Beveiliging & vertrouwen
Nance werkt binnen je financiële systemen, dus beveiliging en verantwoorde AI zijn fundamenten van het product, geen bijzaak. Zo beschermen we je data en zo bouwen we AI waar we achter staan.
Bouwen met AI nemen we serieus
Nance is geen dun laagje over een taalmodel. Het is een systeem voor het draaien van echte financiële operaties, en zo bouwen we het ook. Een groot deel van ons werk zit in de delen die klanten nooit zien: agentgedrag evalueren, output verifiëren, monitoren wat er in productie draait en mensen de regie geven over ingrijpende acties.
Het resultaat is een assistent die je gevoelige financiële processen kunt toevertrouwen, ondersteund door de beveiligings- en governancepraktijken die je verwacht van een systeem dat aan je boeken komt.
Hoe we AI bouwen en draaien
Verantwoorde AI, ingebouwd
Nance werkt naast je als een virtuele financiële collega. Je haalt er het meeste uit door haar werk te sturen en te beoordelen, zoals je dat bij elke capabele teamgenoot zou doen, in plaats van haar output ongecontroleerd over te nemen.
Evaluaties voordat we iets uitrollen
Nieuw agentgedrag wordt vóór release getoetst aan evaluatiesuites. We behandelen de kwaliteit van een agent als iets om te testen, niet om aan te nemen.
Agentisch of deterministisch waar dat past
Routinematige financiële processen kunnen draaien als vaste, deterministische stappen waar betrouwbaarheid het zwaarst weegt, of als redenerende agents waar oordeel nodig is. Je kiest per proces de juiste modus in plaats van alles door een model te duwen.
Zelfversterkende verificatielussen
Nance draait lussen die haar werk onthouden, beoordelen en corrigeren, en toetst de output aan de onderliggende data zodat de kwaliteit over opeenvolgende passes toeneemt in plaats van te leunen op één poging.
Monitoring en traceerbaarheid van output
We volgen wat de agents in productie produceren. Dat inzicht betekent dat gedrag kan worden beoordeeld en opgevolgd, zodat we het kunnen vinden, onderzoeken en erop reageren wanneer iets aandacht nodig heeft.
Goedkeuring door mensen
Acties die de financiële stand veranderen, zoals het verwerken van betalingen, vragen expliciete goedkeuring van een mens voordat ze worden uitgevoerd. Mensen houden de regie over ingrijpende stappen.
Audit trails en logging
Workflows, tool-aanroepen en systeemactiviteit worden gelogd, zodat elke actie van Nance te traceren en te beoordelen is.
Compliance en gegevensbescherming
ISO 27001
In uitvoeringWe implementeren een managementsysteem voor informatiebeveiliging en werken toe naar ISO 27001- certificering. Het traject omvat onze beveiligingsbeleid, toegangsbeheer, risicomanagement en leveranciersgovernance.
AVG
We verwerken persoonsgegevens onder de AVG, met verwerkersovereenkomsten voor onze klanten en technische en organisatorische maatregelen onder artikel 32. Wat we verwerken, onze subverwerkers en gegevensoverdrachten staan beschreven in onze privacyverklaring.
Hoe we je data beschermen
- EU-dataresidentie voor klanten die dat vereisen, zodat financiële data van begin tot eind binnen de EU bewaard en verwerkt kan worden.
- Versleuteling van data onderweg en in rust, met toegang beperkt tot bevoegd personeel op need-to-know-basis.
- Audit trails en systeemlogging over workflows en integraties heen, zodat activiteit te traceren en te beoordelen is.
- Regelmatige tests en kwetsbaarheidsbeheer, met monitoring van de systemen waarmee we de dienst leveren.
- Gescreende subverwerkers onder verwerkersvoorwaarden, met passende waarborgen zoals modelcontractbepalingen voor overdrachten buiten de EU.
Onze positie ten aanzien van de EU AI-verordening
We hebben Nance getoetst aan de EU AI-verordening. Nance ondersteunt finance-teams met boekhoud- en ERP-data voor bedrijven. Het beoordeelt niet de kredietwaardigheid van personen en neemt niet de soort beslissingen die de verordening als hoog risico aanmerkt, dus we draaien Nance als een AI-systeem met beperkt risico.
Voor die categorie richten we ons op de verplichtingen die gelden:
- Transparantie. Het is altijd duidelijk dat je met een AI-assistent werkt, en we markeren output die Nance genereert.
- Menselijk toezicht. Ingrijpende acties vereisen goedkeuring van een mens, en mensen kunnen beoordelen, corrigeren of overrulen wat Nance doet.
- AI-geletterdheid. Ons team is getraind om de mogelijkheden en grenzen te begrijpen van de systemen die we bouwen en draaien.
We volgen hoe de AI-verordening en de bijbehorende normen zich ontwikkelen, inclusief werk aan AI-managementsystemen, en passen onze praktijk aan naarmate de regels van kracht worden.
Een beveiligingsprobleem melden
Denk je een beveiligingslek in Nance te hebben gevonden, dan horen we dat graag. Neem contact op met ons team en we werken samen met je aan een oplossing. We vragen je ons een redelijke gelegenheid te geven om te reageren voordat je iets openbaar maakt.
[email protected]