Doe mee aan de RSAC executive panel-sessie op 24 maart: 'De AI-agents zijn gearriveerd! Ben je er klaar voor?'.

Microsoft-handleiding voor het beveiligen van door AI aangedreven ondernemingen: Data Governance and Security

Een man die een pak draagt en voor een blauwe achtergrond staat.

Overzicht

Nu organisaties AI op schaal in gebruik beginnen te nemen, worden gegevensbeheer en gegevensbeveiliging steeds meer onlosmakelijk verbonden als fundamenten van bedrijfsveerkracht. Voor Frontier Firms, bedrijven die vooroplopen in AI-gestuurde transformatie, vereist het vermogen om AI-systemen te laten redeneren over enorme gegevensassets een ongekende samenwerking tussen Chief Information Officers (CIO's), Chief Information Security Officers (CISO's) en hun collega's van de gegevensafdeling. Zonder gedeeld eigendom en collectieve uitvoering nemen risico's zoals gegevenslekken, overmatige gegevensdeling en verkeerd gebruik van AI exponentieel toe.

Deze handleiding bouwt voort op de eerdere onderwerpen in de serie over het beveiligen van door AI-aangedreven ondernemingen, die je helpt om AI veilig in gebruik te nemen en maximaal rendement uit je investering te halen.

De kloof in governance

Bij sommige organisaties wordt AI sneller in gebruik genomen dan traditionele governance-structuren kunnen bijhouden. Volgens de Data Security Index van Microsoft geeft slechts 47% van de organisaties in diverse branches aan dat ze specifiek GenAI-beveiligingsmaatregelen implementeren,¹ wat een kans biedt voor organisaties om duidelijke inzichten te krijgen die nodig zijn voor veilige ingebruikname van AI. Nog belangrijker: uit een multinationale enquête onder meer dan 1700 professionals in gegevensbeveiliging, in opdracht van Microsoft uitgevoerd door Hypothesis Group, blijkt dat al 29% van de medewerkers ongeautoriseerde AI-agents gebruikt voor werkgerelateerde taken.² Dit leidt voor organisaties tot nieuwe uitdagingen op het gebied van gegevensverwerking, beveiligingsinzicht en compliance, vooral wanneer generatieve AI-hulpprogramma's gebaseerd zijn op gevoelige of ongestructureerde gegevens.

Tegelijkertijd is er een reactie van zakelijke leiders; steeds meer organisaties implementeren gespecialiseerde controles voor generatieve AI en versnellen investeringen in technische en operationele beveiligingsmaatregelen. De boodschap is duidelijk: AI-innovatie kan niet floreren zonder de governance voor ondersteuning en beveiliging.

Een uniform model voor eigendom: Classificeren, labelen, beschermen en beheren

Effectief gegevensbeheer vereist heldere verantwoordelijkheden van CIO's, CISO's, Chief Data Officers (CDO's) en Chief Privacy Officer (CPO's). Toch blijft het eigendom in veel organisaties gefragmenteerd. Om deze kloof te dichten, adviseren we een gedeeld model dat bestaat uit classificeren, labelen, beschermen en beheren.

1. Classificeren: Waarneembaarheid en eigendom vaststellen

De governance-beleving begint met inzicht in wat je bezit. Organisaties moeten volledige waarneembaarheid ontwikkelen voor gestructureerde, ongestructureerde en door AI gegenereerde gegevens, inclusief het vermogen om opkomende AI-agents bij te houden. Classificatie vereist:

Een duidelijk, intuïtief schema gekoppeld aan bedrijfsrisico's
Benoemde gegevenseigenaren en stewards binnen de bedrijfseenheden
Continue inventarisatie met ondersteuning van door de CIO geleide ontdekkingsinitiatieven

Classificatie vormt de basis voor alles wat volgt.

2. Labelen: Governance uitvoerbaar maken

Waar classificatie de intentie bepaalt, zorgt labeling voor de naleving ervan. Vertrouwelijkheidslabels verbinden beleid met de praktijk en sturen beveiligingssystemen, toegangsbeheer en zelfs de manier waarop medewerkers (mensen) omgaan met de output van AI-agents.

Belangrijke onderdelen zijn:

De implementatie van technologie die labeling afdwingt, zodat labels actief beleid voor beveiliging en preventie van gegevensverlies activeren
Een risicogerichte labelingstrategie die de impact op de bedrijfsvoering weerspiegelt
Gerichte training voor medewerkers die duidelijk maakt wanneer en hoe labels worden toegepast

3. Beschermen: Beveiliging in de praktijk brengen

Bescherming is het moment waarop het beleid functioneert als de beschermingsmaatregel. Dit omvat:

Beleid afdwingen via toegangsbeheer zoals op rollen gebaseerd toegangsbeheer, Just-In-Time-toegang en preventie van gegevensverlies
Versleuteling van data-at-rest en data-in-transit
Geautomatiseerde bewaking om overmatig delen en beleidsschendingen te detecteren
Gestructureerde incidentreactieplannen die aansluiten op privacywetgeving

Deze maatregelen zorgen ervoor dat gevoelige gegevens beschermd blijven, zelfs wanneer AI-hulpprogramma's deze op schaal verwerken.

