Overzicht › Domein 1 · Foundations › Les 15 · AI Governance

AI Governance-rollen & accountability

Domein 1 · AI Governance lec 17 Vijf structurele rol-beslissingen vóór er één control live gaat — en waar accountability hol wordt terwijl de structuur er goed uitziet.

Kerngedachte
Elke rol draagt een specifieke accountability die je moet ontwerpen. De meest consequentiële grens — én de meest verwarde — is AI owner vs. model owner.

Het overzicht

De vijf governance-rollen

Rol	Line	Accountable voor
AI owner	1st line	Een specifiek systeem over zijn hele leven: risk acceptance, deployment sign-off, governance-eisen gehaald. Geen technical builder.
Model owner	1st line	Technical integrity: development quality, testing, documentation, version management.
AI risk officer	2nd line	Beoordeelt AI-risks onafhankelijk org-breed; rapporteert program health omhoog.
Ethics board	Oversight	Onafhankelijke ethische review (composition + independence).
Business owner	1st line	Verbindt enterprise AI-policy met dagelijkse teamgedrag; documented sign-off.

De belangrijkste grens

AI owner vs. model owner — het vaakst gecollapst

	AI owner	Model owner
Beantwoordt	Business & governance: moet dit gedeployed worden, onder welke condities, met welke oversight?	Technical: is het model gedocumenteerd, getest, version-controlled tot standaard?
Bij collapse	Eén persoon = één perspectief → een failure in één domein blijft onopgemerkt omdat dezelfde persoon beide kanten bezit.

Dual-hat → compensating controls
Kun je de rollen niet scheiden? Flag het en zet de standaard compensating controls: frequentere second-line review + mandatory external validation.

Vaak onder-geïnvesteerd

Ethics board: composition & independence

Composition

Samenstelling

Expertise in de ethische principles van de org · domain knowledge van de reviewde systemen · structurele onafhankelijkheid van first-line product teams · ≥ 1 external voice voor credibiliteit.

Independence

Self-initiated review authority

Een board dat enkel reviewt wat het krijgt aangeboden is een review service, geen governance body. Vereist: zelf reviews kunnen starten + charter authority om deployments te blokkeren of wijzigen.

Regel
Documenteer die authority expliciet in de charter van de board.

Policy → dagelijks gedrag

Business owner sign-off als documented control

AT ADOPTION

Attest + approve

Attesteert de enterprise AI-policy + documenteert goedkeuring van de team-use-case.

→

ONGOING

Monitor + escaleer

Ontvangt monitoring-outputs; verantwoordelijk voor escaleren van team-concerns.

Kernprincipe
Verbal approvals produceren geen governance evidence — een informele goedkeuring = een ungoverned deployment vanuit records-oogpunt. De sign-off creëert ook accountability-clarity: na tekenen kan een owner niet geloofwaardig claimen dat hij van niets wist.

Niet zelf-onderhoudend

Risk officer-independence: 3 structurele mechanismen

Reporting line

Rapporteert aan de CRO (of equivalent), niet aan CTO/head of AI — anders is 2nd line ondergeschikt aan de 1st line die hij moet overzien.

Budget authority

Kan onafhankelijke assessments commissioneren zonder first-line-goedkeuring. Budgetafhankelijkheid compromitteert elke betaalde assessment.

Challenge documentation

Documenteert disagreements met first-line. Wie alles goedkeurt zonder recorded challenge, functioneert niet als oversight-laag.

🔗 Link

Challenge-records = het bewijs van echte 2nd-line-independence. Volgende les: Three Lines of Defense.

Discipline in de Accountable-kolom

RACI: vier veelvoorkomende gaps

Gap	Wat het is	Fix
Dual accountable	Twee rollen accountable voor dezelfde activiteit	Precies één accountable — twee = niemand echt accountable
Absent accountable ⚠️	Activiteit zonder accountable role	Ungoverned by design — de gevaarlijkste failure
Phantom consultation	Consulted rollen vermeld maar nooit betrokken	Afdwingen via documented consultation records
R = A op high-risk	Responsible & Accountable bij dezelfde rol op high-risk activiteit	Elimineert de review-laag → scheiden

Valideer alle vier vóór de structuur live gaat.

Mature 2nd line = gedocumenteerde processen

Interface-patronen van de risk officer

Met…	Interface
AI owner	Challenge deployment sign-offs + lever risk-assessment-input vóór acceptance-beslissingen
Model owner	Review technical documentation op volledigheid + bevestig testing standards vóór independent assessment
Ethics board	Lever risk-data die de ethische review informeert + ontvang findings die risk treatment vragen
Business owner	Communiceer monitoring-thresholds voor team-level AI-use + ontvang escalaties van team-incidenten

Compounding
Rol-failures stapelen omdat de accountability-lagen van elkaar afhangen: een ontbrekende AI owner laat legacy-systemen ungoverned, een 2nd line die aan de CTO rapporteert kan de tech-org niet geloofwaardig challengen, enz. Adresseer alle vijf vóór go-live.

Begrippen uit deze les

Glossarium

AI owner: 1st-line accountable voor een systeem over zijn leven: risk acceptance, deployment sign-off.
Model owner: Accountable voor technical integrity: testing, documentation, version management.
AI risk officer: 2nd-line; beoordeelt risks onafhankelijk en rapporteert program health.
Ethics board: Onafhankelijke review body; vereist composition + self-initiated review authority.
Business owner: Verbindt policy met teamgedrag via documented sign-off.
Dual-hat arrangement: Eén persoon in twee rollen → compensating controls vereist.
Self-initiated review authority: Het kunnen starten van eigen reviews — maakt een board een echte governance body.
Challenge documentation: Vastgelegde disagreements; bewijs van echte 2nd-line-independence.
RACI: Responsible · Accountable · Consulted · Informed — precies één Accountable per activiteit.

Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1

Aan wie moet de AI risk officer rapporteren om 2nd-line-independence te borgen?

De CTO

De head of AI

De CRO (of equivalent) — niet de technology-functie die hij moet overzien

De model owner

Juist: de CRO. Rapporteren in de tech-functie maakt 2nd line organisatorisch ondergeschikt aan de 1st-line-teams die het onafhankelijk moet overzien. Reporting line is één van de 3 independence-mechanismen (+ budget authority + challenge documentation).

VRAAG 2

Een RACI-matrix listt een activiteit zónder accountable role. Hoe ernstig is dit?

Onschuldig — accountable is optioneel

De gevaarlijkste gap: de activiteit is ungoverned by design

Prima, zolang er twee responsible-rollen zijn

Het betekent dat iedereen accountable is

Juist. "Absent accountable" = ungoverned by design, de gevaarlijkste van de vier RACI-gaps. Elke activiteit heeft precies één accountable nodig (niet nul, niet twee).

← Terug naar overzicht