Weekrapport archief
Week 26 · 2026 20 bronnen
5 8 7
De governance-kloof is meetbaar — de wetgever telt af
KnowBe4 meet dat de helft van de Nederlandse organisaties AI-agents inzet zonder governance — Veeam bevestigt wereldwijd dat slechts 7% klaar is voor de agents die ze zelf hebben uitgerold. Tegelijk bereikt de Cyberbeveiligingswet de Eerste Kamer voor plenaire behandeling op 6 of 7 juli en bouwt het kabinet een handelingskader voor datalekslachtoffers omdat incidenten niet meer incidenteel zijn.
Week 25 · 2026 20 bronnen
5 8 7
Eén klik omzeilt elke muur — governance moet werken vóór de actie
Bij gemeente Epe volstond één klik van een medewerker om 871 GB aan BSN-data buiten de deur te krijgen — ClickFix omzeilde MFA, firewall en detectie in één beweging. WitnessAI lanceert runtime governance die elke agent-actie op het moment van uitvoering aan beleid toetst, en de Cyberbeveiligingswet bereikt de Eerste Kamer voor plenaire behandeling.
Week 24 · 2026 21 bronnen
6 9 6
De maatstaf is er — wie niet classificeert wordt het voorbeeld
Het EDPB standaardiseert het databreach-meldformulier en dwingt straks elke toezichthouder in Europa dezelfde maatstaf te hanteren. Tegelijk bewijst de gemeente Eindhoven wat er gebeurt als classificatie ontbreekt: meer dan duizend documenten met BSN's en Wmo-gegevens werden naar ChatGPT geüpload.
Week 23 · 2026 21 bronnen
7 7 7
Agents vermenigvuldigen het risico — classificatie is de noodrem
Onderzoek toont dat 89 procent van productie-AI-agents de beveiligingstoets niet haalt: ze combineren toegang tot gevoelige data, blootstelling aan onbetrouwbare content en de mogelijkheid tot uitgaande acties — één vergiftigd document volstaat om agentgedrag over te nemen. Tegelijk introduceert de AP verscherpt toezicht als nieuw handhavingsinstrument en brengt de Eerste Kamer het Cbw-verslag uit.
Week 22 · 2026 19 bronnen
7 6 6
De meting is begonnen — wie niet scoort wordt zichtbaar
CBS, ENISA en Aithos meten deze week onafhankelijk hetzelfde: de basis is niet op orde — niet bij het mkb, niet in de publieke sector en niet bij AI-systemen. Microsoft bewijst met een ISO 42001-hercertificering zonder bevindingen dat het wel kan, als classificatie en governance vanaf het begin zijn ingebouwd.
Week 21 · 2026 22 bronnen
8 7 7
Het excuus vervalt — toezichthouder, wetgever en technologie laten geen ruimte meer
De AP constateert dat organisaties structureel nalaten basismaatregelen te treffen na een datalek, terwijl de Eerste Kamer de Cyberbeveiligingswet toetst en Microsoft sensitivity labels in de AI-zoekstack verankert. Toezicht, wetgeving en technologie sluiten een ring rond elke organisatie die documenten niet classificeert.
Week 20 · 2026 19 bronnen
6 7 6
Classificatie wordt wettelijke basisverplichting — op drie fronten tegelijk
De nieuwe Archiefwet verplicht overheden om digitale informatie vanaf het ontstaan duurzaam en geclassificeerd op te slaan; het Odido-incident toont wat er misgaat als een klantenservicemedewerker binnen een uur alle klantdata kan downloaden zonder classificatiedrempel; en Microsoft maakt DLP voor Copilot generally available met sensitivity labels als harde voorwaarde. Wet, incident en technologie wijzen dezelfde kant op: classificatie is geen keuze meer, het is een basisverplichting..
Week 19 · 2026 19 bronnen
7 8 4
Uitstel maakt classificatie niet minder urgent
De EU geeft organisaties anderhalf jaar extra voor high-risk AI-compliance, maar de praktijk wacht niet. ShinyHunters steelt 3,65 terabyte studentgegevens bij Canvas, een kwart van alle MCP-servers staat code-executie toe aan AI-agents, en Microsoft maakt Agent 365 operationeel met sensitivity labels als harde voorwaarde.
Week 18 · 2026 18 bronnen
7 6 5
AI dwingt classificatie af — de wet bevestigt het
Een AI-bedrijf lekt 4 terabyte identiteitsdocumenten, de EU AI Act-deadline van 2 augustus overleeft een geklapte triloog, en Microsoft bouwt auto-labeling uit tot het nieuwe normaal. Drie signalen uit drie hoeken wijzen dezelfde kant op: wie documenten niet classificeert, verliest de controle — aan aanvallers, aan toezichthouders, of aan de eigen AI.
Week 17 · 2026 17 bronnen
6 6 5
AI vergroot elke governance-lacune tot incident
Een Vercel-medewerker koppelt een AI-tool met onbeperkte rechten aan het bedrijfsnetwerk en veroorzaakt een datalek; onderzoek van ShareGate toont dat een derde van alle organisaties hetzelfde overkomt. Tegelijkertijd verdedigt het kabinet het AVG-beschermingsniveau tegen Europese versoepeling en wijst tien toezichthouders aan voor de AI-verordening.
