Eddy AI vertrouwenspagina

Doel: Het beleid is bedoeld om het juiste en effectieve gebruik van cryptografie te waarborgen om de vertrouwelijkheid, authenticiteit en integriteit van informatie te beschermen.

Scope: Het beleid is van toepassing op alle informatiesystemen die door Document360 zijn ontwikkeld en/of beheerd en vertrouwelijke gegevens opslaan of verzenden.

Polishouder: De CEO is verantwoordelijk voor de polis.

Ingangsdatum: De polis wordt van kracht op 1 maart 2024.

Risicobeoordeling: Document360 evalueert risico's en voert cryptografische controles uit om deze waar passend te beperken.

Encryptiestandaarden: Sterke cryptografie met bijbehorende sleutelbeheerprocessen en -procedures moet worden geïmplementeerd en gedocumenteerd in overeenstemming met industriestandaarden, waaronder NIST SP 800-57.

Sleutelbeheer: Toegang tot sleutels en geheimen wordt streng gecontroleerd, en er zijn specifieke aanbevelingen voor het gebruik van cryptografische sleutels, waaronder sleuteltypes, algoritmen en sleutellengtes voor verschillende domeinen zoals webcertificaten, webcijfers en eindpuntopslag.

Uitzonderingen: Verzoeken om uitzonderingen op het beleid moeten ter goedkeuring aan de CEO worden voorgelegd en moeten worden gedocumenteerd.

Overtredingen & Handhaving: Bekende overtredingen moeten aan de CEO worden gemeld en kunnen leiden tot disciplinaire maatregelen, waaronder beëindiging van het dienstverband.

Gegevens in rust: Vertrouwelijke data in rust moet worden versleuteld met symmetrische versleuteling met AES-256-bit gedurende maximaal 1 jaar.

Wachtwoorden: Wachtwoorden moeten worden gehasht met eenrichtings-hashfuncties zoals Bcrypt, PBKDF2, scrypt of Argon2, met een 256-bits sleutel en een 10K-stretch, inclusief een unieke cryptografische sout.

Vectordatabase-encryptie: Tekstembeddings die in MongoDB zijn opgeslagen, moeten veldniveau-encryptie gebruiken voor vectoren die klantinhoud bevatten.

Prompt & Response Versleuteling:

• Alle gebruikersprompts moeten vóór opslag worden versleuteld.

• AI-antwoorden moeten zowel tijdens het transport als in rust worden versleuteld.

Gegevens van derden in transit:

• TLS 1.3 is vereist voor alle OpenAI API-aanroepen.

• Certificaatpinning moet worden afgedwongen voor OpenAI-eindpunten.

• Wederzijdse TLS-authenticatie is vereist voor implementaties met hoge gevoeligheid.

Doel en Reikwijdte: Het document heeft als doel een plan te bieden voor het beheren van informatiebeveiligingsincidenten en -gebeurtenissen, waarbij alle dergelijke gebeurtenissen binnen het bedrijf worden omvat.

Definities: Het verduidelijkt het verschil tussen een beveiligingsgebeurtenis (een waarneembare gebeurtenis die relevant is voor gegevensbeveiliging) en een beveiligingsincident (een gebeurtenis die leidt tot verlies of schade aan gegevensbeveiliging).

Rapportage en documentatie: Werknemers krijgen de instructie om vermoedelijke incidenten onmiddellijk te melden via specifieke communicatiekanalen, en alle incidenten moeten worden gedocumenteerd.

Ernstniveaus: Incidenten worden ingedeeld in S1 (Kritiek), S2 (Hoog) en S3/S4 (Middel/Laag) ernstniveaus, met duidelijke richtlijnen voor escalatie en respons.

Incident Response Team: Ingenieursmanagers leiden de incidentrespons, met een aangewezen "War Room" voor gecentraliseerde respons. Er worden regelmatig bijeenkomsten gehouden om het incidentticket bij te werken, indicatoren van compromittering te documenteren en andere responsactiviteiten uit te voeren.

Oorzaakanalyse: Bij kritieke incidenten wordt een oorzaakanalyse uitgevoerd, gedocumenteerd en beoordeeld door de directeur van de techniek, die beslist of er een post-mortem gesprek nodig is.

Reactieproces: Het responsproces omvat triage, onderzoek, containment, uitroeiing, herstel en verharding, met de nadruk op geleerde lessen en langetermijnverbeteringen.

