ISMS Copilot
Beveiliging

Beveiligingsbeleid

Deze pagina documenteert het beveiligingsbeleid dat formeel is aangenomen door ISMS Copilot 2.0 als onderdeel van ons Information Security Management System (ISMS). Dit beleid ondersteunt onze naleving van de ISO 27001-, SOC 2- en ISO 42001-normen en weerspiegelt onze toewijding aan verantwoorde AI-ontwikkeling en gegevensbescherming.

Dit beleid stuurt onze interne operaties en technische implementatie aan. Voor details over hoe we je gegevens in de praktijk beschermen, zie ons Overzicht Beveiliging & Gegevensbescherming.

Toegangscontrolebeleid

We beschermen de toegang tot onze systemen en gegevens door middel van strikte authenticatie- en autorisatiecontroles.

Authenticatie & Autorisatie

  • Multi-factor authenticatie (MFA) is verplicht voor alle gebruikers die toegang hebben tot kritieke diensten

  • Toegangsrechten worden verleend volgens het principe van de minste privileges

  • Uniek geïdentificeerde accounts zijn vereist voor alle toegang tot de productieomgeving, geen gedeelde inloggegevens

  • Toegangsrechten van werknemers worden elk kwartaal geëvalueerd om te zorgen dat ze in lijn zijn met de huidige rollen

  • Wachtwoordbeheerders worden door alle teamleden gebruikt om inloggegevens en API-sleutels te beveiligen

Sessiebeheer

  • Limieten voor sessieduur en vereisten voor herauthenticatie worden afgedwongen

  • Beveiligde verbindingen via TLS zijn vereist voor alle toegang tot de productieomgeving

  • Toegang tot databases is beperkt tot uitsluitend interne netwerken

Levenscyclus van Toegang

  • Toegangsvoorziening wordt gecontroleerd op geschiktheid voor de rol voordat machtigingen worden verleend

  • Offboarding van werknemers volgt gedocumenteerde procedures waarbij accounts binnen 24 uur worden uitgeschakeld

  • Noodtoegang wordt verleend via break-glass accounts met verplichte logging en evaluatie na het incident

Onze rij-niveau beveiligingsarchitectuur garandeert volledige gegevensisolatie tussen klantaccounts, waardoor ongeoorloofde toegang wordt voorkomen, zelfs binnen onze infrastructuur.

Beleid voor Activabeheer

We houden een uitgebreide inventaris bij van en zorgen voor de bescherming van alle bedrijfsmiddelen, van apparaten van medewerkers tot bedrijfseigen kennisbanken.

Apparaatbeveiliging

  • Automatische schermvergrendeling is geconfigureerd op alle apparaten van medewerkers

  • Encryptie in rust beschermt gevoelige gegevens op apparaten van teamleden

  • Software-updates worden automatisch bijgehouden om blootstelling aan kwetsbaarheden te verminderen

  • Anti-malware software en geconfigureerde firewalls beschermen tegen dreigingen

  • Mobile Device Management (MDM) dwingt beveiligingsbeleid af op alle apparaten

  • Alleen ondersteunde besturingssystemen: apparaten moeten OS/software draaien met actieve ondersteuning van de leverancier

Gegevensverwerking

  • Verwijderbare opslagapparaten zijn verboden voor bedrijfsgegevens

  • Veilige wissing is vereist voordat een apparaat wordt verkocht, overgedragen of weggegooid

  • Alleen voor goedgekeurde taken: apparaten van medewerkers zijn beperkt tot geautoriseerd zakelijk gebruik

  • Veilige fysieke locaties zijn vereist bij externe toegang tot bedrijfsgegevens

Inventaris van Activa

  • Asset tracking onderhoudt een systematische inventaris van alle bedrijfsmiddelen, inclusief bedrijfseigen kennisbanken en broncode

  • Jaarlijkse beoordelingen waarborgen de nauwkeurigheid en relevantie van de inventaris

  • Veilige verwijderingsprocessen beschermen buiten gebruik gestelde activa tegen datalekken

AI-systeembronnen

  • AI-levenscyclusbronnen zijn geïdentificeerd en gedocumenteerd (LLM-providers, RAG-architectuurcomponenten)

  • Gegevensbronnen voor AI-systemen zijn gedocumenteerd (eigen kennisbank)

  • Tooling-bronnen zijn gedocumenteerd (Semgrep, Sentry)

  • Computing-bronnen zijn gedocumenteerd (Vercel, Supabase-infrastructuur)

Beleid voor Bedrijfscontinuïteit, Back-up & Herstel

We handhaven veerkracht door middel van gedocumenteerde noodherstelprocedures en geautomatiseerde back-upsystemen.

