AI wordt in hoog tempo een kritisch onderdeel van de bedrijfsvoering. Tegelijkertijd laten recente datalekanalyses zien dat security en governance die ontwikkeling maar moeilijk kunnen bijbenen.

In een drieluik op basis van het IBM/Ponemon Cost of a Data Breach Report 2025 gaat Jurgen Otten in op:

– de risico’s van snelle AI adoptie en shadow AI;

– het tweezijdige karakter van AI als dreiging én verdedigingsmiddel; en

– waarom investeren in IAM, SOC en GRC aantoonbaar rendeert.

‍

De inzichten uit de 2025‑editiebeschrijven trends die zich inmiddels verder doorzetten en die naar allewaarschijnlijkheid in de 2026-editie kwantitatief zullen worden bevestigd.

De 2026‑editie van het IBM/Ponemon Cost of a Data Breach Report wordt ergens deze zomer verwacht.

De risico’svan snelle AI‑adoptie en shadow AI

De adoptie van AI binnen organisaties verloopt sneller dan die van vrijwel elke eerdere technologie. Waar AI aanvankelijk vooral werd gezien als hulpmiddel voor productiviteit en innovatie, schuift het inmiddels onmiskenbaar op richting de kern van de bedrijfsvoering. AI wordt een kritisch bedrijfsproces, of maakt daar steeds vaker een integraal en onmisbaar onderdeel van uit.

Juist dat gegeven maakt de bevindingen uit het IBM/Ponemon Cost of a Data Breach Report 2025 strategisch relevant.

Het rapport laat zien dat het aantal datalekken waarbij AI systemen direct betrokken zijn, nog relatief beperkt is. Dat lijkt geruststellend, maar moet niet verkeerd geïnterpreteerd worden. Het rapport van IBM en Ponemon is een vroegtijdig signaal: een momentopname vlak vóór een verwachte versnelling in risico en impact.

‍

Die versnelling wordt aangedreven door twee samenhangende ontwikkelingen. In de eerste plaats de hoge adoptiesnelheid van AI, vaak ingegeven door concurrentiedruk en innovatieambities. In de tweede plaats de brede opkomst van shadow AI wat een direct gevolg is van het achterblijven van security en governance.  Shadow AI zijn AI-toepassingen die buiten formele IT‑, security‑ en governance‑structuren om worden geïntroduceerd en gebruikt. Samen creëren deze trends een situatie waarin het huidige lage aantal AI incidenten weinig zegt over de risico’s op middellange termijn, temeer omdat de potentiële impact van die incidenten aantoonbaar groter is.

De cijfers uit het rapport maken namelijk duidelijk dat wanneer AI of shadow AI wél betrokken is bij een datalek, de impact structureel groter is dan bij traditionele incidenten. Bij deze datalekken worden bovengemiddeld vaak klantgegevens buitgemaakt. Shadow AI fungeert daarbij regelmatig als toegangspoort tot meerdere IT omgevingen tegelijk — public cloud, private cloud & on prem — waardoor de attack surface sneller en minder beheersbaar groeit.

Een ander belangrijk genoemd signaal uit het rapport betreft het structurele gebrek aan governance-mechanismen rond AI. Niet alleen ontbreken bij het merendeel van de getroffen organisaties adequate access controls op AI systemen, ook het ontbreken van formeel beleid en heldere beoordelings- en goedkeuringsprocessen blijkt een verzwarende factor bij organisaties die door een datalek zijn geraakt.

Juist deze lacune wreekt zich bij incidenten. Ontbrekende processen voor het beoordelen en goedkeuren van AI-toepassingen zorgen ervoor dat kwetsbare AI systemen niet – of niet tijdig - worden geïdentificeerd, dat belangenafwegingen en risico analyses niet worden gedocumenteerd en dat er geen duidelijk “ownership” worden aangewezen, wat organisaties specifiek parten speelt als een datalek zich voordoet. Het gevolg is niet alleen een hogere kans op incidenten, maar vooral een grotere impact wanneer het misgaat: meer en kostbaardere data op straat, langere detectie  en containment¬tijden en hogere herstel  en nalevingskosten.

De waarde van het IBM/Ponemon rapport ligt precies hierin. Het beschrijft geen crisis die reeds is voltrokken, maar markeert het moment vlak vóór de storm. De aankomende 2026 editie — verwacht in de zomer van dit jaar — zal naar verwachting laten zien in hoeverre deze trends zich hebben doorgezet. Alles wijst erop dat de risico’s zich verdiepen, niet afzwakken.

Voor bestuurders, CISO’s en verantwoordelijken voor compliance en privacy ligt hier een duidelijke keuze. Wie wacht tot AI incidenten gemeengoed worden, zal geconfronteerd worden met datalekken waarvan de financiële, operationele en reputatieschade aanzienlijk groter is dan tot nu toe het geval is bij traditionele incidenten en datalekken waar geen AI bij betrokken is.

‍

Wie daarentegen nu inzet op volwassen GRC structuren, AI governance en beveiliging, benut deze periode van relatieve rust om zich voor te bereiden om toekomstige incidenten & datalekken waar AI of shadow AI bij betrokken is op een efficiëntere manier het hoofd te kunnen bieden.

Navaio gaat graag het gesprek met u aan over waar uw organisatie staat, welke risico’s reëel zijn en waar met gerichte inzet de meeste waarde te behalen is.

Lees ook de andere twee delen uit dit drieluik:

Deel 2: Het duivels dilemma: waarom AI het datalek risico vergroot én de schade beperkt. [link]

Deel 3: Van risico naar rendement: grip op AI enshadow AI met aantoonbare ROI. [link]