Fysieke beveiliging: Het document behandelt de fysieke beveiliging van getroffen systemen, inclusief isolatie- en back-upprocedures.

Vaststelling en rapportage van datalekken: Alleen de Product Owner kan bepalen of een incident een datalek is. Het bedrijf moet alle relevante partijen spoedig op de hoogte stellen in overeenstemming met beleid en regelgeving.

Externe communicatie: Het bedrijf werkt indien nodig samen met klanten, gegevensbeheersers en autoriteiten, waarbij juridisch en leidinggevend personeel de aanpak bepalen.

Rollen en verantwoordelijkheden: Het document beschrijft de specifieke verantwoordelijkheden van incident responder-rollen.

Speciale aandachtspunten: Het omvat het afhandelen van interne problemen, gecompromitteerde communicatie en root-accountcompromitteringen.

Incidentstatus en samenvatting: Er wordt een gedetailleerde sjabloon verstrekt voor het documenteren van incidentdetails, waaronder datum, tijd, locatie, betrokken personeel, type informatie, indicatoren van compromittering, onderliggende oorzaak en genomen acties.

Polishouder en ingangsdatum: De Product Owner is de polishouder en het plan wordt van kracht op 1 maart 2024.

AI-specifieke incidentcategorieën:

S1 - Kritieke AI-incidenten

• Systematische vooringenomenheid die beschermde groepen treft.

• Succesvolle jailbreak in productie die meer dan 100 gebruikers treft.

• PII blootgelegd via AI-gegenereerde reacties.

• Aanhoudende hallucinaties boven de 5% gedurende één of meer uren.

S2 – Hoge AI-incidenten

• Moderatie-API omzeild gedetecteerd.

• Prompt injectie-aanval die minder dan 100 gebruikers treft.

• Modeldrift veroorzaakt een nauwkeurigheidsachteruitgang van meer dan 10%.

• Citatie-faalpercentage meer dan 15%.

S3 – Middelgrote AI-incidenten

• Eén enkel geval van een AI-reactie zonder bronnen.

• DAN-achtige jailbreakpoging die succesvol werd geblokkeerd.

• Afwijkende responslatentie van meer dan 10 seconden.

Doelstelling: Het vaststellen van duidelijke rollen en verantwoordelijkheden voor de bescherming van elektronische informatiesystemen en gerelateerde apparatuur.

Polishouder en ingangsdatum: De CEO is de polishouder en het plan wordt van kracht op 1 maart 2024.

Toepasbaarheid

• Van toepassing op alle Document360-infrastructuur, netwerksegmenten, systemen, medewerkers en aannemers die betrokken zijn bij beveiligings- en IT-functies.

Publiek

• Alle medewerkers en aannemers die betrokken zijn bij het Information Security Program.

• Omvat partners, gelieerde leden, tijdelijke medewerkers, stagiairs, gasten en vrijwilligers.

Rollen en verantwoordelijkheden

1. Uitvoerend leiderschap:

• Keurt kapitaaluitgaven goed voor beveiligingsprogramma's.

• Houdt toezicht op de uitvoering en communicatie van informatiebeveiliging en privacyrisicobeheer.

• Zorgt voor naleving van wetten en normen (bijv. GDPR, CCPA, SOC 2, ISO 27001).

• Beoordeelt servicecontracten van leveranciers en houdt toezicht op risicobeheer van derden.

2. Directeur Engineering:

• Houdt toezicht op informatiebeveiliging in softwareontwikkeling.

• Implementeert en monitort beveiligingscontroles voor ontwikkelings- en IT-processen.

• Voert IT-risicobeoordelingen uit en communiceert risico's aan het leiderschap.

3. VP Klantenservice:

• Beheert informatiebeveiligingstools en -processen in klantomgevingen.

• Zorgt voor naleving van het beleid voor gegevensbehoud en verwijdering.

4. Systeemeigenaren:

• Behoud de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen.

• Keur toegangs- en wijzigingsverzoeken goed voor hun systemen.

5. Werknemers, Aannemers, Tijdelijke Werknemers:

• Handel verantwoordelijk om gezondheid, veiligheid en informatiebronnen te beschermen.

• Identificeer gebieden voor verbeterde risicobeheerpraktijken.

• Meld incidenten en houd je aan het bedrijfsbeleid.

6. Chief People Officer

• Zorgt ervoor dat werknemers en aannemers gekwalificeerd en bekwaam zijn.