Week 16 · 2026 14 bronnen
5 5 4
Documentverantwoording wordt wet
De Tweede Kamer neemt de Cyberbeveiligingswet aan, de AP kondigt preventieve controles aan bij ICT-leveranciers, en Microsoft rolt sensitivity labels uit naar elke werkplek. Drie sporen die samenkomen in één conclusie: organisaties die hun documenten niet op labelniveau classificeren, opereren vanaf de zomer buiten de wet.
Week 15 · 2026 21 bronnen
7 8 6
Grip op documenten brokkelt af langs drie fronten
Gemeenten verliezen honderden gigabytes via social engineering, de NIS2-deadline van 1 juli nadert met sanctiebevoegdheid, en AI-agents creëren ongecontroleerde toegangspaden tot gevoelige bestanden. De gemene deler: organisaties die documenten niet op labelniveau classificeren, verliezen het overzicht sneller dan ze het kunnen herstellen.
Week 14 · 2026 10 bronnen
5 3 2
Het domino-effect van het datalek: één incident dwingt alles tot versnelling
Het Odido-datalek van februari werkt door als een kettingreactie. Gestolen persoonsgegevens voeden nu een massale CJIB-phishingcampagne waardoor duizenden Nederlanders slachtoffer worden van identiteitsfraude.
Week 13 · 2026 11 bronnen
4 4 3
De dijken breken: datalekken leggen structureel gebrekkig databeheer bloot
Drie incidenten deze week — politie, Ajax en Odido — onthullen hetzelfde structurele probleem: organisaties bewaren te veel persoonsgegevens, te lang en met te weinig classificatie. De Autoriteit Persoonsgegevens onderzoekt Odido niet alleen op het lek zelf, maar op het feit dat data van ex-klanten jarenlang onnodig bewaard bleef.
Week 12 · 2026 11 bronnen
3 5 3
Onbeheerde documenten: het kwetsbaarste bezit als NIS2 en AI toeslaan
Drie nieuwsfeiten deze week wijzen op hetzelfde probleem: organisaties bezitten grote hoeveelheden onbeheerde documenten en dat wordt steeds gevaarlijker. Gemeente Epe verloor 800 gigabyte aan overheidsdocumenten doordat een medewerker één klik te veel maakte — geen phishing-filter, geen classificatie, geen drempel.
Week 11 · 2026 9 bronnen
4 2 3
Documentclassificatie als kritieke basisvereiste
Organisaties zetten AI-systemen in zonder eerst hun documenten op orde te hebben. Dit veroorzaakt drie gelijktijdige risico's: compliance-gaten (AP waarschuwt voor rode AI-Impactbarometer), technische kwetsbaarheden (Copilot leest geclassificeerde e-mails ondanks DLP) en bewustzijnsmissers (medewerkers uploaden gevoelige data naar openbare tools).
Week 11 · 2026 12 bronnen
4 4 4
De configuratie is de nieuwe kwetsbaarheid
Niet de firewall, maar de configuratie bepaalt of data op straat ligt. Het Odido-datalek via telefonische phishing, het AP-lek door ongepatchte Ivanti-software en een Copilot-bug die vertrouwelijke e-mails samenvatte ondanks sensitivity labels — drie incidenten die aantonen dat de grootste risico's zitten in mensen en instellingen.
Week 10 · 2026 10 bronnen
3 5 2
Wat papier beschermt, beschermt AI niet
Zowel medewerkers als AI-platformen omzeilen beveiligingscontroles die organisaties voor toereikend hielden. De AP ontving tientallen datalekken door AI-chatbotgebruik; Copilot las vier weken vertrouwelijke e-mails ondanks actieve sensitivity labels — beide gevallen onopgemerkt totdat de schade al gedaan was.
Week 10 · 2026 9 bronnen
3 3 3
Governance-gat: AI vindt de documenten die niemand heeft geclassificeerd
Drie onafhankelijke bronnen bevestigen deze week hetzelfde patroon: AI-tools — van Copilot tot gratis chatbots — bereiken documenten en e-mails die buiten de governance vallen. Een bug in Microsoft 365 Copilot negeerde weken lang sensitivity labels op Outlook-berichten; de Autoriteit Persoonsgegevens registreerde tientallen datalekken door medewerkers die vertrouwelijke documenten deelden met publieke AI.
Week 10 · 2026 9 bronnen
3 3 3
Wie niet weet welke gevoelige documenten hij beheert, ontdekt het via een incident
Ransomware bij AkzoNobel haalde paspoorten en NDA's naar buiten; een Copilot-bug omzeilde drie weken lang sensitivity labels op vertrouwelijke e-mails; tien gemeenten beboet voor het illegaal bijhouden van religieuze dossiers — steeds is de kern hetzelfde: de organisatie wist niet precies welke gevoelige documenten zij bezat en wie er toegang toe had. Het zijn drie vormen van hetzelfde probleem: onbeheerd document-eigenaarschap als aanvalsoppervlak én handhavingsrisico tegelijk.
Week 9 · 2026 9 bronnen
3 3 3
Toezicht dat pas achteraf blijkt te werken, is geen toezicht
Drie incidenten leggen deze week hetzelfde patroon bloot: organisaties hadden beleid, labels en governance-lagen ingericht — maar ontdekten via incidenten dat die lagen niet werkten. Copilot negeerde sensitivity labels, tien gemeenten verwerkten religieuze gegevens buiten elk kader, en Odido verloor klantdata via phishing op callcentermedewerkers die allang getraind hadden moeten zijn.
Elke week een nieuwe editie. Direct in uw inbox, zonder ruis.
Aanmelding ontvangen — u ontvangt de eerstvolgende editie.