ISMS Copilot
AI-veiligheid

Hoe ISMS Copilot ISO 42001 implementeert

ISMS Copilot is gebouwd op uitgebreide ISO 42001:2023 nalevingspraktijken, waarbij we dezelfde AI-beheersysteemstandaarden hanteren die we onze klanten helpen te bereiken. Dit artikel biedt transparantie over hoe wij AI-governance, risicobeheer en levenscycluscontroles implementeren in ons eigen platform.

Onze ISO 42001-implementatie is gedocumenteerd in onze interne GRC (Governance, Risk & Compliance) repository met ontwerpdocumenten, effectbeoordelingen, testplannen en audit-checklists—dezelfde artefacten die we onze klanten aanbevelen.

Voor wie is dit bedoeld

Dit artikel is voor:

  • Compliance-professionals die de volwassenheid van de AI-governance van ISMS Copilot evalueren

  • Risicomanagers die de controles van het AI-beheersysteem beoordelen

  • Auditors die bewijs van conformiteit met ISO 42001 verifiëren

  • Organisaties die op zoek zijn naar leveranciers met gedocumenteerde AI-governance

AI-systeemclassificatie

We hebben een uitgebreide AI Impact Assessment (AIIA) uitgevoerd voor ISMS Copilot 2.0:

Risicoclassificatie:

  • Totale score: 1.9 (Laag risico op een schaal van 1-5)

  • EU AI Act Classificatie: Beperkt risico

  • Use Case: Compliance-ondersteuning en beleidsgeneratie (geen geautomatiseerde besluitvorming met gevolgen voor wettelijke rechten)

Wat dit betekent:

  • ISMS Copilot is niet geclassificeerd als "hoog risico" onder de definities van de EU AI Act

  • Geen kritieke impact op veiligheid, wettelijke rechten of infrastructuur

  • Transparantieverplichtingen zijn van toepassing (bekendmaking van AI-gebruik, nadruk op menselijk toezicht)

  • Standaard controles voor gegevensbescherming en beveiliging zijn toereikend

Onze classificatie als laag risico weerspiegelt onze ontwerpfilosofie: AI ondersteunt compliance-professionals, maar vervangt ze nooit. Alle outputs vereisen menselijke beoordeling en professioneel oordeel.

Documentatie AI-systeemontwerp

Ons AI System Design Document (AI-SDD-001) dient als de primaire technische referentie en als bewijsmateriaal voor ISO 42001:2023. Het documenteert:

Architectuurcomponenten:

  • Dynamisch systeem voor het injecteren van framework-kennis (v2.5+)

  • Multi-provider AI-integratie (OpenAI, Anthropic, Mistral, xAI)

  • Infrastructuur-stack (Vercel Edge, Fly.io, Supabase)

  • Datastromen en isolatiegrenzen

ISO 42001-toewijzing:

Elke ontwerpbeslissing is gekoppeld aan specifieke ISO 42001-controles. Bijvoorbeeld:

  • A.4 (Middelen): Infrastructuur gehost in de EU (Frankfurt), AVG-conforme verwerkers

  • A.5 (Impactbeoordeling): Gedocumenteerde AIIA met analyse van bias, privacy, beveiliging en maatschappelijke impact

  • A.6 (Verantwoorde ontwikkeling): Veilige ontwikkelingscyclus, regressietesten, SAST/DAST-scanning

  • A.7 (Gegevensbeheer): Overeenkomsten voor nul-gegevensretentie, werkruimte-isolatie, door de gebruiker gecontroleerde retentie

  • A.8 (Gebruikersinteractie): Transparantieberichten, human-in-the-loop ontwerp, disclaimers voor verificatie

  • A.9 (Verantwoord gebruik): Doelbinding, preventie van jailbreak, kaders voor inhoudelijke reikwijdte

Zie ons AI System Technical Overview voor gedetailleerde transparantie over de architectuur.

