Wie niet weet welke gevoelige documenten hij beheert, ontdekt het via een incident
NaN undefined NaN
Ransomware bij AkzoNobel haalde paspoorten en NDA's naar buiten; een Copilot-bug omzeilde drie weken lang sensitivity labels op vertrouwelijke e-mails; tien gemeenten beboet voor het illegaal bijhouden van religieuze dossiers — steeds is de kern hetzelfde: de organisatie wist niet precies welke gevoelige documenten zij bezat en wie er toegang toe had. Het zijn drie vormen van hetzelfde probleem: onbeheerd document-eigenaarschap als aanvalsoppervlak én handhavingsrisico tegelijk. NIS2 en de AI Act gaan in 2026 op precies dit punt controleren: niet of je beleid hebt, maar of je kunt bewijzen dat het werkt.
Twee weken na het Odido-incident volgt AkzoNobel: opnieuw exfiltratie van gevoelige documenten — dit keer via ransomware die paspoorten, NDA's en financiële rapporten publiceert op het darknet. Het patroon is duidelijk: aanvallers zijn op zoek naar de meest gevoelige bestanden in een organisatie, en treffen die steeds vaker aan in omgevingen zonder classificatie of toegangscontrole. Een phishing-simulatie beschermt de ingang, maar documentclassificatie beschermt de inhoud — beide zijn nodig.
- Datalek AkzoNobel: financiële data en paspoorten op straat na ransomware-aanval Anubis Dutch IT Channel
- Odido-datalek ontstaan bij buitenlandse callcenters via phishing op medewerkers NOS / Klantcontact.nl
- Ook DJI geraakt door Ivanti-cyberincidenten: 16.000 medewerkers getroffen Binnenlands Bestuur
De Autoriteit Persoonsgegevens handhaaft en de wetgever haalt bij: tien gemeenten beboet voor illegale religieuze profilering, de Belastingdienst aangesproken op honderden ongecontroleerde applicaties, en NLdigital lanceert een stappenplan voor organisaties die de Cyberbeveiligingswet nog niet begrijpen. Wie erop wacht tot de wet geldt, is te laat — organisaties die nu niet aantoonbaar kunnen maken welke data zij verwerken en hoe, lopen reëel risico op handhaving nog voor inwerkingtreding.
- Tien gemeenten beboet voor illegaal verwerken van informatie over islamitische mensen Autoriteit Persoonsgegevens / NOS
- AP kritisch op zelfontwikkelde applicaties Belastingdienst: 'risico voor burger' Security.NL
- NLdigital lanceert stappenplan Cyberbeveiligingswet voor organisaties Dutch IT Leaders
Microsoft Copilot negeerde actief drie weken lang het DLP-beleid op vertrouwelijke e-mails; 80% van de Fortune 500 draait inmiddels AI-agents op productiedata zonder afdoende governance; en de AI Act stelt per augustus 2026 verplichte logging- en risicomanagementeisen voor hoog-risico AI-systemen. De rode draad: AI werkt op documenten die de organisatie al heeft geclassificeerd — of juist niet heeft geclassificeerd.
- Copilot Chat bug bypasses DLP on 'Confidential' email — sensitivity labels genegeerd Office365 IT Pros
- 80% of Fortune 500 use active AI agents: observability, governance and security shape the new frontier Microsoft Security Blog
- AI Act Fase 4: wat moeten organisaties regelen vóór 2 augustus 2026? Atabix Blog
De vraag die deze week open blijft: hoeveel organisaties kunnen vandaag in vijf minuten aantonen welke documenten hun meest gevoelige data bevatten — en wie er de afgelopen dertig dagen toegang toe had?
Wat was er eerder actueel?
← Bekijk alle weekrapporten