Veiligheid en Privacy

Bij AI voor Impact nemen we veiligheid en privacy zeer serieus. Onze AI-assistenten zijn ontworpen om te voldoen aan de nieuwste wet- en regelgeving, waaronder de AI Act en de AVG, en zijn gebouwd met meerdere lagen van technische beveiliging.

Onze aanpak

Onze chatbots bestaan uit twee componenten: de frontend en de backend.

Frontend

De chat-interface die draait op de website waar deze geplaatst wordt. De interface wordt ingeladen met een codesnippet en draait in een geïsoleerde Shadow DOM-omgeving. Dit zorgt ervoor dat de chatbot volledig gescheiden is van de rest van de website: geen stijl- of scriptconflicten en geen toegang tot gevoelige pagina-elementen.

Backend

De programmatuur van de chatbot zelf, gehost op het Google Cloud Platform in Europa (regio west-4). Voor het genereren van antwoorden maken we gebruik van AI-modellen die samenwerken met gecontroleerde kennisbronnen voor optimale accuratesse. Welk model gebruikt wordt, is aan de klant en is eenvoudig uitwisselbaar.

Wet- en regelgeving

De inzet van kunstmatige intelligentie binnen de Europese Unie wordt gereguleerd door de AI Act (Regulation (EU) 2024/1689). Dit regelgevend kader is ontworpen om de kansen van AI te benutten, terwijl het tegelijkertijd de bescherming van gezondheid, veiligheid en fundamentele rechten van mensen waarborgt door AI-systemen te classificeren op basis van risiconiveaus.

AI-systemen worden ingedeeld in verschillende risicocategorieën:

Verboden AI-praktijken:AI-systemen die een onaanvaardbaar risico vormen.

Hoog-risico AI-systemen:Deze vereisen strenge naleving en controle.

Beperkt-risico AI-systemen:AI-systemen zoals onze AI-assistenten, met beperkte impact.

Minimaal-risico AI-systemen:Systemen met een laag risico zonder specifieke regulering.

Onze AI-assistenten vallen binnen de categorie beperkt risico omdat ze primair informatief en educatief van aard zijn. Ze geven antwoorden op basis van gecontroleerde informatiebronnen en zijn transparant over hun AI-status. Dit betekent dat de assistenten geen beslissingen nemen die directe medische of juridische gevolgen hebben of fundamentele rechten beïnvloeden.

Onze maatregelen

Om te waarborgen dat onze chatbots in overeenstemming werken met de AI Act en de AVG, hanteren we de volgende maatregelen:

Transparantie

De chatbot informeert gebruikers dat ze met een AI-systeem communiceren, conform Artikel 50 van de AI Act. In het chatmenu is een link naar de privacyverklaring beschikbaar, waarin wordt uitgelegd wat er met de chatberichten gebeurt.

Gegevensbescherming

De chatbot verwerkt persoonsgegevens volgens de AVG (EU 2016/679). We waarborgen de vertrouwelijkheid en veiligheid van gebruikersgegevens. De chatbot vraagt niet om persoonlijke gegevens en koppelt geen gebruikersinteracties aan inlogsystemen.

Verwerkersovereenkomst

Een verwerkersovereenkomst (VWO) is volgens de AVG verplicht wanneer een organisatie persoonsgegevens laat verwerken door een andere partij. Chatberichten worden beschouwd als persoonsgegevens wanneer de gebruiker informatie over zichzelf deelt. Met iedere klant sluiten wij een VWO af.

Automatische gegevensverwijdering

Gesprekken worden automatisch verwijderd na een configureerbare retentieperiode. Dit gebeurt via een ingebouwd TTL-mechanisme (Time-to-Live) op databaseniveau, aangevuld met een dagelijks opruimproces als extra waarborg. Ook is er een GDPR-verwijderendpoint beschikbaar voor directe verwijdering op verzoek (recht op vergetelheid).

Technische beveiliging

Ons platform is gebouwd met meerdere lagen van technische beveiliging, van infrastructuur tot applicatieniveau.

Versleuteld transport (HTTPS/TLS)

Alle communicatie tussen de chatinterface en onze servers verloopt via versleutelde HTTPS-verbindingen. We hanteren een strikt HSTS-beleid (HTTP Strict Transport Security) dat onversleutelde verbindingen voorkomt.

Geïsoleerde service-architectuur

Elke component van ons platform draait als een afzonderlijke service met een eigen service-account en minimale rechten (least-privilege principe). Tools en kennisbronnen zijn alleen intern bereikbaar en niet toegankelijk via het publieke internet.

Beveiligingsheaders

Alle services sturen beveiligingsheaders mee, waaronder Content Security Policy (CSP), X-Content-Type-Options en Referrer-Policy. Deze headers beschermen tegen veelvoorkomende webkwetsbaarheden zoals cross-site scripting (XSS) en clickjacking.

Prompt-injectiepreventie

Gebruikersinvoer wordt automatisch gecontroleerd en geneutraliseerd op bekende injectiepatronen. Daarnaast monitoren we de output van het AI-model op ongewenste patronen zoals het lekken van systeeminstructies of het echoën van kwaadaardige invoer.

Rate limiting

Het platform beschermt tegen overbelasting en misbruik door het aantal verzoeken per gebruiker te beperken. Dit voorkomt dat een enkele gebruiker het systeem kan overbelasten of misbruiken ten koste van andere gebruikers.

Eigendomsvalidatie

Elk gesprek is gekoppeld aan een specifieke assistent. Het platform valideert bij ieder verzoek dat het gesprek toebehoort aan de juiste assistent, waardoor cross-assistent toegang tot gesprekken wordt voorkomen.

Geheimenbeheer

Gevoelige configuratie zoals API-sleutels en authenticatiegeheimen worden opgeslagen in Google Cloud Secret Manager en zijn nooit zichtbaar in code of configuratiebestanden.

Monitoring en logging

Alle services genereren gestructureerde logs met traceerbaarheid (OpenTelemetry). Beveiligingsgebeurtenissen zoals injectiepogingen en ongeautoriseerde toegangspogingen worden gelogd voor analyse en opvolging.

Infrastructuur

Google Cloud Platform

Ons platform draait volledig op Google Cloud Platform in de Europese regio (europe-west4, Nederland). Data verlaat de EU niet. We maken gebruik van beheerde services zoals Cloud Run, Firestore en Cloud Storage die voldoen aan de hoogste beveiligingsstandaarden van Google.

Eigen infrastructuur

We hosten alle chatbots op onze eigen cloud-infrastructuur, beheerd via Infrastructure as Code (Terraform). Dit geeft ons volledige controle over de configuratie, beveiliging en naleving van onze services.

Gecontroleerde kennisbasis

De kennisbasis achter elke assistent is goed gestructureerd, geverifieerd en wordt regelmatig bijgewerkt. Antwoorden worden gegenereerd op basis van deze gecontroleerde bronnen, niet op basis van willekeurige internetbronnen.

Continue bewaking

Gebruikersinteracties worden systematisch gecontroleerd. Via een beheerdashboard monitoren we gesprekken en feedback om de kwaliteit en veiligheid van de assistenten continu te verbeteren.

Vragen of meer informatie?

Mocht u nog vragen hebben over specifieke aspecten van onze technische infrastructuur of compliance-maatregelen, neem dan gerust contact met ons op.

Neem contact op