Naleving is belangrijk

WP_Post-object ( [ID] => 136950 [post_author] => 38 [post_date] => 2026-02-05 09:00:23 [post_date_gmt] => 2026-02-05 09:00:23 [post_content] => Organisaties maken zich zorgen over beveiligings- en privacyrisico's. En de laatste tijd besteden ze ook aandacht aan de risico's van AI. Maar hoe vaak betrekken ze die drie aspecten in één gesprek?Het wordt steeds duidelijker dat ze dat zouden moeten doen. Wetten op het gebied van gegevensbescherming, cyberbeveiliging en AI hebben verviervoudigd sinds 2016 in de VS, de EU, het VK en China. De SEC heeft al bewezen dat ze cyberbeveiliging serieus neemt. De cyberbeveiligingsregels, die in december 2023 van kracht worden, veranderen nu al de manier waarop beursgenoteerde bedrijven omgaan met het melden van datalekken. Formulier 8-K Item 1.05 nu vereist Bedrijven moeten materiële cyberbeveiligingsincidenten binnen vier werkdagen na vaststelling van de materialiteit openbaar maken, en niet vanaf het moment dat het incident werd ontdekt. ​​Item 106 van Formulier 10-K schrijft jaarlijkse openbaarmaking voor van risicobeheerprocessen en toezichtsstructuren van de raad van bestuur. De Commissie schroomt niet om bedrijven te straffen die volgens haar beveiligingsincidenten hebben gebagatelliseerd. Iets meer dan een jaar geleden, in oktober 2024, schikte de SEC met vier beursgenoteerde bedrijven (Unisys, Avaya, Check Point en Mimecast) wegens het misleiden van beleggers over de impact van de SolarWinds-cyberaanval in 2020. De gezamenlijke boetes bedroegen bijna 7 miljoen dollar. Unisys betaalde alleen al 4 miljoen dollar voor het beschrijven van cyberrisico's als "hypothetisch" in haar rapporten, terwijl interne teams op de hoogte waren van daadwerkelijke inbraken. Tussen december 2023 en januari 2025 werden 55 cyberbeveiligingsincidenten gemeld via Formulier 8-K. Naast de acties met betrekking tot SolarWinds betaalde Flagstar in december 2024 $ 3.55 miljoen voor het omschrijven van een datalek waarbij 1.5 miljoen mensen betrokken waren als louter "toegang", terwijl er in werkelijkheid gegevens waren gestolen. Deze boetes tonen aan dat het noodzakelijk is om de openbaarmaking van cyberbeveiligingsincidenten te koppelen aan breder risicomanagement binnen bedrijven. De oprichting van een nieuwe Cyber ​​and Emerging Technologies Unit (CETU) door de SEC in februari 2025 geeft aan dat dit toezicht zal worden voortgezet. Deze unit verving de Crypto Assets and Cyber ​​Unit. CETU wijst ook op het belang van het meewegen van AI in deze risico's, aangezien het specifiek zowel AI als cyberbeveiligingspraktijken in zijn mandaat opneemt.

Gefragmenteerd bestuur leidt tot een steeds groter wordend risico.

Amerikaanse bedrijven met activiteiten in Europa worden ook geconfronteerd met extra druk door de EU AI-wetgeving, die in augustus 2024 van kracht werd. De wet, met gespreide nalevingstermijnen tot en met 2027, is extraterritoriaal van toepassing. Amerikaanse bedrijven die AI-systemen op de EU-markt plaatsen of AI inzetten waarvan de resultaten EU-gebruikers beïnvloeden, moeten zich aan de wet houden. De risico's zijn aanzienlijk. Boetes voor verboden AI-praktijken kunnen oplopen tot € 35 miljoen of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Categorieën met een hoog risico, waaronder AI die wordt gebruikt voor beslissingen over werkgelegenheid, kredietbeoordeling en diagnostiek in de gezondheidszorg, vereisen conformiteitsbeoordelingen, technische documentatie en menselijke toezichtsmechanismen. Verboden op AI-systemen met een onaanvaardbaar risico zijn in februari 2025 van kracht geworden.

AI duikt op in openbaarmakingsdocumenten.

