ISMS Copilot
Beveiliging

Beveiligingsbeleid

Op deze pagina staan de beveiligingsregels die ISMS Copilot 2.0 formeel heeft vastgesteld als onderdeel van ons Information Security Management System (ISMS). Dit beleid ondersteunt onze naleving van de ISO 27001-, SOC 2- en ISO 42001-standaarden en weerspiegelt onze inzet voor verantwoorde AI-ontwikkeling en gegevensbescherming.

Deze beleidslijnen sturen onze interne operaties en technische implementatie aan. Voor details over hoe we uw gegevens in de praktijk beschermen, zie ons Overzicht Beveiliging & Gegevensbescherming.

Toegangscontrolebeleid

We beschermen de toegang tot onze systemen en gegevens via strikte authenticatie- en autorisatiecontroles.

Authenticatie & Autorisatie

  • Multi-factor authenticatie (MFA) is verplicht voor alle gebruikers die toegang hebben tot kritieke diensten

  • Toegangsrechten worden verleend volgens het principe van de minste privileges

  • Unieke geïdentificeerde accounts zijn vereist voor alle productietoegang; geen gedeelde inloggegevens

  • Toegangsrechten van werknemers worden elk kwartaal geëvalueerd om te zorgen dat ze aansluiten bij de huidige rollen

  • Wachtwoordbeheerders worden door alle teamleden gebruikt om inloggegevens en API-sleutels te beveiligen

Sessiebeheer

  • Sessieduurlimieten en vereisten voor herauthenticatie worden afgedwongen

  • Beveiligde verbindingen via TLS zijn vereist voor alle productietoegang

  • Databasetoegang is beperkt tot uitsluitend interne netwerken

Toegangslevenscyclus

  • Toegangsvoorziening wordt gecontroleerd op geschiktheid voor de rol voordat rechten worden verleend

  • Offboarding van werknemers volgt gedocumenteerde procedures waarbij accounts binnen 24 uur worden uitgeschakeld

  • Noodtoegang wordt verleend via break-glass accounts met verplichte logging en evaluatie na het incident

Onze architectuur met beveiliging op rijniveau garandeert volledige gegevensisolatie tussen klantaccounts, waardoor ongeautoriseerde toegang zelfs binnen onze infrastructuur wordt voorkomen.

Beleid voor Activabeheer

We onderhouden een uitgebreide inventarisatie en bescherming van alle bedrijfsmiddelen, van apparaten van medewerkers tot bedrijfseigen kennisbanken.

Apparaatbeveiliging

  • Automatische schermvergrendeling is geconfigureerd op alle apparaten van medewerkers

  • Versleuteling in rust (at rest) beschermt gevoelige gegevens op teamapparaten

  • Software-updates worden automatisch bijgehouden om blootstelling aan kwetsbaarheden te verminderen

  • Antimalwaresoftware en geconfigureerde firewalls beschermen tegen bedreigingen

  • Mobile Device Management (MDM) dwingt beveiligingsbeleid af op alle apparaten

  • Alleen ondersteunde besturingssystemen: apparaten moeten OS/software draaien met actieve ondersteuning van de leverancier

Gegevensverwerking

  • Verwijderbare opslagmedia zijn verboden voor bedrijfsgegevens

  • Veilige gegevenswissing is vereist voordat een apparaat wordt verkocht, overgedragen of weggegooid

  • Alleen goedgekeurde taken: apparaten van medewerkers zijn beperkt tot geautoriseerd zakelijk gebruik

  • Veilige fysieke locaties zijn vereist bij externe toegang tot bedrijfsgegevens

Inventarisatie van Activa

  • Asset tracking houdt een systematische inventarisatie bij van alle bedrijfsmiddelen, inclusief eigen kennisbanken en broncode

  • Jaarlijkse beoordelingen waarborgen de nauwkeurigheid en relevantie van de inventaris

  • Veilige afvoerprocessen beschermen buiten gebruik gestelde activa tegen datalekken

AI-systeembronnen

  • AI-levenscyclusbronnen zijn geïdentificeerd en gedocumenteerd (LLM-providers, RAG-architectuurcomponenten)

  • Gegevensbronnen voor AI-systemen zijn gedocumenteerd (eigen kennisbank)

  • Tooling-bronnen zijn gedocumenteerd (Semgrep, Sentry)

  • Computerbronnen zijn gedocumenteerd (Vercel, Supabase infrastructuur)

Beleid voor Bedrijfscontinuïteit, Back-up & Herstel

We handhaven veerkracht via gedocumenteerde noodherstelprocedures en geautomatiseerde back-upsystemen.

