Methodologie voor AI-risicobeoordeling
Gemiddeld10 min lezenBijgewerkt op 2026-03-15
Gestructureerde benaderingen voor het evalueren van risico's van AI-systemen, waaronder identificatie, scoringkaders, behandelingsplanning en templates voor het uitvoeren van uitgebreide AI-risicobeoordelingen.
AI-risicobeoordeling is de basis van elk AI-governanceprogramma. Het bepaalt welke systemen de meeste aandacht nodig hebben, welke maatregelen vereist zijn en waar red team-middelen op gericht moeten worden. In tegenstelling tot traditionele IT-risicobeoordeling moet AI-risicobeoordeling rekening houden met emergent gedrag, algoritmische bias, veiligheidsfouten en de probabilistische aard van AI-uitvoer.
Proces voor risicobeoordeling
De vijffasenaanpak
Systeemidentificatie en -classificatie
Inventariseer alle AI-systemen en classificeer ze op risiconiveau. Dit bepaalt de diepgang van de vereiste beoordeling.
Activiteiten:
- Breng alle AI-systemen in kaart (productie, ontwikkeling, experimenteel)
- Classificeer op AI-type (generatief, voorspellend, classificatie, aanbeveling)
- Identificeer het beslissingsdomein (gezondheidszorg, financiën, werkgelegenheid, algemeen)
- Wijs een initieel risiconiveau toe op basis van de use case en het impactpotentieel
Dreigingsidentificatie
Identificeer dreigingen die specifiek zijn voor elk AI-systeem. Gebruik een combinatie van threat intelligence, kaderbasis-enumeratie en adversarieel denken.
Dreigingsbronnen:
- OWASP LLM Top 10-categorieën van kwetsbaarheden
- MITRE ATLAS-tactieken en -technieken
- NIST AI 600-1-risicocategorieën (voor generatieve AI)
- Branchespecifieke dreigingsprofielen
- Analyse van historische incidenten
Risicoanalyse en -scoring
Evalueer elke geïdentificeerde dreiging tegen de specifieke context van het AI-systeem. Scoor op basis van waarschijnlijkheid en impact met een consistente methodologie.
Planning van risicobehandeling
Bepaal voor elk gescoord risico de juiste behandeling: accepteren, mitigeren, overdragen of vermijden. Koppel behandelingen aan specifieke maatregelen en testactiviteiten.
Documentatie en communicatie
Documenteer de resultaten van de beoordeling en communiceer ze naar belanghebbenden. Voer de resultaten in compliancerapportages en red team-scoping in.
Classificatie van AI-systemen
Risiconiveaukader
| Niveau | Risiconiveau | Criteria | Beoordelingsdiepte | Red team-frequentie |
|---|---|---|---|---|
| Niveau 1 | Kritiek | Autonome beslissingen die gezondheid, veiligheid, vrijheid of financiële positie beïnvloeden | Volledige beoordeling met adversarieel testen | Per kwartaal |
| Niveau 2 | Hoog | AI beïnvloedt menselijke beslissingen aanzienlijk in gereguleerde domeinen | Uitgebreide beoordeling | Halfjaarlijks |
| Niveau 3 | Gemiddeld | Klantgerichte AI met gematigd impactpotentieel | Standaardbeoordeling | Jaarlijks |
| Niveau 4 | Laag | Interne tools, niet-ingrijpende toepassingen | Lichte beoordeling | Elke 2 jaar of gebeurtenisgestuurd |
Beslisboom voor classificatie
Neemt het AI-systeem autonome beslissingen?
├── Ja → Beïnvloedt de beslissing gezondheid, veiligheid, vrijheid of financiële positie?
│ ├── Ja → Niveau 1 (Kritiek)
│ └── Nee → Niveau 2 (Hoog)
└── Nee → Beïnvloedt de AI menselijke beslissingen aanzienlijk?
├── Ja → Is het domein gereguleerd (gezondheidszorg, financiën, werkgelegenheid)?
