ISMS Copilot
AI-veiligheid

Technisch Overzicht AI-systeem

Overzicht

Dit artikel biedt technische transparantie over hoe de AI-systemen van ISMS Copilot zijn gebouwd, getest en worden beheerd. Deze details tonen onze toewijding aan verantwoorde AI-ontwikkeling via verifieerbare implementatiepraktijken.

Voor wie is dit bedoeld?

Dit artikel is voor:

  • Security- en compliance-teams die governance-controles voor AI evalueren

  • Auditors die de implementatie van AI-systemen toetsen aan het beleid

  • Risicomanagers die technische transparantie vereisen voor AI-systemen

  • Technische gebruikers die de AI-architectuur willen begrijpen

Dynamische Framework-kennisarchitectuur

ISMS Copilot maakt gebruik van dynamische framework-kennisinjectie om AI-antwoorden te baseren op geverifieerde compliance-kennis. Vanaf versie 2.5 (februari 2025) vervangt dit de eerdere RAG-architectuur (Retrieval-Augmented Generation) door een betrouwbaardere, token-efficiënte aanpak.

Hoe Framework-kennisinjectie werkt

Architectuurcomponenten:

  • Framework-detectielaag: Op regex gebaseerde patroonherkenning detecteert framework-vermeldingen in gebruikersvragen (ISO 27001, SOC 2, AVG/GDPR, HIPAA, CCPA, NIS 2, DORA, ISO 42001, ISO 27701)

  • Kennisinjectielaag: Laadt dynamisch alleen relevante framework-kennis in de AI-context op basis van gedetecteerde frameworks

  • Generatielaag: Large Language Models (LLM's) van enterprise AI-providers ontvangen framework-kennis voordat ze antwoorden genereren

  • Validatiemechanisme: Framework-kennis die aan de AI wordt verstrekt, zorgt ervoor dat antwoorden gebaseerd zijn op werkelijke compliance-eisen, niet op probabilistisch gokken

Dynamische framework-kennisinjectie elimineert hallucinaties door de AI te voorzien van feitelijke framework-kennis voordat deze antwoordt. Detectie vindt plaats vóór de AI-verwerking (niet op basis van AI), wat zorgt voor 100% betrouwbaarheid wanneer frameworks worden genoemd.

Waarom dynamische injectie belangrijk is voor compliance:

  • Elimineert hallucinatie: De AI ontvangt geverifieerde framework-kennis voordat hij antwoordt, wat gefabriceerde beheersingsnummers en vereisten voorkomt

  • Token-efficiëntie: Alleen relevante frameworks worden geladen (~1-2K tokens) in plaats van alle kennis (~10K tokens) bij elk verzoek mee te sturen

  • Betrouwbare detectie: Regex-patroonherkenning (niet AI-gebaseerd) zorgt ervoor dat framework-vermeldingen nooit worden gemist

  • Uitbreidbare architectuur: Nieuwe frameworks worden toegevoegd met een enkele objectdefinitie, zonder dat model-hertraining nodig is

  • Ondersteuning voor meerdere frameworks: Verwerkt queries die meerdere frameworks tegelijk noemen (bijv. \"Map ISO 27001 naar SOC 2\")

Technische Implementatie

Detectieproces:

  1. Gebruiker dient vraag in (bijv. \"Wat is ISO 27001 Annex A.5.9?\")

  2. Framework-detectie scant de vraag op patroonovereenkomsten (ISO 27001, AVG, SOC 2, enz.)

  3. Gevonden frameworks triggeren kennisinjectie

  4. Relevante framework-kennis wordt toegevoegd aan de AI-systeemprompt vóór generatie

Ondersteunde Frameworks (v2.5):

  • ISO 27001:2022 — Managementsysteem voor informatiebeveiliging

  • ISO 42001:2023 — Managementsysteem voor kunstmatige intelligentie

  • ISO 27701:2025 — Managementsysteem voor privacy-informatie

  • SOC 2 — Service Organization Control (Trust Services Criteria)

  • HIPAA — Health Insurance Portability and Accountability Act

  • AVG (GDPR) — Algemene Verordening Gegevensbescherming

  • CCPA — California Consumer Privacy Act

  • NIS 2 — Netwerk- en Informatiebeveiligingsrichtlijn

  • DORA — Digital Operational Resilience Act

Er worden voortdurend meer frameworks toegevoegd. Volgende prioriteiten zijn NIST 800-53, PCI DSS en aanvullende regionale regelgeving. Bekijk de Product Changelog voor updates.