Noodherstel (Disaster Recovery)

  • Disaster Recovery Plan (DRP) wordt onderhouden, is goedgekeurd door het management en wordt jaarlijks bijgewerkt

  • Hersteldoelstellingen definiëren RTO (Recovery Time Objectives) en RPO (Recovery Point Objectives) voor alle kritieke systemen

  • Jaarlijkse tests valideren de noodherstelprocedures

  • Jaarlijkse beoordelingen evalueren bedrijfscontinuïteit en redundantiestrategieën, vooral na grote wijzigingen zoals de toevoeging van AI-providers

Back-upvereisten

  • Continue back-ups van productiedatabases beschermen chatgeschiedenissen van klanten en geüploade bestanden, point-in-time herstel is geactiveerd

  • Minimaal 7 dagen retentie voor back-ups

  • Versleuteling voor alle back-ups in rust en in transit via Supabase-encryptie

  • Beperkte toegang tot back-upsystemen met uitgebreide logging en monitoring

  • Halfjaarlijkse hersteltests valideren de integriteit van back-ups en herstelprocedures

  • Jaarlijkse failover-validatie voor redundantie en herstelmechanismen over meerdere regio's

Gegevensbeheerbeleid

We gaan om met gegevens volgens strikte controles die zijn afgestemd op de AVG (GDPR) en best practices voor gegevensbescherming.

Gegevenslevenscyclus

  • Gegevensinventarisatie classificatiesysteem categoriseert alle gegevens (Openbaar, Intern, Vertrouwelijk, Geheim)

  • Veilige verwijdering na formeel verzoek of verstrijken van de bewaartermijn, ter ondersteuning van AVG-rechten

  • Dataminimalisatie—alleen gegevens die noodzakelijk zijn voor omschreven doeleinden worden verzameld en bewaard

  • Grondslagen voor rechtmatige verwerking gedocumenteerd (toestemming, overeenkomst, wettelijke verplichting, gerechtvaardigd belang)

  • Registers van verwerkingsactiviteiten documenteren doeleinden, gegevenscategorieën, ontvangers, bewaartermijnen en beveiligingsmaatregelen

Versleuteling & Transport

  • Minimaal TLS 1.2 (idealiter 1.3) voor alle externe HTTP-diensten via Vercel

  • HSTS-headers op productiewebapplicaties voorkomen protocol-downgrade aanvallen

  • AES-256 versleuteling in rust voor alle productiedatabases via Supabase

AI-gegevensbeheer

  • Logging van gegevensverwerving houdt brongegevens bij voor eigen kennisbankinhoud

  • Data provenance tracking gedurende de AI-levenscyclus garandeert traceerbaarheid in onze RAG-architectuur

  • Versiebeheer en toegangslogs beheren gegevens voor de ontwikkeling van AI-systemen

  • Gegevenskwaliteitscontroles tegen vastgestelde criteria vóór gebruik in AI-systemen

  • Goedgekeurde voorbereidingsmethoden standaardiseren RAG-verwerking voor consistente nalevingsbegeleiding

Rechten op Gegevensbescherming

  • Rechten van betrokkenen (inzage, verwijdering, correctie) worden binnen de wettelijk vereiste AVG-termijnen voldaan

  • Veilige afvoer voor buiten gebruik gestelde activa die gevoelige gegevens bevatten

  • Back-upbescherming—back-ups volgen dezelfde regels voor versleuteling, retentie en toegang als productiegegevens

Voor uitgebreide details over onze gegevensverwerkingspraktijken, zie onze Privacy & AVG-naleving documentatie.

