Ga naar inhoud
Week 9 · 2026

Toezicht dat pas achteraf blijkt te werken, is geen toezicht

NaN undefined NaN

Deze week in het nieuws

Drie incidenten leggen deze week hetzelfde patroon bloot: organisaties hadden beleid, labels en governance-lagen ingericht — maar ontdekten via incidenten dat die lagen niet werkten. Copilot negeerde sensitivity labels, tien gemeenten verwerkten religieuze gegevens buiten elk kader, en Odido verloor klantdata via phishing op callcentermedewerkers die allang getraind hadden moeten zijn. NIS2 voegt straks persoonlijke bestuurdersaansprakelijkheid toe: wie niet kan aantonen dat de governance-laag functioneerde, draait op voor de schade.

Awareness

Odido toonde dat phishing gericht op callcentermedewerkers één van de grootste datalekken in de Nederlandse geschiedenis veroorzaakte — aanvallers hoefden geen systemen te kraken, maar gebruikten mensen als ingang. De Ivanti-incidenten bij AP, Rechtspraak en DJI bevestigen diezelfde les: technische kwetsbaarheden worden gecombineerd met gerichte sociale manipulatie gericht op medewerkers met toegang tot gevoelige documenten. Organisaties zonder structureel awareness-programma bieden aanvallers de zwakste schakel op een presenteerblaadje.

Compliancy

De AP legde boetes op aan tien gemeenten voor het verwerken van religieuze gegevens zonder wettelijke grondslag, én sprak tegelijk ernstige bezwaren uit over honderden ongereguleerde Belastingdienst-applicaties die persoonsgegevens verwerken buiten elk governance-kader. Beide gevallen hebben dezelfde kern: organisaties wisten niet precies welke data zij hadden, waarvoor die werd gebruikt en hoe lang die bewaard bleef. Zonder classificatie op documentniveau is aantoonbare compliance structureel onmogelijk — en dat weet de AP.

Tech & AI

Microsoft Copilot negeerde twee weken lang de sensitivity labels op vertrouwelijke e-mails — terwijl DLP-beleid dit juist had moeten voorkomen. Tegelijk blijkt dat 80% van Fortune 500-bedrijven al actief AI-agents inzet, maar dat governance en observability structureel achterblijven bij de uitrol. De conclusie is onvermijdelijk: AI-governance kan niet worden gedelegeerd aan hetzelfde platform dat ook het AI-model herbergt — het vereist een onafhankelijke controlelaag die werkt ongeacht wat de AI doet.


Elke week een ander vraagstuk. Elke week een instrument.

Uit de Toolbox

Phishing-simulatie

Bij Odido begon het grootste datalek van het jaar met één klik van een callcentermedewerker.

Bekijk dit instrument →

Wat was er eerder actueel?

← Bekijk alle weekrapporten

Weekrapport

Mis geen nieuwe editie.

Elke week informatiebeveiliging, compliance en AI — direct in uw inbox.

Geen spam. Afmelden met één klik.