• Houdt toezicht op achtergrondcontroles, het presenteren van beleid en het naleven van de gedragscode.

• Beoordeelt de prestaties van medewerkers en verzorgt beveiligingstraining.

Beleidsnaleving

• Naleving wordt gemeten via rapporten, audits en feedback.

• Uitzonderingen moeten vooraf worden goedgekeurd door de CEO.

• Niet-naleving kan leiden tot disciplinaire maatregelen, waaronder ontslag.

Documentcontrole

• Versie: 1.0

• Datum: 3 februari 2024

Polishouder en ingangsdatum: De CEO is de polishouder en het plan wordt van kracht op 1 maart 2024.

Doel: Om ervoor te zorgen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de ontwikkelingscyclus van applicaties en informatiesystemen.

Scope: Van toepassing op alle Document360-applicaties en informatiesystemen die bedrijfskritisch zijn en/of vertrouwelijke gegevens verwerken, opslaan of verzenden.

Secure-by-Design principes:

• Minimaliseer het aanvalsoppervlak.

• Stel veilige standaardwaarden op.

• Pas het principe van het minste privilege toe.

• Voer verdediging in de diepte in.

• Misluk veilig.

• Vermijd beveiliging door obscuriteit.

• Houd de beveiliging eenvoudig.

Privacy-by-Design Principes:

• Proactieve, preventieve aanpak.

• Privacy als standaardinstelling.

• Privacy ingebed in het ontwerp.

• Volledige functionaliteit zonder concessies te doen aan privacy.

• End-to-end beveiliging.

• Volledige levenscyclusbescherming.

Ontwikkelingsomgeving: Logische of fysieke scheiding van omgevingen: Productie, Test/Staging, Ontwikkeling.

Systeemacceptatietest: Stel acceptatietestprogramma's en criteria op voor nieuwe informatiesystemen, upgrades en nieuwe versies. Vul een Release Checklist in voordat je code uitrolt.

Bescherming van testgegevens: Testgegevens moeten zorgvuldig geselecteerd, beschermd en gecontroleerd worden. Vertrouwelijke klantgegevens moeten beschermd worden en niet worden gebruikt voor testen zonder expliciete toestemming.

Wijzigingscontroleprocedures: Zorg ervoor dat ontwikkeling, testen en implementatie van wijzigingen niet door één individu worden uitgevoerd zonder goedkeuring en toezicht.

Softwareversiebeheer: Alle software is versiegestuurd, met toegang beperkt op basis van rol.

Naleving van het beleid: Gemeten via rapporten, audits en feedback. Niet-naleving kan leiden tot disciplinaire maatregelen, tot en met ontslag.

Polishouder: De CEO is verantwoordelijk voor de polis.

Ingangsdatum: De polis wordt van kracht op 1 maart 2024.

Doel: Het beleid is bedoeld om een veilige en inclusieve omgeving voor alle medewerkers te creëren en te behouden.

Scope: Dit beleid geldt voor alle medewerkers in alle professionele omgevingen binnen de organisatie.

Cultuur: De organisatiecultuur die door dit beleid wordt bevorderd, benadrukt respect, samenwerking en consideratie onder alle medewerkers.

Verwacht gedrag: Van medewerkers wordt verwacht dat ze actief deelnemen aan het creëren van een respectvolle en samenwerkende werkomgeving.

Onacceptabel gedrag: Elke vorm van intimidatie, geweld, discriminatie of ongepast gedrag is strikt verboden.

Wapenbeleid: Het beleid verbiedt het bezit van wapens op bedrijfsterreinen, met strikte gevolgen voor overtredingen.

Gevolgen: Niet-naleving van dit beleid leidt tot onmiddellijke corrigerende maatregelen, waaronder disciplinaire maatregelen en de verplichting om overtredingen te melden.

Verantwoordelijkheid: De CEO draagt de verantwoordelijkheid om ervoor te zorgen dat alle medewerkers zich houden aan en naleven aan de principes die in dit beleid zijn uiteengezet.

Polishouder: De CEO is verantwoordelijk voor de polis.

Ingangsdatum: De polis wordt van kracht op 1 maart 2024.

Doel: Het doel van dit beleid is om de toegang tot informatie en systemen te beperken tot gemachtigde personen, in overeenstemming met bedrijfsdoelstellingen.

