D1.6 — De zeven AI-risicocategorieën

Kerngedachte
Categorie-vlotheid is geen academisch trucje — het is de structurele basis van élke program-design-beslissing. Elke categorie stuurt zijn eigen accountability- en monitoring-logica.

Waarom categorieën ertoe doen

Categorie stuurt drie dingen

1

Ownership

Volgt de categorie: verschillende functies hebben de expertise én autoriteit voor verschillende risicotypes.

2

KRI-design

Categorie-specifiek: de early-warning-signalen verschillen. Security-KRI ≠ bias-KRI.

3

Aggregatie

Vereist consistente labels — inconsistente labeling corrumpeert het portfolio-beeld.

🔗 + Kruisverbanden

Map cross-category-interacties expliciet → vermijd dekkingsgaten én dubbeltelling in exposure-totalen.

Het overzicht

De zeven categorieën — severity & velocity

Severity = hoe erg de schade. Velocity = hoe snel het risico zich materialiseert (bepaalt je monitoring-cadans).

#	Categorie	Severity	Velocity	Typisch moment van opduiken
1	Performance & reliability	Medium	Hoog	Accuracy-fouten verschijnen in real time
2	Security	Hoog	Variabel	Adversariële aanvallen: van snel tot slow-burn
3	Privacy	Hoog	Medium	Meestal tijdens regulatory review
4	Bias & fairness	Med–Hoog	Laag	Disparities stapelen geleidelijk over de levensduur
5	Compliance & legal	Hoog	Laag–Med	Via regulatory cycles
6	Reputational	Hoog	Hoog	Een media-event verschuift perceptie binnen uren
7	Third-party & supply chain	Variabel	Laag	Geërfde zwaktes blijken bij due diligence

Infographic

Severity × Velocity-matrix

Waar elke categorie ligt bepaalt je controlfocus. Rechtsboven (hoog/hoog) = real-time monitoring; linksonder = kwartaal-cadans volstaat.

VELOCITY — hoe snél het materialiseert → SEVERITY — hoe érg → laag hoog laag hoog

1 · Performance

2 · Security

3 · Privacy

4 · Bias

5 · Compliance

6 · Reputational

7 · Third-party

Lees-tip
Reputational (6) ligt extreem rechtsboven: hoog & snel → vraagt de scherpste real-time signalering. Bias (4) en Third-party (7) liggen links: laag-velocity, dus ze sluipen er geleidelijk in — daar betrap je niets met enkel real-time alerts.

Vocabulaire

Drie ankertermen

KRI

Key Risk Indicator

Monitoring-metric die opkomend risico zichtbaar maakt vóór het schade wordt. (≠ KPI = prestatiedoel.)

Velocity

Risk velocity

Hoe snel een risico kan materialiseren. Hoog → real-time/continu; laag → kwartaal-cadans volstaat.

Exposure

Exposure aggregation

Risicoscores combineren over categorieën/BU's → portfolio-beeld. De-aggregatie = diagnostische tegenbeweging.

🔗 Samen

Aggregatie = voor executive-rapportage; de-aggregatie = wanneer een portfolio-metric zijn drempel doorbreekt.

Examenfavoriet

KRI vs. KPI

Veelgetest
Dé toetsvraag bij elke metric: betekent een drempeloverschrijding dat er iets slechts kán gebeuren (KRI), of dat er al iets gebeurd is (KPI)?

	KRI — Key Risk Indicator	KPI — Key Performance Indicator
Volgt	Risico — opkomende exposure vóór schade	Prestatie tegen operationele doelen
Voorbeeld	% AI-tool-calls geflagd als anomaal (vroege adversariële probing)	Model-accuracy tegen een 95%-doel
Bij drempel	Respons = escalatie	Respons = procesverbetering
Intentie	Vooruitkijkend (might happen)	Terugkijkend (already did)

Zelfde dashboard-formaat, andere bedoeling.

Accountability

Risico-eigenaar volgt de categorie

De vereiste expertise & autoriteit verschilt per categorie. Benoem eigenaars bij program-design — wachten tot incidenten creëert accountability-gaps.