Herstel bij Rampen

  • Disaster Recovery Plan (DRP) wordt onderhouden, goedgekeurd door het management en jaarlijks bijgewerkt

  • Hersteldoelstellingen definiëren RTO (Recovery Time Objectives) en RPO (Recovery Point Objectives) voor alle kritieke systemen

  • Jaarlijkse tests valideren de noodherstelprocedures

  • Jaarlijkse beoordelingen evalueren de bedrijfscontinuïteit en redundantiestrategieën, vooral na grote wijzigingen zoals de toevoeging van AI-providers

Back-upvereisten

  • Continue back-ups van productiedatabases beschermen chatgeschiedenissen van klanten en geüploade bestanden, point-in-time herstel is geactiveerd

  • Minimale retentie van 7 dagen voor back-ups

  • Versleuteling voor alle back-ups in rust en tijdens transport via Supabase-encryptie

  • Beperkte toegang tot back-upsystemen met uitgebreide logging en monitoring

  • Halfjaarlijkse hersteltests valideren de integriteit van back-ups en herstelprocedures

  • Jaarlijkse failover-validatie voor redundantie en herstelmechanismen in meerdere regio's

Veerkracht van AI-providers

  • Circuit breaker monitoring volgt de status van de primaire AI-provider (Anthropic) via foutanalyse in een sliding window

  • Automatische failover naar back-up provider (OpenAI) wanneer de primaire provider last heeft van storingen of verminderde prestaties

  • Automatische hersteltests controleren de status van de primaire provider en herstellen de normale routering na herstel

  • Gebruikersmelding tijdens failover via permanente bannerwaarschuwingen terwijl de continuïteit van de service behouden blijft

  • Beperking voor EU-only modus: Gebruikers van Advanced Data Protection (exclusief Mistral AI) hebben geen failover vanwege de beschikbaarheid van slechts één EU-provider; we werken aan het toevoegen van een tweede EU-provider

  • Logging van failover-gebeurtenissen en evaluatie na incidenten voor continue verbetering

Gegevensbeheerbeleid

Wij gaan met gegevens om met strikte controles die in lijn zijn met de AVG en best practices voor gegevensbescherming.

Gegevenslevenscyclus

  • Datainventaris classificatiesysteem categoriseert alle gegevens (Openbaar, Intern, Vertrouwelijk, Geheim)

  • Veilige verwijdering op formeel verzoek of na het verstrijken van de bewaartermijn, ter ondersteuning van AVG-rechten

  • Dataminimalisatie—alleen gegevens die noodzakelijk zijn voor gedefinieerde doeleinden worden verzameld en bewaard

  • Rechtsgronden voor verwerking gedocumenteerd (toestemming, contract, wettelijke verplichting, gerechtvaardigd belang)

  • Registers van verwerkingsactiviteiten documenteren doeleinden, gegevenscategorieën, ontvangers, bewaartermijnen en beveiligingsmaatregelen

Encryptie & Transport

  • Minimaal TLS 1.2 (idealiter 1.3) voor alle externe HTTP-diensten via Vercel

  • HSTS-headers op productie-webapplicaties voorkomen protocol-downgrade aanvallen

  • AES-256 encryptie in rust voor alle productiedatabases via Supabase

AI-gegevensbeheer

  • Logging van gegevensverwerving houdt brondetails bij voor de inhoud van de eigen kennisbank

  • Provenance tracking van gegevens gedurende de gehele AI-levenscyclus zorgt voor traceerbaarheid in onze RAG-architectuur

  • Versiebeheer en toegangslogs beheren gegevens voor de ontwikkeling van AI-systemen

  • Gegevenskwaliteitscontroles tegen vastgestelde criteria vóór gebruik in AI-systemen