Evolutie van RAG naar Dynamische Injectie

Vorige aanpak (vóór v2.5): RAG-architectuur

  • Semantisch zoeken haalde relevante documentatiefragmenten op

  • Kwaliteit van ophalen varieerde op basis van de formulering van de vraag

  • Alle ~10K tokens aan kennis werden bij veel verzoeken meegestuurd

  • Primair gericht op ISO 27001

Huidige aanpak (v2.5+): Dynamische Framework-injectie

  • Regex-gebaseerde detectie zorgt voor betrouwbare framework-identificatie

  • Alleen relevante frameworks geladen (token-efficiënt)

  • Ondersteunt 9 frameworks tegelijkertijd

  • Uitbreidbaar ontwerp voor snelle toevoeging van frameworks

Als u verwijzingen naar "RAG-architectuur" ziet in oudere documentatie of externe bronnen, houd er dan rekening mee dat ISMS Copilot in versie 2.5 (februari 2025) is overgestapt op dynamische framework-kennisinjectie. De nieuwe aanpak is betrouwbaarder en ondersteunt veel meer frameworks.

AI-providers & Gegevensbescherming

Wij maken gebruik van enterprise AI-providers met strikte overeenkomsten voor gegevensbescherming.

Huidige Providers

Backend AI-modellen:

  • OpenAI GPT-5.2 (standaard) — Geavanceerd redeneren en compliance-analyse

  • Anthropic Claude Opus — Backend-integratie voor genuanceerd beleid schrijven

  • xAI Grok — Alternatieve provider voor diverse use-cases

  • Mistral AI — In de EU gevestigde provider voor Modus Geavanceerde Gegevensbescherming

OpenAI GPT-5.2 is de huidige standaardprovider die alle conversaties aanstuurt. Extra AI-providers zijn geïntegreerd aan de backend; een UI voor modelselectie staat gepland voor 2026. Alle modellen hebben toegang tot dezelfde gespecialiseerde compliance-kennisbank via dynamische framework-injectie, wat zorgt voor consistente, betrouwbare begeleiding.

Zero Data Retention Overeenkomsten

Alle AI-providers werken onder Zero Data Retention (ZDR) overeenkomsten:

Uw gegevens worden NOOIT gebruikt om AI-modellen te trainen. ZDR-overeenkomsten zorgen ervoor dat uw gesprekken, geüploade documenten en workspace-inhoud vertrouwelijk blijven en niet door AI-providers worden bewaard na het verwerken van uw verzoeken.

ZDR Overeenkomstvoorwaarden:

  • Geen bewaring van gebruikersgegevens na verwerking van het verzoek

  • Geen modeltraining op klantinhoud

  • AVG-conforme gegevensoverdrachten met Standard Contractual Clauses (SCC's)

  • Handhaving van enterprise beveiligingsstandaarden

Voor gedetailleerde informatie over verwerkers en gegevensstromen, zie ons Register van Verwerkingsactiviteiten.

Ontwikkelvereisten

Elk onderdeel van het AI-systeem is ontwikkeld op basis van gedocumenteerde vereisten die verwacht gedrag, veiligheidsbeperkingen en prestatiedrempels definiëren.

Functionele Vereisten

Definitie van scope:

  • AI biedt ondersteuning bij compliance, geen juridisch advies

  • Taakgrenzen: beleidsgeneratie, gap-analyse, auditvoorbereiding, documentbeoordeling

  • Handhaving van beperkingen: geen internettoegang, geen uitvoering van code, geen verwerking van persoonsgegevens buiten het platformgebruik

Prestatievereisten

Kwaliteitsdoelen:

  • Nauwkeurigheid van antwoorden gebaseerd op opgehaalde bronnen met citaten

  • Contextvenster dat voldoende is voor compliance-analyse van meerdere documenten

  • Responstijd geoptimaliseerd voor interactief gebruik (doel: minder dan 10 seconden)

  • Rate limits gedefinieerd per gebruikerstier om systeemstabiliteit te waarborgen

Veiligheidsvereisten

Hallucinatie-mitigatie:

  • Bronverankering: antwoorden moeten verwijzen naar opgehaalde documentatie

  • Validatie van ophalen: antwoorden gecontroleerd tegen broninhoud

  • Betrouwbaarheidsscore: onzekerheid erkend wanneer bronnen dubbelzinnig zijn

  • Disclaimers voor gebruikersverificatie: alle outputs vereisen menselijke beoordeling

Inhoudsfiltering:

  • Detectie en blokkering van ongepaste inhoud

  • Scope-grenzen: de AI weigert verzoeken buiten de scope (bijv. niet-gerelateerde onderwerpen, medisch/juridisch advies)

  • Bescherming tegen jailbreaking en prompt-injectie

Zie Overzicht AI-veiligheid & Verantwoord Gebruik voor gedetailleerde veiligheidswaarborgen.

