Van risicotaxonomie naar bestuurskompas: wat de MIT FutureTech Delphi-studie betekent voor enterprise AI-governance
AI GovernanceZelden valt een AI-risicostudie zo precies op het juiste moment in de bestuursagenda. "Prioritization of Risks from Artificial Intelligence", een drie-ronden Delphi-studie van MIT FutureTech en University of Queensland met 272 internationale AI-experts uit 37 landen, verscheen in juni 2026. Wat deze studie onderscheidt: ze blijft niet hangen in een risicotaxonomie, maar combineert drie governance-vragen die normaal gesproken door elkaar lopen.
Ernst. Welke risico's zijn het grootst?
Kwetsbaarheid. Wie wordt geraakt?
Verantwoordelijkheid. Wie moet handelen?
Het antwoord op die laatste twee vragen levert het meest bestuurlijk bruikbare patroon van het paper op: er gaapt een kloof tussen wie de pijn draagt en wie het mandaat heeft. AI-gebruikers en het publiek zijn het meest kwetsbaar. Frontier AI-developers en governance actors (overheden, toezichthouders, standaardenorganisaties) dragen de primaire verantwoordelijkheid. Infrastructuur-providers, de cloud- en compute-laag, zijn het minst kwetsbaar én krijgen de minste verantwoordelijkheid toebedeeld.
Dit is een klassiek moral hazard-probleem. En het is exact de reden dat voluntary commitments van AI-labs onvoldoende zijn: de partij die moet handelen voelt de pijn niet, en de partij die de pijn voelt heeft geen mandaat. Experts zijn hier expliciet over: "rules with enforcement" zijn nodig. Vrijwillige zelfregulering faalt onder competitiedruk.
De cijfers die ertoe doen
Onder business-as-usual (geen extra AI-specifieke mitigaties) schatten experts dat 18 van de 24 AI-risicodomeinen meer dan 10% kans hebben op catastrofale uitkomsten in de periode 2025-2030. "Catastrofaal" betekent: meer dan 1 miljoen doden, meer dan $100 miljard financiële schade, of beschavingsschaal immateriële schade aan zaken als democratische normen of privacy.
Zelfs onder een "pragmatic mitigations"-scenario, waarin overheden en bedrijven kosteneffectieve maatregelen nemen, blijven vijf risico's boven de 10% en alle 24 boven de 5%.
De top vijf meest ernstige risico's:
| # | Risico | Severity | Catastrofale kans |
|---|---|---|---|
| 1 | Dangerous capabilities, AI die zelfstandig massa-schade kan veroorzaken via misleiding, cyber-offensief, zelfproliferatie | 3.49/5 | 21.5% |
| 2 | Weapons & cyberattacks, AI als wapen: malware, biowapens, autonome systemen (CBRNE) | 3.49/5 | 21.0% |
| 3 | Competitive dynamics, AI-wedloop dwingt tot onveilige releases onder tijdsdruk | 3.49/5 | 16.6% |
| 4 | Power centralization, concentratie van macht en middelen bij AI-eigenaren | 3.47/5 | 18.0% |
| 5 | False information, AI-gegenereerde desinformatie die gebruikersautonomie ondermijnt | 3.44/5 | 12.8% |
Dit markeert een verschuiving. De klassieke AI-ethiek-agenda, bias, fairness, privacy, maakt plaats voor systeemrisico's: geopolitiek, cyber, marktconcentratie en governance failure. AI-risico is geen modelrisico meer. Het is een systeemrisico.
De accountability-kloof als bestuurlijk aangrijpingspunt
Experts beoordelen de verantwoordelijkheid per actorrol, en het resultaat is ongemakkelijk helder:
Meest kwetsbaar, minst verantwoordelijk: AI-gebruikers en 'affected stakeholders' (burgers, consumenten, werknemers die aan AI-beslissingen onderworpen zijn). Experts bereikten consensus: deze groep is "extremely vulnerable" voor vrijwel alle 24 risico's, maar krijgt slechts "minimally to moderately responsible" toebedeeld. Eén expert vatte het samen: "Affected stakeholders lack both the agency and systemic leverage to mitigate risk."