  • Goedgekeurde voorbereidingsmethoden standaardiseren RAG-verwerking voor consistente nalevingsbegeleiding

Gegevensbeschermingsrechten

  • Rechten van betrokkenen (inzage, verwijdering, correctie) worden vervuld binnen de wettelijk vereiste AVG-termijnen

  • Veilige verwijdering van buitengebruik gestelde activa waarop gevoelige gegevens zijn opgeslagen

  • Back-upbescherming—back-ups volgen dezelfde regels voor encryptie, retentie en toegang als productiegegevens

Voor uitgebreide details over onze praktijken voor gegevensverwerking, zie onze Gegevensprivacy & AVG-naleving documentatie.

Veilig Ontwikkelbeleid

Wij integreren beveiliging in onze ontwikkelingslevenscyclus, van codecommit tot productie-implementatie.

Broncodebeveiliging

  • Maak een speciale branch aan voor elke nieuwe ontwikkeling

  • Beveiligde standaard branches voorkomen force pushes naar repositories met productiecode

  • Pull request-vereisten—geen directe commits naar beveiligde branches

  • Verplichte code-review en goedkeuring vóór samenvoegen

  • Gestandaardiseerde commit-berichten verbeteren de traceerbaarheid en auditmogelijkheden

Beveiligingstesten

  • Geautomatiseerde tests worden uitgevoerd voor elke commit en pull request vóór samenvoegen

  • Secret scanning detecteert automatisch blootgestelde inloggegevens via Semgrep

  • Scanning op kwetsbaarheden in afhankelijkheden op alle bibliotheken van derden via Semgrep SCA

  • Container image scanning vóór implementatie (indien van toepassing)

  • DAST (Dynamic Application Security Testing) in staging-omgevingen

  • SAST (Static Application Security Testing) via Semgrep op alle codewijzigingen

  • Blokkeren van implementatie wanneer kritieke of ernstige kwetsbaarheden worden gedetecteerd

  • Jaarlijkse penetratietesten op productiesystemen

Ontwikkelingsworkflow

  • Werk niet aan nieuwe functies zolang belangrijke bugs nog invloed hebben op gebruikers

  • Functiespecifieke branches voor geïsoleerde ontwikkeling en testen

  • Staging-omgeving weerspiegelt de productie voor pre-productietesten

  • Lokaal testen vereist vóór het committen naar gedeelde branches

  • Gedocumenteerde SDLC (Software Development Lifecycle) stuurt ontwikkelingsprocessen aan

  • Issue-trackingsysteem voor het rapporteren en opvolgen van productbugs

  • Security scanning voert code reviews uit en identificeert beveiligingsproblemen

  • Unit- en integratietests vereist voor alle kritieke bedrijfslogica

Beveiligingscontroles

  • Security linters (ESLint) voorkomen onveilige codeerpatronen in TypeScript

  • Geautomatiseerde implementaties volgen herhaalbare, veilige procedures via Vercel

  • Continuous deployment pipelines voor goedgekeurde codewijzigingen

  • VCS-toegang volgt het minste privilege met verplichte MFA

  • Rotatie van inloggegevens wordt onmiddellijk uitgevoerd bij detectie van gelekte inloggegevens

  • Beveiligde kluizen beheren geheimen in CI/CD- en ontwikkelomgevingen

  • Activiteitslogging in versiebeheersystemen (GitHub audit logs)

Applicatiebeveiliging

  • CORS-beleid correct geconfigureerd om ongeoorloofde toegang te beperken

  • CSP-headers (Content Security Policy) voorkomen XSS- en injectie-aanvallen

  • Cookie-beveiliging—HttpOnly en Secure flags via Supabase Auth

  • CSRF-bescherming op alle statusveranderende bewerkingen

  • Certificate pinning voor kritieke API-verbindingen

  • Beveiliging van foutmeldingen—interne fouten worden afgehandeld door Sentry en niet aan gebruikers getoond

  • SQL-injectiebescherming via geparametriseerde queries en ORM's in Supabase PostgreSQL

  • XSS-bescherming via input-sanitatie en output-encoding

  • Validatie van invoer op type, formaat, lengte en bereik vóór verwerking

  • Rate limiting op kritieke eindpunten (authenticatie, AI-query's)

