeemopdrachten leveren geen audittrail van hun eigen falen. Wanneer een systeemopdracht wordt omzeild, overschreven of verkeerd geïnterpreteerd, is er doorgaans geen logvermelding die aangeeft dat de bedoelde beperking is geschonden. De agent handelde buiten zijn bedoelde scope, benaderde data die hij niet mocht benaderen en liet geen record achter die dat onderscheidt van geautoriseerde toegang. Een manipulatiebestendige audittrail kan niet worden gereconstrueerd uit een systeemopdracht die stilletjes faalde.

Drie manieren waarop systeemopdrachten falen als compliance controls

De faalmodi van governance op modellayer zijn niet hypothetisch. Het zijn structurele eigenschappen van hoe op grote taalmodellen gebaseerde agenten instructies verwerken, en ze zijn gedocumenteerd in zowel academisch onderzoek als productie-incidenten.

Prompt Injection: De structurele kwetsbaarheid

Prompt injection stelt een aanvaller in staat om kwaadaardige instructies in te sluiten in content die de AI-agent leest – een document, e-mail, webpagina of database-record. De agent behandelt ingesloten instructies als onderdeel van zijn context en kan ze uitvoeren, waarmee de oorspronkelijke systeemopdracht wordt overschreven. In de Agents of Chaos-studie van februari 2026 documenteerden onderzoekers van Harvard, MIT, Stanford, Carnegie Mellon en andere instellingen agenten die een direct verzoek om gevoelige data weigerden, maar wel voldeden toen werd gevraagd een container met die data door te sturen – waarmee guardrails werden omzeild via indirecte instructie in een live omgeving. Agenten accepteerden ook gespoofte identiteiten over verschillende kanalen nadat ze deze in één kanaal hadden gedetecteerd, en één agent deelde vrijwillig een extern geplaatste gedragsinstructie met een tweede agent, waardoor de controle van de aanvaller werd uitgebreid zonder verdere prompt.

Voor compliance betekent dit direct: prompt injection is geen configuratiefout die kan worden gepatcht. Het is een structureel kenmerk van hoe LLM-gebaseerde agenten instructies verwerken. Een systeemopdracht die gedrag onder normale omstandigheden beperkt, biedt geen garantie op hetzelfde gedrag wanneer de agent gemanipuleerde content tegenkomt – precies het scenario dat tegenstanders proberen te creëren.

Modelupdates: Stil gedrag afdrijven

AI-leveranciers werken onderliggende modellen routinematig bij – voor capaciteitsverbeteringen, veiligheidsverbeteringen en infrastructuurwijzigingen. Wanneer een model wordt bijgewerkt, kan de gedragsreactie op dezelfde systeemopdracht veranderen. Een opdracht die een agent in één modelversie betrouwbaar beperkte, kan in de volgende versie ander gedrag opleveren, zonder dat de organisatie wordt geïnformeerd en zonder enige wijziging in de tekst van de systeemopdracht.

Dit veroorzaakt een compliance-fout die uniek moeilijk te detecteren is: de governance control is afgeweken omdat het model is veranderd, maar van buitenaf lijkt alles hetzelfde. Het Microsoft Copilot-incident van februari 2026 illustreert het risico: een codefout zorgde ervoor dat Microsofts application-layer controls – gevoeligheidslabels en DLP-beleid – tegelijkertijd faalden, waardoor Copilot wekenlang vertrouwelijke content, waaronder PHI en juridische communicatie, kon verwerken voordat het werd ontdekt. Wanneer application-layer en modellayer controls binnen hetzelfde platform bestaan, kan één fout op platformniveau alle controls tegelijk compromitteren. Er was geen onafhankelijke datalaagverdediging om dit te voorkomen.

Indirecte manipulatie: Grenzen die geen enkele systeemopdracht kan afdwingen

Zelfs zonder actieve aanval kunnen systeemopdrachten de precieze grenzen die compliance vereist niet afdwingen. Een opdracht kan intentie uitdrukken – “alleen toegang tot data relevant voor deze casus” – maar kan die intentie technisch niet afdwingen op de data-accesslaag. Als serviceaccount-credentials toegang geven tot een bredere dataset, heeft de agent technisch toegang tot die data, ongeacht wat de systeemopdracht zegt. Een compliance control wordt beoordeeld op wat technisch wordt voorkomen, niet op wat wordt bedoeld. Een agent met technische toegang tot 10.000 patiëntendossiers, maar geïnstrueerd om er slechts drie te lezen, voldoet niet aan HIPAA’s minimum necessary-standaard – omdat niets de toegang tot de andere 9.997 heeft voorkomen.

