Veilig omgaan met AI

  • AI-Corporate is een veilige AI omgeving

  • Speciaal gebouwd voor bedrijven met een inlogmogelijkheid via de eigen omgeving.

  • AI-Corporate voldoet aan de wettelijke vereisten voor de bescherming van persoonsgegevens

  • Ook wordt binnen de applicatie de mogelijkheid geboden om te werken met anonieme accounts, zonder gebruik persoonsgegevens

Algemene verordening gegevensbescherming (AVG)

Wat is de AVG?

Onderwijsinstellingen verzamelen en gebruiken veel persoonsgegevens van hun leerlingen of studenten. De AVG verplicht je om deze gegevens zorgvuldig te gebruiken en de privacy van leerlingen te beschermen.

Wat gebeurt er met verzonden chats?

Chatberichten worden verstuurd naar onze subverwerkers om antwoord te kunnen geven. Wij hebben overeenkomsten met onze subverwerkers om deze informatie vertrouwelijk en AVG-proof te verwerken.

Voldoet AI-school aan de AVG?

Om te voldoen aan de AVG sluit de school een verwerkersovereenkomst af met AI-School voor het gebruik van de AI-school applicatie. Hierin wordt vastgelegd hoe de persoonsgegevens verwerkt worden.

Gevoelige persoonsgegevens?

AI-School verwerkt geen gevoelige persoonsgegevens. Wij hebben alleen het leerlingnummer, de naam en het e-mail adres nodig van leerlingen. Deze gegevens worden niet gedeeld met externe partijen of subverwerkers.

Welke verwerkersovereenkomst?

AI-School gebruikt de modelovereenkomst van Privacyconvenant Onderwijs als basis voor de verwerkersovereenkomst.

Persoonsgegevens in de chat?

De medewerkers of leerlingen kunnen persoonsgegevens invoeren en versturen met de chat. Deze gegevens kunnen veilig verstuurd worden. Daartoe hebben we afspraken gemaakt met onze subverwerkers. Zij hebben de verplichting om vertrouwelijk met de verstuurde gegevens om te gaan.

Functionaris Gegevensbescherming

Grip IT Consultancy

Patrick Lankhaar, FG0016243.

E:mail: privacy@ai-school.info

Telefoon: 0103107997

KvK-nummer: 68836066

Abonnement AI-School

Bekijk onze Algemene voorwaarden abonnement AI-School en de Verwerkersovereenkomst op basis van het Privacyconvenant Onderwijs. Deze documenten worden ter ondertekening meegestuurd met de offerte. Zie verder de Servicevoorwaarden en Privacyverklaring. Deze documenten maken onderdeel uit van de overeenkomst met AI-School.

Achter de schermen

Wat gebeurt er als ik een vraag stel in de chat?

De chat is een reeks vragen en antwoorden. Bij het stellen van een nieuwe vraag worden eerst de vragen en antwoorden van de chat opgehaald uit onze database. Deze chatgeschiedenis wordt samen met de nieuwe vraag verstuurd naar een taalmodel via een API-koppeling. De informatie wordt versleuteld verstuurd.

Waar wordt dit naartoe verstuurd?

AI-school biedt verschillende taalmodellen aan (versies van GPT, Claude en Gemini). De informatie wordt verstuurd naar de partij die de koppeling aanbiedt van het gekozen taal model. Dit is in de meeste gevallen OpenAI of Google.

Wat doet het taalmodel?

Het taalmodel van OpenAI of Google verwerkt de informatie en genereert een antwoord. Het antwoord wordt geformuleerd door een AI-taalmodel. Deze modellen zijn buitengewoon complex en AI-School heeft geen invloed op de werking of uitkomst van deze modellen.

AI-School ontvangt het antwoord en presenteert dit vervolgens binnen het chatvenster.

En als ik de beeldmodus aanzet?