  • Webhook-beveiliging via handtekeningverificatie en authenticatie

Gegevensbescherming in Code

  • Geen wachtwoorden in platte tekst—versleuteling op database-rijniveau

  • Alleen ondersteunde afhankelijkheden—geen verouderde of niet-ondersteunde bibliotheken in productie

  • Geëxternaliseerde configuratie—geen hardgecodeerde geheimen in de applicatiecode

  • Migraties onder versiebeheer voor wijzigingen in het databaseschema

  • Geen gevoelige logging—inloggegevens en PII worden nooit gelogd

  • Geheugenveilige talen (TypeScript) hebben de voorkeur voor nieuwe ontwikkelingen

Licenties & Compliance

  • Alleen gelicentieerde software—goed gelicentieerde, goedgekeurde en betaalde tools zijn vereist

  • Geen copyleft-licenties (GPL v3) om bedrijfseigen code te beschermen

  • Automated license checking in CI/CD-pipelines via Semgrep

  • Communicatie over wijzigingen naar interne belanghebbenden en externe gebruikers voor grote updates

  • Kwaliteitsborgingsprocessen voor alle productiereleases

Onze Semgrep-integratie scant automatisch elke codewijziging op kwetsbaarheden, blootgestelde geheimen en licentie-complianceproblemen vóór de implementatie.

Beleid voor Veilige Infrastructuur

Onze cloud-native infrastructuur implementeert defense-in-depth met geautomatiseerde beveiligingscontroles.

Netwerkbeveiliging

  • Web Application Firewall (WAF)-bescherming via Vercel voor alle applicaties die verbonden zijn met het internet

  • Alleen versleutelde protocollen (TLS, SSH) voor alle externe verbindingen

  • Netwerksegmentatie isoleert productie-, staging- en ontwikkelomgevingen in serverloze architectuur

  • Firewallregels geconfigureerd met het minste privilege (deny-by-default) via Vercel

  • DDoS-bescherming ingeschakeld voor internetgerichte bronnen via Vercel

  • Minimaal TLS 1.2 voor alle versleutelde communicatie

  • Direct TLS heeft de voorkeur boven STARTTLS voor versleutelde verbindingen

  • DNSSEC ingeschakeld voor beheerde DNS-zones om DNS-spoofing te voorkomen

  • E-mailauthenticatie (DKIM, SPF, DMARC) geconfigureerd voor uitgaande e-maildomeinen

Infrastructuurbeheer

  • Infrastructure as Code (IaC) beheert Vercel-configuraties voor herhaalbaarheid

  • Gecentraliseerde logging via Sentry voor alle infrastructuurcomponenten, inclusief het vastleggen van gebruikers-ID's (alleen UUID) in productie voor foutcorrelatie en snellere probleemoplossing

  • Auto-scaling geconfigureerd via Vercel om de beschikbaarheid te behouden tijdens pieken in het verkeer

  • Geautomatiseerde alarmering voor beveiligingsincidenten en afwijkend gedrag via Semgrep en Sentry

  • Databasereplicatie en automatische failover voor kritieke databases via Supabase Enterprise

  • Beperkingen voor root-accounts—IAM minste privileges, root wordt niet gebruikt voor dagelijkse werkzaamheden

  • Audit trails ingeschakeld (Supabase logs) en gecontroleerd op naleving

  • Architectuurdocumentatie wordt onderhouden en jaarlijks beoordeeld

Systeemharding

  • Schijfversleuteling ingeschakeld op alle opslagvolumes in rust via Supabase

  • Rootless containers waar van toepassing om risico's op privilege-escalatie te verminderen

  • Geautomatiseerde beveiligingspatches in de serverloze omgeving

  • Kritieke patches toegepast binnen 7 dagen, standaard patches binnen 30 dagen

  • Alleen ondersteunde OS dat actieve beveiligingsupdates ontvangt (gewaarborgd door Vercel serverless)

  • LTS-versies voor stabiliteit in productie

  • NTP-synchronisatie voor nauwkeurige tijdstempels in logs

  • Driemaandelijkse rotatie van inloggegevens voor infrastructuur-credentials (API-sleutels, tokens)

