Wij plukken seat-bezetting + audit-log uit GitHub's eigen admin API, hashen usernames bij ingest, en bundelen het maandelijks in een Ed25519-getekend evidence pack. Voor wanneer compliance of HR vraagt: 'wie heeft Copilot, wanneer geactiveerd, wanneer voor het laatst gebruikt, welke instellingen zijn er gewijzigd, door wie?'
Als je bedrijf Copilot Business of Enterprise heeft, is GitHub de 'provider' van het AI-systeem (zij maakten het model), maar JIJ bent de 'deployer' (jij rolt het uit aan je medewerkers). Art. 26 legt deployers verplichtingen op:
Wij leveren de logging-input. Jij blijft verantwoordelijk voor het oordeel.
In github.com → Settings → Developer settings → Fine-grained tokens. Scopes: manage_billing:copilot · read:audit_log · read:org. Geef hem 90 dagen (we waarschuwen 7 dagen voor expiry).
Dashboard → Copilot Audit → '+ Org verbinden'. Wij verifiëren direct of het token werkt (HTTP probe op /orgs/{org}). PAT wordt AES-256-GCM versleuteld voordat het in de DB landt — niet meer leesbaar via API.
Onze worker draait elk uur: pull alle seats (snapshot), pull nieuwe audit-events (cursor-paginatie, alleen 'action:copilot.*'). Usernames worden SHA256-gehasht; alleen een 4-teken prefix blijft voor display.
Op de 1e van elke maand kan je een getekend evidence pack downloaden — gzipped tarball met seats.jsonl + events.jsonl + manifest.json + manifest.sig. Audit verifieert offline met je auditer, zelfde verifier als AI observability.
Gebaseerd op het gemiddelde seat-aantal over de maand (dagelijkse snapshot, gemiddelde). Tenant zonder verbonden org betaalt niets. Tier 'Standard' van AI observability hoeft niet — Copilot Audit is een aparte add-on.
Voorbeeld: 30 seats in januari, 35 in februari → factuur jan €30, feb €35.
Maandelijks via dezelfde Stripe-factuur als je server-monitoring + AI observability. Aparte line item 'monsys.ai Copilot Audit — N seats × €1.00'.