AI & Beleid9 min leestijd
AI Governance Beleid
AI governance framework met EU AI Act compliance
AI Governance Beleid
Overzicht
Dit document beschrijft het AI governance framework van Noveu. Alle AI-functionaliteit opereert binnen strikte grenzen voor privacy, transparantie en menselijke controle.
Principes
1. Datasoevereiniteit
- Geen data naar US cloud providers
- Alle AI processing binnen EU datacenters
- Klantdata wordt nooit gebruikt voor model training
- Volledige controle over data lifecycle
2. Transparantie
- Uitlegbare AI beslissingen waar mogelijk
- Logging van alle AI interacties
- Duidelijke labeling van AI-gegenereerde content
- Audit trail voor compliance
3. Menselijke Controle
- Human-in-the-loop voor kritieke beslissingen
- Override mogelijkheid voor alle AI suggesties
- Configureerbare AI boundaries per organisatie
- Kill switch voor AI functionaliteit
4. Privacy by Design
- Minimale data verwerking (data minimization)
- Pseudonimisatie waar mogelijk
- Strikte toegangscontrole tot AI logs
- Recht op uitleg en bezwaar
AI Componenten
Assistenten
| Assistent | Functie | Data Access |
|---|---|---|
| Mail Assistant | Samenvattingen, suggesties | Inbox van gebruiker |
| Document AI | Analyse, extractie | Geüploade documenten |
| Search AI | Semantisch zoeken | Geïndexeerde content |
| Support Bot | FAQ, triage | Kennisbank |
Models
| Model | Type | Locatie | Gebruik |
|---|---|---|---|
| LLM | Taal | EU datacenter | Text generatie |
| Embeddings | Vector | EU datacenter | Zoeken |
| OCR | Vision | EU datacenter | Document verwerking |
| Summarization | NLP | EU datacenter | Samenvattingen |
RAG (Retrieval Augmented Generation)
┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ Gebruiker │ ──► │ Query Engine │ ──► │ Vector Store │
│ vraag │ │ (EU-hosted) │ │ (Klant data) │
└──────────────┘ └──────┬───────┘ └──────────────┘
│
▼
┌──────────────┐
│ LLM (Lokaal) │
│ + Retrieved │
│ Context │
└──────┬───────┘
│
▼
┌──────────────┐
│ Antwoord │
│ met bronnen │
└──────────────┘
Dataverwerking
Wat wel wordt verwerkt
- Klant content voor AI functionaliteit (met toestemming)
- Interactie logs voor audit
- Prestatiemetrics voor optimalisatie
Wat NIET wordt verwerkt
- ❌ Training data voor base models
- ❌ Delen met derden
- ❌ Transfer naar niet-EU locaties
- ❌ Profilering voor advertenties
Retentie
| Data Type | Retentie | Reden |
|---|---|---|
| AI interactie logs | 90 dagen | Audit en debugging |
| Gegenereerde content | Geen | Niet opgeslagen |
| Embeddings | Tot verwijdering | Functionaliteit |
| Feedback | 1 jaar | Verbeteringen |
Risicobeoordeling
AI Act Classificatie
Onder de EU AI Act classificeert Noveu AI als:
- Beperkt risico: Transparency verplichtingen
- Geen hoog risico: Geen automatische besluitvorming in kritieke gebieden
Mitigaties
| Risico | Mitigatie |
|---|---|
| Hallucination | RAG met bronverwijzing |
| Bias | Diverse trainingsdata, monitoring |
| Privacy | Lokale processing, encryptie |
| Misbruik | Rate limiting, content filtering |
| Lock-in | Open model architectuur |
Configuratie per Organisatie
Feature Toggles
| Feature | Default | Configureerbaar |
|---|---|---|
| Mail summarization | Aan | ✅ |
| Smart compose | Aan | ✅ |
| Document analysis | Aan | ✅ |
| Sentiment analysis | Uit | ✅ |
| Auto-classification | Aan | ✅ |
Boundaries
Organisaties kunnen instellen:
- Welke data AI mag benaderen
- Welke functies actief zijn
- Wie AI features mag gebruiken
- Logging niveau en retentie
Audit en Compliance
Logs
Alle AI interacties worden gelogd:
{
"timestamp": "2026-01-15T10:30:00Z",
"userId": "user-uuid",
"action": "mail_summary",
"inputType": "email",
"outputType": "text",
"modelVersion": "1.2.3",
"tokensUsed": 1500,
"latencyMs": 850
}
Rapportages
- Maandelijks AI usage report
- Kwartaal governance review
- Jaarlijkse audit assessment
Certificeringen
- ISO 27001 (informatiebeveiliging)
- SOC 2 Type II (in progress)
- AI Act compliance (voorbereidend)
Incidenten
Meldingsproces
- AI incident gedetecteerd
- Automatische pauzering indien kritiek
- Notificatie aan security team
- Root cause analyse
- Correctieve actie
- Communicatie naar klant
Categorieën
| Categorie | Voorbeeld | Response |
|---|---|---|
| Privacy | Data lekkage | Onmiddellijk |
| Safety | Schadelijke output | < 1 uur |
| Quality | Inaccurate output | < 24 uur |
| Performance | Trage response | < 48 uur |
Laatste update: Januari 2026
Versie: 1.0
Vragen over dit document?
Neem contact op voor implementatie advies of een persoonlijke demo.