Sirrapa IT · Security & cloud engineering

Je AI-demo werkt.
Breng het naar productie zonder spijt achteraf.

Sirrapa IT voert in 5 tot 10 werkdagen een gestructureerde technische audit uit op je AI-POC en zegt je nuchter of die veilig, beheerbaar en productieklaar is, of wat er eerst moet gebeuren.

Doorlooptijd5-10 werkdagen
Startprijs€5.000fixed fee
ResultaatScore · Findings · Roadmap
Het track record

20+ jaar hands-on security-engineering, geleverd in gereguleerde, audit-zware omgevingen.

Publieke sector
Bankwezen
Transport
Luchtvaart
Retail
Professioneel verzekerd.
Waarom dit bestaat

Teams bouwen met AI sneller dan hun governance kan bijhouden. Productie is een ander spel.

01
Is de applicatie veilig genoeg voor echte gebruikers?
02
Waar gaan persoonsgegevens en klantdata eigenlijk naartoe?
03
Zijn rechten, toegang en tenant-isolatie geregeld?
04
Zijn prompts, outputs en AI-tool calls beheersbaar?
05
Wat gebeurt er bij misbruik, datalek of prompt injection?
06
Zijn logging, monitoring en incident response ingericht?
07
Kan dit door een klantreview of security questionnaire?
08
Hardenen, of deels opnieuw bouwen?

Dit zijn de vragen die de POC2Prod Blueprint™ beantwoordt, met technische evidence, in 5 tot 10 werkdagen.

De vijf audit-domeinen

Wat we beoordelen

Elke audit beslaat dezelfde vijf domeinen. Geen checklist-theater, een review door een senior engineer met security-, cloud- en AI-tooling-achtergrond.

01

Architectuur & productiegeschiktheid

Is dit beheerbaar, schaalbaar en uitlegbaar genoeg voor echte productie?

architectuurdeploymentenvironmentsrollbackbackupsownership
02

Application security

De klassieke app- en platformrisico's: auth, secrets, dependencies, exposure.

authn / authzsecretsdepsinput validationtenant isolation
03

AI / LLM-risico

Wat een gewone security review mist: prompt injection, tool use, agency, output trust.

prompt injectiondata leakageinsecure tool useexcessive agencyAI logging
04

Privacy & data governance

Welke data wordt verwerkt, waar gaat die heen en wat de bewaartermijn echt is.

AVG / GDPRpersoonsgegevensretentieminimalisatieDPIA-relevantie
05

Compliance readiness

Technische input voor compliancevragen, geen juridisch advies.

AVGEU AI ActNIS2BIO2klant-questionnaires
Wat je krijgt

Een score, tien gerangschikte risico's en een helder vervolg.

Binnen 5-10 werkdagen krijg je een compacte technische readiness-audit die zo geschreven is dat een CTO, een Head of Product én een niet-technisch bestuurslid er allemaal mee uit de voeten kunnen.

BLUEPRINT v1.0 · SAMPLEExampleAI B.V. · Support Assistant POC
5-10 day audit
2.6/5READINESS
Hardening vereist voor productie

2.6 / 5

Readiness-score · 9 domeinen

Architectuur readiness3/5
Application security2/5
AI / LLM-risico2/5
Privacy & data governance2/5
Secure SDLC & supply chain3/5
Cloud & deployment3/5
Logging & monitoring2/5
Incident readiness2/5
Documentatie & overdracht3/5
9 domains · 10 ranked findings · backlogVolgende stap: AI Hardening Sprint™ →

Top findings, op severity

Geanonimiseerd fragment. Het echte rapport bevat 10 gerangschikte findings, gedetailleerd bewijs en acceptatiecriteria per finding.

P0
AI / LLM-risicoApp Security

AI-tooling heeft te brede datatoegang

Backend haalt klantcontext op via ticket-id zonder te bewijzen dat de supportmedewerker recht heeft op dat specifieke klantrecord.

P0
Privacy / AVGLogging

Volledige prompts en outputs worden gelogd

Application logs bevatten klantvragen, namen, e-mailadressen en ticketinhoud, zonder vastgelegde retentie.

P1
App SecurityAI / LLM-risico

Geen rate limiting op AI-endpoints

Modelcall-endpoints hebben geen per-user of per-tenant limit en geen cost guardrails.

Bekijk een geanonimiseerd voorbeeldrapport →

Aanpak

5 tot 10 werkdagen, vaste scope, één vaste prijs.

We werken op een voorspelbaar ritme. Geen open einde aan het traject, geen scope die ongemerkt uitdijt.

Dag 0

Kwalificatie & voorstel

30-min gesprek, scope bevestigd, voorstel getekend.

Dag 1

Intake & toegang

Intakevragenlijst, leestoegang op repo en één omgeving, kickoff-call.

Dag 2-4

Audit

Architectuur, security, AI-risico, privacy en compliance review. Maximaal drie interviews.

Dag 5-7

Findings & scoring

Top 10 risico's gerangschikt. Scorecard per domein. Remediation backlog met effort estimates.

Dag 8-10

Rapport & readout

Geschreven rapport, presentatie van 60 minuten, advies over de vervolgstap.

Zelfcheck

Is jouw POC klaar voor de Blueprint™?