AI-risicobeheer

We houden een gestructureerd AI-risicoregister bij dat voldoet aan de eisen van ISO 42001 clausule 6.1:

Geïdentificeerde belangrijkste risico's:

  • Hallucinaties (R-AI-001): AI genereert feitelijk onjuiste compliance-begeleiding

  • Bias (R-AI-002): Ongelijke kwaliteit van antwoorden tussen frameworks of regio's

  • Privacy-lekken (R-AI-003): Onbedoelde openbaarmaking van trainingsgegevens of gebruikersinhoud

  • Modeldrift (R-AI-004): Verslechtering van prestaties in de loop van de tijd

  • Adversarial Attacks (R-AI-005): Jailbreaks, prompt injection, pogingen om veiligheidsmaatregelen te omzeilen

Beheersingsmaatregelen (Mitigatie):

  • Hallucinaties: Dynamische injectie van framework-kennis (detectie op basis van regex, geverifieerde kennis verstrekt aan AI vóór generatie van antwoord)

  • Bias: Regionale gelijkwaardigheidstesten (drempelwaarde voor diepte ±20%), uitbreiding van dekking voor meerdere frameworks

  • Privacy: Zero Data Retention (ZDR) overeenkomsten met alle AI-providers, werkruimte-isolatie, versleuteling in rust

  • Drift: Continue prestatiebewaking (P95-latentie, gebruikerstevredenheidsscores), geautomatiseerde regressietesten

  • Adversarial: Bescherming tegen prompt-injectie, preventie van jailbreaks, handhaving van de inhoudelijke reikwijdte

Ons risicoregister wordt elk kwartaal herzien en bijgewerkt wanneer nieuwe AI-mogelijkheden worden uitgerold. Alle risico's zijn gekoppeld aan ISO 42001 Annex A-controles.

Bias-testen & Rechtvaardigheid

Ons testplan voor AI-bias en rechtvaardigheid voldoet aan de eisen van ISO 42001 A.5 (Impactbeoordeling):

Testmethodiek:

  • Regionale gelijkwaardigheid: Kwaliteit van antwoorden gemeten over geografische contexten heen (EU, VS, Azië-Pacific)

  • Framework-gelijkwaardigheid: Nauwkeurigheid gevalideerd over alle 9 ondersteunde frameworks (ISO 27001, AVG, SOC 2, etc.)

  • Dieptedrempel: Geen enkele regio/framework ontvangt

  • Transparantie: Beperkingen van het model worden vermeld in de documentatie voor de gebruiker

Huidige resultaten:

  • Alle frameworks voldoen aan de gelijkwaardigheidsdrempels (steekproefsgewijze testen uitgevoerd)

  • Geen systematische bias gedetecteerd in de gegenereerde compliance-begeleiding

  • Continue monitoring geïntegreerd in regressietesten

Prestatiebewaking

Ons AI Model Performance Monitoring Plan garandeert continue naleving van ISO 42001 clausule 9 (Evaluatie van prestaties):

Gemonitorde statistieken:

  • Responstijd: Doelstelling voor P95-latentie

  • Nauwkeurigheid: Validatie van de basis op basis van de injectie van framework-kennis

  • Gebruikerstevredenheid: Doelstelling >80% tevredenheid (gemeten via feedback)

  • Hallucinatie-ratio: Bijgehouden via gebruikersmeldingen en geautomatiseerde detectie

  • Foutpercentages: API-fouten, retrieval-fouten, timeout-incidenten

Monitoring-infrastructuur:

  • Real-time prestatiedashboards (alleen intern)

  • Geautomatiseerde waarschuwingen bij overschrijding van drempelwaarden

  • Wekelijkse prestatiebeoordelingen

  • Kwartaalanalyse van trends en rapportage

Zie onze Statuspagina voor real-time beschikbaarheid van het AI-systeem en incidentrapportage.

