D1.17 — AI Policy-hiërarchie & design

Kerngedachte
Standards zijn de bron van de testable control requirements — niet de enterprise policy zelf. Wie op de verkeerde tier test, mist de echte control-source.

Het kernschema

De vier tiers

🟦 TIER 1 · ENTERPRISE AI POLICY

Top-tier, board/senior-exec-approved. Stelt principles, accountability & risk appetite. De authoritative reference voor al de rest. Vraagt: wat committen we?

🟦 TIER 2 · STANDARDS

Mandatory control requirements — wat moet waar zijn. De primaire bron van control objectives. (Hier zit de testbaarheid.)

🟩 TIER 3 · PROCEDURES

Step-by-step hoe je het waar maakt (wie, in welke volgorde, binnen welke tijd). Ook mandatory.

🟧 TIER 4 · GUIDELINES

Non-mandatory: best practice, suggesties, aanbevolen aanpakken — waar organizational judgment moet spelen.

Het fundament

De 6 verplichte elementen van de enterprise AI policy

1

Scope statement

Welke systemen & use cases de policy governt.

2

Accountability structure

Rollen & verantwoordelijkheden benoemd.

3

Risk appetite statement

In board-approved termen.

4

Explicit obligations

Voor AI owners, model owners & business owners.

5

Review cadence

Hoe vaak de policy herzien wordt.

6

Change triggers

Events (bv. GenAI adopteren) die een out-of-cycle review vragen.

Een policy die er één mist, laat een gap die de supporting standards niet kunnen vullen.

Internaliseren

Standard vs. procedure

	Standard	Procedure
Stelt	Wat waar moet zijn	Hoe je het waar maakt
Aard	Mandatory control requirement; bron van control objectives	Step-by-step instructies; ook mandatory
Voorbeeld	"Alle high-risk systemen vereisen een independent bias assessment"	Wie doet wat, in welke volgorde, binnen welke tijdslimiet

Test beide apart
Compliance met de procedure garandeert geen compliance met de standard. Ontwerp de crosswalk zo dat elke standard mapt op minstens één procedure.

Tier 4 — let op de drift

Guidelines expliciet non-mandatory houden

Design risk
Guidelines behandelen als mandatory requirements — vaak doordat ze net als standards zijn opgemaakt. Label elk document met zijn tier + compliance-status. Review periodiek of consistent-enforced guidelines naar procedures gepromoveerd moeten worden (bij elke jaarlijkse policy-refresh).

Risk-officer-verantwoordelijkheid

Exception process: 3 non-negotiables

1

Time-bound approval

Elke exception heeft een expiry (gekalibreerd op risk level). Geen expiry = een permanente policy deviation die ongezien groeit.

2

Calibrated authority

Goedkeurder matcht de severity. Low-risk → AI owner; high-severity → 2nd-line/oversight committee. Self-approved high-risk = authority violation.

3

Condition for reinstatement

Wanneer full compliance vereist is: bij expiry, bij een event, of een remediation deadline.

🔗 Link

"Authority gekalibreerd op severity" = dezelfde logica als de treatment authority matrix (les 8 & 13).

Tegen drift

Policy-maintenance — 4 requirements

Requirement	Kern
Version control	Elke revisie: versienummer, effective date, approver, summary. Geen version history = ungoverned op de eigen tier.
Periodic review	Minstens jaarlijks voor de meeste organisaties.
Change triggers	GenAI-adoptie is een standaard trigger — een policy van vóór die tools kan hun governance-vragen niet adresseren.
Supporting document cascade	Policy herzien → review álle standards, procedures & guidelines op alignment.

Geen gaten

De policy crosswalk in 3 stappen

STAP 1

Commitment → standard

List elke governance commitment; vind de standard die hem naar een testbare requirement vertaalt.

→

STAP 2

Standard → procedure

Vind de procedure die ze uitvoerbaar maakt. Requirement zonder procedure = design gap.

→

STAP 3

Commitment zonder standard

De meest consequentiële gap: een commitment die je niet kunt enforce'n of testen.

Gap-assessment

Veelvoorkomende design gaps

⚠️ Policy niet herzien sinds vóór GenAI-adoptie

⚠️ Standards die niet helder op policy-commitments mappen

⚠️ Procedures die sommige standards dekken, andere niet

⚠️ Open exception-log-items zonder expiry dates

⚠️ Geen version history op enige tier

⚠️ Guidelines enforced alsof ze mandatory zijn

Begrippen uit deze les

Glossarium

Policy hierarchy: 4-tier structuur: enterprise AI policy · standards · procedures · guidelines.
Enterprise AI policy: Top-tier, board-approved; principles + accountability + risk appetite.
Standard: Mandatory control requirement — wat waar moet zijn; bron van control objectives.
Procedure: Step-by-step hoe je een standard waarmaakt; ook mandatory.
Guideline: Non-mandatory best practice/aanbeveling; expliciet labelen.
Exception process: Time-bound + calibrated authority + condition for reinstatement.
Change trigger: Event (bv. GenAI-adoptie) dat een out-of-cycle review forceert.
Policy crosswalk: Check dat elke commitment → standard → procedure heeft.
Version control: Versienummer, datum, approver, change-summary per revisie.

Checkpoint

Quiz

Klik op je antwoord voor directe feedback.

VRAAG 1

Een document stelt: "Alle high-risk systemen vereisen een independent bias assessment." Welke tier?

Enterprise AI policy

Een standard — het stelt een testbare, mandatory control requirement (wat moet waar zijn)

Een procedure

Een guideline

Juist: standard. Het stelt wat waar moet zijn (testbaar, mandatory). Een procedure zou zeggen wie het doet, in welke volgorde, binnen welke tijd. Standards — niet de policy — zijn de bron van testable control requirements.

VRAAG 2

Wat is de gevaarlijkste eigenschap van een exception zonder expiry date?

Niets — exceptions hoeven geen expiry

Het is een permanente policy deviation die ongezien blijft groeien zonder review te triggeren

Het versnelt de deployment te veel

Het verlaagt de inherent risk score

Juist. Een exception zonder expiry is een permanente policy deviation by another name — een governance gap die onbeperkt groeit. Time-bound approval (gekalibreerd op risk level) is één van de 3 non-negotiables.