Hoe een governance-bewijsmap eruitziet.
Dit is het soort geanonimiseerde map dat ik oplever, zodat je een klant-securityreview of een bestuursvraag met iets concreets kunt beantwoorden. Het voorbeeld hieronder is fictief; een echte map bouw ik op uit jouw eigen bewijs en jij keurt elke regel goed voordat die je handen verlaat.
Samenvatting voor de leiding
De bewijsmap is klaar voor een klant-securityreview. Twee punten moeten eerst gesloten worden: gebruik van consumenten-AI-tools door medewerkers, en een ongedefinieerde bewaartermijn op AI-prompts en -outputs.
1. AI- en datarisicoregister (uitsnede)
| ID | Risico | Kans | Impact | Eigenaar | Eerste mitigatie |
|---|---|---|---|---|---|
| GR-01 | Klantpersoonsgegevens naar een model van derden zonder verwerkersovereenkomst | Middel | Hoog | CTO | Verwerkersovereenkomst; persoonsgegevens minimaliseren vóór prompts |
| GR-02 | Geen bewaartermijn op opgeslagen AI-prompts en -outputs | Middel | Middel | Eng lead | Bepaal en handhaaf een bewaartermijn van 30 dagen |
| GR-03 | Medewerkers gebruiken consumenten-AI-tools voor klantdata | Hoog | Hoog | HR / allen | AI-gebruiksbeleid plus goedgekeurde tooling |
| GR-04 | Geen menselijke review op AI-gegenereerde klantberichten | Middel | Middel | Support lead | Reviewstap toevoegen vóór uitgaande AI-content |
| GR-05 | AI-subverwerkers niet in kaart gebracht | Middel | Middel | Security | Houd een AI- en subverwerkersinventaris bij |
2. Antwoord op securityvragenlijst (uitsnede)
Ja. Een vastgelegd beleid dekt goedgekeurde tools, verboden data en menselijke review. Bewijs: AI-gebruiksbeleid v1.2.
Alleen naar gecontracteerde leveranciers onder een verwerkersovereenkomst, met persoonsgegevens geminimaliseerd vóór verwerking.
Nog niet gecertificeerd. Controls zijn gemapt op ISO 27001 Annex A als readiness, en certificering staat op de roadmap. Nuchter gesteld, zodat het antwoord verdedigbaar is.
Gemarkeerd antwoord: waar je nog geen ja kunt zeggen, geef ik je verdedigbare bewoordingen om te valideren, geen claim die je niet kunt onderbouwen.
3. AI-gebruiksbeleid (uitsnede)
- Gebruik goedgekeurde AI-tools voor niet-gevoelig schrijf- en onderzoekswerk.
- Beoordeel AI-output voordat die bij een klant komt of in productie gaat.
- Plak geen klantpersoonsgegevens, secrets of broncode in consumenten-AI-tools.
- Presenteer AI-output niet als beoordeeld werk zonder het te controleren.
Waar dit stopt
Dit is technische readiness- en bewijsondersteuning, geen juridisch advies en geen certificering. Waar je gecertificeerde goedkeuring, een DPIA of een pentest nodig hebt, vertel ik je wie je erbij moet halen. Technische readiness-ondersteuning, geen compliancegarantie.