Scope: Dit beleid geldt voor alle systemen die door Document360 worden beheerd en vertrouwelijke gegevens verwerken voor medewerkers en externe partijen met netwerktoegang.

Samenvatting van toegangscontrole en gebruikersbeheer:

Gebruikers identificeren: Toegangsrechten worden toegekend op basis van specifieke functierollen en competenties die nodig zijn om taken uit te voeren.

Behoud van autorisatie: Alle toewijzingen van bevoorrechte toegang worden gedocumenteerd en bijgehouden om verantwoordelijkheid te waarborgen.

Beveiligingsmaatregelen handhaven: Multi-factor authenticatie (MFA) is verplicht voor bevoorrechte toegang om de beveiliging te verbeteren. Generieke administratieve ID's zijn verboden om ongeoorloofd gebruik te voorkomen.

Protocollen aannemen: Tijdgebonden toegangsrechten worden verleend om blootstelling te beperken en beveiligingsrisico's te verminderen.

Logging en auditing: Alle privilegede inloggegevens en activiteiten worden geregistreerd en gecontroleerd om ongeautoriseerde toegang of misbruik te monitoren.

Gebruikerstoegangbeoordelingen: Regelmatige controles zorgen ervoor dat er duidelijke en passende identiteiten worden behouden voor degenen met bevoorrechte toegang.

Toegangscontrolebeleid: Toegang is beperkt tot gemachtigde partijen, zodat informatie beschermd blijft.

Wachtwoordbeheer: Veilige inlogprocedures en wachtwoordbeleid zijn geïmplementeerd om ongeautoriseerde toegang te voorkomen.

Gebruikerstoegang: Toegangsrechten worden verleend op basis van gedocumenteerde bedrijfsvereisten en gevalideerde behoeften.

Overtredingen & Handhaving: Overtredingen van dit beleid worden gemeld en onderhevig aan handhavingsmaatregelen om naleving en veiligheid te waarborgen.

Polishouder: De CEO is verantwoordelijk voor de polis.

Ingangsdatum: De polis wordt van kracht op 1 maart 2024.

Doel: Om ervoor te zorgen dat informatie wordt geclassificeerd, beschermd, bewaard en veilig wordt afgevoerd op basis van het belang voor de organisatie.

Scope: Van toepassing op alle data-, informatie- en informatiesystemen van Document360.

Dataclassificatie: Vertrouwelijk: Zeer gevoelige gegevens die de hoogste beschermingsniveaus vereisen. Voorbeelden zijn klantgegevens, persoonsgegevens, bedrijfsfinanciën, strategische plannen en technische rapporten.

Beperkt: Propriëtaire informatie die grondige bescherming vereist. Standaardclassificatie voor alle bedrijfsinformatie, tenzij anders vermeld. Voorbeelden hiervan zijn interne beleidsregels, juridische documenten, contracten en e-mails.

Publiek: Informatie bedoeld voor het publiek en kan vrij worden verspreid. Voorbeelden zijn marketingmateriaal en productbeschrijvingen.

Gegevensafhandeling:

Vertrouwelijke gegevens:

• Beperkte toegang tot specifieke medewerkers of afdelingen.

• Moet versleuteld zijn in rust en tijdens het verzenden.

• Mag niet worden opgeslagen op persoonlijke apparaten of verwijderbare media.

• Vereist veilige opslag en verwijdering.

Beperkte gegevens:

• Toegang beperkt tot gebruikers op basis van need-to-know.

• Vereist goedkeuring van het management voor externe overdracht.

• Veilige opslag en verwijdering zijn verplicht.

Publieke gegevens: Geen speciale bescherming of bedieningsmaatregelen nodig.

Gegevensbewaring en -verwijdering:

• Gegevens die zo lang worden bewaard als nodig is voor zakelijke, regelgevende of contractuele vereisten.

• Vertrouwelijke en beperkte gegevens worden veilig verwijderd wanneer ze niet meer nodig zijn.

• PII verwijderd of gedeïdentificeerd wanneer het niet langer nodig is voor zakelijke doeleinden.

Jaarlijkse gegevensbeoordeling: Het management beoordeelt jaarlijks de vereisten voor gegevensbehoud om naleving van het beleid te waarborgen.

Wettelijke vereisten: Gegevens die verband houden met juridische vaststellingen of rechtszaken zijn vrijgesteld van standaardpolisvereisten en worden bewaard volgens de bepalingen van de juridische adviseur.