Veilig Ontwikkelbeleid

We integreren beveiliging in onze ontwikkelingscyclus, van code commit tot productie-uitrol.

Bescherming van Broncode

  • Maak een specifieke branch aan voor elke nieuwe ontwikkeling

  • Beschermde default branches voorkomen force pushes naar productie-repositories

  • Pull request-vereisten—geen directe commits naar beschermde branches

  • Verplichte code review en goedkeuring voor de merge

  • Standaard commit-berichten verbeteren de traceerbaarheid en auditmogelijkheden

Beveiligingstesten

  • Geautomatiseerde tests worden uitgevoerd voor elke commit en pull request voor de merge

  • Secret scanning detecteert automatisch opengelegde inloggegevens via Semgrep

  • Dependency vulnerability scanning op alle bibliotheken van derden via Semgrep SCA

  • Container image scanning vóór uitrol (indien van toepassing)

  • DAST (Dynamic Application Security Testing) op staging-omgevingen

  • SAST (Static Application Security Testing) via Semgrep op alle codewijzigingen

  • Blokkering van uitrol wanneer kritieke of hoge ernst kwetsbaarheden worden gedetecteerd

  • Jaarlijkse penetratietesten op productiesystemen

Ontwikkelingsworkflow

  • Werk niet aan nieuwe functies zolang belangrijke bugs nog invloed hebben op gebruikers

  • Functiespecifieke branches voor geïsoleerde ontwikkeling en testen

  • Staging-omgeving weerspiegelt productie voor pre-productietesten

  • Lokaal testen vereist voordat er naar gedeelde branches wordt gecommit

  • Gedocumenteerde SDLC (Software Development Lifecycle) leidt de ontwikkelingsprocessen

  • Issue tracking systeem voor het rapporteren en opvolgen van productfouten

  • Beveiligingsscans voeren code reviews uit en identificeren beveiligingsproblemen

  • Unit- en integratietesten vereist voor alle kritieke bedrijfslogica

Beveiligingscontroles

  • Security linters (ESLint) voorkomen onveilige codeerpatronen in TypeScript

  • Geautomatiseerde uitrol volgt herhaalbare, veilige procedures via Vercel

  • Continuous deployment pipelines voor goedgekeurde codewijzigingen

  • VCS-toegang volgt het minste privilege-principe met verplichte MFA

  • Rotatie van inloggegevens procedures worden onmiddellijk uitgevoerd bij detectie van gelekte inloggegevens

  • Veilige kluizen (vaults) beheren geheimen in CI/CD en ontwikkelomgevingen

  • Activiteitenlogging in versiebeheersystemen (GitHub audit logs)

Applicatiebeveiliging

  • CORS-beleid correct geconfigureerd om ongeautoriseerde toegang te beperken

  • CSP-headers (Content Security Policy) voorkomen XSS- en injectie-aanvallen

  • Cookiebeveiliging—HttpOnly en Secure flags via Supabase Auth

  • CSRF-bescherming op alle statuswijzigende operaties

  • Certificate pinning voor kritieke API-verbindingen

  • Beveiliging van foutmeldingen—interne fouten worden afgehandeld door Sentry en niet getoond aan gebruikers

  • SQL-injectiebeveiliging via geparametriseerde queries en ORM's in Supabase PostgreSQL

  • XSS-bescherming via input-sanitatie en output-encoding

  • Input-validatie op type, formaat, lengte en bereik vóór verwerking

  • Rate limiting op kritieke eindpunten (authenticatie, AI-queries)

  • Webhook-beveiliging via handtekeningverificatie en authenticatie

Gegevensbescherming in Code

  • Geen wachtwoorden in platte tekst—versleuteling op databaserijniveau

  • Alleen ondersteunde afhankelijkheden—geen verouderde of niet-ondersteunde bibliotheken in productie

  • Geëxternaliseerde configuratie—geen hardcoded geheimen in applicatiecode

  • Migraties onder versiebeheer voor wijzigingen in het databaseschema

  • Geen gevoelige logging—inloggegevens en PII (persoonlijk identificeerbare informatie) worden nooit gelogd