Vereisten voor Gegevensverwerking

Privacy by Design:

  • Geen gebruikersgegevens voor modeltraining (ZDR-overeenkomsten gehandhaafd)

  • Dataminimalisatie: alleen noodzakelijke gegevens verwerkt voor ophalen en generatie

  • Tijdelijke verwerking: geen langetermijnopslag van prompts/antwoorden buiten de sessielogboeken van de gebruiker

  • Bewaarcontroles: door gebruiker configureerbare bewaartermijnen (1 dag tot 7 jaar, of voor altijd)

  • Overdrachtscontroles: AVG-conforme gegevensoverdrachten met SCC's

Voor uitgebreide praktijken rond gegevensverwerking, zie ons Privacybeleid.

Verificatie- & Validatietesten

AI-systemen ondergaan rigoureuze tests vóór implementatie. Geen enkel systeem gaat live zonder te voldoen aan op vereisten gebaseerde validatie.

Regressietesten

Geautomatiseerde tests worden uitgevoerd bij elke codewijziging om te garanderen dat bestaande functionaliteit intact blijft.

Testdekking:

  • Nauwkeurigheid van ophalen: Precisie en herinnering (recall) tegen 'ground truth' datasets

  • Verankering van antwoorden: Verificatie dat outputs de opgehaalde bronnen citeren

  • Hallucinatie-detectie: Vergelijking met bekende onjuiste antwoorden

  • Prestatiebenchmarks: Validatie van responstijd en contextverwerking

Beveiligingstesten

AI-systemen ondergaan dezelfde beveiligingsvalidatie als alle platformcomponenten.

Testpijplijn:

  • SAST (Static Application Security Testing): Scannen op kwetsbaarheden op codeniveau met Semgrep-integratie

  • DAST (Dynamic Application Security Testing): Validatie van beveiliging tijdens runtime

  • Penetratietesten: Jaarlijkse beveiligingsbeoordelingen door derden

  • Prompt-injectietesten: Validatie tegen kwaadaardige inputs die proberen veiligheidsbeperkingen te omzeilen

Onze veilige ontwikkelingscyclus zorgt ervoor dat AI-systemen aan dezelfde beveiligingsstandaarden voldoen als alle andere platformcomponenten. Zie onze Beveiligingsbeleidsregels voor gedetailleerde testpraktijken.

Gebruikersacceptatietesten

Validatie van praktijkscenario's met compliance-professionals zorgt ervoor dat:

  • Outputs voldoen aan professionele kwaliteitsnormen

  • Antwoorden passend zijn voor compliance-use-cases

  • Beperkingen duidelijk worden gecommuniceerd

  • Feedbackmechanismen toegankelijk en effectief zijn

Checklist voor Validatie bij Implementatie

AI-systemen worden pas geïmplementeerd nadat ze aan de gedocumenteerde vereisten voldoen:

Implementatie vereist 100% succes bij regressietests, afgeronde beveiligingsscans (geen kritieke/hoge kwetsbaarheden), behaalde prestatiebenchmarks, bijgewerkte gebruikersdocumentatie inclusief beperkingen, en geconfigureerde monitoring/alerting voor het bijhouden van hallucinatiepercentages.

Implementaties die de validatie niet doorstaan, worden teruggedraaid totdat aan de vereisten is voldaan.

Monitoring & Continue Verbetering

Na implementatie monitoren we het gedrag van het AI-systeem om degradatie, opkomende problemen of misbruik te detecteren.

Monitoring-metrieken

Wat we bijhouden:

  • Hallucinatiepercentage: Bijgehouden via gebruikersrapporten en geautomatiseerde detectie

  • Nauwkeurigheid van antwoorden: Steekproefsgewijze validatie tegen 'ground truth' compliance-standaarden

  • Gebruikspatronen: Detectie van gebruik buiten de scope of ongepast gebruik

  • Prestatiemetrieken: Responstijd, precisie bij ophalen, foutpercentages

  • Gebruikersfeedback: Meldingen van nadelige gevolgen, supporttickets, functieaanvragen

Continue Verbeteringscyclus

Monitoringgegevens vormen de basis voor iteratieve verbeteringen:

Feedbackloops:

  • Gebruikersfeedback en rapporten van nadelige impact → modelupdates en verfijning van ophalen

  • Resultaten van beveiligingstesten → veiligheidsverbeteringen en controle-updates

  • Wijzigingen in regelgeving en best practices → updates aan documentatie en frameworks

  • Prestatiemonitoring → verbeteringen in nauwkeurigheid en optimalisatie van antwoorden

Incidentrespons

Wij informeren gebruikers over AI-gerelateerde incidenten om transparantie en vertrouwen te behouden.

