Een interne AI-assistent klinkt ideaal: medewerkers krijgen direct antwoord zonder dat ze collega's hoeven lastig te vallen of door mappen te spitten. Maar zodra die assistent gekoppeld wordt aan bronnen met uiteenlopende vertrouwelijkheidsniveaus, bepaalt rechtenbeheer of je een nuttige tool hebt of een aansprakelijkheidsrisico.
In de praktijk zie je dat bedrijven eerst een assistent bouwen met een beperkte set documenten voor een pilotteam. Alles werkt. Dan wordt de assistent uitgebreid naar meer bronnen en meer gebruikers, en ineens staat de poort open. Dit artikel helpt je die valkuil te voorkomen.
Waarom rechtenbeheer het verschil maakt tussen demo en productie
In een demo draait de assistent op een handjevol voorbeelddocumenten. Iedereen ziet hetzelfde, en dat is prima. Maar in productie hangt de assistent aan je echte kennisbank: offertes, contracten, personeelsdossiers, interne processen. Dan wordt ineens relevant wie welke vraag mag stellen en welk antwoord de assistent mag geven.
Het probleem is dat een AI-assistent op basis van RAG niet van nature weet wie welke informatie mag zien. De assistent zoekt in alle beschikbare bronnen en presenteert het beste antwoord, ongeacht of de vragensteller daar recht op heeft. Jij moet die grens zelf aangeven. Hoe RAG precies werkt, lees je in RAG of fine-tuning voor een interne AI-assistent.
Bronrechten, rolrechten en actierechten: wat is het verschil?
Om rechten goed in te richten, moet je drie lagen uit elkaar houden.
Bronrechten gaan over wie een document mag inzien. Staat een offerte in een map waar alleen de salesdirecteur bij kan, dan mag de assistent die offerte ook niet gebruiken voor antwoorden aan anderen. De eenvoudigste manier om dit te regelen is de assistent dezelfde toegangsrechten te laten erven als de bron. Ziet een medewerker een document niet in SharePoint, dan krijgt hij het antwoord ook niet van de assistent. Dit principe staat uitgebreider beschreven in Interne AI-assistent bouwen op je kennisbank.
Rolrechten bepalen welke vragen een bepaalde functie mag stellen. Een HR-medewerker mag vragen over personeelsbeleid verwachten, maar niet over klantcontracten. Een verkoper mag offertesjablonen opvragen, maar geen salarisinformatie. Dit klinkt logisch, maar in de praktijk vergeten teams het omdat de assistent in de demo voor iedereen hetzelfde antwoord gaf.
Actierechten gaan een stap verder: wat mag de assistent doen namens de gebruiker? Een medewerker mag misschien een antwoord opvragen, maar niet een e-mail laten versturen of een workflow starten. Dit wordt relevant zodra de assistent acties kan uitvoeren, zoals het aanmaken van een ticket of het versturen van een bericht. Daar zit meteen een koppeling met werkstroomorkestratie.
Veelgemaakte fouten bij interne AI-assistenten
De meest gemaakte fout is dat teams rechten pas inrichten nadat het misgaat. Tijdens de pilot is de groep klein en het vertrouwen groot. Iedereen kent elkaar. Maar zodra de assistent opengaat naar de hele organisatie, is er geen informeel correctiemechanisme meer.
Andere veelvoorkomende fouten:
- Alles-of-niets-toegang. De assistent krijgt toegang tot alle bronnen, en daarna probeer je per gebruiker te beperken. Dit werkt alleen als je een perfect actuele rechtenmatrix hebt. Zonder die matrix lekt er informatie.
- Vergeten dat bronnen veranderen. Een document dat vorige maand openbaar was, kan deze maand vertrouwelijk zijn. De assistent moet die wijziging volgen. Gebeurt dat niet, dan geeft hij antwoorden uit bronnen die niet meer voor iedereen bedoeld zijn.
- Geen logging van opgevraagde informatie. Als je niet kunt terugzien welke gebruiker welke antwoorden kreeg, kun je een incident niet onderzoeken.
Een praktisch besliskader voor MKB-teams
Hoe pak je dit aan zonder dat het een halfjaarproject wordt? In vier stappen.
Stap 1: Breng je bronnen in kaart. Welke documenten, mappen en systemen krijgt de assistent te zien? Label ze op vertrouwelijkheidsniveau: openbaar, intern, vertrouwelijk, geheim.
Stap 2: Bepaal wie wat mag zien. Welke rollen hebben toegang tot welke bronnen? Gebruik je bestaande autorisatiestructuur als uitgangspunt. Als die niet op orde is, los dat eerst op voordat je een AI-assistent introduceert.
Stap 3: Kies een rechtenmodel. Wil je dat de assistent rechten erft van de bron, zoals SharePoint-rechten, of werk je met een aparte rechtenlaag? Het erven van rechten is de veiligste keuze, maar werkt alleen als je bronopslag al goed is ingericht.
Stap 4: Test met echte gebruikers en echte vragen. Laat medewerkers met verschillende rollen de assistent vragen stellen en controleer of de antwoorden kloppen bij hun rechten. Een verkoper die een HR-antwoord krijgt, is een rode vlag.
Wil je hulp bij het inrichten van een veilige AI-assistent met rechtenbeheer en bronvermelding? Bekijk dan AI-assistenten voor hoe wij dit aanpakken.
Alles wat met rechten en governance te maken heeft, raakt ook aan privacywetgeving. Lees daarom ook AI en de AVG: wat mag wel, en wat niet? voor de juridische context.
Veelgestelde vragen
Wat is het verschil tussen bronrechten en rolrechten?
Bronrechten bepalen wie een document mag inzien. Rolrechten bepalen welke vragen een functie mag stellen. In de praktijk heb je beide nodig: een HR-medewerker mag documenten uit de HR-map zien en vragen over salaris mogen alleen door HR worden gesteld.
Moet ik rechten per medewerker instellen of per rol?
Per rol is voor de meeste MKB-teams voldoende en een stuk overzichtelijker. Pas als je te maken hebt met zeer gevoelige informatie, kun je overwegen om uitzonderingen per medewerker toe te voegen.
Kan een AI-assistent rechten erven van SharePoint?
Ja, dat is de aanbevolen aanpak. De assistent kijkt naar de toegangsrechten van het brondocument in SharePoint en geeft alleen een antwoord als de vragensteller toegang heeft tot dat document. Dit werkt wel alleen als je SharePoint-rechtenstructuur op orde is.
Wat moet ik doen als een bron van vertrouwelijkheidsniveau verandert?
Zorg dat de assistent periodiek de bronnen opnieuw indexeert. Bij elke indexslag worden de rechten opnieuw uitgelezen. Een document dat tijdelijk openbaar was maar nu vertrouwelijk is, verdwijnt dan automatisch uit de antwoorden van gebruikers die er geen recht op hebben.
Hoe weet ik of mijn rechtenbeheer goed genoeg is?
Laat een medewerker zonder bijzondere rechten vragen stellen die normaal gesproken alleen door een leidinggevende beantwoord kunnen worden. Krijgt hij toch een antwoord, dan is het rechtenbeheer niet op orde. Dit is de beste test die je zelf kunt doen.