Naleving van het beleid: Compliance wordt gemeten via rapporten van bedrijfstools en audits.

Uitzonderingen: Eventuele uitzonderingen op het beleid vereisen goedkeuring van de CEO.

Overtredingen & Handhaving: Bekende beleidsovertredingen moeten aan de CEO worden gemeld en kunnen leiden tot disciplinaire maatregelen, waaronder beëindiging van het dienstverband.

Polishouder: De CEO is verantwoordelijk voor de polis.

Ingangsdatum: De polis wordt van kracht op 1 maart 2024.

Doel en Reikwijdte:

• Zorgen voor de veilige werking van informatieverwerkingssystemen en -faciliteiten.

• Van toepassing op alle kritieke Document360-informatiesystemen en derden met netwerktoegang.

Gedocumenteerde werkwijzen:

Technische en administratieve procedures moeten worden gedocumenteerd en toegankelijk zijn voor relevante gebruikers.

Verandermanagement:

• Belangrijke wijzigingen moeten worden gedocumenteerd, getest, beoordeeld en goedgekeurd voordat ze worden ingezet.

• Noodwijzigingen vereisen retrospectieve beoordeling en goedkeuring.

Capaciteitsbeheer:

• Monitor en pas verwerkingsmiddelen en systeemopslag aan om aan de prestatie-eisen te voldoen.

• Neem de capaciteit van het personeel mee in de planning en jaarlijkse risicobeoordelingen.

Preventie van datalekken:

• Identificeer en classificeer informatie volgens het Data Management Policy.

• Train gebruikers in de juiste omgang met gevoelige informatie.

• Gebruik Data Loss Prevention (DLP)-tools op basis van risicobeoordeling.

Webfiltering:

• Implementeer DNS- en IP-blokkering om de toegang tot risicovolle websites te beperken.

• Blokkeer websites met kwaadaardige inhoud of commando-en-controleservers, tenzij dat voor zaken nodig is.

Scheiding van omgevingen:

• Scheid de ontwikkel-, staging- en productieomgevingen strikt op.

• Gebruik geen vertrouwelijke productieklantgegevens in ontwikkelings- of testomgevingen zonder goedkeuring.

Systemen en netwerkconfiguratie:

• Volg configuratie- en versterkingsnormen om systeem- en netwerkbeveiliging te behouden.

• Bekijk jaarlijks de configuratieregels voor de productie van netwerktoegang.

Bescherming tegen malware:

• Implementeer detectie-, preventie- en herstelmaatregelen voor malware.

• Gebruik anti-malware en dreigingsdetectiesoftware op alle bedrijfseindpunten en e-mails.

Informatie-back-up: Ontwerp en implementeer back-upprocessen voor systemen en data, zodat klantdata wordt hersteld volgens SLA's.

Logging en monitoring: Implementeer logging en monitoring om beveiligingsincidenten te detecteren en erop te reageren.

Controle van operationele software: Beheer de installatie en het gebruik van operationele software volgens vastgestelde regels.

Dreigingsinformatie: Verzamel en analyseer informatiebeveiligingsdreigingen om bruikbare inlichtingen te produceren.

Technisch Kwetsbaarheidsbeheer: Identificeer, beoordeel en pak technische kwetsbaarheden tijdig aan.

Beperkingen op software-installatie: Stel regels vast voor software-installatie om veiligheid en naleving te waarborgen.

Overwegingen bij audit van informatiesystemen: Plan en kom overeen met auditvereisten om verstoringen in bedrijfsprocessen te minimaliseren.

Beoordeling en eisen van systeembeveiliging: Neem beveiligingsvereisten op bij de aanschaf of significante wijzigingen aan systemen.

Data-maskering: Implementeer datamaskingtechnieken om PII en gevoelige gegevens te beschermen op basis van risicobeoordeling.

Polishouder: De CEO is verantwoordelijk voor het gegevensbewaarbeleid.

Ingangsdatum: De polis wordt van kracht op 1 maart 2024.

Doel: Dit beleid beschrijft hoe gegevens worden opgeslagen, geanalyseerd en verwijderd binnen Document360, zodat transparantie en gebruikerscontrole over de bewaarde informatie worden gegarandeerd.

Scope: Dit beleid geldt voor alle klanten die Document360 gebruiken, inclusief zowel publieke als private kennisbasisprojecten.

Gegevensverzameling:

• Voor openbare sites: er worden geen gebruikersgegevens verzameld.