Toegang & Authenticatie

  • Veilige kluizen (cloud KMS) voor de opslag van cryptografische sleutels

  • Bastion hosts voor administratieve toegang tot de productie-infrastructuur

  • Toegang volgens minste privilege via IAM-controles

  • VPN/SSH/cloud-native beveiligde toegang vereist voor de productie-infrastructuur

  • Service-accounts met beperkte privileges voor geautomatiseerde processen

  • Geautomatiseerd certificaatbeheer via Vercel (Let's Encrypt)

  • Monitoring van vervaldata certificaten met waarschuwingen op 30, 14 en 7 dagen voor afloop

Compliance

  • Controles op gegevensresidentie voor EU-klanten (AWS Frankfurt) om te voldoen aan de AVG

Beveiligingsbeleid voor Human Resources

We zorgen voor beveiligingsbewustzijn en verantwoordelijkheid binnen ons team gedurende de gehele levenscyclus van de werknemer.

Organisatiestructuur

  • Organigram visualiseert de bedrijfsstructuur, elk kwartaal bijgewerkt

  • Gedocumenteerde rollen en verantwoordelijkheden zijn duidelijk gedefinieerd (RACI-model voor klein team)

  • Functieomschrijvingen documenteren beveiligingsgerelateerde vereisten voor werving

Werving & Onboarding

  • Gedocumenteerde wervingsprocedures zorgen voor gescreende medewerkers en verminderen insider-risico's

  • Arbeidsovereenkomsten bevatten NDA- en vertrouwelijkheidsclausules om intellectueel eigendom te beschermen

  • Beveiligings-onboarding omvat MFA-instelling en training over het beveiligingsbeleid

  • Training voor beveiligingsbewustzijn voltooid door alle werknemers

Lopend Beheer

  • Jaarlijkse prestatiebeoordelingen ondersteunen vaardigheidsontwikkeling en beveiligingsbewustzijn

  • Handhaving van het beleid—werknemers die het beveiligingsbeleid schenden, krijgen te maken met gedocumenteerde sancties

  • Incidentrapportage via ticketsysteem of support e-mail voor beveiligingskwesties

Offboarding

  • Gedocumenteerde offboarding-procedures zorgen voor uitschakeling van accounts en herroeping van toegang (cruciaal voor super-admin rollen)

AI-specifieke Competenties

  • AI-personeelscompetenties bepaald en gewaarborgd door training of werving

  • Documentatie van AI-bronnen houdt teamvaardigheden en bijdragen bij

  • Bewustzijn van AI-beleid—personeel begrijpt hun rol in verantwoorde AI-ontwikkeling

Beleid voor Operationele Beveiliging

We handhaven de operationele veiligheid door middel van monitoring, incidentrespons en continue verbetering.

Infrastructuuroperaties

  • Netwerkarchitectuurdiagram wordt onderhouden en jaarlijks bijgewerkt

  • Logging van infrastructuurwijzigingen voor audit trails en wijzigingsbeheer

  • NTP-synchronisatie dagelijks voor nauwkeurige tijdstempels in logs

  • Driemaandelijkse server OS-updates via serverloze automatisering

  • Gecentraliseerde log-aggregatie via Sentry, waarbij gebruikers-ID's (alleen UUID) in productie worden vastgelegd voor foutcorrelatie

  • 30 dagen log-retentie voor applicatie-productielogs

Dreigingsbeheer

  • WAF-bescherming voor productie-applicaties (Vercel-equivalent)

  • Jaarlijkse penetratietesten van de productieomgeving

  • Actieve monitoring van dreigingen voor cloud-infrastructuur via Semgrep en Sentry

  • Real-time monitoring via Sentry voor proactieve respons

  • Geautomatiseerde alarmering voor beveiligingsincidenten

Incidentrespons

  • Formeel incidentresponsplan voor kritieke en beveiligingskwesties

  • Slack-alerts voor onmiddellijke melding bij productie-uitval

  • Geschiedenis van incidentbeoordelingen bijgehouden in een gecentraliseerde repository voor geleerde lessen

  • Delen van beveiligingsgebeurtenissen met relevante partijen voor transparantie

  • NIS2-naleving: significante cybersecurity-incidenten gemeld aan autoriteiten (vroege waarschuwing binnen 24 uur, incidentmelding zonder onnodige vertraging, eindrapport binnen een maand)

