Dennis Croon
werk

Private GenAI-chatbot bij Gemeente Rotterdam

Interne RAG-chatbot waarmee medewerkers documenten konden raadplegen, volledig binnen de eigen omgeving en compliant met de EU AI Act.

rol
GenAI Engineer
periode
2024/01 → 2025/07
klant
Gemeente Rotterdam (via brainstax)
"AI Act-compliance is niet iets dat je achteraf erbij plakt, het bepaalt vanaf dag 1 wat je wel en niet kan bouwen."

Het probleem

Een grote gemeente had behoefte aan een interne chatbot waarmee medewerkers documenten konden raadplegen. Maar de gewone weg, een SaaS-oplossing die documenten extern verwerkt, was geen optie. Privacy, security en compliance met de EU AI Act waren keiharde randvoorwaarden. Data mocht het pand niet uit.

De aanpak

Een RAG-architectuur volledig binnen de eigen omgeving. LLMs, vector search en de retrieval-pipeline draaien lokaal of in een afgeschermde tenant, geen externe call met klantdata erin.

Multi-tenant by department. Elke afdeling kreeg z'n eigen toepassing binnen de app, met alleen de relevante datasets beschikbaar. Toegang werd gestuurd door role-based access op de datatabellen in Azure Data Lake, een gebruiker kon nooit per ongeluk bij de data van een andere afdeling.

Bronvermelding ingebouwd. Bij elk antwoord zag de gebruiker uit welk brondocument de informatie kwam, met een doorklikbare link naar het origineel. Geen black box, een controleerbare assistant.

Productie-release met human gate. Volledige CI/CD-pipelines voor automated deploys naar staging, met een verplichte handmatige check vanuit de PO en business users voordat iets richting productie ging. Geen ad-hoc deploys, geen "even snel iets aanpassen in prod", alles via de gate.

Naast techniek liep een tweede spoor: data-classificatie, uitlegbaarheid en governance afstemmen met juridische en informatiebeveiligings-collega's. Dat tweede spoor was minstens zo bepalend voor het ontwerp als de techniek zelf.

Wat het opleverde

Een volledige werkende chat-interface waar user-based access tot de data daadwerkelijk gerealiseerd werd, elke afdeling met z'n eigen app-toepassing, alleen de eigen datasets, op basis van role-based access op de datatabellen in Azure Data Lake. Bij elk antwoord: bronvermelding en doorklikbaarheid naar het brondocument, zodat medewerkers konden zien waar de informatie vandaan kwam en het zelf konden verifiëren.

Wat ik specifiek deed

Engineering en architectuurkeuzes voor de RAG-pipeline. Daarnaast het overbruggen tussen techniek en het juridisch/governance-spoor, twee werelden die in dit soort trajecten anders snel langs elkaar heen werken.

Wat ik ervan heb meegenomen

AI Act-compliance is niet iets dat je achteraf erbij plakt. Het bepaalt vanaf dag 1 wat je wel en niet kan bouwen. Wie probeert om eerst "even een PoC te bouwen" en het juridisch spoor later op te starten, bouwt iets dat niet in productie kan.

Gerelateerd

Skills, topics & tech

Gerelateerd werk