Minst kwetsbaar, meest verantwoordelijk: General-purpose AI-developers en governance actors (overheden, regulators, standaardenorganisaties) dragen primaire verantwoordelijkheid voor mitigatie. De redenering: "the most effective interventions are preventative and centralized rather than reactive and decentralized."
De spanning zit in het midden. De twee pilaren die experts als 'meest verantwoordelijk' aanwijzen, frontier developers en governance actors, opereren onder omstandigheden die hun effectiviteit structureel ondermijnen. Competitive dynamics (16.6% catastrofale kans) duwt developers richting snelheid boven veiligheid. Governance failure (14-17%) ondermijnt het corrigerend vermogen van toezichthouders.
Experts waarschuwen voor een accountability sink: gedeelde verantwoordelijkheid tussen developers en governance actors kan omslaan in verantwoordelijkheid bij niemand. Het paper formuleert het scherp: "The two pillars experts named as most responsible are therefore at risk of weakening together rather than compensating for one another."
Meest kwetsbare sectoren
Experts brachten kwetsbaarheid in kaart voor 14 sectoren op basis van NAICS-classificatie:
- Informatie, extremely vulnerable voor desinformatie, privacy-verlies, content-manipulatie
- Financiën, hoog op fraude, AI security vulnerabilities, systeemfalen
- Nationale veiligheid, compound vulnerability: zowel doelwit van AI-aanvallen als domein waar AI-falen geopolitieke cascades triggert
- Gezondheidszorg, privacy, discriminatie, overreliance; fouten hebben directe menselijke impact
Voor de Nederlandse publieke sector is "Public Administration excluding National Security" relevant, MIT definieert dit als overheidsinstanties die wetten maken, publieke diensten leveren en programma's beheren, inclusief rechtspraak, politie en verkozen organen. Dat maakt dit kader direct toepasbaar op AI in juridische informatievoorziening, besluitondersteuning, publicatieketens en burgergerichte dienstverlening.
Methodologische nuance: wat de cijfers niet zijn
Voordat we dit in enterprise controls vertalen, drie belangrijke kanttekeningen:
1. Dit is expert elicitation, geen forecasting. De 272 deelnemers zijn domeinspecialisten in AI-risico, geen superforecasters met gekalibreerde track records. Delphi-methodiek is geschikt voor gestructureerde consensusvorming onder onzekerheid, maar blijft gevoelig voor panelsamenstelling, framing en availability bias. De percentages zijn een gestructureerde expertconsensus, geen actuariële waarheid.
2. De ">10% catastrofaal"-drempel is bestuurlijk krachtig maar methodologisch grof. In safety engineering zou zo'n kans inderdaad intolerabel zijn. Maar AI-systeemrisico's hebben diffuse causaliteit, het gevaar is dat bestuurders de cijfers óf als absolute waarheid overnemen, óf als speculatief wegwuiven. De juiste positie: behandelen als high-signal early warning.
3. Percentages niet optellen. Risico's zijn gecorreleerd, geen onafhankelijke events. Dat 18 risico's elk >10% scoren betekent niet dat de kans op minstens één catastrofale uitkomst 18 × 10% is. Het paper rapporteert deze joint probability niet.
4. Samenstelling panel. 79% uit Europa/Noord-Amerika, 68% man, niet perfect representatief voor de mondiale expertpopulatie. De studie werd ondersteund door Commonwealth Bank of Australia, die het ontwerp beoordeelde maar volgens MIT geen invloed had op dataverzameling of analyse.