Welke Data Compliance-standaarden zijn relevant?

Lees nu

Wat toezichthouders daadwerkelijk eisen

Compliance-standaarden die gereguleerde data-access reguleren, vereisen bewijs dat toegang technisch is gecontroleerd, niet bewijs dat het de bedoeling was om te controleren. Dit onderscheid is het verschil tussen een compliancepositie die een audit overleeft en een die tot bevindingen leidt.

Wat “toegangscontrole” betekent voor een toezichthouder

De HIPAA Security Rule vereist technische beleidsmaatregelen en procedures om “alleen toegang toe te staan aan die personen of softwareprogramma’s die toegangsrechten hebben gekregen.” Het sleutelwoord is “toestaan” – het systeem moet technisch alleen geautoriseerde toegang permitteren, niet simpelweg een gebruiker instrueren zichzelf te beperken. Wanneer een CMMC-beoordelaar vraagt naar geautoriseerde toegangscontroles voor een AI-agentworkflow, is het verwachte bewijs een beleidshandhavingsrecord: welke toegang is aangevraagd, welk beleid is geëvalueerd, wat is toegestaan of geweigerd en wanneer. Een systeemopdrachtconfiguratiedocument levert dit bewijs niet. Een datapolicy-engine die elk agentverzoek evalueert tegen een op attributen gebaseerde toegangscontrole wel.

Wat “audittrail” betekent voor een toezichthouder

HIPAA §164.312(b), CMMC AU.2.042 en SEC Rule 17a-4 vereisen allemaal records van wat daadwerkelijk is gebeurd – niet van wat de bedoeling was. Een geconfigureerde en gedocumenteerde systeemopdracht levert een intentierecord. Een manipulatiebestendige, operationele auditlog die elk agent-data-accessevent vastlegt – agentidentiteit, benaderde data, type bewerking, beleidsevaluatie, tijdstempel – levert een record van wat daadwerkelijk heeft plaatsgevonden. Alleen dat voldoet aan de regelgeving. En wanneer de auditor vraagt welke data een AI-agent afgelopen dinsdag heeft benaderd, moet het antwoord uit een auditlog komen, niet uit een afgeleide van wat de systeemopdracht had moeten voorkomen.

Waarom “onze AI-leverancier is compliant” geen antwoord is

Compliance-certificeringen van AI-leveranciers – SOC 2, ISO 27001, FedRAMP – gaan over de beveiligingsstatus van de leverancier zelf. Ze zeggen niets over of de toegangscontroles, audittrails, minimum necessary enforcement en delegatieketens van de organisatie zelf voldoen aan de eigen wettelijke verplichtingen. HIPAA-compliance, CMMC-certificering en SEC-examenvoorbereiding zijn organisatorische verplichtingen die niet kunnen worden uitbesteed aan een leveranciersattestatie. Wanneer de auditor vraagt om de accesslog van een specifiek patiëntendossier dat afgelopen dinsdag door een AI-agent is benaderd, biedt het SOC 2-rapport van de leverancier geen antwoord.

Wat governance op de datalaag daadwerkelijk betekent

Governance op de datalaag betekent dat data governance-controls worden afgedwongen op het punt waar data wordt benaderd – onafhankelijk van het model, de opdracht en het agent-framework. Het is de enige architecturale aanpak die bewijs oplevert van wat technisch is gecontroleerd in plaats van bewijs van wat is geïnstrueerd.

Wat datalaag-controls doen wat systeemopdrachten niet kunnen

Een governance-control op de datalaag onderschept elk data-accessverzoek voordat het de gereguleerde data bereikt. Het verifieert de agentidentiteit, koppelt deze aan de menselijke autorisator die de workflow heeft gedelegeerd en evalueert het verzoek tegen een op attributen gebaseerde toegangscontrole: is deze agent geautoriseerd om deze specifieke data te benaderen, deze specifieke bewerking uit te voeren, in deze specifieke context? Als het beleid toestaat, wordt toegang verleend en gelogd. Zo niet, dan wordt toegang geweigerd en de weigering gelogd – ongeacht wat het model is verteld te doen en ongeacht of de systeemopdracht is omzeild.