E-mailbeveiliging

  • SPF-, DKIM-, DMARC-protocollen beveiligen e-mailservers

  • Beveiligingsfilters voor bescherming tegen spam en malware

Communicatie & Transparantie

  • Self-service portaal biedt productdocumentatie aan gebruikers

  • Publieke website beschrijft duidelijk functies en voordelen

  • E-mail voor beveiligingsrapportage voor gecoördineerde onthulling van kwetsbaarheden

  • Trust Center geeft details over beveiligingspraktijken en compliance-certificeringen

  • Publieke statuspagina communiceert de status van de dienst en incidenten (gepland)

Risicobeperking

  • Cyberverzekeringsdekking beschermt de bedrijfsvoering tegen de financiële impact van beveiligingsincidenten

AI-operaties

  • AI-systeemmonitoring op prestaties en fouten, met remediëring door hertraining, code-fixes of updates

  • AI-gebeurtenislogging in belangrijke fasen van de levenscyclus met uitgebreide archivering

Beleid voor Fysieke Beveiliging

Wij beschermen fysieke activa en infrastructuur door middel van passende beveiligingscontroles.

  • Beveiliging van datacenters vertrouwt op gecertificeerde providers (Supabase/Vercel met ISO 27001, SOC 2 Type II certificeringen)

  • Dreigingsbeperking voor fysieke locaties (brandblussers, enz.) als onderdeel van risicobeoordeling

  • Fysieke beveiligingsmaatregelen geïmplementeerd voor alle fysieke activa

  • Toegangscontrole kantoor via pasjes of sleutelsysteem (indien van toepassing)

  • Bezoekerregistratie in digitaal systeem voor het bijhouden van toegang tot kantoor

Risicobeheerbeleid

We identificeren, beoordelen en behandelen systematisch risico's voor onze informatiebeveiliging en AI-systemen.

Algemeen Risicobeheer

  • Jaarlijkse risicobeoordelingen of indien nodig identificeren en evalueren beveiligingsbedreigingen

  • DPIA (Gegevensbeschermingseffectbeoordelingen) voor verwerkingsactiviteiten van persoonsgegevens met een hoog risico

AI-risicobeheer

  • Jaarlijkse AI-risico-identificatie voor het AI-managementsysteem

  • Risicobeoordeling van AI-systemen met behulp van waarschijnlijkheids- en impactscores

  • Risicobehandeling door controles toe te passen, risico's te accepteren, over te dragen of te vermijden

  • Effectbeoordelingen op individuen en samenlevingen met gedocumenteerde resultaten voor risicobeoordelingen

  • Beoordelingen op geplande intervallen of bij wijzigingen met gedocumenteerde resultaten

  • Risicobehandelingsplannen geïmplementeerd, geverifieerd en bijgewerkt met documentatie

Derdenbeleid

We beoordelen en beheren beveiligingsrisico's van externe leveranciers en dienstverleners.

  • Jaarlijkse leveranciersbeoordelingen voor externe leveranciers zoals OpenAI en ConvertAPI

  • Verantwoordelijkheden voor de AI-levenscyclus toegewezen aan organisatie, partners, leveranciers, klanten en derden

  • Leveranciersbeoordeling voor AI-afstemming vóór het gebruik van diensten, producten of materialen

  • Integratie van klantbehoeften in verantwoorde AI-aanpak

  • Cyberbeveiligingsrisicobeoordeling van de toeleveringsketen inclusief beveiligingsafhankelijkheden en beperkende maatregelen

We hebben Zero Data Retention (ZDR)-overeenkomsten gesloten met AI-providers zoals Mistral om de gegevensbescherming te verbeteren en de verantwoordelijkheden van derden te verduidelijken.

AI-managementbeleid

Wij besturen onze AI-systemen via een uitgebreid managementframework dat is afgestemd op ISO 42001.

