ISMS Copilot
AI-veiligheid

Hoe u ISMS Copilot verantwoord gebruikt

Overzicht

Verantwoord gebruik van AI-tools vereist begrip van hun mogelijkheden, beperkingen en juiste toepassingen. Deze gids biedt praktische best practices om ISMS Copilot effectief en ethisch te gebruiken in uw compliance-werkzaamheden.

Voor wie dit is

Dit artikel is voor:

  • Compliance-professionals die voor het eerst AI gebruiken

  • Teams die beleid voor AI-governance opstellen

  • Consultants die meerdere klantprojecten beheren

  • Iedereen die de waarde van AI wil maximaliseren en tegelijkertijd risico's wil minimaliseren

Kernprincipes van verantwoord AI-gebruik

1. AI als assistent, niet als vervanging

De juiste mentaliteit:

  • Zie ISMS Copilot als een deskundige junior consultant

  • Het levert concepten en suggesties, geen definitieve eindproducten

  • Menselijke expertise, oordeelsvorming en beoordeling blijven essentieel

  • AI versnelt het werk, maar vervangt de professionele verantwoordelijkheid niet

Het meest effectieve gebruik van ISMS Copilot combineert AI-efficiëntie met menselijke expertise. Laat AI het schrijfwerk en onderzoek afhandelen, terwijl u zich concentreert op strategisch denken, maatwerk en kwaliteitsborging.

2. Verifieer voordat u vertrouwt

Valideer altijd:

  • Control-nummers en framework-citaties

  • Wettelijke vereisten en compliance-mandaten

  • Technische specificaties en implementatiedetails

  • Statistieken, tijdlijnen en kwantitatieve claims

Verificatiebronnen:

  • Officiële normen (ISO 27001:2022, SOC 2-criteria, enz.)

  • Richtlijnen van toezichthouders

  • Sector-frameworks en best practice-gidsen

  • Juridische en compliance-experts

3. Context is alles

AI heeft uw organisatorische context nodig:

  • Sector en regelgevende omgeving

  • Omvang en complexiteit van de organisatie

  • Huidig ISMS-volwassenheidsniveau

  • Risicotolerantie en bedrijfsdoelstellingen

  • Beschikbare middelen en tijdlijn

Generieke AI-antwoorden zonder organisatorische context passen mogelijk niet bij uw specifieke situatie. Pas door AI gegenereerde inhoud altijd aan uw omgeving aan vóór implementatie.

4. Transparantie in AI-gebruik

Wees open over het gebruik van AI:

  • Maak AI-ondersteund werk kenbaar aan klanten wanneer dat passend is

  • Documenteer AI-gebruik in uw compliance-processen

  • Neem AI-tools op in uw gegevensverwerkingsovereenkomsten

  • Train uw team in het juiste gebruik en de beperkingen van AI

Best practices voor het stellen van vragen

Wees specifiek en gedetailleerd

In plaats van vage vragen:

  • ❌ "Vertel me over ISO 27001"

  • ❌ "Hoe doe ik toegangscontrole?"

  • ❌ "Wat is SOC 2?"

Stel specifieke, gecontextualiseerde vragen:

  • ✓ "Hoe implementeer ik ISO 27001:2022 control 5.15 (Toegangsbeveiliging) voor een SaaS-bedrijf met 50 medewerkers?"

  • ✓ "Welk bewijsmateriaal heb ik nodig voor SOC 2 CC6.1 (Logische en fysieke toegangsbeveiliging) voor onze in AWS gehoste applicatie?"

  • ✓ "Wat zijn de belangrijkste stappen om een AVG-conform gegevensbewaringsbeleid op te stellen voor klantenservicedossiers?"

Hoe specifieker uw vraag, hoe nauwkeuriger en nuttiger het antwoord van de AI. Vermeld framework-versies, control-nummers, uw sector en de grootte van de organisatie voor de beste resultaten.

Geef relevante context

Nuttige context om op te nemen:

  • Organisatieprofiel: "We zijn een zorg-SaaS-bedrijf met 200 werknemers..."

  • Huidige status: "We implementeren ISO 27001 voor de eerste keer..."

  • Specifiek doel: "We moeten ons voorbereiden op onze Stage 2-audit over 3 maanden..."

  • Beperkingen: "We hebben een beperkte IT-beveiligingsstaf en een klein budget..."