│ ├── Ja → Niveau 2 (Hoog)
│ └── Nee → Niveau 3 (Gemiddeld)
└── Nee → Niveau 4 (Laag)
Kaders voor risicoscoring
Kwantitatieve scoringmatrix
Gebruik deze scoringmatrix om AI-risico's consistent te evalueren over systemen heen:
Waarschijnlijkheidsscore (L):
| Score | Niveau | Beschrijving |
|---|---|---|
| 1 | Zeldzaam | Vereist middelen op het niveau van een natiestaat en nieuwe technieken |
| 2 | Onwaarschijnlijk | Vereist aanzienlijke expertise en gerichte inspanning |
| 3 | Mogelijk | Haalbaar voor bekwame uitvoerders met beschikbare tools |
| 4 | Waarschijnlijk | Haalbaar voor gemiddeld bekwame aanvallers met openbare technieken |
| 5 | Vrijwel zeker | Triviaal te exploiteren, openbare exploits beschikbaar |
Impactscore (I):
| Score | Niveau | Beschrijving |
|---|---|---|
| 1 | Verwaarloosbaar | Geen meetbare schade, klein ongemak |
| 2 | Gering | Beperkte datablootstelling, tijdelijke serviceonderbreking |
| 3 | Gematigd | Datalek van persoonsgegevens, financieel verlies onder $100K, reputatieschade |
| 4 | Groot | Grootschalig datalek, financieel verlies boven $1M, toezichtmaatregelen |
| 5 | Catastrofaal | Lichamelijk letsel, verlies van mensenlevens, existentieel bedrijfsrisico, massaal datalek |
Risicoscore = L x I
| Risicoscore | Beoordeling | Behandelingsaanpak |
|---|---|---|
| 1-4 | Laag | Accepteren of monitoren |
| 5-9 | Gemiddeld | Mitigeren binnen standaardtermijnen |
| 10-15 | Hoog | Met prioriteit mitigeren |
| 16-25 | Kritiek | Onmiddellijke actie vereist |
AI-specifieke risicodimensies
Naast waarschijnlijkheid en impact vereisen AI-systemen beoordeling over aanvullende dimensies:
| Dimensie | Scorebereik | Wat het meet |
|---|---|---|
| Autonomie | 1-5 | Mate van autonome besluitvorming zonder menselijk toezicht |
| Ondoorzichtigheid | 1-5 | Moeilijkheid om AI-beslissingen uit te leggen of te interpreteren |
| Schaal | 1-5 | Aantal mensen of beslissingen dat wordt geraakt |
| Omkeerbaarheid | 1-5 | Moeilijkheid om schade door AI-fouten ongedaan te maken |
| Bias-potentieel | 1-5 | Waarschijnlijkheid van discriminerende uitkomsten over beschermde groepen |
Samengestelde AI-risicoscore = (L x I) + Autonomie + Ondoorzichtigheid + Schaal + Omkeerbaarheid + Bias-potentieel
Dit levert een scorebereik van 6-50 op, met fijnere granulariteit voor prioritering:
| Samengestelde score | Prioriteit | Actie |
|---|---|---|
| 6-15 | Standaard | Routinematige beoordeling en monitoring |
| 16-25 | Verhoogd | Uitgebreidere beoordeling, periodiek red teaming |
| 26-35 | Hoog | Uitgebreide beoordeling, regelmatig red teaming, continue monitoring |
| 36-50 | Kritiek | Onmiddellijke uitgebreide beoordeling, frequent red teaming, realtime monitoring |
Dreigingsidentificatie voor AI-systemen
AI-specifieke dreigingscategorieën
| Dreigingscategorie | Beschrijving | Voorbeeldaanvallen | Beoordelingsmethode |
|---|---|---|---|
| Inputmanipulatie | Adversariële wijziging van AI-input om de uitvoer te veranderen | Prompt-injectie, adversariële voorbeelden, datavergiftiging | Red team-testen, geautomatiseerd scannen |
| Data-extractie | Ongeautoriseerde extractie van trainingsdata of modelinformatie | Extractie van trainingsdata, model stealing, membership inference | Testen op data-extractie, privacy-audits |
| Uitvoermanipulatie | De AI ertoe brengen schadelijke, vertekende of onjuiste uitvoer te produceren | Jailbreaken, exploitatie van hallucinaties, biasversterking | Veiligheidstesten, biasbeoordeling |
| Systeemcompromittering | Traditionele beveiligingsaanvallen op AI-infrastructuur | API-exploitatie, diefstal van modelgewichten, supplychainaanvallen | Penetratietesten, infrastructuurbeoordeling |
