ISMS Copilot
AI-veiligheid

Hoe u ISMS Copilot verantwoord gebruikt

Overzicht

Verantwoord gebruik van AI-tools vereist inzicht in hun mogelijkheden, beperkingen en passende toepassingen. Deze gids biedt praktische best practices voor het effectief en ethisch gebruik van ISMS Copilot in uw compliance-werk.

Voor wie is dit bedoeld

Dit artikel is voor:

  • Compliance-professionals die AI voor het eerst gebruiken

  • Teams die beleid voor AI-governance opstellen

  • Consultants die meerdere klantprojecten beheren

  • Iedereen die de waarde van AI wil maximaliseren en risico's wil minimaliseren

Kernprincipes van verantwoord AI-gebruik

1. AI als assistent, niet als vervanging

De juiste mindset:

  • Zie ISMS Copilot als een deskundige junior consultant

  • Het levert concepten en suggesties, geen definitieve eindproducten

  • Menselijke expertise, oordeelsvorming en beoordeling blijven essentieel

  • AI versnelt het werk, maar vervangt professionele verantwoordelijkheid niet

Het meest effectieve gebruik van ISMS Copilot combineert AI-efficiëntie met menselijke expertise. Laat AI het conceptwerk en onderzoek afhandelen, terwijl u zich richt op strategisch denken, maatwerk en kwaliteitsborging.

2. Verifieer voordat u vertrouwt

Valideer altijd:

  • Controlenummers en citaten uit frameworks

  • Wettelijke vereisten en compliance-mandaten

  • Technische specificaties en implementatiedetails

  • Statistieken, tijdlijnen en kwantitatieve claims

Verificatiebronnen:

  • Officiële normen (ISO 27001:2022, SOC 2-criteria, etc.)

  • Regelgevende richtlijnen

  • Sector-frameworks en gidsen voor best practices

  • Juridische en compliance-experts

3. Context is alles

AI heeft uw organisatorische context nodig:

  • Sector en regelgevend milieu

  • Omvang en complexiteit van de organisatie

  • Huidig ISMS-volwassenheidsniveau

  • Risicotolerantie en bedrijfsdoelstellingen

  • Beschikbare middelen en tijdlijn

Generieke AI-antwoorden zonder organisatorische context passen mogelijk niet bij uw specifieke situatie. Pas AI-gegenereerde inhoud altijd aan uw omgeving aan voordat u deze implementeert.

4. Transparantie in AI-gebruik

Wees open over het gebruik van AI:

  • Maak AI-ondersteund werk kenbaar aan klanten wanneer dat passend is

  • Documenteer AI-gebruik in uw compliance-processen

  • Neem AI-tools op in uw gegevensverwerkingsovereenkomsten

  • Train uw team in het juiste gebruik en de beperkingen van AI

Best practices voor het stellen van vragen

Wees specifiek en gedetailleerd

In plaats van vage vragen:

  • ❌ "Vertel me over ISO 27001"

  • ❌ "Hoe doe ik aan toegangscontrole?"

  • ❌ "Wat is SOC 2?"

Stel specifieke, gecontextualiseerde vragen:

  • ✓ "Hoe implementeer ik ISO 27001:2022 controle 5.15 (Toegangsbeheer) voor een SaaS-bedrijf met 50 medewerkers?"

  • ✓ "Welk bewijsmateriaal heb ik nodig voor SOC 2 CC6.1 (Logische en fysieke toegangscontroles) voor onze in AWS gehoste applicatie?"

  • ✓ "Wat zijn de belangrijkste stappen om een AVG-conform gegevensbewaarbeleid op te stellen voor klantenservicegegevens?"

Hoe specifieker uw vraag, hoe nauwkeuriger en nuttiger de reactie van de AI. Vermeld framework-versies, controlenummers, uw sector en de omvang van de organisatie voor de beste resultaten.

Zorg voor relevante context

Nuttige context om te vermelden:

  • Organisatieprofiel: "Wij zijn een SaaS-bedrijf in de gezondheidszorg met 200 medewerkers..."

  • Huidige staat: "We implementeren ISO 27001 voor de eerste keer..."

  • Specifiek doel: "We moeten ons voorbereiden op onze Stage 2-audit over 3 maanden..."

  • Beperkingen: "We hebben beperkt IT-beveiligingspersoneel en een klein budget..."

  • Framework-versie: "We werken met ISO 27001:2022, niet de versie uit 2013..."

