Waarom Zero Trust niet genoeg is en wat dan wel

Met Remco van Santen, TISO en Teamlead bij Innvolve.

Zero Trust is al heel lang het dominante uitgangspunt voor informatiebeveiliging. “Never trust, always verify” is het motto van iedereen die met informatiebeveiliging bezig is. Dat model werkte goed in een wereld waarin mensen de doelgroep zijn en devices worden beheerd (of niet). Dit is een wereld waarin data statisch is en er een duidelijk overzicht is welke applicaties er worden gebruikt.

Die wereld bestaat niet meer. Op de werkplek in 2026 is identiteit vloeibaar, data beweegt continu en AI-agents voeren zelfstandig acties uit. We zijn aangekomen in een nieuw tijdperk en die heet Continuous Trust.

Wat Zero Trust goed doet

Met Conditional Access, MFA en compliance op devices kan je toegang contextafhankelijk inrichten. Cloudplatformen zoals M365 van Microsoft hebben Zero Trust schaalbaar, beheersbaar en breed toegankelijk gemaakt.

Zero Trust lost een aantal belangrijke aspecten op:

1. Het einde van de netwerkperimeter
2. De opkomst van cloud identity
3. Onbetrouwbare endpoints

Zero Trust gaat ervan uit dat vertrouwen een momentopname is en is daarom gebouwd rond één centrale vraag: ‘Mag deze identiteit, vanaf dit device, op dit moment, bij deze resource?’

Moderne incidenten ontstaan echter zelden door het omzeilen van die controle. Aanvallers loggen gewoon in volgens het gewenste protocol. MFA wordt niet omzeild, maar misbruikt en policies worden niet overtreden maar perfect gevolgd. Het problem is dat Zero trust alleen “ja” of “nee” zegt bij de voordeur, terwijl de echte schade daarachter plaatsvindt. Zie het als een uitgaansgelegenheid waarbij de echte problemen niet aan de deur bij de beveiliging plaatsvinden, maar op de dansvloer of aan de bar.

Voorbeelden van gevoelige incidenten:

• Een AI-flow of legitieme gebruiker combineert datasets die samen een risico vormen
• Een gecompromitteerde account past automatisering toe om langzaam informatie weg te sluizen

De instinctieve reactie is vaak; “Dan hebben we meer policies nodig.” Maar meer regels betekent in de praktijk dat je verdrinkt in de configuraties. Dit is het punt waarop Zero Trust zijn plafond heeft bereikt en waar Continuous Trust de nieuwe werkelijkheid is.

De overgang naar Continuous Trust

Continuous Trust is geen vervanging van Zero Trust, maar een evolutie. Het gaat niet over de voorwaarden maar over gedrag. Vertrouwen is geen beslissing vooraf, maar een voortdurende beoordeling tijdens iedere data-interactie.

Continuous trust gaat uit van 5 pijlers:

• Gedrag gaat boven identiteit
• Context is dynamisch
• Data is het primaire beveiligingsobject
• AI controleren we als gebruiker
• Vertrouwen is meetbaar, niet binair

In plaats van security die vooral bestaat uit blokkeren en beperken, draait het steeds meer om observeren en begrijpen wat er daadwerkelijk gebeurt in de omgeving. Niet langer wachten tot een incident zichtbaar wordt, maar al ingrijpen wanneer gedrag afwijkt van het normale patroon. Tegelijk verandert compliance van een statisch momentopname naar een vorm van levende governance, waarbij beleid en maatregelen continu worden bijgestuurd op basis van wat er in de praktijk gebeurt.

In 2026 is het grootste risico dus “ongecontroleerd toegestaan gedrag”. Ai is hier de grootste aanjager, daarom is het belangrijk dat je AI niet als functionaliteit gaat zien maar als Actor. In Continuous Trust is AI een identiteit en een audit-object. Zonder dat perspectief wordt AI de grootste blinde vlek in je security.

