Toezicht dat pas achteraf blijkt te werken, is geen toezicht
NaN undefined NaN
Drie incidenten leggen deze week hetzelfde patroon bloot: organisaties hadden beleid, labels en governance-lagen ingericht — maar ontdekten via incidenten dat die lagen niet werkten. Copilot negeerde sensitivity labels, tien gemeenten verwerkten religieuze gegevens buiten elk kader, en Odido verloor klantdata via phishing op callcentermedewerkers die allang getraind hadden moeten zijn. NIS2 voegt straks persoonlijke bestuurdersaansprakelijkheid toe: wie niet kan aantonen dat de governance-laag functioneerde, draait op voor de schade.
Odido toonde dat phishing gericht op callcentermedewerkers één van de grootste datalekken in de Nederlandse geschiedenis veroorzaakte — aanvallers hoefden geen systemen te kraken, maar gebruikten mensen als ingang. De Ivanti-incidenten bij AP, Rechtspraak en DJI bevestigen diezelfde les: technische kwetsbaarheden worden gecombineerd met gerichte sociale manipulatie gericht op medewerkers met toegang tot gevoelige documenten. Organisaties zonder structureel awareness-programma bieden aanvallers de zwakste schakel op een presenteerblaadje.
- NOS: datalek Odido ontstaan bij buitenlandse callcenters via phishing op medewerkers NOS / Klantcontact.nl
- Autoriteit Persoonsgegevens en Raad voor de rechtspraak gehackt via Ivanti-lek Security.NL
- Ook DJI geraakt door Ivanti-cyberincidenten Binnenlands Bestuur
De AP legde boetes op aan tien gemeenten voor het verwerken van religieuze gegevens zonder wettelijke grondslag, én sprak tegelijk ernstige bezwaren uit over honderden ongereguleerde Belastingdienst-applicaties die persoonsgegevens verwerken buiten elk governance-kader. Beide gevallen hebben dezelfde kern: organisaties wisten niet precies welke data zij hadden, waarvoor die werd gebruikt en hoe lang die bewaard bleef. Zonder classificatie op documentniveau is aantoonbare compliance structureel onmogelijk — en dat weet de AP.
- Tien gemeenten beboet voor illegaal verwerken van informatie over islamitische mensen Autoriteit Persoonsgegevens
- AP kritisch op zelfontwikkelde applicaties Belastingdienst: 'risico voor burger' Security.NL
- NIS2-deadline ligt in Q2 2026 — maar klanten stellen nu al eisen Samen Digitaal Veilig
Microsoft Copilot negeerde twee weken lang de sensitivity labels op vertrouwelijke e-mails — terwijl DLP-beleid dit juist had moeten voorkomen. Tegelijk blijkt dat 80% van Fortune 500-bedrijven al actief AI-agents inzet, maar dat governance en observability structureel achterblijven bij de uitrol. De conclusie is onvermijdelijk: AI-governance kan niet worden gedelegeerd aan hetzelfde platform dat ook het AI-model herbergt — het vereist een onafhankelijke controlelaag die werkt ongeacht wat de AI doet.
- Copilot Chat bug bypasses DLP on 'Confidential' email The Register
- 80% of Fortune 500 use active AI Agents: Observability, governance, and security shape the new frontier Microsoft Security Blog
- DLP Policy for Copilot Bug Exposes Confidential Email Office365 IT Pros
Elke week een ander vraagstuk. Elke week een instrument.
Uit de Toolbox
Phishing-simulatie
Bij Odido begon het grootste datalek van het jaar met één klik van een callcentermedewerker.
Bekijk dit instrument →Wat was er eerder actueel?
← Bekijk alle weekrapporten