• Voor privéprojecten: We verzamelen gebruikersgegevens, waaronder de identiteit van de gebruiker die een prompt indient, tijdstempels en andere gebruikersinformatie die beschikbaar is binnen Document360.

Datagebruik: Document360 slaat alle prompts/vragen op die in de Eddy AI Chatbot zijn ingevoerd om de volgende analyses uit te voeren:

• Topische analyse: Clustering van vragen/prompts met behulp van interne algoritmen en OpenAI API's.

• Citatieanalyse: Het identificeren van de meest geciteerde artikelen.

• Meetpunten: Diepte-metrics weergeven en beantwoorde versus onbeantwoorde vragen bijhouden.

Maatwerk: Dit beleid is niet aanpasbaar door de klant, maar klanten hebben het recht om op elk moment tijdens de contractperiode te verzoeken hun gegevens te verwijderen.

Gegevensbehoud en -verwijdering:

• Alle verzamelde gegevens worden bewaard binnen uw Document360-project.

• Data wordt permanent verwijderd wanneer het kennisbasisproject wordt verwijderd.

• U kunt op elk moment tijdens uw contract met Document360 verzoeken om verwijdering van deze gegevens.

Verantwoordelijkheid: De CEO is verantwoordelijk voor de implementatie en naleving van dit beleid in alle klantaccounts en projecten.

Polishouder: Senior Director – Data Science.

Ingangsdatum: Het beleid treedt in werking op 1 januari 2025.

Doel: Het opzetten van een systematische aanpak voor het identificeren, beoordelen, prioriteren en beheren van risico's die samenhangen met Eddy AI gedurende de gehele levenscyclus.

Belangrijke Componenten:

• Eerste AI-impactbeoordeling: Een pre-ontwikkelingsbeoordeling moet worden uitgevoerd voorafgaand aan enige ontwikkelingsactiviteit, waarbij beoogde gebruikssituaties, potentiële schade, risicokans en impact, stakeholderidentificatie en mitigatiestrategieën worden behandeld.

• Voortdurende risicomonitoring: Risico's worden elk kwartaal beoordeeld, met jaarlijks uitgebreide beoordelingen.

• Risicotolerantiedrempels: Risico's worden ingedeeld in vier categorieën: onaanvaardbare risico's (inzet verboden), hoge risico's (uitgebreide controles vereist), middelhoge risico's (standaardcontroles toegepast) en lage risico's (alleen monitoring).

• Risicoregister: Een gecentraliseerde documentatie van alle geïdentificeerde risico's, mitigatiemaatregelen, restrisico's en aangewezen eigendom.

Polishouder: Senior Directeur – Data Science

Ingangsdatum: Het beleid treedt in werking op 1 januari 2025.

Doel: Het identificeren, meten, miteren en continu monitoren van vooroordelen binnen Eddy AI-systemen, zodat eerlijke en gelijke behandeling wordt gegarandeerd over alle gebruikersgroepen en contenttypes.

Categorieën van vooringenomenheid:

• Systemische vooringenomenheid: Bias afkomstig van derdepartij grote taalmodellen (LLM's).

• Computationele/statistische bias: Bias die voortkomt uit algoritmische ontwerpkeuzes, data-samplingmethoden of de wiskundige eigenschappen van de onderliggende modellen.

• Mens-cognitieve bias: Bias geïntroduceerd door menselijke aannames, waarnemingen en besluitvormingsprocessen.

Vereisten voor biastesten:

Voorafgaand aan de inzet

• Analyse van inhoudelijke representatie: Analyseer de kennisbasis om de onderwerpbalans, diepgang en diversiteit van perspectieven te evalueren.

• Stereotypetesten: Test het systeem met zoekopdrachten die betrekking hebben op beschermde kenmerken en controleer dat de AI consequent weigert stereotypen te versterken.

• Taalrechtvaardigheid: Voor meertalige kennisbases meet en vergelijk je de responskwaliteit van alle ondersteunde talen.

Monitoring na de uitrol

• Maandelijks: Voer analyse van onbeantwoorde vragen uit, gesegmenteerd per onderwerp of gebruikersgroep.

• Kwartaaljaar: Voer een volledige bias-audit uit met een bijgewerkt testcorpus om te beoordelen.

• Jaarlijks: Schakel een externe accountant in om een onafhankelijke biasbeoordeling uit te voeren en een transparantierapport te publiceren.