Waarom AI vraagt om bestuurlijk anders kijken naar risico’s
Jarenlang hebben organisaties risico’s rond informatie en privacy beoordeeld met een helder en werkbaar kader: BIV.
Beschikbaarheid, Integriteit en Vertrouwelijkheid.
Het is een model dat vertrouwen heeft verdiend. Systemen die beschikbaar zijn wanneer nodig, correcte informatie verwerken en gegevens beschermen tegen onbevoegde toegang, doen in essentie wat ze moeten doen. Voor klassieke IT is dat voldoende om te bepalen of risico’s acceptabel zijn.
Met de opkomst van AI-systemen verandert dat uitgangspunt.
Niet omdat BIV onjuist is, maar omdat het niet langer volledig is.
Wanneer systemen correct functioneren, maar toch schade veroorzaken
AI-systemen kunnen probleemloos draaien.
Ze zijn beschikbaar, gebruiken juiste data en voldoen aan beveiligings- en privacy-eisen. Op papier lijkt alles in orde.
En toch kan er iets misgaan.
Een AI kan overtuigend verkeerde conclusies trekken.
Of antwoorden geven die logisch klinken, maar inhoudelijk niet kloppen.
Of beslissingen nemen die niemand goed kan uitleggen, ook al zijn ze technisch reproduceerbaar.
Er is dan geen storing, geen hack en geen datalek.
Maar wél impact.
Niet in de techniek, maar in het vertrouwen.
Geloofwaardigheid als ontbrekende factor
Wat hier zichtbaar wordt, is een dimensie die in klassieke risicomodellen nauwelijks expliciet werd benoemd: geloofwaardigheid.
Geloofwaardigheid gaat niet over of een systeem werkt, maar over of de uitkomsten:
- aannemelijk zijn,
- uitlegbaar blijven,
- en bestuurlijk te verdedigen zijn.
Zodra een organisatie besluiten baseert op AI, verschuift de vraag.
Niet langer alleen: “Doet het systeem wat het moet doen?”
Maar ook: “Kunnen wij achter deze uitkomsten blijven staan?”
Daarom stel ik voor om het vertrouwde BIV-model bij AI aan te vullen met een vierde element:
G – Geloofwaardigheid
Samen vormt dit BIV-G.
Wat BIV-G zichtbaar maakt
Met BIV-G wordt een ander type risico zichtbaar.
Niet technisch, maar bestuurlijk en maatschappelijk.
Bijvoorbeeld:
- reputatieschade doordat beslissingen onbegrijpelijk of onjuist blijken,
- verlies van legitimiteit richting klanten, burgers of medewerkers,
- escalatie richting toezichthouders of rechter,
- of interne besluiteloosheid omdat niemand het systeem nog durft te corrigeren.
Dit zijn geen incidenten in de klassieke zin.
Het zijn systeemrisico’s die zich vaak geleidelijk ontwikkelen.
Impact zonder verantwoordbaarheid
Een kenmerk van veel AI-risico’s is dat ze sluipend zijn.
Systemen blijven functioneren, terwijl het vermogen om beslissingen te begrijpen, te corrigeren of te verantwoorden afneemt.
Op dat moment ontstaat een spanningsveld:
- het systeem werkt,
- maar de organisatie verliest grip.
Impact zonder verantwoordbaarheid is geen incident, maar een systeemrisico.
En dat is precies het punt waarop AI geen IT-vraagstuk meer is, maar een bestuurlijke verantwoordelijkheid.
Besturen met AI vraagt om aangepast denken
BIV-G is geen pleidooi voor meer angst of remming.
Het is een uitnodiging tot bewuster bestuur.
AI vraagt niet om een volledig nieuw risicomodel, maar om een aanvulling die recht doet aan de manier waarop AI werkt: probabilistisch, contextafhankelijk en soms overtuigend fout.
Door geloofwaardigheid expliciet mee te nemen in risicobeoordelingen, ontstaat ruimte voor betere vragen:
- Waar mag AI adviseren en waar beslissen?
- Wanneer is menselijk oordeel doorslaggevend?
- En op welk punt zeggen we als bestuur: dit kunnen wij niet meer dragen?
Tot slot
Wie AI beoordeelt met alleen BIV, kijkt technisch correct.
Maar mist een cruciale bestuurlijke laag.
BIV-G helpt om die laag zichtbaar te maken —
en om tijdig het gesprek te voeren voordat vertrouwen verloren gaat.