NoveuNOVEU
InloggenDemo aanvragenStart 14 dagen gratis →
Terug naar Resources
AI & Beleid9 min leestijd

AI Governance Beleid

AI governance framework met EU AI Act compliance

Download als Markdown

AI Governance Beleid

Overzicht

Dit document beschrijft het AI governance framework van Noveu. Alle AI-functionaliteit opereert binnen strikte grenzen voor privacy, transparantie en menselijke controle.

Principes

1. Datasoevereiniteit

  • Primaire klantdata (mail, bestanden, identiteit) blijft binnen EU-datacenters — geen US-cloudproviders (geen AWS/Azure/GCP) voor primaire data
  • Embeddings en vector-opslag draaien on-premise op eigen EU-infra (BAAI bge-m3 via zelf-gehoste Text-Embeddings-Inference + pgvector); geen externe embedding-API of vector-database
  • LLM-tekstgeneratie gebruikt momenteel Google Gemini (US) via de Gemini API — uitsluitend bij expliciete activering, alleen door de gebruiker aangeboden content, onder EU-VS DPF + SCC's + Google DPA, geen training op klantdata. Een EU-soevereine LLM-provider (Mistral, Parijs) is voorbereid als roadmap-optie.
  • Klantdata wordt nooit gebruikt voor model training
  • Volledige controle over data lifecycle

2. Transparantie

  • Uitlegbare AI beslissingen waar mogelijk
  • Logging van alle AI interacties
  • Duidelijke labeling van AI-gegenereerde content
  • Audit trail voor compliance

3. Menselijke Controle

  • Human-in-the-loop voor kritieke beslissingen
  • Override mogelijkheid voor alle AI suggesties
  • Configureerbare AI boundaries per organisatie
  • Kill switch voor AI functionaliteit

4. Privacy by Design

  • Minimale data verwerking (data minimization)
  • Pseudonimisatie waar mogelijk
  • Strikte toegangscontrole tot AI logs
  • Recht op uitleg en bezwaar

AI Componenten

Assistenten

AssistentFunctieData Access
Mail AssistantSamenvattingen, suggestiesInbox van gebruiker
Document AIAnalyse, extractieGeüploade documenten
Search AISemantisch zoekenGeïndexeerde content
Support BotFAQ, triageKennisbank

Models

ModelTypeLocatieGebruik
LLM (Google Gemini)TaalGoogle Gemini API (US, onder DPF/SCC's)Text generatie
Embeddings (BAAI bge-m3)VectorOn-premise — eigen EU-infra (TEI)Zoeken
Vector-opslag (pgvector)Vector storeOn-premise — eigen EU-infraRetrieval
OCRVisionEU datacenterDocument verwerking

RAG (Retrieval Augmented Generation)

┌──────────────┐     ┌──────────────┐     ┌────────────────────┐
│ Gebruiker    │ ──► │ Query Engine │ ──► │ Vector Store       │
│ vraag        │     │ (EU-hosted)  │     │ (pgvector, on-prem │
│              │     │              │     │  EU; bge-m3 TEI)   │
└──────────────┘     └──────┬───────┘     └────────────────────┘
                            │
                            ▼
                  ┌─────────────────────┐
                  │ LLM (Google Gemini, │
                  │  US, DPF/SCC's)     │
                  │ + Retrieved Context │
                  └──────┬──────────────┘
                            │
                            ▼
                     ┌──────────────┐
                     │ Antwoord     │
                     │ met bronnen  │
                     └──────────────┘

Dataverwerking

Wat wel wordt verwerkt

  • Klant content voor AI functionaliteit (met toestemming)
  • Interactie logs voor audit
  • Prestatiemetrics voor optimalisatie

Wat NIET wordt verwerkt

  • ❌ Training data voor base models
  • ❌ Delen met derden
  • ❌ Transfer naar niet-EU locaties
  • ❌ Profilering voor advertenties

Retentie

Data TypeRetentieReden
AI interactie logs90 dagenAudit en debugging
Gegenereerde contentGeenNiet opgeslagen
EmbeddingsTot verwijderingFunctionaliteit
Feedback1 jaarVerbeteringen

Risicobeoordeling

AI Act Classificatie

Onder de EU AI Act classificeert Noveu AI als:

  • Beperkt risico: Transparency verplichtingen
  • Geen hoog risico: Geen automatische besluitvorming in kritieke gebieden

Mitigaties

RisicoMitigatie
HallucinationRAG met bronverwijzing
BiasDiverse trainingsdata, monitoring
PrivacyLokale processing, encryptie
MisbruikRate limiting, content filtering
Lock-inOpen model architectuur

Configuratie per Organisatie

Feature Toggles

FeatureDefaultConfigureerbaar
Mail summarizationAan
Smart composeAan
Document analysisAan
Sentiment analysisUit
Auto-classificationAan

Boundaries

Organisaties kunnen instellen:

  • Welke data AI mag benaderen
  • Welke functies actief zijn
  • Wie AI features mag gebruiken
  • Logging niveau en retentie

Audit en Compliance

Logs

Alle AI interacties worden gelogd:

{
  "timestamp": "2026-01-15T10:30:00Z",
  "userId": "user-uuid",
  "action": "mail_summary",
  "inputType": "email",
  "outputType": "text",
  "modelVersion": "1.2.3",
  "tokensUsed": 1500,
  "latencyMs": 850
}

Rapportages

  • Maandelijks AI usage report
  • Kwartaal governance review
  • Jaarlijkse audit assessment

Certificeringen

  • ISO 27001 (informatiebeveiliging)
  • SOC 2 Type II (in progress)
  • AI Act compliance (voorbereidend)

Incidenten

Meldingsproces

  1. AI incident gedetecteerd
  2. Automatische pauzering indien kritiek
  3. Notificatie aan security team
  4. Root cause analyse
  5. Correctieve actie
  6. Communicatie naar klant

Categorieën

CategorieVoorbeeldResponse
PrivacyData lekkageOnmiddellijk
SafetySchadelijke output< 1 uur
QualityInaccurate output< 24 uur
PerformanceTrage response< 48 uur

Laatste update: Januari 2026
Versie: 1.0

Vragen over dit document?

Neem contact op voor implementatie advies of een persoonlijke demo.

Neem contact opMeer resources bekijken