Notificatiekanalen:

  • E-mailwaarschuwingen voor kritieke incidenten die de AI-functionaliteit beïnvloeden

  • Slack-meldingen voor geabonneerde teams

  • Statuspagina updates met tijdlijnen van incidenten en oplossingen

  • NIS2-conforme vroegtijdige waarschuwingen (24-uurs rapportage voor significante cybersecurity-incidenten)

Abonneer u op onze statuspagina om realtime meldingen te ontvangen over incidenten, onderhoud en updates van het AI-systeem.

Bekende Beperkingen

AI-systemen hebben inherente beperkingen die gebruikers moeten begrijpen om ze verantwoord te gebruiken.

Technische Beperkingen

AI-outputs kunnen onnauwkeurigheden (hallucinaties) bevatten, zelfs met RAG-verankering. Gebruikers moeten alle outputs verifiëren tegen officiële normen en regelgeving.

Huidige beperkingen:

  • Probabilistische aard: AI genereert antwoorden op basis van statistische patronen, niet op basis van deterministische logica

  • Geen internettoegang: De AI kan geen realtime informatie ophalen of externe websites bezoeken

  • Geen code-uitvoering: De AI kan geen berekeningen uitvoeren, scripts draaien of technische implementaties valideren

  • Kennis-cutoff: De kennis van het AI-model is beperkt tot de afsluitdatum van de trainingsgegevens (verschilt per provider)

  • Contextlimieten: Het maximale contextvenster beperkt de hoeveelheid informatie die in een enkel verzoek kan worden verwerkt

  • Domeingrenzen: De AI is getraind voor compliance/beveiliging; prestaties in andere domeinen worden niet gegarandeerd

Voor gedetailleerde beperkingen en workarounds, zie onze pagina Bekende Problemen.

Verantwoordelijkheid voor Gebruikersverificatie

ISMS Copilot is ontworpen om te ondersteunen, niet om het professionele oordeel te vervangen:

  • Vergelijk AI-suggesties met officiële normen

  • Valideer kritieke informatie voordat u deze aan auditors voorlegt

  • Gebruik de AI als de assistent van een consultant, niet als vervanging voor expertise

  • Gebruik uw professionele oordeel bij het toepassen van AI-aanbevelingen

Zie Hoe u ISMS Copilot verantwoord gebruikt voor best practices bij verificatie.

Rapportage & Feedback

Gebruikersfeedback is essentieel voor de verbetering van het AI-systeem. Wij bieden verschillende mechanismen voor het melden van problemen, onjuistheden of onverwacht gedrag.

Hoe problemen te melden

Nadelige gevolgen of hallucinaties:

  1. Ga naar het gebruikersmenu (rechtsboven) > Help Center > Contact Support

  2. Voeg de prompt, het antwoord en screenshots toe aan uw melding

  3. Verwacht een reactie binnen 48 uur

In-Platform rapportage:

  • Gebruik de knop "Probleem melden" die overal in het platform beschikbaar is om specifieke AI-antwoorden te markeren

Wat er gebeurt nadat u een melding heeft gedaan

  1. Onmiddellijke beoordeling (binnen 48 uur): Supportteam beoordeelt de ernst en impact

  2. Onderzoek: Technisch team analyseert het probleem, reproduceert de fout en identificeert de bronoorzaak

  3. Reactie: U ontvangt een update over de bevindingen en geplande acties

  4. Herstel: Problemen worden aangepakt via modelupdates, verfijning van ophalen, codefixes of verbeteringen in de documentatie

  5. Continue verbetering: Geleerde lessen worden geïntegreerd in test- en monitoringprocessen

Problemen met een hoge ernst (veiligheidsrisico's, datalekken, kritieke hallucinaties) worden onmiddellijk geëscaleerd voor dringend herstel.

Zie Overzicht AI-veiligheid & Verantwoord Gebruik voor gedetailleerde instructies over rapportage.

Documentatie-updates

Technische specificaties worden bijgewerkt wanneer:

  • AI-providers wijzigen (nieuwe modellen, verouderde API's)

  • Architectuur evolueert (nieuwe componenten, validatiemethoden)

  • Vereisten worden herzien (nieuwe veiligheidsbeperkingen, prestatiedoelen)

  • Testpraktijken worden uitgebreid (nieuwe validatietechnieken, beveiligingstools)

Updates worden gecommuniceerd via release-opmerkingen en deze documentatiepagina. Abonneer u op onze statuspagina voor meldingen van wijzigingen.

Wat nu?

Hulp Krijgen

Voor technische vragen over productspecificaties van het AI-systeem of om extra documentatie aan te vragen:

  • Neem contact op met support via het Help Center-menu

  • Meld veiligheidszorgen onmiddellijk voor onderzoek

  • Bezoek het Trust Center voor gedetailleerde informatie over AI-governance

  • Controleer de Statuspagina voor bekende problemen

Was dit nuttig?