Governance — hoe onze AI feitelijk werkt
Governed AI is geen marketingwoord. Het is een grootboek, een preview/apply/rollback-workflow en een refusal-to-fabricate-beleid afgedwongen in code.
Deze pagina bestaat omdat een compliance- of legal-screener één document moet kunnen lezen, vragen stellen en met antwoorden weglopen. Elke claim hieronder mapt op geleverde gedrag in het platform — verifieerbaar in een review van 30 minuten met de operator die het schreef.
[AWAITING NATIVE REVIEW — drafted by founder at NL B1 register; do not externally promote until reviewer signs off]
1. Pre-flight credit metering
Elke AI-call loopt vóór uitvoering door een workspace-balanscheck. Staat de balans onder de pre-flight-vloer van de operatie, dan wordt de call geweigerd — geen partiële generatie, geen soft-failure die u factureert voor een half-kapotte draft. De check gebeurt op API-route-niveau, niet op UI-niveau; u kunt er vanuit de browser niet omheen werken.
2. Append-only audit-grootboek in millicent EUR
Elke gemeten AI-call schrijft een rij in een grootboek per werkruimte: timestamp, operatie, reden-code, reële provider-prijs + platform-fee, balans vooraf, balans achteraf. Het grootboek is append-only — entries worden nooit bewerkt of verwijderd. Admins zien de volledige historie. Voor een enterprise-embedded mandaat is dit het document dat het finance-team krijgt als ze vragen 'wat hebben we vorig kwartaal aan AI uitgegeven?' — geen schatting, het werkelijke transactierecord.
3. Preview · apply · rollback op elke AI-bewerking
De Blog SEO Enhancement orchestrator stage'd elk voorgesteld wijziging. Elk voorstel bevat: een diff (wat specifiek verandert), een rationale (waarom de AI dit suggereert), risico-flags (bv. wijziging in heading-hiërarchie, raken van een gepubliceerde externe link), een atomaire apply-button en een rollback-button. Interne-linksuggesties, externe-citaten, paragraaf-paraphrases, meta-tag-refreshes, heading-audits — alle vijf proposal-types lopen door dezelfde gate. Geen autonoom edit-pad. De senior operator tekent elke wijziging af.
4. Via Tavily geverifieerde feiten + domain-trust tiering
Voor het genereren van content queryt de orchestrator Tavily voor bronmateriaal relevant voor het onderwerp. Bronnen zijn getierd op domain-trust (een autoriteit-domein zoals een ministeriële site outrankt een commerciële blog). Claims die geen geverifieerde bron vinden, worden niet gegenereerd. Het platform weigert feiten te verzinnen die niet in zijn bronnen staan — dit wordt afgedwongen op prompt + retrieval-laag, niet als een post-hoc disclaimer.
5. Role-gated mutaties + RLS workspace-isolatie
Elke write-operatie checkt de rol van de caller (admin / manager / contributor / portal-cliënt) voordat data wordt gemuteerd. Cross-workspace data-toegang is geblokkeerd op database-laag via Supabase Row Level Security-policies — niet op application-laag waar een bug zou kunnen lekken. De data van een werkruimte is onzichtbaar voor elke andere werkruimte, inclusief de eigen werkruimte van de platform-admin, behalve via expliciete cross-workspace-operaties (die geaudit worden).
6. Anti-abuse logging op elk publiek formulier
Publieke formulieren — booking-submissions, nieuwsbriefaanmeldingen, contact-intake, popup-captures — loggen honeypot-triggers en form-start timing. Een submission die in 12 seconden wordt ingevuld met een honeypot-veld geraakt, wordt gelogd met zijn event-signature. Operators zien de anti-abuse event-stream naast hun reserveringen / contacten; obvious bots worden eruit gefilterd zonder handmatige triage.
7. GDPR-instellingen + DSR-tracking + retentievensters
Elke werkruimte heeft een eigen GDPR-instellingenpagina: DPO-contact, privacy-policy URL, sub-processor-lijst, retentievensters per dataklasse, consent posture, data-regio. Data-subject-requests worden getrackt met statussen (received / verifying / fulfilled / refused-with-reason). Het platform ondersteunt uw compliance-houding; de workspace-operator heeft nog steeds verplichtingen. We claimen geen 'fully GDPR compliant by default' — die zin is betekenisloos. We leveren de controls die een serieuze operator nodig heeft.
8. Authenticated automation-endpoints
Cron-gedreven jobs (Market Monitor-scans, geplande nieuwsbriefverzending, Opportunity Engine-sweeps) raken endpoints beschermd door sticky bearer-token authenticatie. Het cron-secret staat in environment variables, nooit in client-code, nooit in committed config. Webhook-receivers (Resend tracking-events) verifiëren Svix-signatures voordat payloads worden geaccepteerd — een ongetekende of vervalste webhook wordt geweigerd.
Wat is geleverd vs. wat is roadmap
Wave 1 van de SEO-feedback-loops is geleverd: de interne-linkgraaf bewaart elke geaccepteerde bewerking, geleerde-autoriteit-domeinen accumuleren per werkruimte, proposal-events worden opgeslagen. Wave 2 — read-side rankers die op de opgeslagen history acteren — is roadmap, geen product. Eerlijke framing: het systeem onthoudt al; binnenkort handelt het op wat het onthoudt. We leveren geen 'autonome AI-agents die zonder review handelen' — die taal mapt niet op wat is gebouwd. Het grootboek en de review-workflow zijn het hele punt.
Wil uw compliance-team iets hiervan auditen tegen geleverde code, plan een review van 30 minuten met Hossam. We openen de werkruimte, tonen het grootboek, lopen door de orchestrator en beantwoorden specifieke vragen op de record.