AI-technologie is in minder dan drie jaar tijd van een experimenteel speeltje uitgegroeid tot een onmisbaar instrument op de werkvloer. Dat wisten we allemaal. Wat niemand had verwacht, was hoe snel het de traditionele SaaS-categorieën zou overtreffen, niet alleen qua acceptatie, maar ook qua risico.
Onze nieuwe Rapport over gegevensbeveiliging voor Enterprise AI en SaaS 2025, gebaseerd op real-world browse-telemetrie van LayerX' zakelijke klanten, laat iets verrassends zien: AI is niet langer een "opkomende" technologie. Het is nu de grootste blinde vlek voor data-exfiltratie in de moderne onderneming.
En in tegenstelling tot e-mail of het delen van bestanden, waarbij beveiligingsteams jarenlang governance hebben opgebouwd, vindt het merendeel van het AI-gebruik in het geheim plaats: buiten SSO, buiten het zicht en buiten de controle van de onderneming.
AI-adoptie in razend tempo
Laten we beginnen met de kop: 45% van de werknemers in bedrijven gebruikt al generatieve AI-tools. Dat is bijna de helft van het personeelsbestand, in minder dan drie jaar sinds deze tools op de markt kwamen. Ter vergelijking: SaaS-categorieën zoals file sharing of videoconferencing hadden meer dan tien jaar nodig om een vergelijkbare penetratie te bereiken.
Nog opvallender: 92% van al het AI-gebruik binnen bedrijven is geconcentreerd in één tool: ChatGPT. Dit maakt het niet alleen de snelst groeiende categorie, maar ook de meest geconcentreerde. Eén enkel, consumentgericht platform is de facto de standaard voor AI binnen bedrijven geworden.
Op zichzelf is adoptie op deze schaal geen verrassing. De schok komt als je kijkt naar hoe werknemers maken er gebruik van.
Het verrassende datapad: kopiëren/plakken, geen uploads
De meeste CISO's maken zich zorgen over het uploaden van bestanden. En terecht: 40% van de bestanden die naar GenAI-tools worden geüpload, bevatten gevoelige PII- of PCI-gegevens. Dat is bijna de helft van alle uploads.
Maar de echte schok zit ergens anders. Onze data laat zien dat de meeste gevoelige gegevens de onderneming helemaal niet via uploads verlaten. Ze verlaten de onderneming via copy / paste.
- 77% van de werknemers plakt gegevens in GenAI-prompts
- 82% van deze pasta's komt uit persoonlijke verslagen
- Gemiddeld maken werknemers 14 plakacties per dag op niet-zakelijke accounts, en minstens 3 van die plakactiviteiten bevatten gevoelige gegevens
Dit verandert het bescheiden klembord, een vaak over het hoofd gezien bestandsloos en ongestructureerd kanaal, in de belangrijkste vector voor het lekken van gevoelige gegevens. GenAI-tools zijn alleen al goed voor 32% van alle gegevensoverdrachten van bedrijven naar privépersonen.
Traditionele DLP-tools, gebouwd rond bestandsgerichte monitoring, registreren deze activiteit niet eens. Dit betekent dat bedrijven niet alleen achterlopen op het gebied van AI-governance, maar ook blind zijn.
Persoonlijke accounts zijn de baas
Bedrijven hebben miljoenen geïnvesteerd in identiteitsbeveiliging, federatie en SSO. Toch raken die controles volgens onze gegevens nauwelijks de AI-categorie.
- 67% van het AI-gebruik vindt plaats via onbeheerde persoonlijke accounts
- 71% van de CRM-logins en 83% van de ERP-logins zijn niet-gefedereerd
- Zelfs 'zakelijke' accounts zijn vaak alleen met een wachtwoord te beveiligen, waardoor ze functioneel niet te onderscheiden zijn van persoonlijke inloggegevens.
De conclusie? Zakelijk ≠ veilig. De systemen die de meest gevoelige klant- en financiële gegevens bevatten, zoals CRM, ERP en nu ook AI, worden benaderd alsof het consumentenapps zijn. Er bestaan identiteitscontroles, maar medewerkers omzeilen die gewoon.
Bestuur: nergens te bekennen
De meest tegenintuïtieve bevinding uit ons onderzoek is deze: hoe meer AI in de workflows van ondernemingen wordt geïntegreerd, hoe minder governance er is.
Medewerkers plakken gevoelige gegevens in prompts. Ze uploaden bestanden naar consumentenaccounts. Ze loggen in met onbeheerde identiteiten. En dit alles gebeurt buiten het toezicht van de autoriteiten.
Vergelijk dit met e-mail, waar decennia van DLP, archivering en federatie op zijn minst enige vorm van bescherming hebben gecreëerd. AI is daarentegen het Wilde Westen.
En toch is AI niet langer ‘opkomend’. Het is al verantwoordelijk voor 11% van alle bedrijfsactiviteiten, rivaliserende categorieën die al decennialang de productiviteit van ondernemingen bepalen. Bedrijven opereren blind in hun snelstgroeiende categorie.
Wat CISO's vervolgens moeten doen
Op basis van deze gegevens zijn dit de drie meest urgente prioriteiten:
- Beschouw AI als een eersteklas ondernemingscategorie.