  • Geheugenveilige talen (TypeScript) hebben de voorkeur voor nieuwe ontwikkelingen

Licenties & Naleving

  • Alleen gelicentieerde software—correct gelicentieerde, goedgekeurde en betaalde tools zijn vereist

  • Geen copyleft-licenties (GPL v3) om eigen code te beschermen

  • Geautomatiseerde licentiecontrole in CI/CD-pipelines via Semgrep

  • Communicatie over wijzigingen naar interne belanghebbenden en externe gebruikers bij grote updates

  • Kwaliteitsborgingsprocessen voor alle productiereleases

Onze Semgrep-integratie scant automatisch elke codewijziging op kwetsbaarheden, blootgestelde geheimen en licentie-naleving voor de uitrol.

Veilig Infrastructuurbeleid

Onze cloud-native infrastructuur implementeert defense-in-depth met geautomatiseerde beveiligingscontroles.

Netwerkbeveiliging

  • Web Application Firewall (WAF) bescherming via Vercel voor alle applicaties die verbonden zijn met het internet

  • Uitsluitend versleutelde protocollen (TLS, SSH) voor alle externe verbindingen

  • Netwerksegmentatie isoleert productie-, staging- en ontwikkelomgevingen in de serverless architectuur

  • Firewall-regels geconfigureerd met het minste privilege (deny-by-default) via Vercel

  • DDoS-bescherming ingeschakeld voor internetbronnen via Vercel

  • Minimaal TLS 1.2 voor alle versleutelde communicatie

  • Directe TLS geprefereerd boven STARTTLS voor versleutelde verbindingen

  • DNSSEC ingeschakeld voor beheerde DNS-zones om DNS-spoofing te voorkomen

  • E-mailauthenticatie (DKIM, SPF, DMARC) geconfigureerd voor uitgaande e-maildomeinen

Infrastructuurbeheer

  • Infrastructure as Code (IaC) beheert Vercel-configuraties voor herhaalbaarheid

  • Gecentraliseerde logging via Sentry voor alle infrastructuurcomponenten, inclusief het vastleggen van gebruikers-ID's (alleen UUID) in productie voor foutcorrelatie en snellere probleemoplossing

  • Auto-scaling geconfigureerd via Vercel om beschikbaarheid te behouden tijdens verkeerspieken

  • Geautomatiseerde waarschuwingen voor beveiligingsincidenten en afwijkend gedrag via Semgrep en Sentry

  • Databasereplicatie en automatische failover voor kritieke databases via Supabase Enterprise

  • Beperkingen voor root-accounts—IAM minste privilege, root wordt niet gebruikt voor dagelijkse werkzaamheden

  • Audit trails ingeschakeld (Supabase logs) en gemonitord voor naleving

  • Architectuurdocumentatie bijgehouden en jaarlijks beoordeeld

Systeemharding

  • Schijfversleuteling ingeschakeld op alle opslagvolumes in rust via Supabase

  • Rootless containers waar van toepassing om risico's op privilege-escalatie te verminderen

  • Geautomatiseerde beveiligingspatches in de serverless omgeving

  • Kritieke patches toegepast binnen 7 dagen, standaard patches binnen 30 dagen

  • Alleen ondersteund OS dat actieve beveiligingsupdates ontvangt (gegarandeerd door Vercel serverless)

  • LTS-versies voor productiestabiliteit

  • NTP-synchronisatie voor nauwkeurige tijdstempels in logs

  • Kwartaalrotatie van inloggegevens voor infrastructuur-credentials (API-sleutels, tokens)

Toegang & Authenticatie

  • Veilige kluizen (cloud KMS) voor opslag van cryptografische sleutels

  • Bastion hosts voor administratieve toegang tot de productie-infrastructuur

  • Toegang met minste privileges via IAM-controles

  • VPN/SSH/cloud-native beveiligde toegang vereist voor productie-infrastructuur

  • Service-accounts met beperkte rechten voor geautomatiseerde processen

  • Geautomatiseerd certificaatbeheer via Vercel (Let's Encrypt)

  • Monitoring van certificaatverloop met waarschuwingen op 30, 14 en 7 dagen voor verloop

Naleving

  • Controles op data-residentie voor EU-klanten (AWS Frankfurt) om te voldoen aan de AVG

Veiligheidsbeleid voor Personeel

We zorgen voor beveiligingsbewustzijn en verantwoordelijkheid binnen ons team gedurende de gehele loopbaan van een werknemer.

