AI-beleid

Netwrkz B.V. hanteert dit beleid om te waarborgen dat AI-systemen veilig, transparant, eerlijk, uitlegbaar en mensgericht worden ingezet. Het beleid geldt voor alle medewerkers, ingehuurde krachten en opdrachtgevers van Netwrkz B.V. en omvat zowel intern gebruik van AI-tools als AI-functionaliteit in oplossingen die wij voor klanten ontwerpen, implementeren of beheren.

Wij hanteren de volgende uitgangspunten, in lijn met artikel 4 en bijlage IV van de AI Act en de Ethische richtsnoeren voor betrouwbare AI van de Europese Commissie:

• menselijke autonomie en menselijk toezicht;
• technische robuustheid en veiligheid;
• privacy en databeheer;
• transparantie en uitlegbaarheid;
• diversiteit, non-discriminatie en eerlijkheid;
• maatschappelijk en milieubewust welzijn;
• verantwoording en herleidbaarheid.

Voor elk AI-systeem dat wij intern inzetten of voor opdrachtgevers ontwikkelen, voeren wij een risicoclassificatie uit volgens de AI Act:

• Onaanvaardbaar risico (artikel 5): wordt door Netwrkz B.V. niet ontwikkeld, geleverd of gebruikt;
• Hoog risico (artikel 6 en bijlage III): wordt uitsluitend ingezet met een DPIA, conformiteitsbeoordeling, risicobeheersysteem en menselijke supervisie;
• Beperkt risico: gebruikers worden geïnformeerd dat zij met een AI-systeem interacteren (transparantieverplichting, artikel 50);
• Minimaal risico: ingezet conform algemene zorgplicht en dit beleid.

Medewerkers van Netwrkz B.V. mogen goedgekeurde AI-tools gebruiken voor onder meer codeondersteuning, documentatie, vertaling en analyse, mits dit gebruik in lijn is met dit beleid en het informatiebeveiligingsbeleid. Verboden is in elk geval:

• het invoeren van vertrouwelijke klantgegevens, persoonsgegevens of credentials in publieke AI-diensten zonder passende waarborgen of verwerkersovereenkomst;
• het volledig automatiseren van besluiten met juridische of vergelijkbaar significante gevolgen, zonder zinvolle menselijke tussenkomst (artikel 22 AVG);
• het gebruik van AI voor manipulatie, profilering naar bijzondere persoonsgegevens of social scoring;
• het ongecontroleerd publiceren van door AI gegenereerde inhoud zonder review.

AI-systemen worden ingericht volgens de beginselen van privacy by design en by default (artikel 25 AVG). Voor verwerkingen met een potentieel hoog risico — waaronder veel AI-toepassingen — voeren wij een Gegevensbeschermings­effect­beoordeling (DPIA) uit conform artikel 35 AVG. Persoonsgegevens worden uitsluitend verwerkt op basis van een geldige rechtsgrond, met dataminimalisatie, doelbinding en passende beveiliging.

Bij gebruik van externe AI-leveranciers sluiten wij een verwerkersovereenkomst (artikel 28 AVG) en beoordelen wij waar de gegevens worden verwerkt. Bij doorgifte buiten de EER gelden aanvullende waarborgen zoals de Standard Contractual Clauses.

Wanneer eindgebruikers met een AI-systeem interacteren — bijvoorbeeld een chatbot of generatieve assistent — communiceren wij dit duidelijk. AI-gegenereerde inhoud (tekst, beeld, audio, video) wordt waar redelijkerwijs mogelijk als zodanig gemarkeerd of voorzien van technische markeringen, conform artikel 50 AI Act. Wij dragen er zorg voor dat besluiten die mede op AI berusten herleidbaar en uitlegbaar zijn.

Voor elk relevant AI-systeem wordt menselijk toezicht ingericht, zodat een gekwalificeerd persoon de werking kan monitoren, interpreteren, overrulen of stopzetten. Bij AI-systemen met hoog risico geldt dit als harde randvoorwaarde, conform artikel 14 AI Act.

AI-systemen worden ontwikkeld en beheerd volgens onze ISMS-uitgangspunten (afgeleid van ISO 27001 en NIS2). Dit omvat onder meer modelbeveiliging, bescherming tegen prompt-injectie en data-poisoning, logging, monitoring van drift en periodieke herbeoordeling van het model. Incidenten met een AI-systeem worden behandeld via onze reguliere incident- en kwetsbaarhedenprocedure.

Wij toetsen AI-modellen actief op vooringenomenheid en discriminerende uitkomsten, waaronder ten aanzien van bijzondere persoonsgegevens (artikel 9 AVG). Bij significante risico's worden mitigerende maatregelen getroffen, zoals herbalancering van trainingdata, aanvullende reviews of het beperken van toepassingsgebieden.

Bij gebruik van generatieve AI respecteren wij rechten van derden. Inhoud die door Netwrkz B.V. of haar opdrachtgevers in een AI-systeem wordt ingevoerd, blijft eigendom van de rechthebbende. Wij gebruiken klantdata niet voor training van modellen, tenzij uitdrukkelijk en schriftelijk overeengekomen.

Voorafgaand aan de inzet van een AI-leverancier voeren wij een leveranciersbeoordeling uit op het gebied van beveiliging, privacy, AI-governance en compliance met de AI Act. Een actuele lijst van toegestane AI-tools wordt intern bijgehouden.

De directie van Netwrkz B.V. is eindverantwoordelijk voor naleving van dit beleid. De Functionaris Gegevensbescherming (waar van toepassing) en de security officer adviseren over privacy- en beveiligingsaspecten. Iedere medewerker is verantwoordelijk voor het naleven van dit beleid in zijn of haar dagelijkse werk.

Netwrkz B.V. herziet dit AI-beleid ten minste jaarlijks en bij belangrijke wijzigingen in wet- en regelgeving (zoals nadere uitvoeringshandelingen onder de AI Act) of in onze dienstverlening.

Vragen, signalen of klachten over de inzet van AI binnen Netwrkz B.V. kunnen worden gericht aan: Netwrkz B.V., Nobelstraat 15 BU6, 2693 BC 's-Gravenzande, e-mail legal@netwrkz.io.