Hoe werkt Continuous Trust vs Zero Trust?

Ik geef je een voorbeeld die in iedere organisatie in de praktijk kan voorkomen.

Een medewerker gebruikt Copilot om een overzicht te maken van alle lopende klantcontracten. Copilot haalt informatie op uit meerdere SharePoint-sites, waaronder een HR-site en een vertrouwelijke juridische bibliotheek.

Wat doet Zero Trust:

• Gebruiker is geauthentiseerd
• Heeft toegang tot de afzonderlijke sites
• Actie wordt toegestaan

Wat doet Continuous Trust:

• Herkent dat datasets worden gecombineerd die normaal niet samen worden gebruikt
• Ziet dat de output een nieuwe, gevoelige dataset vormt
• Verlaagt tijdelijk het level of trust

Actie na Continuous Trust:

• Copilot-output wordt beperkt (geen export, geen download)
• Extra bevestiging vereist
• Actie wordt gelogd als verhoogd risico

Vergis je niet. Continuous Trust is geen product dat je “aanzet”, maar een manier van denken die bepaalt hoe je Microsoft 365 inricht, beheert en beveiligd.

Bij Microsoft heet dit Continuous Access Evaluation (CAE). Microsoft Entra ID kan toegangstokens vrijwel in real-time (meestal binnen 15 minuten of minder) intrekken als er kritieke beveiligingsgebeurtenissen plaatsvinden. Deze actie omvat het verwijderen van gebruikersaccounts, wachtwoordwijzigingen of het detecteren van risicovol gebruikersgedrag.

Beveiligingsbeleid wordt zo afgedwongen op basis van real-time signalen, zoals de locatie van de gebruiker (IP-adres), de status van het apparaat en risico’s bij het inloggen. Het systeem gaat ervan uit dat risico’s overal kunnen voorkomen, waardoor elke toegangsaanvraag voortdurend expliciet moet worden geverifieerd, zelfs binnen het bedrijfsnetwerk.

Hoe richt je M365 in voor Continuous Trust

Identiteit en device vormen nog steeds het fundament, via Entra ID, MFA, PIM en signalen vanuit Intune en Defender, maar zij leveren slechts de eerste context.

Het echte gedrag vindt plaats in de Microsoft 365-workloads zoals Teams, SharePoint, OneDrive, de Power Platform en Copilot, waar gebruikers, automatisering en AI samenwerken en data actief wordt gebruikt en gecombineerd. Tijdens deze interacties worden adaptieve maatregelen toegepast, zoals sessiebeperkingen, tijdelijke read-only toegang of extra verificatie, afhankelijk van het risico en de context. Tegelijk wordt de gevoeligheid en impact van de data bewaakt via Microsoft Purview, waarbij labels, DLP en inzicht in datarelaties bepalen hoe kritisch een handeling is.

Al deze signalen komen samen in de observatie- en respons laag met Defender XDR en Sentinel, waar gedrag wordt geanalyseerd en waar automatisch kan worden bijgestuurd. Zo ontstaat een dynamisch beveiligingsmodel waarin vertrouwen continu meebeweegt met gedrag, context en data, in plaats van te vertrouwen op statische toegangsregels.

Conclusie

Zero trust is niet dood, het is alleen niet meer voldoende. Het is statisch, terwijl we in een dynamische wereld leven waar verandering de enige constante is. Concreet betekent deze verschuiving dat security anders wordt benaderd. De focus verschuift van wie iets doet, naar waarom iemand iets doet en hoe dat gedrag tot stand komt.

Wil je meer weten over dit onderwerp of concreet aan de slag? Neem dan contact op met Innvolve. Wij denken graag met je mee.

Over de auteur

Remco van Santen is Technical Information Security Officer in het security-team van Innvolve. Voor klanten én intern werkt hij aan cybersecurity-oplossingen om moderne cyberaanvallen geen enkele kans te geven.