AI-levenscyclusbeheer

Wij passen gestructureerde controles toe gedurende de gehele levenscyclus van het AI-systeem:

Ontwerp & Ontwikkeling (ISO 42001 A.6)

  • Definitie van vereisten: Functionele, prestatie-, veiligheids- en gegevensverwerkingsvereisten gedocumenteerd voor elke AI-functie

  • Security by Design: SAST/DAST-scanning, testen op prompt-injectie, adversarial-testen

  • Regressietesten: 100% test-pass vereist vóór implementatie

  • Code Review: Alle wijzigingen aan het AI-systeem worden beoordeeld door senior engineers

Implementatie (ISO 42001 A.8)

  • Validatie vóór implementatie: Checklist met geslaagde testen, goedgekeurde beveiliging, bijgewerkte documentatie en geconfigureerde monitoring

  • Rollback-plannen: Onmiddellijke rollback-mogelijkheid voor mislukte implementaties

  • Communicatie naar gebruikers: Release notes, updates in de changelog, aankondigingen van functies

Bedrijfsvoering & Monitoring (ISO 42001 A.7)

  • Continue monitoring: Prestaties, nauwkeurigheid en foutpercentages worden real-time gevolgd

  • Incidentrespons: 24-uurs rapportage voor significante incidenten (afgestemd op NIS2)

  • Feedbackloops van gebruikers: Supporttickets, functieaanvragen en meldingen van nadelige effecten worden regelmatig beoordeeld

Buitengebruikstelling (ISO 42001 clausule 8)

  • Processen voor gegevensverwijdering afgestemd op de retentie-instellingen van de gebruiker

  • Communicatie naar gebruikers voorafgaand aan het beëindigen van een functie

  • Kennisbehoud voor toekomstige systeemverbeteringen

Intern auditproces

Wij hanteren een Interne Audit Checklist voor het AI-beheersysteem die alle ISO 42001-clausules en Annex A-controles dekt:

Scope van de audit:

  • Naleving van clausule 4-10 (context, leiderschap, planning, ondersteuning, uitvoering, evaluatie van prestaties, verbetering)

  • Implementatie van Annex A-controles (AI-specifieke controles)

  • Verzameling van bewijsmateriaal (beleid, risicobeoordelingen, testrapporten, monitoringlogs)

Auditfrequentie:

  • Jaarlijkse uitgebreide AIMS-audit

  • Kwartaaloverzicht van het risicoregister

  • Ad-hoc audits bij grote wijzigingen in het AI-systeem

Beheer van bevindingen:

  • Afwijkingen (NC's) worden geregistreerd en opgevolgd tot sluiting

  • Verbeterpunten (OFI's) worden geprioriteerd in de roadmap

  • De managementreview omvat auditbevindingen en corrigerende maatregelen

Ons interne auditproces weerspiegelt externe certificeringsaudits, wat ons voorbereidt op een mogelijke ISO 42001-certificering door derden in de toekomst.

Toezegging over nul-gegevensretentie

Alle AI-providers (OpenAI, Anthropic, Mistral, xAI) werken onder Zero Data Retention (ZDR) overeenkomsten:

ZDR-voorwaarden:

  • Geen gebruikersgegevens bewaard na verwerking van de aanvraag

  • Geen modeltraining op de inhoud van klanten

  • AVG-conforme gegevensoverdracht (Standard Contractual Clauses)

  • Beveiligingsnormen op enterprise-niveau worden gehandhaafd

Afstemming op compliance:

  • ISO 42001 A.7.2: Controles op gegevensbeheer en retentie

  • AVG Artikel 28: Verplichtingen van de verwerker

  • ISO 27001 A.5.34: Privacy en bescherming van PII

Zie ons Register van Verwerkingsactiviteiten voor gedetailleerde informatie over verwerkers en datastromen.

