ISMS Copilot
Veiligheidsmaatregelen

Hoe we ISMS Copilot veilig en nauwkeurig houden

ISMS Copilot helpt compliance-professionals bij het opstellen van beleid, het analyseren van auditvereisten en het navigeren door complexe kaders zoals ISO 27001 en SOC 2. We hebben in elke laag van het platform waarborgen ingebouwd om uw gevoelige gegevens te beschermen en ervoor te zorgen dat onze AI betrouwbare, auditwaardige resultaten levert — geen generiek advies dat uw certificering in gevaar kan brengen.

Onze aanpak combineert technische bescherming, nauwkeurigheidscontroles en operationele waarborgen gedurende de gehele levenscyclus van uw gegevens.

Gegevensbescherming door ontwerp

Compliance-werkzaamheden omvatten gevoelige organisatiegegevens. Wij beschermen deze door middel van:

  • End-to-end versleuteling: TLS 1.3 tijdens transport, AES-256 in rust. Uw gegevens worden versleuteld voordat ze onze servers bereiken en terwijl ze zijn opgeslagen.

  • EU-hosting & AVG-naleving: Alle infrastructuur draait in Frankfurt (AWS EU-Central-1). Wij treden op als uw AVG-verwerker met volledige verplichtingen volgens Artikel 28, modelcontractbepalingen en een verwerkersovereenkomst.

  • Isolatie van werkomgevingen: Beveiliging op rijniveau zorgt ervoor dat klanten en projecten nooit gemengd worden. Elke werkomgeving is een afzonderlijke omgeving.

  • Geen training op uw gegevens: We verbieden AI-providers (Mistral AI, OpenAI, xAI) contractueel om uw inputs of outputs te gebruiken voor modeltraining. Uw compliance-gegevens blijven van u.

  • Door gebruiker beheerde retentie: Configureer retentie van 1 dag tot 7 jaar of verwijder gegevens onmiddellijk. Automatische verwijdering vindt dagelijks plaats. Accountverwijdering wist alle gegevens binnen 30 dagen.

Schakel voor maximale privacy de Geavanceerde Gegevensbeschermingsmodus in om alle zoekopdrachten via EU-only Mistral AI te laten verlopen zonder gegevensretentie.

Voorkomen van hallucinaties & onnauwkeurig advies

Generieke AI-tools zoals ChatGPT kunnen met overtuiging beheersingsmaatregelen verzinnen of standaarden verkeerd interpreteren. We voorkomen dit door:

  • Dynamische injectie van kaderkennis: Wanneer u een kader noemt (ISO 27001, SOC 2, AVG, etc.), injecteert ons systeem automatisch geverifieerde kennis uit onze eigen database voordat de AI reageert. Dit elimineert hallucinaties over beheersingsmaatregelen en vereisten.

  • Eigen kennisbank: Gebouwd op basis van honderden echte consultancyprojecten — niet van gescrapte webinhoud. We bewaken de nauwkeurigheid via versiebeheer en regelmatige updates wanneer standaarden evolueren.

  • Onzekerheidsdisclaimers: Wanneer de AI onzeker is, geeft deze dat aan en wordt u gevraagd om te verifiëren aan de hand van de officiële standaard. We beperken de antwoorden strikt tot compliance — geen off-topic generatie.

ISMS Copilot versnelt compliance-workflows, maar vervangt professioneel oordeel niet. Controleer kritieke outputs altijd aan de hand van officiële documentatie van het kader en raadpleeg gekwalificeerde auditors voor certificeringsbeslissingen.

Authenticatie & toegangscontroles

We dwingen veilige toegang af door middel van:

  • Verplichte e-mailverificatie: Alle accounts vereisen een geverifieerd e-mailadres voor toegang.

  • OAuth met MFA-ondersteuning: Log in via Google of Microsoft met multifactor-authenticatie. We raden aan om MFA in te schakelen bij uw identiteitsprovider.

  • Wachtwoord-hashing: Wachtwoorden worden gehasht met bcrypt. We slaan nooit wachtwoorden in klare tekst op.

  • Sessiebeheer: JWT-tokens verlopen automatisch om de tijdspanne voor ongeoorloofde toegang te beperken.

Misbruikpreventie & monitoring

We monitoren op misbruik met behoud van privacy:

  • Geautomatiseerde contentmoderatie: API's van AI-providers screenen alle berichten op verboden inhoud. Gemelde inhoud wordt 1 jaar bewaard voor beoordeling door de beheerder; niet-gemelde metadata wordt na 30 dagen verwijderd.

  • Snelheidsbeperking: Gebruikers van het gratis abonnement zijn beperkt tot 10 berichten per 4 uur om misbruik te voorkomen. Betaalde abonnementen hebben hogere quota.

  • Foutmonitoring: Sentry volgt technische fouten met behulp van geanonimiseerde UUID's — er wordt geen berichtinhoud gelogd.

  • Privacyvriendelijke analytics: Cookieloos PostHog zonder persoonlijk identificeerbare informatie.

Anonimiseren van gevoelige gegevens

Schakel de PII Reductiemodus in om namen, e-mailadressen en telefoonnummers automatisch te anonimiseren voordat gegevens naar AI-providers worden verzonden. Dit biedt een extra beschermingslaag bij het uploaden van documenten of het bespreken van personeelszaken.

Incidentrespons

Mocht er zich een beveiligingsprobleem voordoen, dan waarborgt ons incidentresponsproces:

  • Beoordeling binnen 24 uur

  • Communicatie naar betrokken gebruikers binnen 72 uur bij datalekken (AVG Artikel 33)

  • Opvolging van herstelwerkzaamheden en evaluatie na het incident

Meld beveiligingsproblemen aan [email protected].

Wat ons anders maakt

In tegenstelling tot algemene AI-tools is ISMS Copilot speciaal gebouwd voor compliance:

  • Geen hallucinaties over beheersingsmaatregelen: Kaderinjectie garandeert nauwkeurigheid bij ISO 27001, SOC 2 en andere standaarden.

  • EU-hosting zonder training: Uw gegevens verlaten nooit de EU (met Geavanceerde Modus) en worden nooit gebruikt om modellen te trainen.

  • Auditwaardige outputs*: Gestructureerd beleid en kloofanalyses — geen conversatie-antwoorden die u opnieuw moet formatteren. *Controleer ze desondanks altijd; dat is wel zo verstandig.

  • Organisatie van werkomgevingen: Scheiding tussen meerdere klanten en projecten is standaard ingebouwd.

Voor gedetailleerde informatie over gegevensverwerking, zie ons Privacybeleid en onze Verwerkersovereenkomst.

Was dit nuttig?