Splits complexe vragen op

In plaats van één enorme vraag:

❌ "Hoe implementeer ik ISO 27001 vanaf nul inclusief risicobeoordeling, controles, beleid, procedures en bereid ik me voor op certificering?"

Splits op in gerichte vragen:

  1. "Wat zijn de belangrijkste fasen van een ISO 27001-implementatie voor een organisatie die dit voor het eerst doet?"

  2. "Hoe voer ik een ISO 27001-risicobeoordeling uit voor een cloudgebaseerd SaaS-platform?"

  3. "Welke beleidsregels zijn vereist voor ISO 27001:2022-certificering?"

  4. "Welk bewijsmateriaal moet ik voorbereiden voor een ISO 27001 Stage 2-audit?"

Vraag om uitleg, niet alleen om antwoorden

Vragen die begrip bevorderen:

  • "Leg het verschil uit tussen ISO 27001 controles 5.15 en 8.2"

  • "Waarom is functiescheiding belangrijk voor SOC 2-compliance?"

  • "Wat is de ratio achter het principe van dataminimalisatie van de AVG?"

  • "Neem me mee door de logica van de besluitvorming bij risicobehandeling in ISO 27001"

Voordelen:

  • Verdiept uw begrip van compliance-concepten

  • Helpt u vereisten uit te leggen aan stakeholders

  • Maakt betere aanpassing aan uw organisatie mogelijk

  • Maakt u een effectievere compliance-professional

Best practices voor documentgeneratie

Gebruik AI voor eerste concepten

Goede use cases voor AI-concepten:

  • Sjablonen voor beleid en procedures

  • Frameworks voor risicobeoordeling

  • Gidsen voor controle-implementatie

  • Documentatie voor gap-analyse

  • Checklists voor auditvoorbereiding

Workflow:

  1. Genereren: Vraag ISMS Copilot om een conceptbeleid te maken

  2. Beoordelen: Controleer op nauwkeurigheid, volledigheid en relevantie

  3. Aanpassen: Pas aan de specifieke context van uw organisatie aan

  4. Verbeteren: Voeg organisatie-specifieke details en voorbeelden toe

  5. Valideren: Laat een compliance-expert of auditor de tekst beoordelen

  6. Goedkeuren: Definitieve ondertekening door de bevoegde autoriteit

Dien nooit door AI gegenereerd beleid rechtstreeks in bij auditors zonder beoordeling en aanpassing. Generieke sjablonen zijn een 'red flag' bij audits en voldoen mogelijk niet aan uw specifieke compliance-eisen.

Aanpassen aan uw organisatie

Onderdelen die aanpassing vereisen:

  • Rollen en verantwoordelijkheden: Daadwerkelijke functietitels en namen

  • Technische omgeving: Specifieke systemen, tools en platforms

  • Bedrijfsprocessen: Hoe uw organisatie daadwerkelijk werkt

  • Risicoprofiel: Uw specifieke bedreigingen, kwetsbaarheden en risicobereidheid

  • Wettelijke vereisten: Sectorspecifieke of jurisdictiespecifieke regels

Voorbeeld van aanpassing:

AI-gegenereerd (generiek):

"De Information Security Manager is verantwoordelijk voor het toezicht op toegangscontroleprocessen."

Aangepast (specifiek):

"De Chief Information Security Officer (CISO), Jan de Vries, delegeert het toezicht op toegangscontrole aan de IT Operations Manager, die Okta gebruikt voor identiteitsbeheer en wekelijks toegangslogs beoordeelt via Splunk."

Voeg bewijsmateriaal en implementatiedetails toe

Transformeer AI-beleid in audit-waardige documentatie:

  • Voeg specifieke toolnamen toe (bijv. "gebruikmakend van Vanta voor compliance-automatisering")

  • Vermeld locaties van bewijsmateriaal (bijv. "toegangslogs opgeslagen in S3-bucket: company-audit-logs")

  • Verwijs naar gerelateerde procedures (bijv. "Zie SOP-001: Gebruikersonboarding-proces")

  • Documenteer beoordelingscycli (bijv. "Beleid wordt driemaandelijks beoordeeld door het Security Committee")

  • Link naar compliance-artefacten (bijv. "Risicoregister bijgehouden in Jira Security-project")

Best practices voor bestandsuploads

Wat te uploaden

Goede documenten om te analyseren:

  • Bestaand beleid voor gap-analyse

  • Risicobeoordelingen voor beoordeling en verbetering

  • Auditrapporten voor herstelplanning

  • Controle-matrices voor volledigheidscontroles

  • Beveiligingsvragenlijsten van leveranciers voor het opstellen van antwoorden

Bestandseisen:

  • Maximaal 10 MB voor eenvoudige bestanden (TXT, CSV, JSON), 5 MB voor converteerbare bestanden (PDF, DOC, DOCX, XLS, XLSX)

  • Ondersteunde formaten: PDF, DOCX, DOC, XLSX, XLS, TXT, CSV, JSON

  • Eén bestand tegelijk

Overwegingen bij gegevensgevoeligheid

Vóór het uploaden van gevoelige gegevens:

  1. Beoordeel welke persoonlijke of vertrouwelijke informatie het document bevat

  2. Overweeg namen van klanten, details van werknemers of bedrijfseigen informatie te anonimiseren

  3. Houd er rekening mee dat geüploade bestanden worden bewaard op basis van uw instellingen voor gegevensbewaring

  4. Gebruik workspaces om gegevens van verschillende klanten te scheiden

Overweeg voor zeer gevoelige documenten om een geschoonde versie te maken waarbij klantnamen zijn vervangen door tijdelijke aanduidingen (bijv. "Klant A") voordat u deze uploadt. Dit beschermt de vertrouwelijkheid terwijl nuttige AI-analyse nog steeds mogelijk is.

Wat NIET te uploaden

Vermijd het uploaden van:

  • ISO-normen met auteursrecht of bedrijfseigen frameworks (AI zal deze niet verwerken — zie ons beleid voor naleving van intellectueel eigendom)

  • Ruwe bestanden met inloggegevens of wachtwoorden

  • Ongeanonimiseerde PII (persoonsgegevens) of gevoelige persoonsgegevens

  • Klantgegevens zonder de juiste contractuele overeenkomsten

  • Documenten die bedrijfsgeheimen bevatten, tenzij noodzakelijk

Best practices voor workspace-beheer

Organiseer per project of klant

Aanbevolen workspace-structuur:

  • Voor consultants: Eén workspace per klant

  • Voor organisaties: Eén workspace per framework of initiatief

  • Voor projecten met meerdere fasen: Aparte workspaces voor planning, implementatie en auditvoorbereiding

Voorbeeldnamen voor workspaces:

  • "Klant A - ISO 27001:2022 Implementatie"

  • "SOC 2 Type II Auditvoorbereiding Q1 2024"

  • "AVG-naleving - HR Afdeling"

  • "Risicobeoordeling - Cloudinfrastructuur"

Gebruik Custom Instructions effectief

Goede aangepaste instructies:

  • "Focus op ISO 27001:2022-controles. Wij zijn een SaaS-bedrijf in de gezondheidszorg dat onder HIPAA valt."

  • "We bereiden ons voor op een SOC 2 Type II-audit. Leg de nadruk op bewijsverzameling en documentatie."

  • "Dit is een kleine startup (20 medewerkers) met beperkte beveiligingsmiddelen. Geef voorrang aan praktische, kosteneffectieve controles."

Instructies die niet werken:

  • ❌ Proberen veiligheidsbeperkingen te omzeilen

  • ❌ Verzoeken om inhoud die niet voldoet aan compliance

  • ❌ Vragen om auteursrechtelijke bescherming te negeren

Aangepaste instructies helpen de AI om alle antwoorden binnen een workspace af te stemmen op uw specifieke projectbehoeften. Dit vermindert repetitieve contextbepaling en verbetert de relevantie van de antwoorden.

Schoon afgeronde workspaces op

Wanneer workspaces verwijderen:

  • Project of opdracht is voltooid

  • Bewaarperiode voor gegevens van die klant is verstreken

  • Klantcontract vereist gegevensverwijdering

  • Workspace is gemaakt voor testen of experimenten

Vóór het verwijderen:

  1. Exporteer belangrijke gesprekken of documentatie

  2. Archiveer relevante informatie in uw compliance-beheersysteem

  3. Controleer of u de workspace niet nodig heeft voor toekomstig gebruik

  4. Verwijder de workspace om gegevenshygiëne te behouden

Best practices voor gegevensbewaring

Het instellen van passende bewaarperioden

Overweeg:

  • Wettelijke vereisten: Wettelijke bewaartermijnen voor uw sector

  • Contractuele verplichtingen: Overeenkomsten met klanten over gegevensbewaring

  • Bedrijfsbehoeften: Hoe lang u de gespreksgeschiedenis nodig heeft voor referentie

  • Risicoprofiel: Balans tussen bruikbaarheid van gegevens en minimalisering van blootstelling