  • Framework-versie: "We werken met ISO 27001:2022, niet de 2013-versie..."

Splits complexe vragen op

In plaats van één enorme vraag:

❌ "Hoe implementeer ik ISO 27001 vanaf nul, inclusief risicobeoordeling, controls, beleid, procedures en voorbereiding op certificering?"

Splits op in gerichte vragen:

  1. "Wat zijn de belangrijkste fasen van ISO 27001-implementatie voor een organisatie die dit voor het eerst doet?"

  2. "Hoe voer ik een ISO 27001-risicobeoordeling uit voor een cloudgebaseerd SaaS-platform?"

  3. "Welke beleidsdocumenten zijn vereist voor ISO 27001:2022-certificering?"

  4. "Welk bewijsmateriaal moet ik voorbereiden voor een ISO 27001 Stage 2-audit?"

Vraag om uitleg, niet alleen om antwoorden

Vragen die begrip bevorderen:

  • "Leg het verschil uit tussen ISO 27001 controls 5.15 en 8.2"

  • "Waarom is functiescheiding belangrijk voor SOC 2-compliance?"

  • "Wat is de ratio achter het principe van dataminimalisatie uit de AVG?"

  • "Leg me de logica uit achter de besluitvorming over risicobehandeling in ISO 27001"

Voordelen:

  • Verdiept uw begrip van compliance-concepten

  • Helpt u vereisten uit te leggen aan stakeholders

  • Maakt betere aanpassing aan uw organisatie mogelijk

  • Maakt u tot een effectievere compliance-professional

Best practices voor documentgeneratie

Gebruik AI voor eerste concepten

Goede use cases voor AI-concepten:

  • Sjablonen voor beleid en procedures

  • Frameworks voor risicobeoordeling

  • Gidsen voor control-implementatie

  • Documentatie voor gap-analyse

  • Checklists voor auditvoorbereiding

Workflow:

  1. Genereren: Vraag ISMS Copilot om een conceptbeleid te maken

  2. Controleren: Controleer op nauwkeurigheid, volledigheid en relevantie

  3. Aanpassen: Pas aan de specifieke context van uw organisatie aan

  4. Verbeteren: Voeg organisatiespecifieke details en voorbeelden toe

  5. Valideren: Laat een compliance-expert of auditor het beoordelen

  6. Goedkeuren: Definitieve ondertekening door de bevoegde autoriteit

Dien door AI gegenereerde beleidsdocumenten nooit rechtstreeks in bij auditors zonder beoordeling en aanpassing. Generieke sjablonen zijn een rode vlag bij audits en voldoen mogelijk niet aan uw specifieke compliance-eisen.

Aanpassen aan uw organisatie

Gebieden die aanpassing vereisen:

  • Rollen en verantwoordelijkheden: Daadwerkelijke functietitels en namen

  • Technische omgeving: Specifieke systemen, tools en platforms

  • Bedrijfsprocessen: Hoe uw organisatie daadwerkelijk werkt

  • Risicoprofiel: Uw specifieke bedreigingen, kwetsbaarheden en risicobereidheid

  • Wettelijke vereisten: Sectorspecifieke of regiospecifieke regels

Voorbeeld van aanpassing:

Door AI gegenereerd (generiek):

"De Informatiebeveiligingsmanager is verantwoordelijk voor het toezicht op toegangscontroleprocessen."

Aangepast (specifiek):

"De Chief Information Security Officer (CISO), Jan de Vries, delegeert het toezicht op de toegangscontrole aan de IT Operations Manager, die Okta gebruikt voor identiteitsbeheer en wekelijks de toegangslogs via Splunk beoordeelt."

Voeg bewijsmateriaal en implementatiedetails toe

Transformeer AI-beleid naar audit-klare documentatie:

  • Voeg specifieke toolnamen toe (bijv. "gebruikt Vanta voor compliance-automatisering")

  • Vermeld locaties van bewijsmateriaal (bijv. "toegangslogs opgeslagen in S3-bucket: company-audit-logs")

  • Verwijs naar gerelateerde procedures (bijv. "Zie SOP-001: Instroomproces gebruikers")

  • Documenteer beoordelingscycli (bijv. "Beleid elk kwartaal beoordeeld door Beveiligingscomité")

  • Link naar compliance-artefacten (bijv. "Risicoregister bijgehouden in Jira Security-project")

Best practices voor bestandsuploads

Wat u kunt uploaden

Goede documenten om te analyseren:

  • Bestaand beleid voor gap-analyse

  • Risicobeoordelingen voor beoordeling en verbetering

  • Auditrapporten voor herstelplanning

  • Control-matrices voor volledigheidscontroles

  • Beveiligingsvragenlijsten van leveranciers voor het opstellen van antwoorden

Bestandseisen:

  • Maximaal 10 MB per bestand

  • Ondersteunde formaten: PDF, DOCX, DOC, XLSX, XLS, TXT, CSV, JSON

  • Eén bestand tegelijk

Overwegingen voor gegevensgevoeligheid

Voordat u gevoelige gegevens uploadt:

  1. Bekijk welke persoonlijke of vertrouwelijke informatie het document bevat

  2. Overweeg om klantnamen, personeelsdetails of bedrijfseigen informatie te anonimiseren

  3. Onthoud dat geüploade bestanden worden bewaard op basis van uw instellingen voor gegevensbewaring

  4. Gebruik workspaces om gegevens van verschillende klanten te scheiden

Overweeg om voor zeer gevoelige documenten een geschoonde versie te maken waarbij klantnamen zijn vervangen door placeholders (bijv. "Klant A") voordat u deze uploadt. Dit beschermt de vertrouwelijkheid terwijl nuttige AI-analyse nog steeds mogelijk is.

Wat u NIET moet uploaden

Vermijd het uploaden van:

  • ISO-normen met auteursrecht of bedrijfseigen frameworks (AI zal deze niet verwerken — zie ons beleid voor Naleving van intellectueel eigendom)

  • Ruwe bestanden met inloggegevens of wachtwoorden

  • Niet-geanonimiseerde PII of gevoelige persoonsgegevens

  • Klantgegevens zonder de juiste contractuele overeenkomsten

  • Documenten die bedrijfsgeheimen bevatten, tenzij noodzakelijk

Best practices voor workspace-beheer

Organiseer per project of klant

Aanbevolen workspace-structuur:

  • Voor consultants: Eén workspace per klant

  • Voor organisaties: Eén workspace per framework of initiatief

  • Voor meerfasige projecten: Aparte workspaces voor planning, implementatie en auditvoorbereiding

Voorbeeldnamen voor workspaces:

  • "Klant A - ISO 27001:2022 Implementatie"

  • "SOC 2 Type II Auditvoorbereiding Q1 2024"

  • "AVG-naleving - HR-afdeling"

  • "Risicobeoordeling - Cloudinfrastructuur"

Gebruik Custom Instructions effectief

Goede aangepaste instructies:

  • "Focus op ISO 27001:2022 controls. Wij zijn een zorg-SaaS-bedrijf dat onder HIPAA valt."

  • "We bereiden ons voor op een SOC 2 Type II audit. Leg de nadruk op het verzamelen van bewijs en documentatie."

  • "Dit is een kleine startup (20 medewerkers) met beperkte beveiligingsmiddelen. Geef prioriteit aan praktische, kosteneffectieve controls."

Instructies die niet werken:

  • ❌ Proberen veiligheidsbeperkingen te omzeilen

  • ❌ Verzoeken om niet-conforme inhoud

  • ❌ Vragen om auteursrechtelijke bescherming te negeren

Aangepaste instructies helpen de AI om alle antwoorden binnen een workspace af te stemmen op uw specifieke projectbehoeften. Dit vermindert repetitieve contextbepaling en verbetert de relevantie van de antwoorden.

Schoon voltooide workspaces op

Wanneer workspaces verwijderen:

  • Project of opdracht is voltooid

  • Bewaartermijn voor gegevens van die klant is verstreken

  • Klantcontract vereist verwijdering van gegevens

  • Workspace is gemaakt voor tests of experimenten

Vóór het verwijderen:

  1. Exporteer belangrijke gesprekken of documentatie

  2. Archiveer relevante informatie in uw compliance-beheersysteem

  3. Controleer of u de workspace niet nodig heeft voor toekomstige referentie

  4. Verwijder de workspace om datahygiëne te handhaven

Best practices voor gegevensbewaring

Passende bewaartermijnen instellen

Overweeg:

  • Wettelijke vereisten: Reglementaire bewaarnemingen voor uw sector

  • Contractuele verplichtingen: Klantovereenkomsten over gegevensbewaring

  • Zakelijke behoeften: Hoe lang u de gespreksgeschiedenis nodig heeft voor referentie

