GOVERNANCE EVIDENCE OS™ · ExampleAI B.V. · VOORBEELD
Governance Evidence OS™ · voorbeeld

Hoe een governance-bewijsmap eruitziet.

Dit is het soort geanonimiseerde map dat ik oplever, zodat je een klant-securityreview of een bestuursvraag met iets concreets kunt beantwoorden. Het voorbeeld hieronder is fictief; een echte map bouw ik op uit jouw eigen bewijs en jij keurt elke regel goed voordat die je handen verlaat.

Fictief voorbeeld

ExampleAI B.V. is geen echte klant. Deze map is een verzonnen illustratie, er worden geen echte klantgegevens, systemen of documenten beschreven.

Samenvatting voor de leiding

De bewijsmap is klaar voor een klant-securityreview. Twee punten moeten eerst gesloten worden: gebruik van consumenten-AI-tools door medewerkers, en een ongedefinieerde bewaartermijn op AI-prompts en -outputs.

1. AI- en datarisicoregister (uitsnede)

IDRisicoKansImpactEigenaarEerste mitigatie
GR-01Klantpersoonsgegevens naar een model van derden zonder verwerkersovereenkomstMiddelHoogCTOVerwerkersovereenkomst; persoonsgegevens minimaliseren vóór prompts
GR-02Geen bewaartermijn op opgeslagen AI-prompts en -outputsMiddelMiddelEng leadBepaal en handhaaf een bewaartermijn van 30 dagen
GR-03Medewerkers gebruiken consumenten-AI-tools voor klantdataHoogHoogHR / allenAI-gebruiksbeleid plus goedgekeurde tooling
GR-04Geen menselijke review op AI-gegenereerde klantberichtenMiddelMiddelSupport leadReviewstap toevoegen vóór uitgaande AI-content
GR-05AI-subverwerkers niet in kaart gebrachtMiddelMiddelSecurityHoud een AI- en subverwerkersinventaris bij

2. Antwoord op securityvragenlijst (uitsnede)

Hebben jullie een AI-gebruiksbeleid?

Ja. Een vastgelegd beleid dekt goedgekeurde tools, verboden data en menselijke review. Bewijs: AI-gebruiksbeleid v1.2.

Wordt klantdata naar AI-modellen van derden gestuurd?

Alleen naar gecontracteerde leveranciers onder een verwerkersovereenkomst, met persoonsgegevens geminimaliseerd vóór verwerking.

Zijn jullie ISO 27001-gecertificeerd?flag

Nog niet gecertificeerd. Controls zijn gemapt op ISO 27001 Annex A als readiness, en certificering staat op de roadmap. Nuchter gesteld, zodat het antwoord verdedigbaar is.

Gemarkeerd antwoord: waar je nog geen ja kunt zeggen, geef ik je verdedigbare bewoordingen om te valideren, geen claim die je niet kunt onderbouwen.

3. AI-gebruiksbeleid (uitsnede)

Wel
  • Gebruik goedgekeurde AI-tools voor niet-gevoelig schrijf- en onderzoekswerk.
  • Beoordeel AI-output voordat die bij een klant komt of in productie gaat.
Niet
  • Plak geen klantpersoonsgegevens, secrets of broncode in consumenten-AI-tools.
  • Presenteer AI-output niet als beoordeeld werk zonder het te controleren.

Waar dit stopt

Dit is technische readiness- en bewijsondersteuning, geen juridisch advies en geen certificering. Waar je gecertificeerde goedkeuring, een DPIA of een pentest nodig hebt, vertel ik je wie je erbij moet halen. Technische readiness-ondersteuning, geen compliancegarantie.

Bekijk Governance Evidence OS™ →

Contact

Plan een gesprek

Vertel me waar je mee bezig bent. Ik zeg je eerlijk of ik kan helpen, en hoe.

Kalender laadt niet? Mail [email protected]