Organisatiestructuur

  • Organisatieschema visualiseert de bedrijfsstructuur, elk kwartaal bijgewerkt

  • Gedocumenteerde rollen en verantwoordelijkheden duidelijk gedefinieerd (RACI-model voor klein team)

  • Functieomschrijvingen documenteren beveiligingsgerelateerde vereisten voor werving

Werving & Onboarding

  • Gedocumenteerde wervingsprocedures zorgen voor gescreende medewerkers en verminderen insider-risico's

  • Arbeidscontracten bevatten NDA- en vertrouwelijkheidsclausules om intellectueel eigendom te beschermen

  • Beveiligings-onboarding omvat MFA-instelling en training over het beveiligingsbeleid

  • Training over beveiligingsbewustzijn voltooid door alle medewerkers

Doorlopend Beheer

  • Jaarlijkse functioneringsgesprekken ondersteunen vaardigheidsontwikkeling en beveiligingsbewustzijn

  • Beleidshandhaving—werknemers die het beveiligingsbeleid schenden, krijgen te maken met gedocumenteerde sancties

  • Incidentrapportage via ticketsysteem of support-e-mail voor beveiligingszorgen

Offboarding

  • Gedocumenteerde offboarding-procedures garanderen het uitschakelen van accounts en intrekken van toegang (kritiek voor super-admin rollen)

AI-specifieke Competenties

  • Competenties van AI-personeel vastgesteld en gewaarborgd door training of werving

  • Documentatie van AI-bronnen houdt teamvaardigheden en bijdragen bij

  • Bewustzijn van AI-beleid—personeel begrijpt hun rol in verantwoorde AI-ontwikkeling

Operationeel Beveiligingsbeleid

We handhaven de operationele beveiliging door middel van monitoring, incidentrespons en continue verbetering.

Infrastructuuroperaties

  • Netwerkarchitectuurdiagram bijgehouden en jaarlijks bijgewerkt

  • Logging van infrastructuurwijzigingen voor audit trails en wijzigingsbeheer

  • NTP-synchronisatie dagelijks voor nauwkeurige tijdstempels in logs

  • Driemaandelijkse OS-updates voor servers via serverless automatisering

  • Gecentraliseerde log-aggregatie via Sentry, waarbij gebruikers-ID's (alleen UUID) in productie worden vastgelegd voor foutcorrelatie

  • 30 dagen logretentie voor applicatieproductielogs

Dreigingsbeheer

  • WAF-bescherming voor productieapplicaties (Vercel-equivalent)

  • Jaarlijkse penetratietesten van de productieomgeving

  • Actieve dreigingsmonitoring voor cloudinfrastructuur via Semgrep en Sentry

  • Real-time monitoring via Sentry voor proactieve reacties

  • Geautomatiseerde waarschuwingen voor beveiligingsincidenten

Incidentrespons

  • Formeel incidentresponsplan voor kritieke en beveiligingsproblemen

  • Slack-waarschuwingen voor onmiddellijke melding van productie-uitval

  • Geschiedenis van incidentbeoordelingen bijgehouden in een centrale repository voor geleerde lessen

  • Delen van beveiligingsgebeurtenissen met relevante partijen voor transparantie

  • NIS2-naleving: significante cyberbeveiligingsincidenten worden gemeld aan autoriteiten (vroege waarschuwing binnen 24 uur, incidentmelding zonder onnodige vertraging, eindrapportage binnen een maand)

