Trusq

feitelijke duiding · herleidbaar naar primaire bronnen

Onderwerpen Kansen Doe de check Samenwerken LinkedIn NL·EN
Uitleg

RAG en enterprise-AI: governance van bedrijfseigen generatieve AI

Vastgesteld 2026-06-22 · ≈ 2 min lezen · Dirk Baaijen

RAG koppelt een generatief model aan je eigen bronnen, zodat antwoorden uit bedrijfsdocumenten komen. Dat verlaagt verzinsels maar verschuift het risico naar toegang, vertrouwelijkheid en herkomst. Governance draait om bronafbakening, autorisatie, logging en menselijke controle.

Kort antwoord: Retrieval-Augmented Generation (RAG) laat een generatief AI-model antwoorden geven op basis van je eigen bedrijfsdocumenten in plaats van alleen zijn trainingskennis. Dat verlaagt het aantal verzinsels en houdt gevoelige kennis binnen je eigen bronnen, maar het verschuift het risico naar toegangsbeheersing, vertrouwelijkheid en herkomst van antwoorden. Goede governance draait om bronafbakening, autorisatie, logging en menselijke controle.

Wat RAG verandert aan het risicoprofiel

Bij RAG haalt het systeem relevante passages uit een eigen kennisbron op en geeft die mee aan het model als context. Het model "weet" je documenten dus niet — het krijgt ze per vraag aangereikt. Voordeel: antwoorden zijn herleidbaar tot een bron en het model hoeft niet op je data te zijn getraind, wat het risico op aantasting van bedrijfsgeheimen verkleint. Maar de kwaliteit en veiligheid hangen nu af van welke documenten ophaalbaar zijn en wie ze mag zien.

De grootste valkuil: autorisatie

Een RAG-systeem dat álle bedrijfsdocumenten zonder filter doorzoekbaar maakt, kan gevoelige informatie tonen aan medewerkers die er normaal geen toegang toe hebben. De retrieval-laag moet de bestaande toegangsrechten respecteren: een gebruiker mag via de chatbot niet méér zien dan via het bronsysteem. Dit is het verschil tussen een handige assistent en een ongecontroleerd datalek.

Vertrouwelijkheid en de keuze van het model

Of je een gehost model of een eigen omgeving gebruikt, bepaalt waar je context-data terechtkomt. Kies een aanbod waarbij de opgehaalde passages niet worden gebruikt voor training en niet worden bewaard. Zitten er persoonsgegevens in de bron, dan gelden de AVG-eisen: rechtsgrond, verwerkersovereenkomst en duidelijkheid over de verwerkingslocatie.

Herkomst, hallucinatie en menselijke controle

RAG vermindert verzinsels maar elimineert ze niet: het model kan opgehaalde passages verkeerd samenvatten of context negeren. Toon daarom altijd de bron bij het antwoord, zodat een gebruiker kan controleren. Voor besluiten met rechtsgevolg of hoog risico blijft menselijk toezicht vereist — een RAG-assistent is een hulpmiddel, geen beslisser.

Governance verankeren

Behandel een intern RAG-systeem als elke andere AI-toepassing: het hoort in je AI-governance-raamwerk, met een eigenaar, een risicobeoordeling en logging. Gebruik je een algemeen model als basis, dan kan het GPAI-regime op de leverancier raken, terwijl jij als gebruiker je eigen verplichtingen hebt.

Wat te doen

  • Spiegel toegangsrechten: de retrieval-laag mag nooit meer ontsluiten dan het bronsysteem toestaat.
  • Kies een model/omgeving waarin context-data niet wordt gebruikt voor training of bewaard.
  • Toon bronnen bij elk antwoord en houd menselijk toezicht voor zwaarwegende besluiten.
  • Cureer de kennisbron: verouderde of foute documenten leiden tot foute antwoorden.
  • Log gebruik en uitkomsten en geef het systeem een eigenaar binnen je governance.

Bronnen

  1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
    Verordening (EU) 2024/1689 (AI Act); transparantie, menselijk toezicht en GPAI-verplichtingen die ook op interne AI-toepassingen raken.
  2. https://eur-lex.europa.eu/eli/reg/2016/679/oj
    Verordening (EU) 2016/679 (AVG); rechtmatige verwerking en toegangsbeheersing bij persoonsgegevens in interne bronnen.

Deel op LinkedIn

Lees ook

A

Singapore: het Model AI Governance Framework en AI Verify

Singapore reguleert AI niet met een bindende wet maar met vrijwillige instrumenten: het Model AI Governance Framework (met een aparte versie voor generatieve AI) en de testtoolkit AI Verify. De inzet is vertrouwen via toetsbare praktijk in plaats van wettelijke verplichtingen vooraf.

U

AI, bedrijfsgeheimen en vertrouwelijkheid

Vertrouwelijke informatie in een extern AI-model invoeren kan de status van bedrijfsgeheim aantasten en geheimhoudings- of AVG-verplichtingen schenden. Bescherming hangt af van geheime maatregelen; oncontroleerbaar delen ondermijnt die. Beheers het met beleid, contract en toegangsregels.

W

Een AI-gebruiksbeleid voor medewerkers: generatieve AI op het werk

Medewerkers gebruiken allang generatieve AI — vaak zonder regels. Een gebruiksbeleid begrenst de risico's: lekken van vertrouwelijke of persoonsgegevens, onbetrouwbare output, IE-vragen en transparantie. De AI-geletterdheidsplicht (art. 4) maakt zulk beleid bovendien onderdeel van naleving.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.