Beveiliging en privacy

Beschermingslagen

Anthropic noemt drie lagen: code-executie-isolatie (code en shell-commando's draaien in een geïsoleerde Linux-VM, gescheiden van het host-OS), gecontroleerde bestands- en netwerktoegang (alleen verbonden mappen; egress volgt jouw instellingen), en deletion protection (Claude vraagt expliciete toestemming voor permanent verwijderen).

Er zijn twee permissiemodi: "Ask before acting" en "Act without asking" (sneller, maar risicovoller).

Architectuur

Cowork gebruikt twee uitvoeringsomgevingen op elk apparaat. De agent loop draait native op het apparaat (conversatie, bestandslezen/-schrijven in verbonden mappen, web fetches, lokale plugin-MCP-servers). Code-executie draait in een geïsoleerde VM, gescheiden van het host-OS door de hypervisor: Apple Virtualization.framework op macOS, Hyper-V op Windows. Op Windows beheert een service genaamd CoworkVMService de VM en wordt Cowork via een MSIX-pakket gedistribueerd. Valt de VM uit, dan blijven bestands- en web-tools werken; shell-commando's en code-executie melden "workspace unavailable" tot de VM herstelt.

Risico's

Anthropic benoemt expliciet de risico's van agentisch gedrag en internettoegang, vooral prompt injection: kwaadaardige instructies verborgen in externe content. Aanbevelingen: geef geen toegang tot gevoelige bestanden, gebruik een aparte werkmap, monitor taken, wees voorzichtig met scheduled tasks en "Act without asking", en gebruik alleen vertrouwde MCP's en plugins.

Computer use is extra risicovol: er zit "no sandbox between Claude and what's on your screen". Gevoelige apps (banking, healthcare, investment/crypto) zijn standaard geblokkeerd of moeten geblokkeerd worden.

Data en model-training

• Consumer (Free/Pro/Max): standaard 30 dagen retentie. Zet je "Help improve Claude" aan, dan is training toegestaan en loopt retentie op tot 5 jaar (de-geïdentificeerd). Aanpasbaar in Privacy Settings.
• Commercial (Team/Enterprise/API/Claude for Work): standaard géén training op je data.
• Cowork-specifiek: taken kunnen op elk moment verwijderd worden en zijn binnen 30 dagen uit de backend. Conversatiegeschiedenis en projectdata (taken/geheugen) worden lokaal op de computer opgeslagen, niet onderhevig aan het standaard retentiebeleid en niet centraal beheerbaar of exporteerbaar door admins.

Belangrijk voor compliance

Cowork-activiteit wordt op dit moment niet vastgelegd in de Compliance API, audit logs of data exports. Monitoring kan via OpenTelemetry (Team/Enterprise) naar SIEM- en observability-tools. De VM is geïsoleerd van host-based security tools, dus EDR-zichtbaarheid ontbreekt by design.

Advies voor zakelijk gebruik

Consumer-accounts (Pro/Max) zijn niet geschikt voor vertrouwelijke bedrijfsdata zonder DPA. Adviseer voor bedrijven Team of Enterprise, en wees je bewust van het ontbreken van audit logs/Compliance API voor Cowork en van de prompt-injection-risico's. Zodra Anthropic Cowork-activiteit wél in de Compliance API en audit logs opneemt, kan dit advies voor gereguleerde sectoren versoepelen.

Admin-controls (Team/Enterprise)

Cowork staat standaard aan; owners kunnen het org-breed uitschakelen (Organization settings > Capabilities). Granulaire controle per gebruiker of rol bestaat niet op Team; op Enterprise wel via groups en custom roles (RBAC). Plugin-marktplaatsen zijn instelbaar (installed by default / available / required / not available). Web search kan org-breed uit. Device-level MDM-controls bestaan om lokale MCP-servers (`isLocalDevMcpEnabled`) en desktop-extensies (`isDesktopExtensionEnabled`) uit te schakelen.