  • Risicoprofiel: Balans tussen datanut en minimalisering van blootstelling

Aanbevolen bewaartermijnen:

Use Case

Voorgestelde bewaring

Motivering

Kortlopende consultingprojecten

90-180 dagen

Gegevens bewaren tot voltooiing project plus buffer

Jaarlijkse compliance-audits

365-730 dagen

Bewaar bewijsmateriaal tot en met de volgende auditcyclus

Zeer gevoelig werk

30 dagen

Minimaliseer blootstellingsduur voor vertrouwelijke gegevens

Organisatorische kennisbank

Voor altijd bewaren

Bouw institutionele compliance-kennis op

ISO 27001-implementatie

2-3 jaar

Dekt certificering plus eerste surveillance-audit

Exporteren vóór vervaldatum

Voor belangrijke gesprekken:

  1. Kopieer gespreksinhoud voordat de bewaartermijn afloopt

  2. Sla op in uw compliance-beheersysteem of documentatie-repository

  3. Voeg relevante metadata toe (datum, workspace, context)

  4. Volg de procedures voor archiefbeheer van uw organisatie

Gegevensverwijdering is automatisch en permanent. Stel kalenderherinneringen in om waardevolle gesprekken te exporteren voordat ze op basis van uw instellingen verlopen.

Juist gebruik van Temporary Chat

Wanneer Temporary Chat te gebruiken

Goede use cases:

  • Snel eenmalige vragen die geen permanente opslag nodig hebben

  • Verkennend onderzoek voordat u zich vastlegt op een workspace

  • Gevoelige discussies die u niet in de permanente geschiedenis wilt hebben

  • Testen hoe u complexe vragen het beste kunt formuleren

Niet geschikt voor:

  • Belangrijk projectwerk waarnaar u later moet verwijzen

  • Genereren van documentatie voor audits

  • Opbouwen van een organisatorische kennisbank

  • Werk dat u nodig heeft als bewijs van compliance-activiteit

Onthoud de veiligheidstermijn van 30 dagen

Belangrijke beperking:

Zelfs tijdelijke chats kunnen tot 30 dagen worden bewaard voor veiligheidsmonitoring en preventie van misbruik.

Wat dit betekent:

  • Tijdelijke chat is niet volledig vluchtig

  • Gegevens kunnen worden ingezien als er zorgen over de veiligheid ontstaan

  • Nog steeds onderworpen aan gegevensverwerkingsovereenkomsten

  • Gebruik reguliere workspaces als u volledige controle over de bewaring nodig heeft

Ethische overwegingen

Vertrouwelijkheid van de klant

Bescherm klantinformatie:

  • Gebruik aparte workspaces voor verschillende klanten

  • Anonimiseer klantnamen in documenten waar mogelijk

  • Neem AI-gebruik op in uw klantcontracten en NDA's

  • Stel bewaartermijnen in die voldoen aan klantovereenkomsten

  • Informeer klanten als u AI-tools gebruikt voor hun werk

  • Schakel Advanced Data Protection Mode in wanneer klantcontracten EU-only gegevensverwerking of zero AI provider-bewaring vereisen

Sommige klantcontracten kunnen het gebruik van AI-tools of diensten van derden verbieden. Controleer altijd uw contractuele verplichtingen voordat u klantgegevens uploadt naar ISMS Copilot.

Verduidelijk bij het onderhandelen over klantcontracten uw gebruik van AI-tools en uw mogelijkheid om Advanced Data Protection Mode in te schakelen voor EU-only verwerking met nul bewaring. Dit toont uw inzet voor gegevensprivacy en kan een concurrentievoordeel zijn.

Bronvermelding en openbaarmaking

Bij het leveren van werk aan klanten:

  • Wees transparant over AI-ondersteuning bij het maken van eindproducten

  • Benadruk uw deskundige beoordeling en aanpassing

  • Claim door AI gegenereerde inhoud niet als puur origineel werk

  • Leg uit hoe AI de efficiëntie heeft verhoogd zonder de kwaliteit in gevaar te brengen

Overmatige afhankelijkheid vermijden

Waarschuwingssignalen van overmatige afhankelijkheid:

  • AI-antwoorden accepteren zonder verificatie

  • De deskundige beoordeling van door AI gegenereerde documenten overslaan

  • AI gebruiken als vervanging voor het leren van compliance-frameworks

  • AI-inhoud leveren zonder aanpassing

  • Kritieke beslissingen uitsluitend baseren op AI-advies

Behoud professionele bekwaamheid:

  • Blijf leren over frameworks en normen

  • Ga in gesprek met de compliance-community en opinieleiders

  • Neem deel aan trainingen en certificeringsprogramma's

  • Lees officiële normen en richtlijnen van toezichthouders

  • Ontwikkel expertise buiten AI-ondersteund werk om

Teamtraining en governance

Beleid voor AI-gebruik opstellen

Belangrijkste beleidselementen:

  1. Goedgekeurde use cases: Waar AI wel en niet voor mag worden gebruikt

  2. Beoordelingsvereisten: Wie de door AI gegenereerde inhoud moet beoordelen

  3. Verificatienormen: Hoe AI-output te valideren

  4. Gegevensverwerking: Welke gegevens kunnen worden geüpload en hoe

  5. Klantonthulling: Wanneer en hoe klanten te informeren over AI-gebruik

  6. Documentatie: Hoe AI-ondersteuning in werkproducten te registreren

Uw team trainen

Essentiële trainingsonderwerpen:

  • Hoe ISMS Copilot werkt en wat de beperkingen zijn

  • Hallucinaties herkennen en rapporteren

  • Effectieve prompting-technieken

  • Vereisten voor verificatie en aanpassing

  • Gegevensgevoeligheid en privacyoverwegingen

  • Beheer van workspaces en bewaring

  • Principes voor ethisch AI-gebruik

Kwaliteitsborgingsprocessen

Implementeer controlepunten:

  1. AI-concept: Initiële door AI gegenereerde inhoud

  2. Eerste beoordeling: Vakspecialist verifieert nauwkeurigheid

  3. Aanpassing: Aanpassen aan organisatorische context

  4. Tweede beoordeling: Compliance-lead controleert volledigheid

  5. Eindgoedkeuring: Geautoriseerde beoordelaar tekent af

  6. Audit trail: Documenteer beoordeling en goedkeuring

Effectiviteit meten

AI-waarde bijhouden

Te overwegen statistieken:

  • Bespaarde tijd bij het opstellen van beleid

  • Verkorten van compliance-voorbereidingscycli

  • Aantal auditbevindingen (om te borgen dat kwaliteit niet achteruitgaat)

  • Tevredenheid van het team met AI-ondersteuning

  • Feedback van klanten over de kwaliteit van eindproducten

Continue verbetering

Verfijn uw aanpak:

  • Documenteer effectieve prompts en vragen

  • Deel best practices binnen uw team

  • Track en rapporteer hallucinaties om het systeem te verbeteren

  • Werk het beleid voor AI-gebruik bij op basis van ervaring

  • Pas bewaring- en workspace-strategieën aan waar nodig

Checklist voor verantwoord AI-gebruik

Vóór het gebruik van AI

  • ✓ Begrijp het AI-gebruiksbeleid van uw organisatie

  • ✓ Controleer klantcontracten op beperkingen voor AI-tools

  • ✓ Plan voor verificatie- en beoordelingsprocessen

  • ✓ Stel de juiste bewaartermijnen in

  • ✓ Maak workspaces aan voor verschillende projecten/klanten

Tijdens AI-gebruik

  • ✓ Stel specifieke, gecontextualiseerde vragen

  • ✓ Beoordeel antwoorden op nauwkeurigheid en relevantie

  • ✓ Pas AI-output aan voor uw organisatie

  • ✓ Vergelijk met officiële normen

  • ✓ Behoud uw professionele oordeelsvorming

Na AI-gebruik

  • ✓ Laat een expert door AI gegenereerde inhoud beoordelen

  • ✓ Documenteer AI-ondersteuning in werkproducten

  • ✓ Rapporteer hallucinaties of veiligheidsproblemen

  • ✓ Archiveer belangrijke gesprekken vóór de vervaldatum

  • ✓ Verwijder voltooide workspaces op de juiste manier

Wat nu?

Hulp krijgen

Voor vragen over verantwoord AI-gebruik:

  • Bekijk het Trust Center voor richtlijnen over AI-governance

  • Neem contact op met support via het helpcentrum-menu

  • Rapporteer veiligheidsproblemen of ongepast AI-gedrag

  • Deel feedback over de effectiviteit en bruikbaarheid van de AI

Was dit nuttig?