Premium AI Security & Policy Assessment: Hoe Werkt Het?
Generatieve AI is in een jaar tijd organisatie-breed gemeengoed geworden — vaak zonder beleid of risico-inventaris. Deze assessment brengt uw AI-gebruik in kaart en toetst het op security, IP-bescherming, AVG en EU AI Act-classificatie.
Wat is de Premium AI Security & Policy Assessment?
AI-tools brengen risico's: gevoelige data lekken naar externe modellen, output zonder bron-verificatie wordt gebruikt voor besluiten, en de EU AI Act eist dat u weet welke risico-categorie uw use cases hebben.
De assessment doorloopt vijf pijlers (gebruik, data, output-controle, IP, governance) en levert per use case een risico-classificatie plus een policy-template als startpunt voor uw eigen AI-richtlijn.
De 5 categorieën
AI-gebruik & inventaris (20 punten)
Welke AI-tools worden gebruikt door welke afdelingen, met welke account-vorm (persoonlijk vs zakelijk, betaald vs gratis, met of zonder data-opt-out)?
Veel organisaties weten niet dat 30-50% van hun medewerkers persoonlijke ChatGPT-accounts gebruikt voor werk — data-uitstroom die buiten elk security-proces om gaat («shadow AI»).
Data & vertrouwelijkheid (25 punten)
Welke data wordt in prompts ingevoerd? Persoonsgegevens, klantdata, broncode, contracten? Zijn deze verwerkers AVG-conform en geldt er een verwerkersovereenkomst?
De assessment toetst of u DLP-maatregelen heeft (technisch en/of beleidsmatig) en of uw provider-keuze (OpenAI, Anthropic, Azure, lokaal) past bij de data-classificatie.
Output-controle (20 punten)
AI-output is niet feiten-correct — het is plausibel. Wordt output verifieerbaar gemaakt (citaties, broncontrole)? Is er een «mens in de loop» voor besluiten?
Specifiek voor klant-gerichte AI: bias-toetsing, hallucinatie-risico en aansprakelijkheid voor automatisch gegenereerde content.
Intellectueel eigendom (15 punten)
Wie is eigenaar van AI-gegenereerde code, content of designs? Mag de provider trainen op uw input? Levert AI-output een copyright-claim van een derde op?
Recent zijn er meerdere rechtszaken aangespannen over training-data en output. De assessment kijkt of uw contracten en interne policy hier op aansluiten.
Governance & EU AI Act (20 punten)
Heeft u een AI-policy? Worden use cases geclassificeerd volgens de risico-niveaus van de EU AI Act (verboden, hoog-risico, beperkt, minimaal)?
Voor hoog-risico use cases zijn er vanaf augustus 2026 verplichtingen rond risk-management, data-governance, transparantie en menselijke controle.
Wat wordt er gecontroleerd?
30+ controls verdeeld over de vijf pijlers:
- Tool-inventaris: register van toegestane en niet-toegestane AI-tools.
- Account-type: zakelijke accounts met data-opt-out i.p.v. persoonlijke gratis accounts.
- Shadow AI: survey/scan om verborgen gebruik te ontdekken.
- Data-classificatie: welke data mag/mag niet in prompts.
- DLP: technische maatregelen tegen onbedoelde data-uitstroom.
- Verwerkersovereenkomst: aanwezig en passend bij data-categorie.
- Output-verificatie: proces voor het toetsen van AI-output op feiten.
- Mens in de loop: menselijke controle bij besluiten met impact.
- Hallucinatie-bewustzijn: training en awareness over AI-beperkingen.
- IP-clausules: contractuele duidelijkheid over eigendom en training.
- EU AI Act-classificatie: per use case geïdentificeerd risico-niveau.
- AI-policy: goedgekeurd, gecommuniceerd en periodiek herzien.
Resultaten interpreteren
Na afronding van de assessment ontvangt u een uitgebreid resultaatoverzicht met de volgende onderdelen:
- AI-volwassenheids-score (0-100) met grade.
- Use-case register met risico-classificatie per use case.
- EU AI Act mapping per use case (verboden / hoog / beperkt / minimaal).
- Top-10 risico's met mitigatie-suggesties.
- AI-policy template als startpunt voor uw eigen richtlijn.
- Shadow AI-quickscan tips om verborgen gebruik te detecteren.
Een score van 70+ duidt op een volwassen AI-aanpak. Onder de 50 is «shadow AI» vrijwel zeker een issue — begin dan met de inventaris en een korte awareness-mailing voordat u beleid uitrolt; anders mist het beleid draagvlak.
Wat zit er in het rapport?
De Premium AI Security & Policy Assessment levert een compleet, professioneel rapport. Het rapport bevat:
- Inventaris van AI-tools en use cases met risico-classificatie
- EU AI Act mapping per use case
- Privacy- en IP-toets met DPIA-relevantie
- AI-policy template en awareness-checklist
- Geprioriteerde acties met implementatie-tips
- Downloadbaar PDF-rapport (NL/EN) voor management en FG
- 3 herhalingen om voortgang halfjaarlijks te meten
Veelgestelde vragen
Wanneer is een use case «hoog-risico» volgens de EU AI Act?
AI-systemen die wettelijke beslissingen ondersteunen of significante impact hebben op personen (HR-screening, kredietwaardigheid, biometrische identificatie, kritieke infrastructuur, onderwijsbeoordeling). Het rapport bevat een beslisboom per use case.
Hebben we een verwerkersovereenkomst nodig met OpenAI?
Bij het zakelijke ChatGPT Enterprise plan is er standaard een EU-DPA. Voor de gratis of Plus-versie verwerkt OpenAI uw data ook voor training, wat onverenigbaar is met persoonsgegevens-verwerking. De assessment markeert dit per AI-tool.
Mogen medewerkers ChatGPT op hun telefoon gebruiken?
Dat hangt af van uw beleid en welke data ze invoeren. Klantdata, persoonsgegevens of vertrouwelijke broncode: nee. Algemeen schrijfwerk zonder gevoelige info: meestal wel, mits toegestaan in de policy. De assessment helpt u dit beleid expliciet te maken.
Werkt dit ook voor lokale AI (LLaMA, Mistral)?
Ja. De assessment maakt onderscheid tussen cloud- en on-premise AI. Lokale modellen verminderen privacy-risico's maar kennen eigen risico's (model-update governance, fine-tune data, output-bias). Beide aspecten komen aan bod.
Inventaris van uw AI-gebruik met EU AI Act-classificatie, AVG-toets, IP-analyse en een policy-template als startpunt.
Bestel de Premium AI Security & Policy Assessment