Ontwikkeling van een Verantwoord AI-Gedreven Softwareontwikkelingsproces (SDLC) voor Nederlandse Organisaties conform de EU AI Act

Uitleg

Stel je voor dat je een super slimme robot hebt die je helpt met het bouwen van een nieuw computerspel of een coole app. Dit is precies wat deze lange en ingewikkelde instructie, 'prompt' genoemd, doet. Het helpt professionals om hun softwareprojecten super goed te maken, van het eerste idee tot het moment dat het echt werkt.

De prompt is speciaal gemaakt voor Nederlandse bedrijven en houdt rekening met een belangrijke nieuwe wet, de 'EU AI Act'. Deze wet zorgt ervoor dat alle slimme computersystemen (AI) eerlijk, veilig en betrouwbaar zijn. De prompt verdeelt het bouwen van software in vijf belangrijke stappen, net als een stappenplan:

1. Stap 1: Het idee en de regels: Hier begin je met het opschrijven van wat de app of het spel precies moet doen. De slimme robot helpt je om te bedenken wie het gaat gebruiken en welke problemen het oplost. En heel belangrijk: de robot checkt meteen of je idee wel past bij de nieuwe EU AI Act. Als je bijvoorbeeld een AI gebruikt die beslissingen neemt, kan die AI misschien 'hoog-risico' zijn, en dan moet je extra goed opletten dat het eerlijk is en niemand benadeelt.
2. Stap 2: De bouwtekening: Als je een huis bouwt, heb je een bouwtekening nodig. Voor software heet dat 'architectuur'. De robot helpt je verschillende bouwtekeningen te maken en kiest de beste. Het zorgt er ook voor dat vanaf het begin al is nagedacht over privacy (dat je gegevens veilig zijn) en ethiek (dat de AI geen gekke dingen doet).
3. Stap 3: Het schrijven van de code: Dit is waar de app echt wordt gebouwd met computertaal. De robot helpt met het schrijven van stukjes code. Maar hij controleert ook meteen of die code geen fouten heeft of 'gaten' waardoor hackers naar binnen kunnen. En of de code goed omgaat met jouw persoonlijke gegevens volgens de privacyregels.
4. Stap 4: Testen, testen, testen: Voordat je een app aan mensen geeft, wil je zeker weten dat alles werkt en veilig is. De robot bedenkt allerlei testjes, ook hele moeilijke, om te zien of de app niet crasht of rare dingen doet als je er expres foute dingen invoert. Het probeert zelfs te 'hacken' om te kijken of alles echt goed beveiligd is.
5. Stap 5: Online zetten en in de gaten houden: Als de app af is, wordt hij online gezet. De robot blijft hem dan in de gaten houden. Werkt alles nog goed? Zijn er geen rare dingen aan de hand? En het allerbelangrijkste: de robot helpt ervoor te zorgen dat het bedrijf blijft voldoen aan de EU AI Act, zelfs als de app al in gebruik is. Er zijn dan regels over wie verantwoordelijk is en hoe je kunt ingrijpen als er toch iets misgaat.

Deze prompt is handig omdat het professionals helpt om al deze stappen heel gestructureerd en grondig aan te pakken. Zo bouwen ze niet alleen een goede app, maar ook een app die eerlijk, veilig en volgens de wet is. En dat is heel belangrijk in Nederland en Europa!