De beeldmodus stelt je in staat om een beeld te genereren vanuit een omschrijving. Wij halen geen chatgeschiedenis op in de beeldmodus. Wij versturen dus direct de vraag naar het tekst-naar-beeld model via een API-koppeling met OpenAI.

Wat is OpenAI?

OpenAI is het bedrijf achter ChatGPT. Dit bedrijf biedt eigen applicaties aan zoals ChatGPT en de betaalde versie van ChatGPT. Ook biedt dit bedrijf koppelingen aan voor externe partijen om gebruik te kunnen maken van de verschillende taal- en beeldmodellen die zij gemaakt hebben. AI-School maakt gebruik van deze koppelingen om antwoorden en beelden te genereren.

Verzamelt OpenAI onze gegevens?

Nee. AI-school is een betalende klant van OpenAI via de API-koppelingen die zij aanbieden. Wij hebben een verwerkersovereenkomst met OpenAI en de andere aanbieders van AI-modellen, waarin zij garanderen dat onze gegevens niet bewaard worden en dat voldaan wordt aan de EU regelgeving voor privacy. Wij delen geen leerlinggegevens met OpenAI en andere subverwerkers.

Lijst van subverwerkers

  • Wij maken gebruik van de OpenAI API voor het aanroepen van de chatmodellen GPT 4.1 en o4-mini het beeldmodel DALL-E 3.

    Wij maken ook gebruik van de Assistant API voor het instellen van Assistenten (custom chat bots).

  • Wij maken gebruik van Google Cloud voor het database, cloud opslag en applicatie back-end diensten (Firebase).

    Wij maken gebruik van Google Cloud Vertex AI voor de chatmodellen van Gemini.

  • We maken gebruik van de Anthropic API voor het gebruik van het chatmodel.

    Dit model is optioneel binnen de AI-School omgeving.

    Anthropic heeft een DPA die volledig voldoet aan de AVG regelgeving.

  • Wij gebruiken Microsoft Entra om medewerkers en leerlingen in te loggen met het schoolaccount.

    Deze inlogmethode is veilig, omdat er geen wachtwoorden aan te pas komen. Na succesvolle inlog bij Microsoft krijgen wij de benodigde informatie om het inlogproces te voltooien.

    Wij vragen alleen rechten om basic profielinformatie met ons te delen zodat we de gebruiker kunnen inloggen.

  • Wij gebruiken Mistral voor het aanroepen van het Mistral Large model.

  • Voor het verwerken van facturen gebruiken wij intern het boekhoudpakket Moneybird.

    Binnen Moneybird vullen wij persoonsgegevens in van de contactpersonen binnen de school.

    Wij verwerken binnen Moneybird geen gegevens van andere medewerkers of leerlingen.

  • Wij maken gebruik van Firestore als vector database om chatten met documenten door AI-modellen mogelijk te maken.

    Firestore is een clouddienst van Google waarmee we vectoren kunnen opslaan en “vector similarity search” kunnen uitvoeren.

    Bij het uploaden van documenten worden tekstfragmenten omgezet in vectoren, zodat het mogelijk is om via Firestore een zogeheten similarity search uit te voeren. Op deze manier kunnen AI-modellen efficiënt relevante informatie uit documenten ophalen en gebruiken tijdens het chatten. Firestore ondersteunt vector search als standaard functionaliteit.

    De data in Firestore wordt beveiligd en afgeschermd via de Firestore Security Rules, zodat alleen bevoegde gebruikers of systemen toegang hebben tot hun eigen gegevens. Firestore voldoet aan de beveiligingseisen van Google Cloud en er worden geen persoonsgegevens gedeeld met derden, behalve waar nodig voor het leveren van de dienst en volgens het privacybeleid van Google.

Beveiligingsmaatregelen

Hoe beveiligen jullie de systemen?

Wij maken gebruik van het Google Cloud Platform (Firebase) voor de opslag van gegevens.