| Operationele degradatie | Aanvallen die de AI-prestaties na verloop van tijd verslechteren | Vergiftiging van modeldrift, manipulatie van feedbackloops, uitputting van middelen | Prestatiemonitoring, driftdetectie |
Template voor dreigingsmodellering
Documenteer voor elk AI-systeem dreigingen met deze structuur:
| Veld | Beschrijving |
|---|---|
| Dreigings-ID | Unieke identifier (bijv. T-GenAI-001) |
| Categorie | Uit de bovenstaande dreigingscategorieën |
| Beschrijving | Gedetailleerde beschrijving van het dreigingsscenario |
| Aanvalsvector | Hoe de dreiging zou worden gerealiseerd (bijv. API-input, trainingspipeline, RAG-databron) |
| Voorwaarden | Wat waar moet zijn om de aanval te laten slagen |
| Impact | Specifieke gevolgen als de dreiging wordt gerealiseerd |
| Bestaande maatregelen | Huidige mitigaties die aanwezig zijn |
| Restrisico | Risiconiveau na verrekening van bestaande maatregelen |
| Testaanpak | Hoe red teaming deze dreiging zou valideren |
Planning van risicobehandeling
Behandelingsopties
| Behandeling | Wanneer toe te passen | Vereiste documentatie |
|---|---|---|
| Accepteren | Risicoscore valt binnen de risicobereidheid van de organisatie en de wettelijke tolerantie | Formulier voor risicoacceptatie ondertekend door risico-eigenaar |
| Mitigeren | Maatregelen kunnen het risico tegen redelijke kosten tot aanvaardbare niveaus terugbrengen | Implementatieplan voor maatregelen met tijdlijn en validatiecriteria |
| Overdragen | Risico kan worden verschoven naar een derde partij (verzekering, contractbepalingen) | Verzekeringspolis of contractuele bepalingen gedocumenteerd |
| Vermijden | Risico is onaanvaardbaar en er bestaat geen adequate mitigatie | Beslissing om het AI-systeem of de use case stop te zetten |
Kader voor selectie van maatregelen
Bij het selecteren van maatregelen om AI-risico's te mitigeren, koppel deze aan toepasselijke kaders:
| Risicocategorie | Technische maatregelen | Procesmaatregelen | Kaderreferentie |
|---|---|---|---|
| Prompt-injectie | Inputfiltering, uitvoerscanning, prompt-hardening | Beveiligingsreview, wijzigingsbeheer | OWASP LLM01, ISO 42001 A.6.2.4 |
| Data-extractie | Differential privacy, uitvoerfiltering, rate limiting | Dataclassificatie, toegangsbeheer | NIST AI 600-1 (Privacy), ISO 42001 A.7.4 |
| Bias en eerlijkheid | Bias-testen, fairnessbeperkingen, diverse trainingsdata | Impactbeoordelingen, menselijk toezicht | EU AI Act Art. 10, NIST AI 600-1 (Bias) |
| Modelbeveiliging | Toegangscontroles, encryptie, integriteitsverificatie | Modelgovernance, levenscyclusbeheer | ISO 42001 A.6.2.5, SOC 2 CC6.1 |
| Veiligheidsfouten | Veiligheidstesten, guardrails, killswitches | Incidentrespons, escalatieprocedures | EU AI Act Art. 9, ISO 42001 A.5.4 |
Templates voor risicobeoordeling
Template: Risicobeoordeling van GenAI-toepassing
| Sectie | Inhoud |
|---|---|
| Systeemidentificatie | Systeemnaam, eigenaar, doel, gebruikers, implementatieomgeving |
| AI-kenmerken | Modeltype, trainingsdata, inferentiemethode, updatefrequentie |
| Toepasselijkheid van regelgeving | Toepasselijke regelgeving (EU AI Act-niveau, statelijke wetten, sectorregelgeving) |
| Dreigingsinventaris | Geënumereerde dreigingen met scores uit de template voor dreigingsmodellering |
| Maatregeleninventaris | Huidige maatregelen gekoppeld aan dreigingen |
| Gap-analyse | Dreigingen zonder adequate maatregelen |
| Risicoregister | Gescoorde en geprioriteerde risicolijst |
| Behandelplan | Gekozen behandeling voor elk risico met tijdlijn |
| Testvereisten | Red team-testactiviteiten die nodig zijn om maatregelen te valideren |
