Ga naar inhoud
Week 19 · 2026

Uitstel maakt classificatie niet minder urgent

8 mei 2026

3,65 TB

studentgegevens gestolen bij Canvas — 7 Nederlandse universiteiten offline

Namen, e-mailadressen en berichten van 275 miljoen gebruikers bij 9.000 instellingen. Classificatie had bepaald welke data extra bescherming nodig had.

Deze week in het nieuws

De EU geeft organisaties anderhalf jaar extra voor high-risk AI-compliance, maar de praktijk wacht niet. ShinyHunters steelt 3,65 terabyte studentgegevens bij Canvas, een kwart van alle MCP-servers staat code-executie toe aan AI-agents, en Microsoft maakt Agent 365 operationeel met sensitivity labels als harde voorwaarde. Wie classificatie uitstelt omdat de deadline verschuift, negeert dat aanvallers en technologie al op documentniveau opereren.

Awareness

Onderwijsplatformen worden het nieuwe doelwit van grootschalige datalekken. Bij Canvas stal ShinyHunters 3,65 TB aan studentgegevens van 275 miljoen gebruikers — zeven Nederlandse universiteiten haalden het platform offline. Tegelijk steeg QR-codephishing met 146% in Q1 2026 en patchte Microsoft opnieuw kritieke Copilot-lekken. Phishing-simulaties moeten nu ook QR-codes en AI-tool-permissies afdekken.

Compliancy

Het AI Act Omnibus-akkoord van 7 mei verschuift de high-risk deadline naar december 2027, maar de oorspronkelijke augustusdeadline blijft van kracht tot formele publicatie. De IAPP toont dat de meest voorkomende bewijs-gaps bij deployers precies de documentatiebasis raken: geen AI-inventaris, geen vastgelegde classificatiebeslissing, geen operationeel monitoringbewijs. Een Document Scan maakt deze gaps zichtbaar.

Tech & AI

Microsoft lanceert Agent 365 als operationeel controlvlak voor alle AI-agents, met sensitivity labels als harde voorwaarde. DSPM is generally available en combineert posture reports met AI observability. Tegelijk toont onderzoek dat een kwart van MCP-servers arbitrary code execution toestaat — agents die documenten verwerken vormen een concreet risico als classificatie en permissies niet op orde zijn.


Tot de formele publicatie van de Omnibus blijft de oorspronkelijke augustusdeadline van kracht — wie nu pauzeert op basis van de aankondiging, riskeert tussen twee deadlines klem te raken.

Wat was er eerder actueel?

← Bekijk alle weekrapporten

Weekrapport

Mis geen nieuwe editie.

Elke week informatiebeveiliging, compliance en AI — direct in uw inbox.

Geen spam. Afmelden met één klik.