AIGP Zelfstudie
Overzicht › Domein 1 · Foundations › Les 1

Wat is AI & waarom heeft het eigen governance nodig?

Domein 1 · Foundations Les 1 Waarom AI andere controls vraagt dan klassieke software — en wat er misgaat zonder gestructureerd programma.
Kerngedachte
AI = systemen die op grote schaal ingrijpende beslissingen nemen, vaak zonder mens in de lus. Dát is wat AI onderscheidt van rule-based software — en het startpunt van élke governance-control die volgt.
Fundament

De drie ankerbegrippen

Deze drie termen vormen de basis. Let op de volgorde: ze schakelen in elkaar.

WAT

Artificial Intelligence

Systemen die taken doen die menselijke cognitie vragen — via aangeleerde statistische patronen, niet via door een programmeur geschreven regels.

WANNEER

Algorithmic decision-making

Het moment waarop governance-scope begint: een AI-output bepaalt een uitkomst voor iemand (kredietscore, hiring-flag, leningweigering).

HOE

AI governance

De set policies, rollen, controls en oversight die zorgt dat die systemen betrouwbaar, eerlijk en binnen de wet werken — over hun hele levenscyclus.

Waarom dit ertoe doet
Een regel kun je auditen. Een statistisch patroon auditen vraagt andere tools. Dat ene verschil is de reden dat AI een eigen governance-discipline nodig heeft.
Het kernverschil

Rule-based software vs. AI-systemen

Klassieke IT-controls zijn gebouwd voor de linkerkolom. Toepassen op de rechterkolom = governance-falen.

EigenschapRule-based softwareAI-systemen
LogicaVolledig gespecificeerd door programmeurs, staat in de codeEmergeert uit statistische patronen in trainingsdata
OutputsDeterministic & traceerbaarProbabilistic — zelfde input kan licht andere output geven
AuditenAuditor leest de logica, test ze, geeft een oordeelVergt gespecialiseerde interpretability-tools
ControlsAccess- & change management volstaan grotendeelsStrekt zich uit tot data governance, model monitoring én human-in-the-loop-beslissingen
Examenval
Geen van beide benaderingen is "fout" — ze passen bij verschillende soorten systemen. De fout is het verkeerde framework op het verkeerde systeem toepassen.
Onthoud dit goed

De 4 eigenschappen die het governance-mandaat creëren

Ezelsbrug: A-O-A-C. Elke eigenschap breekt een aanname waarop klassieke IT-audit gebouwd was.

A

Autonomy

Systemen handelen zonder goedkeuring per beslissing. Eén beleidskeuze schaalt naar miljoenen uitkomsten vóór iemand kijkt.

O

Opacity

De interne beslislogica is vaak ontoegankelijk — zelfs voor de ontwikkelaars die het bouwden.

A

Adaptability

Modellen worden geüpdatet/hertraind → gedrag verschuift → eerdere risk-assessments en controls moeten opnieuw.

C

Consequentiality

Outputs raken hiring, lending, healthcare en publieke veiligheid — domeinen waar een fout juridisch en reputationeel weegt.

Gerelateerd: waarom IT-controls tekortschieten

ProbleemWat het betekent
OpacityBeslislogica van een neuraal netwerk vaak niet leesbaar, ook niet door de bouwers.
DriftModelgedrag verandert als de data-distributie in de echte wereld verschuift — zónder dat iemand het model aanraakt.
ScaleEén model kan miljoenen ingrijpende beslissingen per dag nemen → elke fout wordt direct uitvergroot.
Wat er misgaat zonder programma

De drie governance-gaps

Zonder gestructureerd programma worden deze drie gaten een audit-finding of incident.

🧭 Accountability gap

Niemand kan duidelijk zeggen wie een beslissing bezit als een AI-output schade veroorzaakt. De vendor? Het deploy-team? De business owner? → aansprakelijkheid diffuus, remediatie traag.

🔍 Transparency gap

De organisatie kan een beslissing niet uitleggen aan regelgever, klant of werknemer. In krediet, hiring en zorg is die explainability in veel jurisdicties wettelijk verplicht.

📡 Monitoring gap

Geen mechanisme om modeldegradatie ná deployment te detecteren. Modellen driften — zonder monitoring weet je het pas als er een incident opduikt.