Transparantie & Openbaarmaking

ISO 42001 A.8.3 vereist transparantie over het gebruik van het AI-systeem. Wij implementeren dit door middel van:

Bekendmakingen aan gebruikers:

  • Duidelijke identificatie van AI-gegenereerde inhoud (chat-interface, assistent-branding)

  • Beperkingen worden erkend bij elke AI-interactie ("verifieer altijd kritieke informatie")

  • Modelmogelijkheden en beperkingen worden publiekelijk gedocumenteerd

  • Nadruk op menselijke beoordeling ("AI ondersteunt, maar vervangt nooit het professionele oordeel")

Technische transparantie:

  • Architectuur publiekelijk gedocumenteerd (dynamische kennisinjectie, multi-provider)

  • Testpraktijken openbaar gemaakt (regressie, bias, adversarial)

  • Monitoring-statistieken gedeeld (prestatiedoelen, bijhouden van hallucinaties)

  • Communicatie over incidenten via statuspagina en e-mailwaarschuwingen

Continue verbetering

ISO 42001 clausule 10 vereist voortdurende verbetering van het AIMS. Onze praktijken omvatten:

Integratie van feedback:

  • Gebruikersmeldingen over hallucinaties leiden tot updates van de kennisbank

  • Bevindingen uit beveiligingstesten leiden tot verbeteringen in de veiligheid

  • Prestatiebewaking identificeert kansen voor optimalisatie

  • Wijzigingen in regelgeving worden doorgevoerd in documentatie en controles

Innovatiepijplijn:

  • Nieuwe frameworks toegevoegd aan het systeem voor kennisinjectie (NIST 800-53, PCI DSS gepland)

  • Verbeterde bias-testen voor opkomende use cases

  • Geavanceerde monitoringsmogelijkheden (detectie van drift, herkenning van vijandige patronen)

  • Verkenning van ISO 42001-certificering door derden

Wat dit betekent voor klanten

Onze ISO 42001-implementatie biedt de zekerheid dat:

  • Governance: AI-systemen worden beheerd met gestructureerd beleid, risicobeoordelingen en levenscycluscontroles

  • Transparantie: U heeft inzicht in hoe de AI werkt, wat deze wel/niet kan en hoe we deze monitoren

  • Veiligheid: Risico's zoals hallucinaties, bias en privacy-lekken worden actief gemitigeerd en gemonitord

  • Verantwoordelijkheid: Duidelijk eigenaarschap, incidentrespons en processen voor continue verbetering

  • Vertrouwen: Wij hanteren dezelfde AI-beheernormen die we u helpen te bereiken

Als u een ISO 42001-certificering nastreeft, kan onze interne documentatie (op aanvraag beschikbaar voor enterprise-klanten) dienen als referentie voor implementatievoorbeelden.

Toegang tot documentatie

Documentatie van onze ISO 42001-implementatie omvat:

  • AI System Design Document (AI-SDD-001): Architectuur, datastromen, risicotoewijzingen

  • AI Impact Assessment (AI-IMP-001): Risicoclassificatie, afstemming op de EU AI Act

  • Testplan AI Bias & Rechtvaardigheid: Methodologie, drempelwaarden, testresultaten

  • AI Model Performance Monitoring Plan: Statistieken, monitoring-infrastructuur, waarschuwingen

  • AIMS Interne Audit Checklist: Dekking van clausules/controles, bevindingen, bewijsmateriaal

Beschikbaarheid:

  • Samenvattingen op hoofdlijnen gepubliceerd in het helpcentrum (dit artikel, AI Safety-collectie)

  • Gedetailleerde technische documenten beschikbaar op aanvraag voor enterprise-klanten en auditors

  • Extern Trust Center biedt governance-beleid en certificeringen

Wat volgt

Hulp krijgen

Voor vragen over onze ISO 42001-implementatie of om gedetailleerde documentatie aan te vragen:

  • Neem contact op met support via het helpcentrum-menu

  • Bekijk het Trust Center voor het governance-beleid

  • Bekijk de Statuspagina voor de status van het AI-systeem

Was dit nuttig?