AI-managementsysteem

  • Externe en interne kwesties die relevant zijn voor AI-systemen bepaald en gedocumenteerd

  • Geïdentificeerde belanghebbenden samen met hun vereisten

  • Grenzen en toepasbaarheid van het AI-managementsysteem gedefinieerd

  • Continue verbetering van het AI-managementsysteem

  • Toewijding van het topmanagement aangetoond (CEO-geleide "practice what we preach" aanpak)

AI-beleidskader

  • Gedocumenteerd AI-beleid dat een kader biedt voor doelstellingen en verbetering

  • Beleidsafstemming met andere organisatorische beleidslijnen

  • Recensies op geplande intervallen van het AI-beleid

  • Meetbare AI-doelstellingen die consistent zijn met het beleid, gemonitord en bijgewerkt (bijv. metrics voor hallucinatie-reductie)

Wijzigingen in het AI-systeem

  • Geplande wijzigingen aan het AI-managementsysteem systematisch uitgevoerd (bijv. toevoegen van nieuwe AI-providers)

  • Toewijzing van middelen voor het AI-managementsysteem bepaald en verstrekt

  • Communicatiekader voor interne en externe AI-systeemcommunicatie (inclusief Trust Center)

  • Documentbescherming voor informatie over het AI-managementsysteem

Beheer van AI-processen

  • Op vereisten gebaseerde processen gepland, geïmplementeerd en gecontroleerd

  • Prestatiebewaking en evaluatie met bewijsretentie

  • Interne audits op geplande tijden

  • Managementbeoordelingen voor de geschiktheid van het AI-managementsysteem

  • Corrigerende maatregelen voor niet-conformiteiten met documentatie

AI-effectbeoordelingsbeleid

We evalueren de mogelijke gevolgen van onze AI-systemen op individuen en de maatschappij.

  • Jaarlijkse effectbeoordelingen van AI-systeemgevolgen op individuen en samenlevingen

  • Gedocumenteerde resultaten bewaard voor compliance- en auditdoeleinden

  • Evaluatie van impact op individuen/groepen waarbij rekening wordt gehouden met privacy van gebruikers en mogelijke vooroordelen

  • Maatschappelijke effectbeoordeling in lijn met de EU AI Act en bredere ethische overwegingen

Beleid voor Levenscyclus van AI-systemen

We beheren AI-systemen op verantwoorde wijze, van ontwerp tot implementatie en gebruik.

Ontwikkelingsdoelstellingen

  • Verantwoorde AI-doelstellingen geïdentificeerd, gedocumenteerd en geïntegreerd in RAG-ontwikkeling

  • Verantwoordelijkheidsrichtlijnen gevolgd bij ontwerp en ontwikkeling om hallucinaties te verminderen

Ontwerp & Ontwikkeling

  • Specificatie van vereisten voor AI-systemen gedocumenteerd

  • Ontwerpdocumentatie gebaseerd op doelstellingen en vereisten

  • Verificatie en validatie door middel van regressietesten vóór implementatie

  • Implementatie op basis van vereisten—systemen pas geïmplementeerd nadat aan de vereisten is voldaan

  • Technische documentatie verstrekt aan relevante partijen (team en gebruikers)

Gebruik & Informatie

  • Gebruikersinformatie bepaald en verstrekt (gebruikershandleidingen die beperkingen uitleggen)

  • Rapportage van nadelige gevolgen mogelijk gemaakt voor feedback van gebruikers

  • E-mailmeldingen voor AI-incidenten om vertrouwen op te bouwen

  • Rapportageverplichtingen aan belanghebbenden bepaald en gedocumenteerd

  • Richtlijnen voor verantwoord gebruik gevolgd voor AI-systemen

  • Gebruiksdoelen voor verantwoorde AI geïdentificeerd en gedocumenteerd

  • Monitoring van beoogd doel waarborgt op naleving gericht gebruik

Updates & Beoordelingen van het Beleid

Dit beleid wordt regelmatig herzien en bijgewerkt om in lijn te blijven met onze evoluerende beveiligingsstatus, compliance-eisen en operationele praktijken. Wezenlijke wijzigingen worden via passende kanalen aan belanghebbenden gecommuniceerd.

Ons beveiligingsbeleid weerspiegelt onze toewijding aan "practicing what we preach" als een op compliance gericht SaaS-platform. We implementeren dezelfde robuuste beveiligingscontroles die we onze klanten helpen bereiken.

Gerelateerde Bronnen

Was dit nuttig?