Zes eerlijke vragen. Twee minuten. Daarna weet je of een audit de juiste vervolgstap is, of dat één ding eerst opgelost moet worden.

QUESTION · 01/06
Q01

Verwerkt je AI-functie echt klantdata of persoonsgegevens?

Supporttickets, CRM-records, uploads, accountgegevens tellen mee.

~ 2 MIN · NO SIGNUP
De productladder

De POC2Prod Blueprint™ is het beginpunt. De rest is optioneel.

POC to Production OS™ is de methodiek. De Blueprint™ is de eerste trede, en voor de meeste klanten is dat genoeg. De rest wordt alleen gescoped als de Blueprint daarom vraagt.

DienstWanneerDoorlooptijdVanaf
02AI Hardening Sprint™We lossen P0 en belangrijkste P1 findings op: authz, secrets, privacy-safe logging, AI guardrails, CI/CD checks.Blueprint zegt: hardening vereist voor productie.2-4 weken€10.000vanaf
03AI Compliance Evidence Pack™Technische bewijsmap voor klant, bestuur, auditor of legal counsel, dataflow, AI-inventory, control summary.Klant-questionnaire of bestuursreview komt eraan.1-2 weken€5.000tot €15.000
04Secure Rebuild™Gedeeltelijke of volledige herbouw van componenten waar de POC-basis te zwak is. Alleen waar herbouw goedkoper is dan hardenen.Blueprint zegt: de basis houdt productie niet.Per opdracht gescoped€25.000vanaf
05Monthly Assurance Retainer™Periodieke review, AI-governance, security en compliance support naarmate je systeem evolueert.Na live-gang, als AI-risico onderdeel is van de operatie.Doorlopend€2.000/ maand
Tarieven

Drie manieren om te starten. Kies de kleinste die past.

Alle prijzen exclusief btw. Grotere of complexere systemen worden vooraf gescoped en geprijsd.

Triage

gesprek

Waar de meeste teams beginnen
Gratis  · 30 minuten
Geen verplichting. Geen sales-playbook.
  • Bevestigen of de Blueprint™ past
  • Realistische scope en doorlooptijd
  • Waarschijnlijke risico's, vooraf benoemd
  • Output-opties die je echt nodig hebt
Plan gesprek
Doorlopend

Monthly Assurance Retainer™

Na productie
€2.000  / maand
Tot €8.000 / maand bij grotere scopes.
  • Periodieke AI-risico review
  • Security- & privacy-backstop
  • Incident-response support
  • Kwartaalrapportage, klaar voor het bestuur
Neem contact op
Veelgestelde vragen

Eerlijke antwoorden, vóór je boekt.

Is dit juridisch advies of een compliancegarantie?
Nee. Dit is technische ondersteuning op het gebied van security, privacy en production-readiness. We leveren evidence en aanbevelingen waar een CTO, bestuur of jurist mee uit de voeten kan; we geven geen juridisch oordeel en certificeren niets.
Is dit een pentest?
Nee. Een volledige pentest is een aparte opdracht. De Blueprint™ dekt security op applicatieniveau af binnen een review door een senior engineer, maar vervangt geen formele pentest waar die verplicht is.
Hoeveel toegang hebben jullie nodig?
Leestoegang op één of twee repositories en één omgeving, plus maximaal drie korte interviews. Productie-credentials hebben we niet nodig. We werken volledig tegen staging en code, tenzij de scope expliciet anders zegt.
Verlaat onze code of data jullie omgeving?
We reviewen code waar mogelijk in jullie omgeving. Klantdata slaan we niet op. Notities en findings staan in ons systeem, encrypted at rest. Een korte verwerkersovereenkomst is op aanvraag beschikbaar.
Wat als de uitkomst 'herbouw' is?
Dat zeggen we dan gewoon. We adviseren Secure Rebuild™ alleen als hardening duurder is dan herbouw voor dat specifieke component. We zullen nooit volledige herbouw aanbevelen om meer werk te creëren.
We zitten niet in de EU. Werkt dit nog?
Ja. Het technische readiness-werk staat los van rechtsgebied. We benoemen de compliance-relevantie voor de frameworks die op jou van toepassing zijn: AVG, EU AI Act, NIS2, BIO2, of geen daarvan.
Mogen we als pilot met korting?
Onze eerste drie pilotopdrachten kunnen korting krijgen in ruil voor een referentie of geanonimiseerde case. We draaien geen permanent kortingsprogramma.
Hoe ziet een opdracht op dagtarief eruit?
Voor dieper of doorlopend werk neem ik blokken met vaste scope op dagtarief, één opdracht tegelijk. Scope en dagen spreken we vooraf af, geen open-ended retainer.
Waar draag je over?
Ik ben een senior engineer, geen auditor, jurist of pentester. Voor een certificeringsaudit, formeel juridisch oordeel of een pentest vertel ik je precies wie je erbij moet halen. Die heldere overdracht is onderdeel van de waarde.
Volgende stap

Breng de audit naar je POC, niet andersom.

Een half uur is genoeg om te bepalen of de Blueprint™ past, welke scope realistisch is en welke risico's waarschijnlijk al in je systeem zitten.

Of je nu een Blueprint, senior engineering per dag of een afgebakende governance-oplevering nodig hebt, in het gesprek bakenen we het samen af.

Kalender laadt niet? Mail [email protected]