Categorie	Eigenaar (1st line)	Co-/oversight
Performance & reliability	Engineering / Operations	—
Security	InfoSec / Cybersecurity	—
Privacy	DPO / Privacy-team	—
Bias & fairness	Model development	Ethics board (2nd line)
Compliance & legal	Legal / Compliance	Business unit (regelcontext)
Reputational	Communications / Brand	Executive sponsorship
Third-party & supply chain	Vendor management / Procurement	Security + Legal (co-owners)

Waar blinde vlekken ontstaan

Vier kruisverbanden om expliciet te mappen

⚖️ Bias → Compliance

Bias-failure in hiring-AI triggert EEOC- of GDPR-handhaving. Beide categorieën hebben eigen KRI's nodig — geen is redundant.

📰 Privacy → Reputational

Een training-data-lek wordt vaak eerst een media-crisis vóór de handhaving volgt. De volgorde telt voor je response-planning.

🔗 Third-party → Security

Supply-chain-poisoning van vendor-trainingsdata is tegelijk third-party én security. Controls moeten beide vectoren onafhankelijk adresseren.

📉 Performance → Reputational

Een spraakmakende accuracy-fout in een customer-facing systeem wordt reputatieschade binnen dezelfde nieuwscyclus.

Waarom mappen
Door deze interacties bij program-design vast te leggen, houden je escalatie-playbooks er al rekening mee.

Programmaontwerp

Multi-category systemen zijn de norm

Doe dit	Niet dit
Wijs alle toepasselijke categorieën toe aan de register-entry	Eén primair label forceren
Primaire eigenaar voor de geconsolideerde entry + secundaire eigenaars per categorie	Slechts één eigenaar
Categorie-specifieke KRI's per label	Eén composite-metric die signalen vermengt
Bij aggregatie: som categorie-scores vóór de roll-up	Secundaire exposure laten verdwijnen in een hoge primaire score

Multi-label entries weerspiegelen de realiteit. Single-label entries verbergen net wat je moet zien.

Aggregatie ↔ de-aggregatie

PER CATEGORIE

Welke risicotypes domineren

Waar moet program-investering heen?

→

PER BU

Welke units dragen exposure

Wie heeft de meeste support nodig?

→

PER TREATMENT

Accepted vs mitigated

Risk-appetite in de praktijk vs. op papier.

→

BREACH!

De-aggregeer meteen

Welke entries dreven de overschrijding? Documenteer de methodiek.

Begrippen uit deze les

Glossarium

KRI (Key Risk Indicator): Metric die opkomend risico zichtbaar maakt vóór schade; drempel → escalatie.
KPI (Key Performance Indicator): Metric die prestatie tegen doelen meet; drempel → procesverbetering.
Severity: Hoe ernstig de schade zou zijn als het risico optreedt.
Risk velocity: Hoe snel een risico zich materialiseert → bepaalt monitoring-cadans.
Exposure aggregation: Risicoscores combineren tot een portfolio-beeld voor executive-rapportage.
De-aggregatie: Een portfolio-metric ontleden om te zien welke entries een breach dreven.
Risk owner: Functie met expertise + autoriteit voor een risicocategorie; benoemd bij design.
Multi-label entry: Register-entry met alle toepasselijke categorieën i.p.v. één geforceerd label.
Cross-category interaction: Eén categorie die een andere triggert (bv. bias → compliance).

Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1

Een metric meet "% AI-tool-calls geflagd als anomaal" en bij overschrijding volgt escalatie. Wat is dit?

Een KRI — het signaleert opkomend risico vóór schade

Een KPI — het meet prestatie tegen een doel

Een SLA-metric

Een aggregatiescore

Juist: KRI. Het kijkt vooruit (er kan iets gebeuren) en de respons is escalatie. Een KPI kijkt terug op prestatie (bv. accuracy tegen 95%) en leidt tot procesverbetering.

VRAAG 2

Welke categorie combineert hoge severity met hoge velocity (een media-event verschuift perceptie binnen uren)?

Bias & fairness

Third-party & supply chain

Reputational

Compliance & legal

Juist: Reputational. Hoog & snel — ligt rechtsboven in de matrix en vraagt de scherpste real-time signalering. Bias en third-party zijn juist low-velocity (sluipen er geleidelijk in).