E-mailbeveiliging

  • SPF, DKIM, DMARC protocollen beveiligen e-mailservers

  • Beveiligingsfilters voor bescherming tegen spam en malware

Communicatie & Transparantie

  • Self-service portaal biedt productdocumentatie aan gebruikers

  • Openbare website beschrijft duidelijk functies en voordelen

  • E-mail voor beveiligingsrapportage voor gecoördineerde melding van kwetsbaarheden

  • Trust Center details over beveiligingspraktijken en nalevingscertificeringen

  • Openbare statuspagina communiceert servicestatus en incidenten (gepland)

Risicobeperking

  • Cyberverzekering beschermt de bedrijfsvoering tegen de financiële gevolgen van beveiligingsincidenten

AI-operaties

  • Monitoring van AI-systemen voor prestaties en fouten, met herstel via hertraining, codefixes of updates

  • AI-gebeurtenislogboek in belangrijke fasen van de levenscyclus met uitgebreide archivering

Beleid voor Fysieke Beveiliging

We beschermen fysieke activa en infrastructuur via passende beveiligingscontroles.

  • Beveiliging van datacenters vertrouwt op gecertificeerde providers (Supabase/Vercel met ISO 27001, SOC 2 Type II certificeringen)

  • Dreigingsbeperking voor fysieke locaties (brandblussers, etc.) als onderdeel van de risicobeoordeling

  • Fysieke beveiligingsmaatregelen geïmplementeerd voor eventuele fysieke activa

  • Toegangscontrole voor kantoor via badge- of sleutelsysteem (indien van toepassing)

  • Bezoekersregistratie in een digitaal systeem voor het volgen van kantoortoegang

Risicobeheerbeleid

We identificeren, beoordelen en behandelen systematisch risico's voor onze informatiebeveiliging en AI-systemen.

Algemeen Risicobeheer

  • Jaarlijkse risicobeoordelingen of indien nodig identificeren en evalueren beveiligingsdreigingen

  • DPIA (Data Protection Impact Assessments) voor verwerkingsactiviteiten van persoonsgegevens met een hoog risico

AI-risicobeheer

  • Jaarlijkse identificatie van AI-risico's voor het AI-beheersysteem

  • Risicobeoordeling van het AI-systeem met gebruik van waarschijnlijkheids- en impactscores

  • Risicobehandeling door controles toe te passen, risico's te accepteren, over te dragen of te vermijden

  • Impactbeoordelingen op individuen en de samenleving met gedocumenteerde resultaten voor risicobeoordelingen

  • Beoordelingen met geplande intervallen of geactiveerd door wijzigingen met gedocumenteerde resultaten

  • Risicobehandelingsplannen geïmplementeerd, geverifieerd en bijgewerkt met documentatie

Beleid voor Derden

We beoordelen en beheren beveiligingsrisico's van externe leveranciers en dienstverleners.

  • Jaarlijkse leveranciersbeoordelingen voor externe leveranciers zoals OpenAI en ConvertAPI

  • Verantwoordelijkheden in de AI-levenscyclus toegewezen tussen organisatie, partners, leveranciers, klanten en derden

  • Beoordeling van leveranciers op AI-afstemming vóór gebruik van diensten, producten of materialen

  • Integratie van klantbehoeften in de aanpak voor verantwoorde AI

  • Beoordeling van cyberbeveiligingsrisico's in de toeleveringsketen inclusief beveiligingsafhankelijkheden en mitigatiemaatregelen

We hebben Zero Data Retention (ZDR) overeenkomsten ontwikkeld met AI-providers zoals Mistral om de gegevensbescherming te verbeteren en de verantwoordelijkheden van derden te verduidelijken.

AI-beheerbeleid

We sturen onze AI-systemen aan via een uitgebreid beheerskader dat is afgestemd op ISO 42001.