De verwachtingen van investeerders veranderen naarmate deze risico's zich ontwikkelen. Toezichthouders en aandeelhouders maken duidelijk dat het oude model van aparte teams die cybersecurity, privacy en AI als afzonderlijke domeinen beheren, niet langer werkt. AI is in een opmerkelijk tempo verschoven van discussies in de directiekamer naar het onderdeel risicofactoren in jaarverslagen. 72% van de S&P 500-bedrijven nu materiële AI-risico's openbaar maken, een stijging ten opzichte van slechts 12 procent in 2023. De meest genoemde zorgen zijn reputatieschade (38 procent van de bedrijven die dit melden), gevolgen voor de cyberbeveiliging en onzekerheid over de regelgeving. Toezicht door de raad van bestuur is hierop gevolgd. Volgens ISS-CorporateIn 2024 gaf 31.6 procent van de S&P 500-bedrijven in hun volmachtverklaringen aan dat hun raad van bestuur toezicht houdt op AI. Dat is een stijging van 84 procent ten opzichte van een jaar eerder. Bedrijven die dergelijk toezicht niet opleggen, lopen het risico op aanzienlijke schade voor aandeelhouders, wat kan leiden tot negatieve stemadviezen. Vorig jaar publiceerde Glass Lewis, een adviesbureau voor aandeelhouders dat institutionele beleggers adviseert over hun stemgedrag, nieuwe richtlijnen die specifiek betrekking hebben op AI-governance. Het probleem met het afzonderlijk beheren van cybersecurity, privacy en AI is dat incidenten met betrekking tot elk van deze gebieden elkaar beïnvloeden. Een enkele inbreuk kan tegelijkertijd leiden tot openbaarmakingsverplichtingen van de SEC, meldingsplichten van de AVG, privacywetten van de staat en (als persoonlijke gegevens een AI-systeem hebben getraind) nieuwe AI-regelgeving. Het is dus tijd om deze risicogebieden te integreren, maar dit is geen eenvoudige opgave. Think Volgens de governance-vooruitblik van de National Association of Corporate Directors uit juli 2025 is AI inmiddels een routineonderwerp voor 61 procent van de besturen, maar slechts weinig besturen hebben het goed geïntegreerd in hun governance-structuren. Waarom? Culturele wrijving is een van de redenen. Beveiligings-, privacy- en AI-teams hebben van oudsher met verschillende terminologieën, risicokaders en rapportagestructuren gewerkt. Technologie-integratie voegt daar nog een extra moeilijkheidsgraad aan toe; losstaande GRC-tools leiden tot gefragmenteerde benaderingen van risicobeoordeling, auditdocumentatie en bewijsverzameling. Budgettaire beperkingen dwingen tot pijnlijke afwegingen tussen het bouwen van een geïntegreerde infrastructuur en het halen van directe compliance-deadlines.

Standaardiseringskaders bieden een weg vooruit.

Het goede nieuws: belangrijke normalisatie-instanties hadden deze convergentie voorzien. De High-Level Structure van ISO betekent dat ISO 27001 (informatiebeveiliging), ISO 27701 (privacy) en de nieuwere ISO 42001 (AI-managementsystemen) compatibele architecturen delen, waardoor organisaties uniforme managementsystemen kunnen bouwen in plaats van parallelle bureaucratieën. Praktische integratie begint doorgaans met multidisciplinaire stuurgroepen met vertegenwoordigers van privacy, cybersecurity, juridische zaken en AI. Van daaruit ontwikkelen organisaties gedeelde risicotaxonomieën en (indien het budget het toelaat) uniforme GRC-platforms die overbodige beoordelingen elimineren. Rolgrenzen vervagen al: volgens een onderzoek van IAPP en EY heeft 69 procent van de chief privacy officers verantwoordelijkheden op het gebied van AI-governance verworven. Organisaties die hun werkwijzen niet in deze richting ontwikkelen, lopen het risico op problemen met de regelgeving. Voor organisaties die dat wel doen, liggen minder frictie op het gebied van regelgeving, een lagere auditlast en een groter vertrouwen van investeerders in het verschiet. [post_title] => Waarom toezichthouders en investeerders verwachten dat bedrijven een drievoudig risico aanpakken [post_excerpt] => [post_status] => publiceren [comment_status] => gesloten [ping_status] => open [post_password] => [post_name] => waarom-toezichthouders-en-investeerders-verwachten-dat-bedrijven-een-drievoudig-risico-aanpakken [to_ping] => [gepingd] => [post_modified] => 2026-02-04 10:20:03 [post_modified_gmt] => 2026-02-04 10:20:03 [post_content_filtered] => [post_parent] => 0 [guid] => https://nl.isms.online/?p=136950 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw )

WP_Post-object ( [ID] => 136950 [post_author] => 38 [post_date] => 2026-02-05 09:00:23 [post_date_gmt] => 2026-02-05 09:00:23 [post_content] => Organisaties maken zich zorgen over beveiligings- en privacyrisico's. En de laatste tijd besteden ze ook aandacht aan de risico's van AI. Maar hoe vaak betrekken ze die drie aspecten in één gesprek?Het wordt steeds duidelijker dat ze dat zouden moeten doen. Wetten op het gebied van gegevensbescherming, cyberbeveiliging en AI hebben verviervoudigd sinds 2016 in de VS, de EU, het VK en China. De SEC heeft al bewezen dat ze cyberbeveiliging serieus neemt. De cyberbeveiligingsregels, die in december 2023 van kracht worden, veranderen nu al de manier waarop beursgenoteerde bedrijven omgaan met het melden van datalekken. Formulier 8-K Item 1.05 nu vereist Bedrijven moeten materiële cyberbeveiligingsincidenten binnen vier werkdagen na vaststelling van de materialiteit openbaar maken, en niet vanaf het moment dat het incident werd ontdekt. ​​Item 106 van Formulier 10-K schrijft jaarlijkse openbaarmaking voor van risicobeheerprocessen en toezichtsstructuren van de raad van bestuur. De Commissie schroomt niet om bedrijven te straffen die volgens haar beveiligingsincidenten hebben gebagatelliseerd. Iets meer dan een jaar geleden, in oktober 2024, schikte de SEC met vier beursgenoteerde bedrijven (Unisys, Avaya, Check Point en Mimecast) wegens het misleiden van beleggers over de impact van de SolarWinds-cyberaanval in 2020. De gezamenlijke boetes bedroegen bijna 7 miljoen dollar. Unisys betaalde alleen al 4 miljoen dollar voor het beschrijven van cyberrisico's als "hypothetisch" in haar rapporten, terwijl interne teams op de hoogte waren van daadwerkelijke inbraken. Tussen december 2023 en januari 2025 werden 55 cyberbeveiligingsincidenten gemeld via Formulier 8-K. Naast de acties met betrekking tot SolarWinds betaalde Flagstar in december 2024 $ 3.55 miljoen voor het omschrijven van een datalek waarbij 1.5 miljoen mensen betrokken waren als louter "toegang", terwijl er in werkelijkheid gegevens waren gestolen. Deze boetes tonen aan dat het noodzakelijk is om de openbaarmaking van cyberbeveiligingsincidenten te koppelen aan breder risicomanagement binnen bedrijven. De oprichting van een nieuwe Cyber ​​and Emerging Technologies Unit (CETU) door de SEC in februari 2025 geeft aan dat dit toezicht zal worden voortgezet. Deze unit verving de Crypto Assets and Cyber ​​Unit. CETU wijst ook op het belang van het meewegen van AI in deze risico's, aangezien het specifiek zowel AI als cyberbeveiligingspraktijken in zijn mandaat opneemt.

Gefragmenteerd bestuur leidt tot een steeds groter wordend risico.

Amerikaanse bedrijven met activiteiten in Europa worden ook geconfronteerd met extra druk door de EU AI-wetgeving, die in augustus 2024 van kracht werd. De wet, met gespreide nalevingstermijnen tot en met 2027, is extraterritoriaal van toepassing. Amerikaanse bedrijven die AI-systemen op de EU-markt plaatsen of AI inzetten waarvan de resultaten EU-gebruikers beïnvloeden, moeten zich aan de wet houden. De risico's zijn aanzienlijk. Boetes voor verboden AI-praktijken kunnen oplopen tot € 35 miljoen of 7 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Categorieën met een hoog risico, waaronder AI die wordt gebruikt voor beslissingen over werkgelegenheid, kredietbeoordeling en diagnostiek in de gezondheidszorg, vereisen conformiteitsbeoordelingen, technische documentatie en menselijke toezichtsmechanismen. Verboden op AI-systemen met een onaanvaardbaar risico zijn in februari 2025 van kracht geworden.

AI duikt op in openbaarmakingsdocumenten.