Wanneer een prompt injection-aanval een systeemopdracht overschrijft en een agent instrueert om data buiten scope te benaderen, weigert een governance-control op de datalaag die toegang – omdat niet aan het toegangsbeleid is voldaan, onafhankelijk van de modelinstructie. Het model is gecompromitteerd; de datagovernance niet. Dat is het verschil tussen compliance-theater en compliance-realiteit.

Het bewijs dat governance op de datalaag oplevert

Governance op de datalaag levert precies het bewijs dat toezichthouders eisen: een manipulatiebestendig, operationeel auditrecord van elk agent-data-accessevent, met geauthenticeerde agentidentiteit, menselijke autorisator, specifieke benaderde data, type bewerking, beleidsevaluatie en tijdstempel. Dit record wordt gecreëerd door de governance-laag, onafhankelijk van modelgedrag – het is niet afhankelijk van het model dat instructies opvolgt. Wanneer de auditor vraagt welke data een AI-agent afgelopen dinsdag heeft benaderd, is het antwoord een rapport uit de governance-laag, geleverd in uren, niet gereconstrueerd uit inferentielogs over dagen.

Hoe Kiteworks governance op de datalaag biedt voor AI-agenten

Het Kiteworks Private Data Network zit tussen AI-agenten en de gereguleerde data die ze moeten benaderen. Elk agent-data-verzoek passeert vier governance-checkpoints voordat er data wordt verplaatst – geauthenticeerde identiteit, ABAC-beleidsevaluatie, FIPS 140-3 gevalideerde encryptie en manipulatiebestendige auditlogging – onafhankelijk van het model, de opdracht en het agent-framework. Wanneer het model wordt gecompromitteerd, bijgewerkt of gemanipuleerd, handhaaft Kiteworks nog steeds het beleid.

Identiteitsverificatie onafhankelijk van het model

Elke AI-agent die via Kiteworks data benadert, wordt geauthenticeerd voordat toegang plaatsvindt, met een unieke credential per workflow die is gekoppeld aan de menselijke autorisator die de taak heeft gedelegeerd. Deze authenticatie wordt afgedwongen door de data governance-laag, niet door het model. Een prompt injection-aanval kan dit niet omzeilen – omdat de controle plaatsvindt op de datalaag, voordat het verzoek van de agent de data bereikt, niet binnen het contextvenster van het model waar een aanvaller het kan manipuleren.

Beleidshandhaving die modelupdates overleeft

De Data Policy Engine van Kiteworks evalueert elk agent-data-verzoek tegen een multidimensionaal ABAC-beleid: het geauthenticeerde profiel van de agent, de dataclassificatie van de gevraagde bron, de workflowcontext en de specifieke bewerking. Deze evaluatie wordt uitgevoerd door de governance-laag, niet het model. Wanneer het onderliggende model wordt bijgewerkt en de interpretatie van systeemopdrachten verandert, verandert de handhaving van het datapolicy niet – omdat het niet afhankelijk is van modelgedrag. Het datagovernancebeleid wordt door de organisatie ingesteld en consequent toegepast, ongeacht de modelversie.

Een audittrail die toezichthouders kunnen gebruiken

Elke agent-data-interactie via Kiteworks wordt vastgelegd in een manipulatiebestendige, operationele auditlog: agentidentiteit, menselijke autorisator, benaderde data, type bewerking, resultaat van beleidsevaluatie en tijdstempel. Deze log wordt gevoed aan de SIEM van de organisatie en opgeslagen in een formaat dat voldoet aan verzoeken om bewijs van toezichthouders. Wanneer een HIPAA-auditor, CMMC-beoordelaar of SEC-inspecteur vraagt om bewijs van toegangscontroles op een AI-agentworkflow, is het antwoord een exporteerbaar bewijspakket – geen systeemopdrachtconfiguratiedocument en geen inferentielog die nooit bedoeld was om aan een auditstandaard te voldoen.

Voor organisaties die AI-agenten op schaal willen inzetten zonder compliance-risico’s op te bouwen, biedt Kiteworks de architectuur die AI-governance echt maakt in plaats van aangenomen. Lees meer over Kiteworks Compliant AI of vraag een demo aan.

