Bepaalt wie wat ziet. Tot op veldniveau
Toegangsbeslissingen in klassieke software stoppen bij het record. Bij AI moet het verder: een opgehaalde chunk, een gecachete embedding, een samenvatting van een andere gebruiker. Elk kan lekken als je "de AI" behandelt als één actor. Het Platform behandelt elke read als een scoped toegangsgebeurtenis.
Elke read is scoped
Het Platform vraagt nooit "mag deze gebruiker records zien". Het vraagt "mag deze gebruiker dit veld, deze chunk, deze samenvatting, in deze Space, nu, zien".
Identiteitsscope
wieOpgelost via SSO: rol, afdeling, clearance, Space-lidmaatschap.
Row & field ACLs
dataKlassieke record-level controls. Met AI-specifieke veldzichtbaarheid erop.
Retrieval-filter
retrievalOpgehaalde chunks worden gefilterd zoals directe queries. Geen AI-backdoor.
Output-inspectie
outputEindantwoord wordt opnieuw gecheckt. Een model kan niet lekken wat de gebruiker nooit had mogen lezen.
De AI is geen superuser
Geen retrieval-backdoors
De embedding-index respecteert dezelfde ACL als je CRM. Een junior kan niet ophalen wat hij niet kan queryen.
Granular, niet generiek
Zelfde record, andere zichtbaarheid. Een salaris verschijnt in HR's view en niet in IT's, automatisch.
Break-glass met audit
Als je verhoogde toegang nodig hebt, legt het spoor vast wie, wanneer, waarom en wat er gezien is.
Hoe teams by default scopen
HR vs. manager-view
Zelfde employee-record. Alleen HR ziet comp, alleen de manager ziet performance-notes, en de agent volgt de regel.
Klantdossier-segregatie
Juristen op zaak A kunnen geen samenvattingen ophalen die collega's schreven op zaak B.
Finance data-masking
Finance-productiedata komt nooit ongeredigeerd terug naar niet-finance rollen, ook niet via een agent.
Anonieme research-modus
Discovery-queries op een dataset mogen, maar de agent geeft stats terug. Nooit raw rows.
Zie per-veld-toegang end-to-end werken.
Neem een scoped dataset mee. We draaien identieke agent-prompts vanuit twee rollen en tonen de verschillende outputs. En de audit-entries erachter.