De dijken breken: datalekken leggen structureel gebrekkig databeheer bloot
27 maart 2026
van medewerkers gebruikt AI zonder formeel beleid
Onderzoek onder 3.700 beslissers toont dat shadow AI sneller groeit dan het beleid dat het moet reguleren.
Drie incidenten deze week — politie, Ajax en Odido — onthullen hetzelfde structurele probleem: organisaties bewaren te veel persoonsgegevens, te lang en met te weinig classificatie. De Autoriteit Persoonsgegevens onderzoekt Odido niet alleen op het lek zelf, maar op het feit dat data van ex-klanten jarenlang onnodig bewaard bleef. Tegelijkertijd bewijst de Copilot DLP-bug dat zelfs correct gelabelde documenten kwetsbaar worden zodra AI de labels negeert — en maakt de Tweede Kamer met een motie voor wettelijke nazorgplicht duidelijk dat politieke druk op databeheer snel toeneemt.
De politie werd op 25 maart doelwit van phishing, Ajax ontdekte een datalek dankzij een journalist, en Mall of the Netherlands lekte loyaliteitsdata — drie incidenten in drie totaal verschillende sectoren, allemaal door onvoldoende menselijke en technische drempels. De breedte van de getroffenen toont dat geen sector immuun is. Organisaties die regelmatig phishing-simulaties en e-learning inzetten, bouwen de reflexen die deze week bij de politie-SOC wél werkten: snelle detectie en afsluiting.
- Politie getroffen door phishingaanval, impact lijkt vooralsnog beperkt Security.NL
- Datalek bij Ajax: hacker bekeek e-mailadressen en persoonsgegevens van stadionverboden AjaxLife.nl
- Westfield Mall of the Netherlands lekt persoonsgegevens leden en nieuwsbriefabonnees Security.NL
- Menselijk gedrag als sleutel tot security awareness ICTrecht.nl
Het AP-onderzoek naar Odido richt zich niet alleen op het lek zelf, maar op structureel te lang bewaren van klantdata — een verschuiving van incident- naar systeemhandhaving. Parallel dient GroenLinks-PvdA een motie in voor wettelijke nazorgplicht bij datalekken, en houdt de overheid vast aan 1 juli 2026 voor de Cyberbeveiligingswet. Organisaties die hun dataretentiebeleid en classificatie niet op orde hebben, lopen nu dubbel risico: handhaving én aanstaande NIS2-verplichtingen. De Document Scan van Documenten.nl brengt precies die lacunes in kaart.
- AP onderzoekt Odido op structureel te lang bewaren van klantdata na megadatalek Computable.nl
- AP publiceert zesde Rapportage AI & Algoritmes Nederland: vier van negen graadmeters op rood Autoriteit Persoonsgegevens
- Motie vraagt kabinet om wettelijke nazorgplicht voor slachtoffers datalekken Security.NL
- Overheid houdt vast aan Q2 2026: Cyberbeveiligingswet op koers voor 1 juli 2026 Samen Digitaal Veilig
De Copilot DLP-bug van februari is het scharnierpunt van de week: Microsoft's AI negeerde sensitivity labels en las vertrouwelijke e-mails, ondanks correct geconfigureerde DLP-policies. De fix rolt pas eind maart-april uit. Tegelijkertijd toont AP-rapport RAN 6 dat vier van negen AI-risicograadmeters nu op rood staan, en gebruikt 56 procent van de medewerkers AI zonder formeel beleid. De AI-gereedheidstoets van Documenten.nl helpt organisaties bepalen of hun classificatie AI-proof is — voordat de volgende bug toeslaat.
- Copilot negeerde sensitivity labels en las vertrouwelijke e-mails — DLP-fix pas eind maart The Register
- Microsoft Copilot negeerde sensitivity labels tweemaal in acht maanden — DLP kan AI-vertrouwensfouten niet stoppen VentureBeat
- Nederlandse organisaties zetten AI sneller in dan ze kunnen beheersen ICT Magazine
Volgende week: de Copilot DLP-fix rolt uit — de vraag is of organisaties tegen die tijd weten welke documenten fout gelabeld zijn.
Elke week een ander vraagstuk. Elke week een instrument.
Uit de Toolbox
Document Scan
Als Copilot je labels kan negeren, is de vraag niet óf je geclassificeerd hebt — maar of je weet wat er fout gelabeld is.
Bekijk dit instrument →Wat was er eerder actueel?
← Bekijk alle weekrapporten