Veelgestelde vragen

Systeemopdrachten zijn instructies aan een AI-model, geen technische controls op data-access. Regelgeving zoals HIPAA §164.312(a)(1), CMMC AC.1.001 en SEC Rule 204-2 vereisen mechanismen die toegang tot gereguleerde data technisch beperken – niet gedocumenteerde gedragsvoorkeuren. Systeemopdrachten kunnen worden omzeild door prompt injection, overschreven door modelupdates of verkeerd geïnterpreteerd door het model in meerstapsworkflows. Ze leveren geen audittrail van hun eigen falen. Alleen governance die wordt afgedwongen op de datalaag, onafhankelijk van het model, vormt een audit-proof toegangscontrole onder deze regelgeving.

Prompt injection is een techniek waarbij kwaadaardige instructies worden ingesloten in content die een AI-agent leest – een document, e-mail of database-record – waardoor de agent die instructies uitvoert in plaats van of naast de originele systeemopdracht. In een red-teamonderzoek van februari 2026, uitgevoerd door onderzoekers van Harvard, MIT, Stanford en Carnegie Mellon, werden agenten gedocumenteerd die guardrails omzeilden via indirecte instructie in een live omgeving, niet in een sandbox. Voor compliance is de implicatie direct: een governance-control die kan worden omzeild door content die de agent leest, is geen control waarop kan worden vertrouwd om gereguleerde data te beschermen. Governance op de datalaag handhaaft toegangsbeleid onafhankelijk van modelgedrag en is daardoor bestand tegen omzeiling op een manier waarop controls op modellayer dat niet zijn.

Nee. Een SOC 2-certificering van een leverancier heeft betrekking op het eigen beveiligingsprogramma van de leverancier – hoe zij hun infrastructuur beschermen, toegang tot hun systemen beheren en reageren op incidenten. Het levert geen bewijs dat de gereguleerde data van uw organisatie alleen is benaderd door geautoriseerde agenten, onder vastgelegd toegangsbeleid, met operationele auditlogging gekoppeld aan menselijke autorisatoren. HIPAA-, CMMC- en SEC-vereisten zijn organisatorische complianceverplichtingen. Zij vereisen bewijs van de toegangscontroles van uw organisatie, uw audittrails en uw beleidshandhaving – niet verklaringen over de beveiligingsstatus van de leverancier. Leverancierscertificeringen en organisatorische compliance zijn verschillende zaken.

Vraag: Kunt u een operationele auditlog tonen waarin staat welke specifieke datarecords deze agent heeft benaderd, onder welke autorisatie, gekoppeld aan welke menselijke autorisator, met een manipulatiebestendige tijdstempel? Kunt u aantonen dat toegang wordt afgedwongen op de datalaag, onafhankelijk van het model – zodat een prompt injection-aanval of modelupdate het toegangsbeleid niet kan overschrijven? Kunt u laten zien dat minimum necessary access per bewerking wordt afgedwongen, niet per sessie? Als de antwoorden van de leverancier gaan over systeemopdrachtconfiguraties, modelveiligheidsfilters of sessielogging, houdt de claim geen stand in een audit die bewijs van toegangscontrole op de datalaag vereist.

De minimale audit-proof architectuur voor AI-agenttoegang tot gereguleerde data vereist vier componenten, allemaal afgedwongen op de datalaag en onafhankelijk van het model: geauthenticeerde agentidentiteit gekoppeld aan een menselijke autorisator voor elk access-event; op attributen gebaseerde toegangscontrole per bewerking geëvalueerd tegen de dataclassificatie en workflowcontext; FIPS 140-3 gevalideerde encryptie voor alle data in transit en in rust over elk agent-datapad; en een manipulatiebestendige, operationele auditlog die agentidentiteit, menselijke autorisator, specifieke benaderde data, type bewerking en tijdstempel vastlegt. Alle vier moeten worden afgedwongen door een governance-laag die onafhankelijk van het AI-model opereert – zodat modelcompromittering, update of manipulatie de controls niet uitschakelt.

Aanvullende bronnen

  • Blog Post
    Zero‑Trust-strategieën voor betaalbare AI-privacybescherming
  • Blog Post
    Hoe 77% van de organisaties faalt op AI-databeveiliging
  • eBook
    AI Governance Gap: Waarom 91% van de kleine bedrijven Russisch roulette speelt met databeveiliging in 2025
  • Blog Post
    Er is geen “–dangerously-skip-permissions” voor uw data
  • Blog Post
    Toezichthouders zijn klaar met vragen of u een AI-beleid heeft. Ze willen bewijs dat het werkt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks