Regulatory Evidence
Evidence support voor control workflows
Attesto biedt evidence support voor compliance controls. Attesto certificeert juridische compliance niet zelfstandig. Customers blijven verantwoordelijk voor legal interpretation, control design, source-system quality en organizational procedures.
Control mapping methodology
Attesto map evidence packs naar compliance-support areas, niet naar legal conclusions. Elke mapping moet beschrijven wat evidence bewijst, wat het niet bewijst en wat de customer nog moet doen.
| Evidence pack | Wat het ondersteunt | Limitation |
|---|---|---|
| Lifecycle readiness | Event -> receipt -> window -> checkpoint -> witness -> anchor -> bundle -> offline verify. | Bewijst geen source decision correctness. |
| Fork defense | Conflicting history detection en verifier rejection of ambiguity. | Vereist witness visibility over de affected stream. |
| Connector assurance | Echte connector auth, replay handling, source reference en revoke behavior. | Certificeert de external provider account of source process niet. |
| Local Vault assurance | Outbound relay, encrypted spool, source attestation, optional customer witness. | Customer moet de edge environment beheren en beveiligen. |
EU AI Act support
Attesto evidence streams kunnen logging, traceability, technical documentation, post-market monitoring en incident evidence voor AI systems ondersteunen. Customers moeten bepalen welke events vereist zijn voor hun AI system category en legal obligations.
EU AI Act Article 12 logging
Article 12 vereist dat high-risk AI-systemen technisch automatische event logging over de levensduur van het systeem mogelijk maken, met traceerbaarheid voor risicosituaties, post-market monitoring en operationele monitoring. Attesto ondersteunt die workflow met geordende events, signed receipts, stream heads, verifier bundles en deterministische Article 12 evidence reports.
De zin "Voldoe aan Artikel 13 met 1 regel code" is product shorthand voor één Attesto-integratieregel die verifier-ready evidence capture voor transparantiewerk start. Het deterministische CLI-report blijft attesto report article12, omdat het de technische logging trail mapt naar Article 12-achtige logging evidence. Het is geen juridische conclusie. Klanten bepalen nog steeds of hun systeem high-risk is, welke events relevant zijn, hoe lang logs moeten worden bewaard, wie ze reviewt, hoe transparantiematerialen worden geschreven en hoe de organisatie op incidenten reageert.
De concrete one-line Gateway-integratie is:
export OPENAI_BASE_URL=http://localhost:8765/v1
Vervang localhost in productie door de gedeployde
Attesto Gateway host en bewaar provider keys plus Attesto system keys
in server-side secret storage.
| Article 12-thema | Attesto-bewijsondersteuning | Klantverantwoordelijkheid |
|---|---|---|
| Automatische logs over de levensduur | SDK-, gateway-, MCP-, connector- en Local Vault-events met receipts en brontimestamps. | Kies de juiste bronevents en bewaartermijn. |
| Traceerbaarheid voor risicosituaties | Incident-, override-, policy-, decision- en failure-events gekoppeld via stream sequence. | Definieer risicoscenario's en escalatieworkflows. |
| Post-market monitoring | Verifier bundles, truth packages, anchors en Article 12-reports. | Review reports en handel naar bevindingen. |
| Operationele monitoring | Latency, status, actor/source references, payload commitments en completeness checks. | Zorg dat bron-systeemfeiten juist en proportioneel zijn. |
Officiele bron: Regulation (EU) 2024/1689, Article 12.
EU AI Act Article 13 transparency support
Article 13 gaat over transparantie en informatie waarmee deployers de capabilities, beperkingen, werking en oversight context van een high-risk AI system kunnen begrijpen. Attesto genereert geen juridische instructions for use zelfstandig. Het levert verifieerbare evidence die teams kunnen citeren: wat is gelogd, welk model- of policy-pad is gebruikt, welke source timestamp is bewaard, wat veranderde over tijd en welke receipts of bundles een derde partij kan verifiëren.
De adoptiezin "Voldoe aan Artikel 13 met 1 regel code" is een praktische implementatieshortcut, geen juridische conclusie. De ene regel start evidence capture; de klant blijft eigenaar van inhoud, geschiktheid, volledigheid, taal en juridische review van Article 13-materialen.
| Article 13-thema | Attesto-bewijsondersteuning | Klantverantwoordelijkheid |
|---|---|---|
| Uitleg van systeemgedrag | Model decision events, policy references, source timestamps, payload commitments en receipt IDs. | Schrijf accurate user-facing explanations en instructions. |
| Operationele transparantie | Verifier bundles, truth packages, status/reliability evidence en audit portal reports. | Bepaal welke evidence in productmaterialen, contracten of assurance packs hoort. |
| Wijzigingshistorie | Proofstream sequence, windows, checkpoints, witness statements, anchors en Proof of Evolution waar enabled. | Leg changes, beperkingen, oversight en menselijke escalatie uit. |
NIS2 support
Attesto kan cybersecurity risk management evidence, supply-chain assurance, auditability en incident evidence ondersteunen door ordered events en connector observations vast te leggen. Customers blijven verantwoordelijk voor de daadwerkelijke security controls en governance.
Cyber Resilience Act support
Attesto kan product security evidence, vulnerability handling evidence, secure update evidence en support-process traceability ondersteunen. Het beslist niet of een product aan elke CRA obligation voldoet.
ISO/IEC 27001 alignment
Attesto bouwt ISO/IEC 27001 audit-readiness vanaf het begin in het operating model. Het alignment pack map release evidence naar ISMS governance, risk assessment, asset inventory, access control, cryptography, logging, supplier assurance, secure development, vulnerability management, incident management, backup and restore, business continuity en continual improvement themes.
Dit is alleen preparation evidence. Het stelt niet dat Attesto een accredited certification audit heeft gehaald. Management blijft owner van ISMS scope, risk register, policies, internal audit, corrective actions, supplier review en certification engagement.
Referentie: ISO/IEC 27001:2022 information security management systems.
Attesto's publieke uitleg van dit operating model staat in Security Management. Het behandelt ISMS scope, risk register, asset register, supplier register, incident register, internal audit plan, management review en evidence boundaries.
De bredere Certification Readiness guide legt Attesto's preparation path uit voor ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO en eIDAS 2.0 alignment. Dit is alleen preparation evidence en stelt geen certification of legal-compliance outcomes.
ISO 27001, SOC 2, and eIDAS/evidence support
- ISO 27001: ISMS preparation evidence, logging, access-control evidence, supplier assurance, incident management, integrity evidence.
- SOC 2 Type II: period-based evidence support voor security, availability, processing integrity, confidentiality en privacy waar scoped.
- ISO 27701: later privacy-management evidence support voor PII roles, data-flow inventory en privacy-risk processes.
- Cyber Essentials Plus: later UK baseline security preparation wanneer procurement dit vereist.
- NEN 7510: later Nederlandse healthcare security preparation als healthcare actief market scope wordt.
- ENSIA/BIO: Nederlandse public-sector evidence support zonder certification language.
- eIDAS 2.0/evidence: timestamps, electronic ledgers, integrity, non-repudiation support en verifier-first evidence alignment zonder qualified trust-service claims.
Voor al deze gebieden ondersteunt Attesto evidence een audit trail. Het vervangt geen legal counsel, auditor judgment of customer control ownership.