Whitepaper
AI-Act & Governance bij Lila
Hoe Lila snelheid en compliance in één architectuur vangt. Voor ondernemers, DPO's, inkopers en iedereen die AI wil inzetten zonder de controle uit het oog te verliezen.
Versie 1.0 · juli 2026 · Lila by Synergi8
Samenvatting
Lila is ontworpen rond drie principes: elk inzicht heeft een bron, iedere agent heeft grenzen, iedere actie heeft een verantwoordelijke. Deze whitepaper legt uit hoe die principes technisch en juridisch worden afgedwongen — van AI-Act risicoklassen tot RLS en audit-log.
1. AI-Act als ontwerpprincipe
De EU AI-Act verbiedt sommige toepassingen, eist waarborgen voor hoog-risico AI en vraagt transparantie voor beperkt risico. Bij Lila is die indeling geen nabetaling, maar het startpunt van elke agent.
2. Vier sensitivity-niveaus
Public, internal, restricted, confidential. Elke kennisbron krijgt een niveau. AI-agents mogen dat niveau niet overschrijden, ook niet via een creatieve prompt. RLS en knowledge_permissions afdwingen dit fysiek.
3. Row Level Security per tenant
Elke tabel in Lila heeft RLS aan. Rollen staan in een aparte user_roles-tabel — nooit op het profiel — om privilege-escalatie te voorkomen. Data van tenant A is onzichtbaar voor tenant B, zelfs voor beheerders.
4. Human-in-the-loop
Hoog-risico beslissingen — recruitment-match, offertes boven een drempel, klantsegmentwijzigingen — eisen menselijke goedkeuring. De agent bereidt voor, de mens tekent af. Prohibited use-cases staan structureel uit.
5. Geen-hallucinatie-belofte
Ask Lila antwoordt alleen op basis van een gevonden bron binnen jouw rechten. Zonder bron zegt het expliciet 'geen bron gevonden'. Elke claim in content heeft een evidence-link voordat publicatie mogelijk is.
6. Audit-log bij elke actie
Wie, wat, wanneer, op welke bron, met welke reden. Versies zijn diff-baar. Rollback is standaard. De DPO krijgt antwoorden in seconden, niet in weken.
Governance-checklist
- Risicoklasse per agent gedocumenteerd
- Autonomieniveau configureerbaar per organisatie
- RLS op elke tenant-tabel
- user_roles apart van profiel
- Human-in-the-loop op high-risk beslissingen
- Prohibited use-cases structureel geblokkeerd
- Bronvermelding verplicht voor elke output
- DPA en subverwerkers-register publiek beschikbaar
- Breach-notificatie binnen 72 uur
- Audit-log en versiebeheer standaard ingeschakeld
Vragen over jouw specifieke situatie?
We bespreken graag hoe Lila binnen jouw compliance-kader past.