Prompt

Je bent een expert in geavanceerde prompt engineering, gespecialiseerd in het toepassen van AI binnen de softwareontwikkelingslevenscyclus (SDLC) en de implementatie van Responsible AI (RAI) principes, met een diepgaande kennis van de EU AI Act en de Nederlandse bedrijfscultuur. Jouw taak is om een gedetailleerd, meerstaps framework te genereren voor de ontwikkeling van een nieuw softwareproject, waarbij AI-tools en -technieken geïntegreerd worden in elke fase, van concept tot deployment en monitoring, met een expliciete focus op compliance, ethiek en duurzaamheid.
Doel: Ontwerp een geavanceerd en robuust SDLC-proces voor een nieuw softwareproject dat door een middelgroot Nederlands softwarebedrijf wordt ontwikkeld, waarbij de voordelen van AI worden gemaximaliseerd en tegelijkertijd de naleving van de EU AI Act en ethische richtlijnen worden gewaarborgd.
Context: Het project betreft een innovatieve SaaS-oplossing (Software-as-a-Service) gericht op de optimalisatie van supply chain management voor Nederlandse MKB-bedrijven, inclusief voorspellende analyses voor voorraadbeheer en routeplanning.
Stap 1: Projectdefinitie, Vereistenanalyse en Initiële EU AI Act Risicobeoordeling (AI-Assisted)

Input: Beschrijf de kernfunctionaliteiten, beoogde gebruikersgroepen (bv. MKB-eigenaren, logistiek managers in Nederland), technische constraints (cloud-native, microservices-architectuur, GDPR-compliant dataverwerking) en de projectdoelstellingen. Specificeer ook of de oplossing gebruik zal maken van GenAI-componenten.
Taak AI: Voer een diepgaande vereistenanalyse uit door potentiële user stories en epics te genereren. Classificeer de AI-componenten (indien aanwezig) van de SaaS-oplossing volgens de risicocategorieën van de EU AI Act (verboden, hoog-risico, beperkt, minimaal/geen risico) en motiveer deze classificatie. Identificeer potentiële fundamentele rechten die geraakt kunnen worden en de bijbehorende mitigation-strategieën. Genereer een lijst met kritieke Nederlandse wet- en regelgeving (naast de EU AI Act en AVG) die relevant is voor supply chain management en dataverwerking in de Nederlandse context.
Output: Gestructureerd Markdown-document met: (a) Kernfunctionaliteiten en user stories; (b) Gedetailleerde EU AI Act risicoclassificatie per AI-component inclusief argumentatie en initieel mitigatieplan; (c) Lijst van relevante Nederlandse wet- en regelgeving.

Stap 2: Geautomatiseerde Architectuur- en Ontwerpgeneratie met Ethiek-door-Design Integratie (AI-Guided)

Input: Resultaten van Stap 1.
Taak AI: Gebruik de geclassificeerde vereisten en risicobeoordeling om verschillende architectuurpatronen voor te stellen (bijv. serverless, container-gebaseerd met Kubernetes) en een passende technologie-stack (programmeertalen, databases, cloudproviders, AI/ML frameworks). Integreer 'privacy-by-design' en 'ethics-by-design' principes direct in de architectuurvoorstellen, bijvoorbeeld door het aanbevelen van homomorfe encryptie voor gevoelige data, differentiële privacy voor trainingsdata, of specifieke loggingmechanismen voor uitlegbaarheid van AI-beslissingen (XAI). Genereer gedetailleerde dataflowdiagrammen en API-specificaties.
Output: Gestructureerd Markdown-document met: (a) Drie architectuurvoorstellen met pros en cons per voorstel, inclusief impact op compliance en schaalbaarheid; (b) Aanbevolen technologie-stack; (c) Dataflowdiagrammen; (d) API-specificaties.

Stap 3: AI-geïntegreerde Code Generatie, Optimalisatie en Statische Analyse (AI-Integrated)

Input: Gekozen architectuur en ontwerpspecificaties van Stap 2. Specifieke programmeertaalvoorkeuren (bv. Python voor ML, TypeScript voor frontend, Java voor backend) en coding standards (bv. Clean Code principes).
Taak AI: Genereer basiscode voor kernmodules en API-endpoints op basis van de specificaties. Pas AI-gedreven statische code-analyse toe om kwetsbaarheden (OWASP Top 10 voor LLM's en GenAI ), coding anti-patronen, en AVG/GDPR-compliance schendingen proactief te identificeren. Optimaliseer de gegenereerde code voor prestaties, resource-efficiëntie en maintainability. Gebruik chain-of-thought prompting om de AI te instrueren complexe code-segmenten stap voor stap te ontwikkelen en te verantwoorden.
Output: (a) Code-snippets voor geselecteerde modules in de gespecificeerde talen; (b) Gedetailleerd rapport van statische analyse met geïdentificeerde issues, risicobepaling en concrete verbeterpunten; (c) Geoptimaliseerde codevoorstellen.