| Reviewschema | Wanneer de beoordeling wordt bijgewerkt |
Template: Invoer in AI-systeemrisicoregister
| Veld | Voorbeeldwaarde |
|---|---|
| Risico-ID | R-2026-042 |
| AI-systeem | Customer Service Chatbot v3.2 |
| Risicobeschrijving | Systeemprompt-extractie die interne bedrijfslogica en API-schema's onthult |
| Dreigingscategorie | Data-extractie |
| Waarschijnlijkheid | 4 (Waarschijnlijk -- openbare technieken beschikbaar) |
| Impact | 3 (Gematigd -- blootstelling van bedrijfslogica, mogelijkheid tot verdere exploitatie) |
| Risicoscore | 12 (Hoog) |
| Bestaande maatregelen | Inputfiltering voor bekende extractiepatronen |
| Effectiviteit van maatregel | Gedeeltelijk -- omzeild in 3 van de 10 red team-tests |
| Behandeling | Mitigeren -- implementeer meerlaagse promptbescherming en monitoring |
| Tijdlijn | 30 dagen voor implementatie, 45 dagen voor validatie |
| Risico-eigenaar | Hoofd AI Engineering |
| Laatst beoordeeld | 2026-03-15 |
| Volgende review | 2026-06-15 |
Red team-resultaten integreren
Red team-bevindingen invoeren in risicobeoordelingen
Red team-beoordelingen leveren bewijs op dat risicobeoordelingen direct bijwerkt:
| Red team-bevinding | Update van risicobeoordeling |
|---|---|
| Nieuwe kwetsbaarheid ontdekt | Toevoegen aan dreigingsinventaris, scoren en toevoegen aan risicoregister |
| Bestaande maatregel omzeild | Effectiviteitsbeoordeling van maatregel bijwerken, restrisicoscore verhogen |
| Maatregel gevalideerd als effectief | Documenteren als bewijs dat de maatregel effectief functioneert |
| Nieuwe aanvalstechniek gebruikt | Techniek toevoegen aan dreigingsmodel, toepasbaarheid op andere systemen beoordelen |
| Severitybeoordeling van red team | Kruisverwijzen met risicoscore om scoringmethodologie te valideren |
Continue risicobeoordeling
Risicobeoordelingen zouden geen statische documenten moeten zijn. Integreer continue input:
| Inputbron | Updatefrequentie | Actie voor risicobeoordeling |
|---|---|---|
| Geautomatiseerde red team-tests | Dagelijks/wekelijks | Metrieken voor effectiviteit van maatregelen bijwerken |
| Handmatige red team-beoordelingen | Per kwartaal | Uitgebreide herbeoordeling van risico's |
| Threat intelligence | Doorlopend | Dreigingslandschap en waarschijnlijkheidsscores bijwerken |
| Wijzigingen in regelgeving | Bij publicatie | Toepasselijkheid van regelgeving en vereiste maatregelen bijwerken |
| Wijzigingen in AI-systeem | Bij elke implementatie | Herbeoordeling van getroffen risicogebieden activeren |
| Incidentrapporten | Wanneer ze zich voordoen | Waarschijnlijkheidsscores bijwerken, impactbeoordelingen valideren |
Veelvoorkomende fouten bij beoordeling
| Fout | Gevolg | Correctie |
|---|---|---|
| AI-risico alleen met IT-risicokaders beoordelen | AI-specifieke risico's (bias, hallucinatie, emergent gedrag) worden gemist | Voeg AI-specifieke risicodimensies toe aan bestaande kaders |
| Alle AI-risico's gelijk scoren | Middelen worden dun verdeeld over items met lage prioriteit | Gebruik de samengestelde scoringmethodologie om te differentiëren |
| Supplychainrisico negeren | AI-componenten van derden creëren onbeoordeeld risico | Neem alle AI-componenten in scope op, inclusief API's en foundation models |
| Modelrisico verwarren met systeemrisico | Model kan veilig zijn, maar systeemintegratie creëert kwetsbaarheden | Beoordeel het volledige systeem, niet alleen het model |
| Geen trigger voor herbeoordeling | Beoordelingen verouderen na updates van het AI-systeem | Definieer triggers voor herbeoordeling (modelwijziging, datawijziging, regelgevingswijziging) |