Naar de inhoud

Factsheet Security GenIA-L | Rechtsorde 

Versie 1.7 – 15 mei 2025 

Lefebvre Sdu Algemeen 

 Algemene uitgangspunten van het beveiligingsbeleid Lefebvre Sdu: 

  • Informatiebeveiliging vormt een essentieel aandachtspunt binnen Lefebvre Sdu; 
  • De dagelijkse verantwoordelijkheid ligt bij de Security Officer; 
  • Lefebvre Sdu heeft een algemeen beveiligingsbeleid, dat is uitgewerkt naar diverse gebieden, waaronder Disaster Recovery; 
  • Er is een procedure over het omgaan met en vastleggen van security incidenten. Incidenten worden geëvalueerd en onderzocht op de Root Cause. 
  • Lefebvre Sdu zal zich conformeren aan NIS2 QM30 en ISO27001. Voor beide standaarden loopt momenteel een externe audit. 

 De medewerkers van Lefebvre Sdu: 

  • Werken op een beveiligde omgeving; 
  • Onze medewerkers zijn zich bewust van hun verantwoordelijkheden op het gebied van informatiebeveiliging. Hiervoor is een bewustwordingsprogramma; 
  • Zijn deskundig, op hun eigen gebied en waar nodig op het gebied van informatiebeveiliging; 
  • Zowel interne als externe medewerkers zijn gebonden aan een geheimhoudingsbeding, zoals vastgelegd in hun arbeidsovereenkomsten. Tevens is een dergelijke clausule opgenomen in de contracten met derde partijen die toegang hebben tot onze systemen.  

 Het fysieke & logisch toegangsbeleid van Lefebvre Sdu kent onder andere: 

  • Elektronische toegangscontrole op het pand en de etages, en alle bezoekers worden vastgelegd; 
  • Een autorisatiematrix waarin alle medewerkers zijn opgenomen; 
  • Een op rollen gebaseerde toegang tot gegevens, dat is ingedeeld op basis van de uitgangspunten “need-to-know” en “least privilege”; 
  • Eisen ten aanzien van wachtwoordgebruik; 
  • Alle medewerkers maken gebruik van MFA. 

 Verdere algemene securitymaatregelen binnen Lefebvre Sdu zijn: 

  • Alle Lefebvre Sdu applicaties zijn opgenomen in een Asset Management Database; 
  • Alle laptops en medewerkers staan in de Microsoft Active Directory; 
  • Voor End-point security wordt er gebruik gemaakt van een XDR-applicatie geïnstalleerd op alle apparaten. Deze applicatie biedt een uitgebreide detectie en respons, een cyberbeveiligingstechnologie die cyberbeveiligingsbedreigingen bewaakt en vermindert; 
  • Lefebvre Sdu maakt gebruik van een SOC vanuit onze Franse moedermaatschappij Lefebvre Sarrut; 
  • Alle applicaties en websites worden gemonitord ten aanzien van beschikbaarheid. 

 De DevOps systeemontwikkeling binnen Lefebvre Sdu heeft de volgende kenmerken: 

  • Behalve DevOps is het uitgangspunt Agile systeemontwikkeling; 
  • Voor het eigen platform wordt gebruik gemaakt van Amazon AWS, met dataopslag in de Europese Unie; 
  • Lefebvre Sdu heeft een eigen ontwikkel-, test- en acceptatieomgeving (OTA) en een aparte productie (P) omgeving; 
  • In deze omgevingen is alle data versleuteld opgeslagen; 
  • Er zijn standaard (ontwikkel)richtlijnen waarin de OWASP-richtlijnen één van de uitgangspunten vormt; 
  • Een aantal van deze richtlijnen worden centraal afgedwongen, zoals de configuratie van AWS, gebruik van hulpmiddelen, inrichting van de logging en audittrail van alle applicaties; 
  • Er wordt gebruik gemaakt van vulnerability scans en monitoring om up-to-date te blijven met software updates. Hierover wordt door de DevOps teams gerapporteerd; 
  • Voor het testen wordt geen klantdata gebruikt. 

GenIA-L | Rechtsorde  

GenIA-L | Rechtsorde is een web gebaseerde applicatie die verbinding maakt met meerdere API's. Het platform van Lefebvre Sdu, waarvan de dienstverlening wordt aangeboden, beschikt over de volgende kenmerken: 

  • Wordt in de Europese Unie gehost; 
  • Geïmplementeerd als containerimages in Kubernetes; 
  • Infrastructuur als code beheerd via GitOps; 
  • Source code gehost op GitHub; 
  • Geautomatiseerde builds en deployments met behulp van GitHub Actions; 
  • Autorisatie maakt gebruik van OIDC (OpenID Connect); 
  • API's krijgen een JWT-bearertoken aangeboden. 

 GenIA-L | Rechtsorde is onderdeel van Rechtsorde en voegt generatieve AI-functionaliteit toe. Kenmerken: 

  • GenIA-L | Rechtsorde valt als AI-systeem onder de reikwijdte van de AI Act, maar kwalificeert niet als een AI-systeem met onaanvaardbaar risico of als hoogrisico-AI; wel zullen transparantieverplichtingen gaan gelden in 2026 voor de chatfunctionaliteit die gebruikmaakt van generatieve AI, waar we nu zoveel mogelijk al aan voldoen; 
  • Lefebvre Sdu biedt geen general-purpose AI (GPAI) aan in de zin van de AI Act; 
  • GenIA-L | Rechtsorde is bedoeld voor het doen van juridisch-fiscaal onderzoek; 
  • Er wordt gebruik gemaakt van OpenAI Large Language Modellen (LLM’s); 
  • LLM's worden gehost op Microsoft Azure OpenAI binnen de Europese Unie; 
  • Microsoft Azure deelt de data niet met OpenAI; 
  • Microsoft Azure traint niet op ontvangen of gegenereerde data en gebruikt het ook niet om Microsoft-producten te verbeteren; 
  • Microsoft Azure slaat geen gegevens op rond het gebruik van Azure OpenAI door Lefebvre Sdu 
  • De door Microsoft Azure verwerkte klant-data betreft enkel de ingevoerde zoekvraag, die niet te herleiden is tot de vraagsteller, in combinatie met relevante Lefebvre Sdu content en in het geval van Rechtsorde content van derden. 

 Op de aparte module GenIA-L Documentanalyse zijn de volgende specificaties van toepassing:  Consent  

  • Pas na het retourneren van een getekende overeenkomst door de contracthouder kan gebruik gemaakt worden van deze functionaliteit. Het uploaden van een document kan alleen plaatsvinden na geïnformeerde consent van de contracthouder. De eindgebruiker wordt vóór het gebruik van de module geïnformeerd over hoe wij het document verwerken.  
  • Als de gebruiker geen consent geeft op de voorwaarden van het uploaden van een document, blijft de overige functionaliteit van het product beschikbaar.  
  • Als ons product zodanig verandert dat de security- en privacyaspecten substantieel veranderen, vragen wij de gebruiker opnieuw om consent op basis van de nieuwe situatie.  
  • De contracthouder aan de zijde van de klant moet akkoord geven op het uploaden van documenten voordat gebruikers toegang krijgen tot deze functionaliteit. Het uploaden is dus alleen mogelijk als dit zowél op het niveau van het contract, als op het niveau van de gebruiker is goedgekeurd.  

  Afgeleide content  

  • Alle derivaten van geüploade documenten die inzicht zouden kunnen geven in de inhoud van het document, waaronder AI-gegenereerde antwoorden gebaseerd op het document, behandelen wij met hetzelfde beveiligingsniveau als de originele documenten zelf.  
  • Zodra een document wordt geüpload in een chat, wordt de chat als “encrypted” gemarkeerd. Het hele vervolg van de chat wordt hiermee behandeld op hetzelfde beveiligingsniveau als het document.  

  Veilige opslag en verwerking  

  • We bewaren documenten niet langer dan strikt noodzakelijk (maximaal 24 uur) om de beloofde functionaliteit te leveren aan de gebruiker.  
  • We verzenden gebruikersdocumenten alleen over beveiligde verbindingen conform moderne securitystandaarden.  
  • Encrypted chats met geüploade documenten worden niet opgeslagen in de chathistorie van de gebruiker. Ze worden ook niet opgeslagen voor analyse of review. Wel meten wij welke uitgeverscontentbronnen gebruikt worden bij het formuleren van antwoorden.  
  • Om functionele redenen moeten encrypted chats en geüploade documenten gedurende de sessie tijdelijk opgeslagen worden op onze servers. Wij bewaren ze uitsluitend encrypted conform moderne standaarden. De encryptiesleutel wordt in de browser gegenereerd en opgeslagen, en wordt alleen voor de duur van een verzoek meegestuurd naar de server.  
  • Encrypted chats blijven encrypted 7 dagen bewaard in de back-up en worden daarna verwijderd.  

  Traceerbaarheid  

  • We loggen alle operaties die wij uitvoeren op gebruikersdocumenten, zodanig dat wij altijd kunnen traceren waar en hoe elk document is opgeslagen en gebruikt, en aan wie het beschikbaar is gesteld.  
  • Wanneer wij de inhoud van een document naar een AI service sturen voor verwerking, loggen wij eveneens welke documenten zijn verzonden en wanneer.  
  • Onze logging, inclusief de errorlogging, bevat nooit inhoud uit het document.  
  • We hebben bij Azure bedongen dat chatdata van onze klanten wordt uitgesloten van hun standaard 30 dagen retentieperiode, waardoor er geen dataretentie is bij de Azure OpenAI Services.  

  Analytics  

  • We sluiten de inhoud van alle geüploade documenten en hun derivaten uit van de analytics die wij verzamelen.  
  • In onze AI-applicaties staan wij het inladen van externe tools pas toe na een security en privacy review. We stellen deze tools zo in dat ze nooit gebruikersdocumenten of hun derivaten opslaan.  
  • We dwingen dit af met een Content-Security-Policy header.