Google Cloud Platform, inclusief Firestore, werkt in overeenstemming met verschillende standaarden en certificeringen, waaronder enkele ISO normen.

Enkele voorbeelden zijn:

ISO/IEC 27001: Dit is een internationale standaard voor informatiebeveiliging management systemen (ISMS), gericht op het beschermen van de vertrouwelijkheid, integriteit, en beschikbaarheid van informatie.

ISO/IEC 27017: Deze standaard focust op cloud-specifieke informatiebeveiliging, met richtlijnen voor zowel cloud service providers als cloud service gebruikers.

ISO/IEC 27018: Dit is een code voor het beschermen van persoonlijke data in de cloud, en is bijzonder relevant voor diensten die te maken hebben met het verwerken van persoonsgegevens.

In aanvulling op ISO certificeringen, voldoet Google Cloud ook aan andere normen en certificeringen zoals SOC 1, SOC 2, en SOC 3, en de General Data Protection Regulation (GDPR) van de Europese Unie.

Hoe voorkomen jullie ongeautoriseerde toegang?

We hebben verschillende maatregelen genomen om ervoor te zorgen dat alleen gebruikers met de juiste rechten toegang hebben tot de gegevens.

  1. Inloggen via Microsoft of Google schoolaccount. Dit is inherent veiliger dan het inloggen via e-mail en wachtwoord. En het is ook gemakkelijker.

  2. Toekennen van rollen aan de gebruikers van de applicatie: rollen zijn leerling, medewerker, docent, admin en super admin. Toegang tot gegevens is beperkt per rol.

  3. Toekennen van omgevingsrechten: gebruikers krijgen alleen toegang tot de omgeving waar zij bij horen, tenzij de rol super admin is toegekend.

  4. Instellen van Security Rules in de Firestore database. Security Rules zorgen ervoor dat de toegekende rollen en omgevingsrechten worden toegepast.

  5. App Check zorgt er als laatste voor dat alleen verzoeken tot informatie worden verwerkt die van geautoriseerde front-end applicaties verzonden worden.

Wat is App Check?

"App Check" is een beveiligingsfunctie van Firebase die helpt bij het beschermen van je backend-resources tegen misbruik, zoals ongeautoriseerde toegang en het nabootsen van jouw app. App Check werkt door te verifiëren dat het inkomende verkeer naar je Firebase-backend afkomstig is van authentieke, vertrouwde instanties van je app.

Meer over veiligheid

DPIA

AI-School heeft een DPIA uit laten voeren. Deze is afgerond en gebleken is dat we voldoen aan de gestelde privacyrichtlijnen.

Een DPIA (Data Protection Impact Assessment) is een privacy risicoanalyse die helpt om de risico’s van gegevensverwerking voor de privacy van mensen te beoordelen en te verminderen.

Vulnerability scan

Op onze applicatie is een vulnerability scan uitgevoerd. Daarbij is gebleken dat de AI-School applicatie goed beveiligd is.
Een vulnerability scan is een geautomatiseerd onderzoek van een IT-systeem om bekende kwetsbaarheden en zwakke plekken op te sporen. De scan controleert bijvoorbeeld op verouderde software, verkeerde instellingen of ontbrekende updates. Na afloop ontvang je een rapport met de gevonden kwetsbaarheden en adviezen voor verbetering.

Risico analyse informatiebeveiliging

Ook de uitgevoerde risico analyse informatiebeveiliging. Na afronding van de risicoanalyse informatiebeveiliging is de applicatie als veilig beoordeeld.
Een risicoanalyse informatiebeveiliging is een onderzoek waarmee je bekijkt welke bedreigingen en kwetsbaarheden er zijn voor de informatie binnen een organisatie. Op basis hiervan bepaal je welke beveiligingsmaatregelen nodig zijn om de risico’s te verkleinen.

Nog vragen over privacy?

Mail direct naar onze functionaris gegevensbescherming Grip IT