4. Beheren: Governance over de volledige gegevenslevenscyclus

Governance is een continu proces. Organisaties moeten zorgen voor:

Beleid voor gegevensretentie en -verwijdering dat aansluit op minimalisatieprincipes
Voortdurende bewaking op gegevensdrift, verkeerde labeling en afwijkingen in toegang
Geautomatiseerde hercertificering van gegevenseigendom
Inzicht in en governance van AI-agents binnen IT-, ontwikkelings- en beveiligingsteams

Levenscyclusbeheer verkleint de kwetsbaarheid voor aanvallen en zorgt voor langdurige afstemming tussen gegevensgebruik en bedrijfswaarde.

De toekomst: Het beheren van personeel dat bestaat uit mensen en AI-agents

Nu AI-agents steeds complexere werkstromen uitvoeren, moet governance zich blijven ontwikkelen. Frontier Firms introduceren het concept van de agent-baas, een nieuwe rol die elke medewerker verantwoordelijk maakt voor de digitale medewerkers die zij inzetten.

Deze verandering stelt nieuwe eisen aan technologisch leiderschap:

Voor CIO's:

Ontwikkel een gefedereerd AI-ecosysteem waarin bedrijfseenheden veilig agents kunnen maken en implementeren met goedgekeurde sjablonen, beheerd door een AI Center of Excellence.

Voor CISO's:

Breid Zero Trust uit naar menselijke gebruikers én autonome agents. Dit betekent:

Een inventarisatie van alle agents en hun identiteiten opstellen
Minimale toegangsbevoegdheden handhaven, afgestemd op de taken van elke agent
Agentgedrag bewaken en uitgaan van schendingen wanneer agents met gevoelige gegevens werken

Voorbereid zijn op de autonome onderneming vereist het combineren van deze nieuwe maatregelen met menselijke verantwoordelijkheid.

Je eerste 180 dagen: Een gezamenlijk playbook voor CIO's en CISO's

De reis begint met een gestructureerde roadmap die IT- en beveiligingsleiders helpt AI-governance op ondernemingsniveau te operationaliseren:

Eerste week: Fundamentele afstemming

Stel een gedeeld gegevensclassificatieschema op.
Breng kritieke assets en continuïteitseisen in kaart.
Volg standaarden voor het maken en verifiëren van AI-agents.

Eerste 90 dagen: Toewijzing van ontdekking en beheer

Breng AI-gebruiksscenario's en bijbehorende gegevensbronnen in kaart.
Voer een hiaatanalyse uit voor preventie van gegevensverlies en beheer.
Stel een gedeeld risicoregister op en geef prioriteit aan pilotprojecten.

Eerste 180 dagen: Implementatie en validatie

Gebruik nieuwe labels en beleidsregels voor bedrijfseenheden die dienen als pilot.
Implementeer geautomatiseerde preventie van gegevensverlies voor scenario's met een hoog risico.
Stel een maandelijkse governance-raad in om maatregelen te verfijnen.

Dit playbook helpt organisaties gegevensbeheer te transformeren van een complianceverplichting naar een strategische motor voor AI-innovatie.

De onderneming voorbereiden op AI

De reis naar een AI-gestuurde toekomst begint met een solide, gezamenlijk gedragen fundament voor gegevensbeheer en gegevensbeveiliging. Door de verantwoordelijkheden van CIO's en CISO's af te stemmen, een gedeeld levenscyclusmodel op te stellen en de voorbereiding op een hybride personeel dat bestaat uit mensen en AI-agents, kunnen organisaties het volledige potentieel van AI veiliger en met meer vertrouwen ontgrendelen.

De tijd om dit fundament te leggen is nu.

Download de handleiding

Een groep mensen die op een bank zitten, met in het Engels de tekst 'NEW Cyber Pulse An AI Security Report'.

Cyber Pulse: Een AI-beveiligingsrapport

Inzichten in de groei van AI-agents en de route naar verantwoordelijke, veilige ingebruikname via waarneembaarheid, governance en beveiliging.

Strategies for Governing AI

Praktische stappen om vertrouwen op te bouwen, risico’s te beperken, kosten te verlagen en innovatie te stimuleren

Een witte lijntekening van een brief in een envelop met het woord Nieuw op een blauwe achtergrond.

Download CISO Digest

Blijf voorlopen met deskundige inzichten, trends in de sector en beveiligingsonderzoek met deze tweewekelijkse e-mailserie.

[1]
Microsoft Data Security Index 2026: Unifying Data Protection and AI Innovation, Microsoft Beveiliging, 2026
[2]
Multinationale enquête onder meer dan 1700 professionals in gegevensbeveiliging, in juli 2025 in opdracht van Microsoft uitgevoerd door Hypothesis Group.