Aanbevolen bewaarperioden:

Use Case

Aanbevolen bewaring

Ratio

Kortlopende adviesprojecten

90-180 dagen

Bewaar gegevens tot voltooiing project plus buffer

Jaarlijkse compliance-audits

365-730 dagen

Bewaar bewijsmateriaal tot de volgende auditcyclus

Zeer gevoelig werk

30 dagen

Minimaliseer de blootstellingstijd voor vertrouwelijke gegevens

Organisatorische kennisbank

Voor altijd bewaren

Bouw institutionele compliance-kennis op

ISO 27001-implementatie

2-3 jaar

Dekt certificering plus eerste surveillance-audit

Exporteren vóór vervaldatum

Voor belangrijke gesprekken:

  1. Kopieer de inhoud van het gesprek voordat de bewaarperiode afloopt

  2. Sla op in uw compliance-beheersysteem of documentatie-repository

  3. Voeg relevante metadata toe (datum, workspace, context)

  4. Volg de procedures voor archiefbeheer van uw organisatie

Gegevensverwijdering is automatisch en permanent. Stel agenda-herinneringen in om waardevolle gesprekken te exporteren voordat ze verlopen op basis van uw bewaarinstellingen.

Passend gebruik van Temporary Chat

Wanneer Temporary Chat te gebruiken

Goede use cases:

  • Snelle eenmalige vragen die geen permanente opslag nodig hebben

  • Verennend onderzoek voordat u zich vastlegt op een workspace

  • Gevoelige discussies die u niet in de permanente geschiedenis wilt hebben

  • Testen hoe u complexe vragen formuleert

Niet geschikt voor:

  • Belangrijk projectwerk waarnaar u later moet verwijzen

  • Genereren van documentatie voor audits

  • Opbouwen van een organisatorische kennisbank

  • Werk dat u mogelijk nodig heeft als bewijs van compliance-activiteit

Onthoud de veiligheidsperiode van 30 dagen

Belangrijke beperking:

Zelfs tijdelijke chats kunnen tot 30 dagen worden bewaard voor veiligheidsmonitoring en preventie van misbruik.

Wat dit betekent:

  • Tijdelijke chat is niet volledig vluchtig

  • Gegevens kunnen worden ingezien als er zorgen over de veiligheid ontstaan

  • Nog steeds onderworpen aan gegevensverwerkingsovereenkomsten

  • Gebruik reguliere workspaces als u volledige controle over de bewaring wilt

Ethische overwegingen

Vertrouwelijkheid van de klant

Bescherm klantgegevens:

  • Gebruik aparte workspaces voor verschillende klanten

  • Anonimiseer klantnamen in documenten waar mogelijk

  • Neem AI-gebruik op in uw klantcontracten en NDA's

  • Stel bewaarperioden in die voldoen aan de overeenkomsten met de klant

  • Informeer klanten als u AI-tools gebruikt voor hun werk

  • Schakel de 'Advanced Data Protection Mode' in wanneer klantcontracten verwerking van gegevens uitsluitend in de EU of nul bewaring door de AI-provider vereisen

Sommige klantcontracten kunnen het gebruik van AI-tools of diensten van derden verbieden. Controleer altijd uw contractuele verplichtingen voordat u klantgegevens uploadt naar ISMS Copilot.

Verduidelijk bij het onderhandelen over klantcontracten uw gebruik van AI-tools en de mogelijkheid om de 'Advanced Data Protection Mode' in te schakelen voor verwerking uitsluitend in de EU met nul bewaring. Dit toont uw inzet voor gegevensprivacy aan en kan een concurrentievoordeel zijn.

Naamsvermelding en openbaarmaking

Bij het leveren van werk aan klanten:

  • Wees transparant over AI-ondersteuning bij het maken van deliverables

  • Benadruk uw deskundige beoordeling en aanpassing

  • Claim AI-gegenereerde inhoud niet als puur origineel werk

  • Leg uit hoe AI de efficiëntie heeft verhoogd zonder de kwaliteit in gevaar te brengen

Overmatige afhankelijkheid voorkomen

Waarschuwingssignalen van overmatige afhankelijkheid:

  • AI-antwoorden accepteren zonder verificatie

  • De deskundige beoordeling van AI-gegenereerde documenten overslaan

  • AI gebruiken als vervanging voor het leren van compliance-frameworks

  • AI-inhoud leveren zonder aanpassing

  • Kritieke beslissingen uitsluitend baseren op AI-advies

Behoud professionele competentie:

  • Blijf leren over frameworks en normen

  • Houd contact met de compliance-community en opinieleiders

  • Neem deel aan trainingen en certificeringsprogramma's

  • Lees officiële normen en wettelijke richtlijnen

  • Ontwikkel expertise buiten AI-ondersteund werk

Teamtraining en governance

AI-gebruiksbeleid vaststellen

Belangrijkste beleidselementen:

  1. Goedgekeurde use cases: Waar AI wel en niet voor gebruikt mag worden

  2. Beoordelingsvereisten: Wie AI-gegenereerde inhoud moet beoordelen

  3. Verificatienormen: Hoe de AI-output te valideren

  4. Gegevensverwerking: Welke gegevens geüpload mogen worden en hoe

  5. Kendalstelling aan de klant: Wanneer en hoe klanten informeren over AI-gebruik

  6. Documentatie: Hoe AI-ondersteuning in werkproducten vast te leggen

Uw team trainen

Essentiële trainingsonderwerpen:

  • Hoe ISMS Copilot werkt en wat de beperkingen zijn

  • Het herkennen en rapporteren van hallucinaties

  • Effectieve prompting-technieken

  • Vereisten voor verificatie en aanpassing

  • Overwegingen bij gegevensgevoeligheid en privacy

  • Beheer van workspaces en bewaring

  • Principes voor ethisch AI-gebruik

Processen voor kwaliteitsborging

Implementeer controlepunten:

  1. AI-concept: Initiële AI-gegenereerde inhoud

  2. Eerste beoordeling: Domeinexpert verifieert nauwkeurigheid

  3. Aanpassing: Aanpassen aan organisatorische context

  4. Tweede beoordeling: Compliance-lead controleert volledigheid

  5. Definitieve goedkeuring: Geautoriseerde beoordelaar tekent af

  6. Audit Trail: Documenteer beoordeling en goedkeuring

Effectiviteit meten

AI-waarde bijhouden

Overweeg deze statistieken:

  • Bespaarde tijd bij het opstellen van beleid

  • Vermindering van cycli voor compliance-voorbereiding

  • Aantal auditbevindingen (om te zorgen dat de kwaliteit niet achteruitgaat)

  • Tevredenheid van het team over AI-ondersteuning

  • Feedback van klanten over de kwaliteit van de deliverables

Continue verbetering

Verfijn uw aanpak:

  • Documenteer effectieve prompts en vragen

  • Deel best practices binnen uw team

  • Houd hallucinaties bij en rapporteer ze om het systeem te verbeteren

  • Update het AI-gebruiksbeleid op basis van ervaringen

  • Pas bewaring- en workspace-strategieën aan waar nodig

Checklist voor verantwoord AI-gebruik

Vóór het gebruik van AI

  • ✓ Begrijp het AI-gebruiksbeleid van uw organisatie

  • ✓ Controleer klantcontracten op beperkingen voor AI-tools

  • ✓ Plan voor verificatie- en beoordelingsprocessen

  • ✓ Stel passende bewaarperioden voor gegevens in

  • ✓ Maak workspaces voor verschillende projecten/klanten

Tijdens het gebruik van AI

  • ✓ Zorg voor specifieke, gecontextualiseerde vragen

  • ✓ Beoordeel antwoorden op nauwkeurigheid en relevantie

  • ✓ Pas AI-output aan voor uw organisatie

  • ✓ Vergelijk met officiële normen

  • ✓ Behoud uw professionele oordeelsvorming

Na het gebruik van AI

  • ✓ Laat een expert de AI-gegenereerde inhoud beoordelen

  • ✓ Documenteer AI-ondersteuning in werkproducten

  • ✓ Rapporteer hallucinaties of veiligheidszorgen

  • ✓ Archiveer belangrijke gesprekken vóór ze verlopen

  • ✓ Verwijder voltooide workspaces op de juiste manier

Wat nu

  • Leer meer over AI-veiligheidsmaatregelen en beperkingen

  • Begrijp hoe u hallucinaties kunt identificeren en voorkomen

  • Start uw eerste gesprek volgens de best practices

  • Stel workspaces in om uw werk te organiseren

Hulp krijgen

Voor vragen over verantwoord AI-gebruik:

  • Bezoek het Trust Center voor richtlijnen over AI-governance

  • Neem contact op met support via het menu in het Help Center

  • Meld veiligheidszorgen of ongepast gedrag van de AI

  • Deel feedback over AI-effectiviteit en bruikbaarheid

Was dit nuttig?