De verwachtingen van investeerders veranderen naarmate deze risico's zich ontwikkelen. Toezichthouders en aandeelhouders maken duidelijk dat het oude model van aparte teams die cybersecurity, privacy en AI als afzonderlijke domeinen beheren, niet langer werkt. AI is in een opmerkelijk tempo verschoven van discussies in de directiekamer naar het onderdeel risicofactoren in jaarverslagen. 72% van de S&P 500-bedrijven nu materiële AI-risico's openbaar maken, een stijging ten opzichte van slechts 12 procent in 2023. De meest genoemde zorgen zijn reputatieschade (38 procent van de bedrijven die dit melden), gevolgen voor de cyberbeveiliging en onzekerheid over de regelgeving. Toezicht door de raad van bestuur is hierop gevolgd. Volgens ISS-CorporateIn 2024 gaf 31.6 procent van de S&P 500-bedrijven in hun volmachtverklaringen aan dat hun raad van bestuur toezicht houdt op AI. Dat is een stijging van 84 procent ten opzichte van een jaar eerder. Bedrijven die dergelijk toezicht niet opleggen, lopen het risico op aanzienlijke schade voor aandeelhouders, wat kan leiden tot negatieve stemadviezen. Vorig jaar publiceerde Glass Lewis, een adviesbureau voor aandeelhouders dat institutionele beleggers adviseert over hun stemgedrag, nieuwe richtlijnen die specifiek betrekking hebben op AI-governance. Het probleem met het afzonderlijk beheren van cybersecurity, privacy en AI is dat incidenten met betrekking tot elk van deze gebieden elkaar beïnvloeden. Een enkele inbreuk kan tegelijkertijd leiden tot openbaarmakingsverplichtingen van de SEC, meldingsplichten van de AVG, privacywetten van de staat en (als persoonlijke gegevens een AI-systeem hebben getraind) nieuwe AI-regelgeving. Het is dus tijd om deze risicogebieden te integreren, maar dit is geen eenvoudige opgave. Think Volgens de governance-vooruitblik van de National Association of Corporate Directors uit juli 2025 is AI inmiddels een routineonderwerp voor 61 procent van de besturen, maar slechts weinig besturen hebben het goed geïntegreerd in hun governance-structuren. Waarom? Culturele wrijving is een van de redenen. Beveiligings-, privacy- en AI-teams hebben van oudsher met verschillende terminologieën, risicokaders en rapportagestructuren gewerkt. Technologie-integratie voegt daar nog een extra moeilijkheidsgraad aan toe; losstaande GRC-tools leiden tot gefragmenteerde benaderingen van risicobeoordeling, auditdocumentatie en bewijsverzameling. Budgettaire beperkingen dwingen tot pijnlijke afwegingen tussen het bouwen van een geïntegreerde infrastructuur en het halen van directe compliance-deadlines.

Standaardiseringskaders bieden een weg vooruit.

Het goede nieuws: belangrijke normalisatie-instanties hadden deze convergentie voorzien. De High-Level Structure van ISO betekent dat ISO 27001 (informatiebeveiliging), ISO 27701 (privacy) en de nieuwere ISO 42001 (AI-managementsystemen) compatibele architecturen delen, waardoor organisaties uniforme managementsystemen kunnen bouwen in plaats van parallelle bureaucratieën. Praktische integratie begint doorgaans met multidisciplinaire stuurgroepen met vertegenwoordigers van privacy, cybersecurity, juridische zaken en AI. Van daaruit ontwikkelen organisaties gedeelde risicotaxonomieën en (indien het budget het toelaat) uniforme GRC-platforms die overbodige beoordelingen elimineren. Rolgrenzen vervagen al: volgens een onderzoek van IAPP en EY heeft 69 procent van de chief privacy officers verantwoordelijkheden op het gebied van AI-governance verworven. Organisaties die hun werkwijzen niet in deze richting ontwikkelen, lopen het risico op problemen met de regelgeving. Voor organisaties die dat wel doen, liggen minder frictie op het gebied van regelgeving, een lagere auditlast en een groter vertrouwen van investeerders in het verschiet. [post_title] => Waarom toezichthouders en investeerders verwachten dat bedrijven een drievoudig risico aanpakken [post_excerpt] => [post_status] => publiceren [comment_status] => gesloten [ping_status] => open [post_password] => [post_name] => waarom-toezichthouders-en-investeerders-verwachten-dat-bedrijven-een-drievoudig-risico-aanpakken [to_ping] => [gepingd] => [post_modified] => 2026-02-04 10:20:03 [post_modified_gmt] => 2026-02-04 10:20:03 [post_content_filtered] => [post_parent] => 0 [guid] => https://nl.isms.online/?p=136950 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw )