Spanningsveld tussen technologie en mens verhoogt risico’s voor digitale identiteiten in 2026

Het afgelopen jaar liet zien dat technologische innovatie en menselijke factoren samen bepalend zijn voor de beveiliging van digitale identiteiten. Zo werden bij Clinical Diagnostics Nederland medische en persoonlijke gegevens van honderdduizenden deelnemers aan het bevolkingsonderzoek naar baarmoederhalskanker buitgemaakt, en ontdekte Air France/KLM in 2025 ongebruikelijke activiteit op een extern klantenserviceplatform, wat leidde tot onrechtmatige toegang tot klantgegevens. Deze incidenten tonen hoe menselijke fouten en technologische kwetsbaarheden grote gevolgen kunnen hebben.

Het Cybersecuritybeeld Nederland 2025 bevestigt deze trend. Het rapport benadrukt de groeiende afhankelijkheid van digitale infrastructuren en identiteiten en het risico wanneer organisaties onvoldoende voorbereid zijn. Ook de Autoriteit Persoonsgegevens ziet dat het aantal datalekken hoog blijft. De toenemende complexiteit van systemen, autonome AI-agents, cloudomgevingen en externe partners zet traditionele beveiliging onder druk. Daardoor is identiteitsbeveiliging uitgegroeid tot een kernonderdeel van operationele veerkracht en bedrijfscontinuïteit.

Deze ontwikkelingen vormen de basis voor de vijf belangrijkste trends van CyberArk in 2026.

De vijf identity security voorspellingen voor 2026

1. Verlaging van kapitaalkosten vergroot risico’s in de supply chain
In 2026 zullen banken hun kapitaalkosten verder willen verlagen en daarom vaker samenwerken met fintechs en digitale betalingsinnovaties. Dit groeiende, onderling verbonden ecosysteem creëert echter nieuwe kwetsbaarheden. Elke extra dienst wordt een potentieel toegangspunt voor cybercriminelen, met risico’s zoals identiteitsdiefstal, synthetische fraude en verstoring van betaalsystemen. De drang naar lagere kosten en groter bereik gaat sneller dan het vermogen om elke schakel te beveiligen, waardoor het financiële systeem in 2026 gevoeliger wordt voor geavanceerde cyberdreigingen.

2. Regulering en API complexiteit verhogen risico van API weaponization
De invoering van PSD3 zal in 2026 leiden tot meer en complexere API-koppelingen tussen banken, fintechs en derde partijen. Hoewel de regelgeving is bedoeld om veiligheid en transparantie te vergroten, creëert elke extra API een nieuw potentieel toegangspunt voor aanvallers, met risico’s zoals datalekken, synthetische fraude en verstoringen van betaalsystemen.

Omdat financiële diensten sterk met elkaar verbonden zijn, kan één kwetsbaarheid het hele ecosysteem raken. Het tempo van door regelgeving gedreven veranderingen ligt bovendien hoger dan het vermogen van organisaties om elke schakel goed te beveiligen. Zo kan regelgeving die bedoeld is om consumenten te beschermen onbedoeld nieuwe aanvalsvectoren openen en leiden tot systemische verstoring, verlies van vertrouwen en aanzienlijke schade in de sector. De regelgeving die het systeem zou moeten beschermen, kan zo een bron van kwetsbaarheid worden.

3. Kortere certificaatlevenscycli veroorzaken een continu whack a mole scenario
De verkorting van TLS-certificaten zal in 2026 leiden tot een golf van storingen. Hoewel Google, Microsoft en Apple dit doen om de beveiliging te verbeteren, moeten securityteams voortdurend brandjes blussen door handmatig certificaatbeheer. Vanaf maart 2026, wanneer certificaten slechts 200 dagen geldig zijn, kunnen verlopen of verkeerd beheerde certificaten kritieke systemen offline halen.

Een digitaal certificaat is de identiteit van een machine. Als het verloopt, kunnen machines niet meer communiceren, waardoor systemen van bagageafhandeling tot geldautomaten stilvallen. Het probleem is wereldwijd en raakt vooral organisaties die nog afhankelijk zijn van handmatige monitoring. Het is dan ook geen kwestie van ‘of’ maar van ‘wanneer’ dit grote gevolgen zal hebben in 2026 en daarna.

4. Innovatiedruk vs. veilige processen
De onvoorspelbare aard van AI-agents, de groei van machine-identiteiten en vervagende verantwoordelijkheden creëren in 2026 grote uitdagingen voor organisaties. De druk om snel te innoveren botst met de noodzaak van veilige processen. Autonome AI-agents met eigen rechten maken identiteit- en privilegebeheer complexer, terwijl beslissingen met minimale menselijke supervisie verantwoordelijkheden laten vervagen en het risico op incidenten vergroten. Cybercriminelen kunnen bovendien AI-systemen misleiden met kwaadaardige prompts, waardoor traditionele controles worden omzeild. De snelle inzet van AI loopt daarmee vaak vooruit op de beveiliging.

In 2026 moeten organisaties daarom niet alleen technologisch, maar ook in governance en risicomanagement vernieuwen. Succes hangt af van het vermogen om de risico’s van snelle AI-ontwikkeling te voorzien en te beheersen, zodat productiviteit en innovatie veiligheid en vertrouwen niet ondermijnen.

5. Mentale overbelasting en beveiligingsmoeheid nemen toe
Door de overvloed aan security meldingen, multi-factor-authenticatie en constante dreigingswaarschuwingen ervaren medewerkers een ongekende mentale overbelasting. In 2026 zal ‘beslissingsmoeheid’ een reëel en meetbaar risico worden omdat gebruikers kritieke waarschuwingen negeren of uitschakelen, waardoor phishing- en social engineering-aanvallen succesvoller zijn.

Organisaties zullen moeten investeren in gedragsanalyse en gebruikerservaring om securityinteracties te vereenvoudigen, onnodige meldingen te verminderen en de aandacht te richten op de meest cruciale acties. De meest effectieve securityprogramma’s minimaliseren frictie voor de gebruiker en automatiseren routinematige beslissingen, waardoor menselijke aandacht beschikbaar blijft voor echt risicovolle situaties.

Mark-Peter Mansveld, Country Manager Nederland bij CyberArk zegt: “In 2026 zal het spanningsveld tussen technologische innovatie en menselijke factoren bepalend zijn voor de veiligheid van digitale identiteiten. Menselijke fouten en beslissingsmoeheid, gecombineerd met nieuwe AI- en machine-identiteiten, zullen de risico’s sterk vergroten. Organisaties moeten daarom niet alleen hun technologie verbeteren, maar ook governance en gebruikerservaring aanscherpen om datalekken, phishing en misbruik van digitale identiteiten te voorkomen.”