Governance — hoe onze AI feitelijk werkt

Governed AI is geen marketingwoord. Het is een grootboek, een preview/apply/rollback-workflow en een refusal-to-fabricate-beleid afgedwongen in code.

Deze pagina bestaat omdat een compliance- of legal-screener één document moet kunnen lezen, vragen stellen en met antwoorden weglopen. Elke claim hieronder mapt op geleverde gedrag in het platform — verifieerbaar in een review van 30 minuten met de operator die het schreef.

[AWAITING NATIVE REVIEW — drafted by founder at NL B1 register; do not externally promote until reviewer signs off]

1. Pre-flight credit metering

Elke AI-call loopt vóór uitvoering door een workspace-balanscheck. Staat de balans onder de pre-flight-vloer van de operatie, dan wordt de call geweigerd — geen partiële generatie, geen soft-failure die u factureert voor een half-kapotte draft. De check gebeurt op API-route-niveau, niet op UI-niveau; u kunt er vanuit de browser niet omheen werken.

2. Append-only audit-grootboek in millicent EUR

Elke gemeten AI-call schrijft een rij in een grootboek per werkruimte: timestamp, operatie, reden-code, reële provider-prijs + platform-fee, balans vooraf, balans achteraf. Het grootboek is append-only — entries worden nooit bewerkt of verwijderd. Admins zien de volledige historie. Voor een enterprise-embedded mandaat is dit het document dat het finance-team krijgt als ze vragen 'wat hebben we vorig kwartaal aan AI uitgegeven?' — geen schatting, het werkelijke transactierecord.

3. Preview · apply · rollback op elke AI-bewerking

De Blog SEO Enhancement orchestrator stage'd elk voorgesteld wijziging. Elk voorstel bevat: een diff (wat specifiek verandert), een rationale (waarom de AI dit suggereert), risico-flags (bv. wijziging in heading-hiërarchie, raken van een gepubliceerde externe link), een atomaire apply-button en een rollback-button. Interne-linksuggesties, externe-citaten, paragraaf-paraphrases, meta-tag-refreshes, heading-audits — alle vijf proposal-types lopen door dezelfde gate. Geen autonoom edit-pad. De senior operator tekent elke wijziging af.

4. Via Tavily geverifieerde feiten + domain-trust tiering

Voor het genereren van content queryt de orchestrator Tavily voor bronmateriaal relevant voor het onderwerp. Bronnen zijn getierd op domain-trust (een autoriteit-domein zoals een ministeriële site outrankt een commerciële blog). Claims die geen geverifieerde bron vinden, worden niet gegenereerd. Het platform weigert feiten te verzinnen die niet in zijn bronnen staan — dit wordt afgedwongen op prompt + retrieval-laag, niet als een post-hoc disclaimer.

5. Role-gated mutaties + RLS workspace-isolatie

Elke write-operatie checkt de rol van de caller (admin / manager / contributor / portal-cliënt) voordat data wordt gemuteerd. Cross-workspace data-toegang is geblokkeerd op database-laag via Supabase Row Level Security-policies — niet op application-laag waar een bug zou kunnen lekken. De data van een werkruimte is onzichtbaar voor elke andere werkruimte, inclusief de eigen werkruimte van de platform-admin, behalve via expliciete cross-workspace-operaties (die geaudit worden).

6. Anti-abuse logging op elk publiek formulier

Publieke formulieren — booking-submissions, nieuwsbriefaanmeldingen, contact-intake, popup-captures — loggen honeypot-triggers en form-start timing. Een submission die in 12 seconden wordt ingevuld met een honeypot-veld geraakt, wordt gelogd met zijn event-signature. Operators zien de anti-abuse event-stream naast hun reserveringen / contacten; obvious bots worden eruit gefilterd zonder handmatige triage.

7. GDPR-instellingen + DSR-tracking + retentievensters

Elke werkruimte heeft een eigen GDPR-instellingenpagina: DPO-contact, privacy-policy URL, sub-processor-lijst, retentievensters per dataklasse, consent posture, data-regio. Data-subject-requests worden getrackt met statussen (received / verifying / fulfilled / refused-with-reason). Het platform ondersteunt uw compliance-houding; de workspace-operator heeft nog steeds verplichtingen. We claimen geen 'fully GDPR compliant by default' — die zin is betekenisloos. We leveren de controls die een serieuze operator nodig heeft.

8. Authenticated automation-endpoints

Cron-gedreven jobs (Market Monitor-scans, geplande nieuwsbriefverzending, Opportunity Engine-sweeps) raken endpoints beschermd door sticky bearer-token authenticatie. Het cron-secret staat in environment variables, nooit in client-code, nooit in committed config. Webhook-receivers (Resend tracking-events) verifiëren Svix-signatures voordat payloads worden geaccepteerd — een ongetekende of vervalste webhook wordt geweigerd.

Wat is geleverd vs. wat is roadmap

Wave 1 van de SEO-feedback-loops is geleverd: de interne-linkgraaf bewaart elke geaccepteerde bewerking, geleerde-autoriteit-domeinen accumuleren per werkruimte, proposal-events worden opgeslagen. Wave 2 — read-side rankers die op de opgeslagen history acteren — is roadmap, geen product. Eerlijke framing: het systeem onthoudt al; binnenkort handelt het op wat het onthoudt. We leveren geen 'autonome AI-agents die zonder review handelen' — die taal mapt niet op wat is gebouwd. Het grootboek en de review-workflow zijn het hele punt.

Wil uw compliance-team iets hiervan auditen tegen geleverde code, plan een review van 30 minuten met Hossam. We openen de werkruimte, tonen het grootboek, lopen door de orchestrator en beantwoorden specifieke vragen op de record.

Legibility Hub

Stel operationele vragen aan de werkruimte zonder ruwe SQL.

Gestructureerde tellingen lopen via vooraf toegestane databasekaarten. Narratieve context gebruikt semantische retrieval alleen wanneer nodig. Hybride antwoorden scheiden deterministische feiten van opgehaalde snippets en tonen herkomst.

“Wat is deze week te laat?”

structured

Telt achterstallige SLA-taken uit scoped werkruimtetabellen.

“Welke klanten vragen aandacht en waarom?”

hybrid

Combineert open vlaggen met recente semantische notities.

“Welke content bestaat rond boeking en juridische workflows?”

semantic

Haalt relevante semantische knooppunten uit de werkruimte op met citaties.

Querykaarten

Toegestaan

Er wordt geen gegenereerde text-to-SQL-interface geopend.

Metering

Alleen bij synthese

Alleen gestructureerde antwoorden vermijden Gemini en kosten geen credits.

Scope

Workspace RLS

Cross-workspace datatoegang wordt niet geclaimd en niet toegestaan.

Elk antwoord kan herkomst tonen: tabellen, filters, definities, semantische snippets en of Gemini-synthese is gebruikt.

Audit governance

Heldere scope

Waar u op kunt rekenen — en waar de grens ligt.

iSystem is ontworpen om gecontroleerd te worden, niet om te overdrijven. Deze sectie scheidt live mogelijkheden van onderdelen waar we de belofte bewust kleiner houden.

Beheerst AI-gebruik

Live

AI-werk wordt vooraf gecontroleerd op workspace-credits en daarna vastgelegd in een auditgrootboek.

AI is gemeten en verantwoordbaar, niet verpakt als onbeperkt gebruik.

Publieke videobibliotheek

Afgebakend

De publieke videosectie en manager-uploadflow zijn klaar voor echte walkthroughs en productdemo’s.

Het is een publicatieoppervlak voor demo’s, geen automatische videoproductiemachine.

Autonome AI-agents

Niet inbegrepen

Vandaag loopt AI via specifieke beoordeelde workflows voor content, SEO, media, legal en operations.

Algemene autonome agents horen niet bij het huidige aanbod; de focus ligt op gecontroleerde, reviewbare workflows.

Als we het niet helder in de werkruimte kunnen laten zien of exact kunnen uitleggen hoe het werkt, verkopen we het niet als capability.

Plan een governance-review van 30 minuten met Hossam — we lopen door het grootboek en de workflow op echte data