Data verzameld voor één doel wordt hergebruikt voor een ongerelateerde AI-app zonder renewed consent → schendt purpose limitation.
Autonomy = het recht op free informed choice. Faalt als manipulative design die choice erodeert (vaak via dark patterns).
Totale exposure als meerdere principles tegelijk under-controlled zijn → systemic vulnerability boven de som.
Transparency = wat de org disclosed. Autonomy = of het individu écht vrij kan kiezen, zonder manipulatie.
| Event | Wat gebeurt er |
|---|---|
| Purpose creep (meest voorkomend) | Wellness-survey-data (benefits-programma) gevoed in een performance-management-AI zonder nieuwe consent / lawful basis |
| Training data leakage | PII opgenomen tijdens training duikt op in model-outputs als users het systeem bevragen |
| Re-identification | Een geanonimiseerde dataset wordt deels her-geïdentificeerd via patronen in de outputs die individual-level attributes weerspiegelen |
Elk event vraagt een distinct control design én investigation protocol.
Urgency cues, countdown timers, manufactured scarcity → users onder druk zetten tot keuzes die ze ná reflectie niet zouden maken.
Inferred psychological profiles om content/producten te pushen die emotionele/cognitieve kwetsbaarheden exploiteren.
Herhaalde AI-driven nudges verschuiven gedrag geleidelijk — zonder dat de user beseft dat zijn beslisomgeving gevormd is.
Regulatory exposure (emerging AI consumer protection law) + reputational exposure als de patterns publiek worden → snel wanneer ze opduiken.
De andere zes werken → bounded exposure, targeted treatment mogelijk. Reputational impact blijft beperkt tot dat domein.
Bv. een consumer-facing product gelanceerd zonder adequate review → één incident activeert drie risk categories tegelijk. Geen enkel treatment plan kan dat achteraf volledig indammen.
| Principle | Control | Kern |
|---|---|---|
| Privacy | Data minimization program | Verzamel enkel wat nodig is — enforced op pipeline-niveau, niet enkel in policy |
| Purpose limitation enforcement | Technische controls die ongeautoriseerd gebruik blokkeren zonder nieuwe consent/lawful basis-record | |
| Autonomy | Opt-out infrastructure | Duidelijk toegankelijke exit uit AI-driven personalization, zonder significante moeite |
| Consent management platform | Consent-records gekoppeld aan specifieke AI-use-cases → revocable & auditable |
| Principle | KRI | Signaleert |
|---|---|---|
| Privacy | Data access anomaly threshold | Aantal AI-systemen dat data buiten authorized scope benadert / kwartaal |
| Purpose limitation exception rate | Goedgekeurde exceptions als % van de totale AI-inventory | |
| Autonomy | Consent withdrawal rate trend | Stijgende opt-outs → perceived coercion / trust-verlies vóór een formele klacht |
| Dark pattern review coverage | % consumer-facing AI-producten met UX-ethics-review in de laatste 12 maanden |
Volledige ethics risk register review: KRI-trends (7 principles), nieuwe events, treatment-status, acceptatie-besluiten.
→Aggregate ethics risk posture vs. appetite; materiële events; residual harm/autonomy die board-acceptatie vraagt.
→Event dat critical inherent threshold kruist, regulatory notification triggert of media-exposure geeft → direct naar board.
| Privacy principle risk | Data security risk | |
|---|---|---|
| Oorzaak | Authorized internal actors | Unauthorized access door externe actoren / insider threats buiten autorisatie |
| Event-type | Misuse, geen breach | Breach / exfiltration / corruption |
| Controls | Purpose limitation policy, consent management, data access governance | Security-controls (toegang, encryptie, detectie) |
| Regulator bekijkt | Wat de org deed met de data | Hoe goed de data beschermd was tegen buitenstaanders |
Klik op je antwoord voor directe feedback.