Stap 4: Dynamische Testplanning, Uitvoering en Kwetsbaarheidsanalyse (AI-Powered)

Input: Code van Stap 3. Teststrategie (bv. Test Driven Development, Behavior Driven Development).
Taak AI: Genereer een uitgebreid testplan, inclusief unit tests, integratietests, end-to-end tests en security tests (inclusief AI pentesting-scenario's voor modelinjectie, datavergiftiging en privacyaanvallen). Prioriteer testcases op basis van de risicoclassificatie van Stap 1 en de bevindingen van Stap 3. Gebruik AI-gedreven fuzzing om edge cases en onverwachte inputscenario's te simuleren. Ontwikkel automatische regressietestsuites.
Output: (a) Gedetailleerd testplan met testgevallen en verwachte resultaten; (b) Geautomatiseerde testscripts; (c) Rapportage van gesimuleerde AI-kwetsbaarheden en aanbevelingen voor robuustheid.

Stap 5: Implementatie, Monitoring en Responsible AI Governance Framework (AI-Enhanced)

Input: Geteste code van Stap 4. Deployment-strategie (bv. Kubernetes, serverless op Azure).
Taak AI: Stel een CI/CD-pijplijn op die geautomatiseerde build-, test- en deploymentstappen omvat. Implementeer AI-gedreven monitoring voor anomaliedetectie, prestatiebewaking en voorspellend onderhoud in productie. Ontwerp een Responsible AI Governance Framework voor de operationele fase, inclusief mechanismen voor menselijke oversight, continue compliance-audits (EU AI Act, AVG), feedbackloops voor modelbijsturing, en een 'kill switch' voor hoog-risico AI-componenten bij onvoorziene problemen. Specificeer rapportagefrequentie en stakeholders voor ethische en compliance rapportages.
Output: (a) CI/CD-pijplijn configuraties (pseudo-YAML of beschrijvend); (b) Monitoring- en alerting-strategie; (c) Uitgebreid Responsible AI Governance Framework, inclusief auditplan en escalatieprocedures, specifiek voor de Nederlandse context.

Parameters:

[PROJECT_NAAM]: De naam van het softwareproject.
[BEDRIJFSNAAM]: De naam van het Nederlandse softwarebedrijf.
[DOELGROEP]: Specifieke demografische of sectorale doelgroep (bijv. 'logistieke afdelingen van Nederlandse groothandels').
[BELANGRIJKSTE_AI_COMPONNT]: Beschrijving van de belangrijkste AI-functionaliteit (bijv. 'voorspellende module voor voorraadbeheer').
[GEKOZEN_PROGRAMMEERTALEN]: Een lijst van programmeertalen (bijv. 'Python, TypeScript, Java').
[GEKOZEN_CLOUDPROVIDER]: De cloudprovider (bijv. 'Microsoft Azure').
[EU_AI_ACT_RISICOCLASSIFICATIE]: Initieel vermoeden van de risicoclassificatie voor de belangrijkste AI-component (bijv. 'hoog-risico').

Gebruik de bovenstaande structuur en vul deze in met concrete voorbeelden en gedetailleerde instructies, zodat een professionele softwareontwikkelaar of AI-ethicus dit direct kan toepassen. Zorg voor een logische overgang tussen de stappen en benadruk de proactieve aanpak van Responsible AI en compliance. De gegenereerde prompt moet minimaal 500 woorden bevatten.

Voorbeeld output

## Rapportage Initiële EU AI Act Risicobeoordeling voor [PROJECT_NAAM]

**Datum:** 26 september 2025
**Project:** [PROJECT_NAAM] - SaaS-oplossing voor Supply Chain Optimalisatie
**Bedrijf:** [BEDRIJFSNAAM] B.V.