GenAI is niet langer een experiment. ChatGPT alleen al bereikt een penetratiegraad van 43% binnen bedrijven, wat overeenkomt met de adoptie van Zoom in een fractie van de tijd. Met 45% van de medewerkers die actief AI-tools gebruiken en AI 11% van alle browse-activiteit binnen bedrijven vertegenwoordigt, moet GenAI nu met dezelfde strengheid worden beheerd als e-mail- en bestandsdelingssystemen. De experimentele fase is voorbij. Het verdient dezelfde governance en controles als e-mail of bestandsopslag, met monitoring voor zowel uploads als bestandsloze acties zoals kopiëren/plakken. - Behandel niet-gefedereerde bedrijfslogins als actieve schaduw-IT
Uit het onderzoek blijkt dat zelfs wanneer werknemers bedrijfsreferenties gebruiken voor kritieke apps zoals ERP (83% niet-SSO) en CRM (71% niet-SSO), het ontbreken van SSO-federatie ervoor zorgt dat deze inloggegevens functioneel identiek zijn aan onbeheerde persoonlijke accounts. Dus in plaats van alleen SSO te prioriteren voor nieuwe SaaS-apps, onmiddellijk alle niet-gefedereerde accounts in kritieke systemen opnieuw classificeren als onbeheerde schaduw-ITUw onmiddellijke actie zou moeten zijn om een audit uit te voeren die specifiek gericht is op uw ERP- en CRM-systemen om alle niet-gefedereerde toegangspunten te identificeren. Behandel het verhelpen van deze hiaten met dezelfde urgentie als een openbaar toegankelijke server, aangezien ze een onzichtbare en ongecontroleerde route vormen voor datatoegang en -exfiltratie. - Implementeer databewuste beleidsregels in plaats van de toegang tot persoonlijke accounts te blokkeren
Een aanzienlijk deel van de uploads en plakacties naar GenAI (67% persoonlijke accounts) en IM (87% persoonlijke accounts) vindt plaats via niet-zakelijke accounts. Het simpelweg blokkeren van de toegang tot deze services is vaak onpraktisch en leidt tot schaduw-IT. Ga daarom van een binaire 'blokkeren/toestaan'-houding over op een contextbewust, datacentrisch beleidGeef medewerkers toegang tot persoonlijke exemplaren van ChatGPT, Google Drive of WhatsApp Web, maar implementeer browserniveau-controles die specifiek voorkomen dat gevoelige bedrijfsgegevens (geïdentificeerd door classificaties) in hen worden geplakt of geüploadDeze aanpak erkent de realiteit van moderne workflows en creëert tegelijkertijd een cruciale beveiligingsgrens rondom de gegevens zelf, niet rondom de applicatie. - Verplaats DLP-budgetten van netwerk-/bestandsanalyse naar beheer van plakken op browserniveau:De bevindingen tonen aan dat kopiëren/plakken heeft het uploaden van bestanden ingehaald als het primaire kanaal voor data-exfiltratie, waarbij 77% van de medewerkers gegevens in GenAI-tools plakt en 62% van de werknemers plakt in IM-apps die PII/PCI bevatten. Traditionele netwerkgebaseerde DLP-oplossingen zijn blind voor deze bestandsloze gegevensverplaatsing. Organisaties zouden daarom hun gegevensbeschermingsstrategie en budgettoewijzing moeten afwenden van bestandsgerichte monitoring. Geef prioriteit aan de implementatie van browser-native beveiligingsoplossingen of veilige bedrijfsbrowsers die gevoelige gegevens kunnen inspecteren, classificeren en blokkeren binnen kopieer-/plakgebeurtenissen vaardigheden Het wordt verzonden via een webformulier, AI-prompt of chatvenster. De sleutel is om de data te beheren op het moment van actie – de browser – en niet alleen de data die wordt verzonden.
Waarom LayerX-gegevens anders zijn
Terwijl andere rapporten over de adoptie van AI gebaseerd zijn op enquêtes of zelfgerapporteerde gegevens, is het onze gebaseerd op directe browsertelemetrie van de zakelijke gebruikers zelf. Dat betekent geen giswerk, maar alleen inzicht in de werkelijke activiteit van goedgekeurde, niet-goedgekeurde en schaduw-apps.
Dit unieke perspectief laat zien wat enquêtes niet kunnen: dat kopiëren en plakken, niet uploaden, het voornaamste exfiltratiekanaal is; dat persoonlijke accounts zelfs in bedrijfskritische workflows voorkomen; en dat AI niet alleen een risico is dat aan de horizon opdoemt, maar dat het een risico is dat zich nu al voordoet.
The Bottom Line
CISO's hebben jarenlang gewerkt aan governance rond e-mail, bestandsopslag en goedgekeurde SaaS. Ondertussen is AI de snelstgroeiende categorie binnen bedrijven geworden, met bijna de helft van de werknemers die het dagelijks gebruikt. En bijna niets ervan is veilig.
Dat is de paradox die onze gegevens blootleggen: hoe onmisbaarder AI wordt, hoe minder toezicht erop is.
Het klembord is nu het nieuwe speerpunt van datalekken binnen bedrijven. ChatGPT is de facto de AI-standaard voor bedrijven geworden. En onbeheerde accounts herschrijven in stilte de regels van identiteit.
De uitdaging voor beveiligingsleiders is niet of ze AI moeten besturen. Het gaat erom hoe snel ze het onder controle kunnen krijgen – voordat de onzichtbare stroom datalekken een vloedgolf wordt.
Download het volledige rapport om de volledige omvang van AI- en SaaS-datarisico's bloot te leggen.