🔗 Verband

Elke gap matcht een eigenschap: Opacity → transparency gap, Adaptability/drift → monitoring gap, Autonomy + scale → accountability gap.

Hoe je het inbedt

AI-governance past ín je bestaande ERM — het vervangt niets

ERM = Enterprise Risk Management. Door AI in déze taal te framen, win je sneller board-krediet: het taalgebruik is al bekend bij wie het budget goedkeurt.

1 · IDENTIFY

Risk identification

AI-inventory bijhouden, elke use case classificeren op consequence-niveau, voeden in het risk register.

2 · TREAT

Risk treatment

Controls kiezen die passen bij systeemtype, verwerkte data en omvang van mogelijke schade.

3 · MONITOR

Risk monitoring

KRI's definiëren voor drift, error rates en incident-frequentie → leading indicators vóór events.

Risk-tiered model: governance schaalt mee met de inzet

High-stakes AILow-stakes AI
Impact bij foutSignificante schadeOnhandig, niet ingrijpend
VoorbeeldenCredit decisions, medical triage, facial recognition for law enforcement, child welfare screeningSpellingcheck, playlist-aanbevelingen, interne agenda-planning
ControlsSterkste controls, verplichte human-in-the-loop, hoogste explainability-eisenLichtere structuren — proportioneel
Waarom dit telt
Het risk-tiered model is hóé je je control-keuzes verantwoordt aan auditors en regelgevers: de governance-investering matcht het consequence-niveau, en die match is gedocumenteerd.

De 3 vragen die de board stelt

#Vraag van de boardWat je daarvoor nodig hebt
1Welke AI-systemen draaien we, en welke zijn high-stakes?De AI-inventory
2Wat is de huidige incident- en near-miss-rate?Monitoring-infrastructuur + rapportagecadans
3Welke regels gelden, en zijn we compliant?Horizon scanning + compliance-mapping

Wie alle drie met data (geen benaderingen) kan beantwoorden, bouwt board-vertrouwen en krijgt budget. Wie dat niet kan, blijft reactief.

Begrippen uit deze les

Glossarium

Artificial Intelligence
Systemen die cognitietaken doen via aangeleerde statistische patronen i.p.v. geschreven regels.
Algorithmic decision-making
Het moment waarop een AI-output een uitkomst voor iemand bepaalt — start van governance-scope.
AI governance
Policies, rollen, controls en oversight om AI betrouwbaar, eerlijk en wettig te houden over de levenscyclus.
Opacity
Interne beslislogica is ontoegankelijk, zelfs voor de bouwers.
Drift
Modelgedrag verandert doordat de echte-wereld-datadistributie verschuift, zonder modelwijziging.
Deterministic vs. probabilistic
Vaste, traceerbare output vs. waarschijnlijkheidsoutput die kan variëren.
Human-in-the-loop
Mens beoordeelt outputs vóór ze iemand raken — verplicht bij high-stakes AI.
ERM
Enterprise Risk Management — bestaande risicostructuur waarin AI-governance past.
KRI
Key Risk Indicator — meet drift, error rates, incident-frequentie als leading indicator.
AI-inventory
Register van alle AI-systemen, geclassificeerd op consequence-niveau.
Horizon scanning
Bijhouden hoe het regelgevend landschap beweegt, voor compliance-mapping.
Risk-tiered model
Governance-intensiteit schaalt met de inzet (high- vs low-stakes).
Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1
Welke vier eigenschappen van AI-systemen creëren samen het governance-mandaat?
Accuracy, Openness, Availability, Cost
Autonomy, Opacity, Adaptability, Consequentiality
Automation, Optimization, Agility, Compliance
Auditability, Observability, Accountability, Control
Juist: Autonomy, Opacity, Adaptability, Consequentiality (A-O-A-C). Elk breekt een aanname waarop klassieke IT-audit gebouwd was: handelen zonder goedkeuring, niet-leesbare logica, verschuivend gedrag, en zwaarwegende impact.
VRAAG 2
Een organisatie kan een geweigerde kredietaanvraag niet uitleggen aan de toezichthouder. Welke governance-gap is dit?
Accountability gap
Monitoring gap
Transparency gap
Adaptability gap
Juist: transparency gap. De organisatie kan de beslissing niet uitleggen aan regelgever, klant of werknemer. In krediet, hiring en zorg is die explainability vaak wettelijk verplicht — vaak gevolg van opacity.
← Terug naar overzicht