### 1. Kernfunctionaliteiten en AI-Componenten
De [PROJECT_NAAM] SaaS-oplossing omvat de volgende kernfunctionaliteiten:
*   **Voorraadbeheer met voorspellende vraag:** Gebruikt historische verkoopdata en externe factoren (weer, feestdagen) om toekomstige vraag te voorspellen en optimale voorraadniveaus te adviseren. Dit is de [BELANGRIJKSTE_AI_COMPONNT] component.
*   **Dynamische routeplanning:** Optimaliseert leveringsroutes op basis van verkeersinformatie, voertuigcapaciteit en leveringsdeadlines.
*   ** geautomatiseerde bestelprocessen:** Genereert en verzendt automatisch bestellingen naar leveranciers wanneer de voorraad onder een drempel komt.

### 2. EU AI Act Risicoclassificatie: [BELANGRIJKSTE_AI_COMPONNT]

**Gespecificeerde AI-component:** Voorspellende module voor voorraadbeheer.
**Vermoedelijke Risicoclassificatie (Initieel):** Hoog-risico.

**Argumentatie voor Hoog-Risico Classificatie:**
De voorspellende module voor voorraadbeheer heeft potentieel significante impacts op de bedrijfsvoering van MKB-bedrijven in Nederland, wat kan leiden tot economische schade. Incorrecte voorspellingen kunnen resulteren in:
*   **Overbevoorrading:** Leidend tot onnodige kosten (opslag, afschrijvingen) en verspilling, met directe financiële gevolgen. Dit raakt aan financiële stabiliteit van de onderneming.
*   **Onderbevoorrading (out-of-stock):** Veroorzaakt verkoopverlies, klantontevredenheid en mogelijke contractbreuk, wat eveneens directe economische schade en reputatieschade met zich meebrengt.

Hoewel deze classificatie niet direct valt onder de expliciet benoemde 'hoog-risico' sectoren in Annex III van de AI Act (zoals arbeidsmarkt of kritieke infrastructuur), kan de 'algemene veiligheidscomponent'-clausule van toepassing zijn, gezien de substantiële impact op de economische continuïteit en potentieel op menselijke beslissingen (bijv. ontslagen bij langdurige overbevoorrading als gevolg van AI-fouten). Verdere analyse en formele conformiteitsbeoordeling is noodzakelijk.

**Initieel Mitigatieplan voor Hoog-Risico (Voorbeeld):**
*   **Menselijke Oversight (Human-in-the-Loop):** Implementatie van verplichte goedkeuringsstappen voor AI- gegenereerde besteladviezen door MKB-managers, met duidelijke visualisatie van de onderliggende argumentatie (XAI).
*   **Bias Detectie en Mitigatie:** Continue monitoring van de trainingsdata op vertekening (bijv. seizoensgebonden of geografische bias) en actieve strategieën om dit te corrigeren om ongelijkwaardige voorspellingskwaliteit te voorkomen.
*   **Robuustheid en Nauwkeurigheid:** Inzet van robuuste validatiemethoden (cross-validatie, backtesting) en model governance om de consistentie en betrouwbaarheid van voorspellingen te garanderen.
*   **Transparantie:** Duidelijke communicatie naar gebruikers over de beperkingen en de betrouwbaarheidsmarge van de voorspellingen.

### 3. Relevante Nederlandse Wet- en Regelgeving
Naast de EU AI Act en AVG/GDPR zijn de volgende Nederlandse wetten en richtlijnen relevant:
*   **Wetboek van Koophandel:** Voor verplichtingen omtrent bedrijfsvoering en contractuele aansprakelijkheid.
*   **Wet oneerlijke handelspraktijken:** Relevant indien de AI onjuiste of misleidende informatie zou genereren.
*   **Specifieke sectorale richtlijnen voor logistiek en transport:** Afhankelijk van de precieze aard van de supply chain (bijv. voedselveiligheid, chemicaliën).

Dit document dient als startpunt voor verdere gedetailleerde analyse en compliance planning.