AI-beheersysteem

  • Externe en interne kwesties die relevant zijn voor AI-systemen worden vastgesteld en gedocumenteerd

  • Belanghebbenden geïdentificeerd samen met hun vereisten

  • Grenzen en toepasbaarheid van het AI-beheersysteem gedefinieerd

  • Continue verbetering van het AI-beheersysteem

  • Betrokkenheid van het topmanagement aangetoond (door CEO geleide "practice what we preach" aanpak)

AI-beleidskader

  • Gedocumenteerd AI-beleid dat het kader biedt voor doelstellingen en verbetering

  • Beleidsafstemming met ander organisatorisch beleid

  • Beoordelingen van het AI-beleid met geplande intervallen

  • Meetbare AI-doelstellingen consistent met het beleid, gemonitord en bijgewerkt (bijv. metriek voor het verminderen van hallucinaties)

Wijzigingen in het AI-systeem

  • Geplande wijzigingen in het AI-beheersysteem systematisch uitgevoerd (bijv. toevoegen van nieuwe AI-providers)

  • Toewijzing van middelen voor het AI-beheersysteem vastgesteld en verstrekt

  • Communicatiekader voor interne en externe AI-systeemcommunicatie (inclusief Trust Center)

  • Documentbescherming voor informatie over het AI-beheersysteem

AI-procesbeheer

  • Op vereisten gebaseerde processen gepland, geïmplementeerd en gecontroleerd

  • Prestatiebewaking en evaluatie met bewijsretentie

  • Interne audits met geplande intervallen

  • Managementbeoordelingen voor de geschiktheid van het AI-beheersysteem

  • Corrigerende maatregelen voor afwijkingen met documentatie

Beleid voor AI-impactbeoordeling

We evalueren de mogelijke gevolgen van onze AI-systemen voor individuen en de samenleving.

  • Jaarlijkse impactbeoordelingen van de gevolgen van het AI-systeem voor individuen en samenlevingen

  • Gedocumenteerde resultaten bewaard voor nalevings- en auditdoeleinden

  • Evaluatie van impact op individuen/groepen rekening houdend met de privacy van gebruikers en mogelijke vooroordelen

  • Maatschappelijke impactbeoordeling in lijn met de EU AI Act en bredere ethische overwegingen

Beleid voor de AI-levenscyclus

We beheren AI-systemen op verantwoorde wijze, van ontwerp tot uitrol en gebruik.

Ontwikkelingsdoelstellingen

  • Doelstellingen voor verantwoorde AI geïdentificeerd, gedocumenteerd en geïntegreerd in RAG-ontwikkeling

  • Richtlijnen voor verantwoordelijkheid gevolgd bij ontwerp en ontwikkeling om hallucinaties te verminderen

Ontwerp & Ontwikkeling

  • Specificatie van vereisten voor AI-systemen gedocumenteerd

  • Ontwerpdocumentatie gebaseerd op doelstellingen en vereisten

  • Verificatie en validatie via regressietesten vóór uitrol

  • Op vereisten gebaseerde uitrol—systemen worden pas uitgerold nadat aan de vereisten is voldaan

  • Technische documentatie verstrekt aan relevante partijen (team en gebruikers)

Gebruik & Informatie

  • Gebruikersinformatie vastgesteld en verstrekt (gebruikershandleidingen die beperkingen uitleggen)

  • Rapportage van nadelige gevolgen mogelijkheden geboden voor gebruikersfeedback

  • E-mailmeldingen voor AI-incidenten om vertrouwen op te bouwen

  • Rapportageverplichtingen aan belanghebbenden vastgesteld en gedocumenteerd

  • Richtlijnen voor verantwoord gebruik gevolgd voor AI-systemen

  • Gebruiksdoelen voor verantwoorde AI geïdentificeerd en gedocumenteerd

  • Monitoring van het beoogde doel waarborgt op naleving gericht gebruik

Updates & Beoordelingen van het Beleid

Deze beleidslijnen worden regelmatig herzien en bijgewerkt om in lijn te blijven met onze evoluerende beveiligingsstatus, nalevingsvereisten en operationele praktijken. Belangrijke wijzigingen worden via passende kanalen aan belanghebbenden gecommuniceerd.

Ons beveiligingsbeleid weerspiegelt onze toewijding om te doen wat we verkondigen als een op naleving gericht SaaS-platform. We implementeren dezelfde robuuste beveiligingscontroles die we onze klanten helpen te bereiken.

Gerelateerde Bronnen

Was dit nuttig?