Van 24 risico's naar enterprise controls
De waarde van het MIT-kader zit in prioritering en framing, niet in één-op-één adoptie als operationeel risicoregister. Voor implementatie moet je de 24 risico's vertalen naar concrete controls binnen bestaande frameworks: NIST AI RMF, ISO 27001, ISO 42001, OWASP LLM/Agentic AI, EU AI Act en Zero Trust.
Een praktische mapping voor de top-10 meest relevante risico's:
| MIT-risico | Enterprise vertaling | Primair control-domein |
|---|---|---|
| Dangerous capabilities | Capability governance, model access control, red teaming | AI safety, SecDevOps |
| Weapons & cyberattacks | Misuse prevention, cyber abuse monitoring, tool permissioning | SOC, threat intelligence |
| Competitive dynamics | Release pressure, weak assurance, unsafe shortcuts | Portfolio governance, risk appetite |
| Power centralization | Vendor lock-in, hyperscaler dependency, data concentratie | Sourcing, architectuur, exit-strategie |
| False information | Hallucinatie, misinformation, retrieval poisoning | RAG governance, content provenance |
| Loss of privacy | Memorization, leakage, inference van gevoelige data | GDPR, DPIA, data minimalisatie |
| AI security vulnerabilities | Prompt injection, tool abuse, model supply-chain risico | OWASP LLM, SBOM, runtime security |
| Overreliance | Human automation bias, decision laundering | Human-in-the-loop, explainability |
| Lack of transparency | Non-auditable decisioning, black-box outputs | XAI, audit trails, model cards |
| Multi-agent risks | Collusion, cascading failure, uncontrolled delegation | Agent orchestration controls |
Multi-agent risks verdient bijzondere aandacht. MIT definieert dit als risico's uit multi-agent interacties, conflict, collusie, cascading failures, nieuwe kwetsbaarheden, gebrek aan gedeelde trust state. Voor organisaties die experimenteren met agent-fleets, autonome orchestratie of self-optimizing pipelines is dit een P0-risico dat in de meeste huidige risk assessments ontbreekt.
Wat dit betekent voor agentic AI-architecturen
Agentic AI is geen "slimme automatisering." Het is een risicodragend socio-technisch systeem dat vraagt om capability governance, runtime containment, auditability, actor accountability en structural risk controls. De MIT-studie geeft daarvoor de bestuurlijke onderbouwing.
Voor organisaties die agent-architecturen bouwen of inkopen, zijn deze MIT-risico's P0:
Dangerous capabilities. Wanneer agents tool access, code execution, credentialed API's of update-mechanismen krijgen, is de capability boundary het belangrijkste governance-object. Niet elk model vereist hetzelfde regime. Een summarizer zonder externe tools heeft een fundamenteel ander risicoprofiel dan een agent met shell access, browser, credentials, geheugen en self-optimization.
AI security vulnerabilities. Prompt injection, tool abuse en model supply-chain risico's zijn niet hypothetisch, ze zijn operationeel. De OWASP Top 10 for LLM Applications en de MITRE ATLAS matrix bieden concrete threat modellen, maar het governance-principe is eenvoudiger: scheid discovery van execution. Een agent die alleen observeert valt in een ander regime dan een agent die services herstart, firewallregels wijzigt of code deployed.
Multi-agent risks. Autonome interacties tussen agents kunnen leiden tot feedback loops, collusie en cascading failures die geen enkele individuele agentlog laat zien. Het antwoord is capability tiering, bounded autonomy en circuit breakers op architectuurniveau, niet op agentniveau.
AI pursuing its own goals. Niet als sciencefiction, maar praktisch: goal drift, reward hacking, policy bypass en ongewenste optimalisatie zijn reële risico's zodra agents autonomie krijgen over hun eigen leercycli.
Vijf governance-lagen voor volwassen AI-risk management
Het MIT-kader werkt het best als strategische risicolaag boven de operationele control stack. Vijf lagen:
1. Bestuurslaag. Stuur op risk appetite per risicodomein. Zero tolerance voor AI-systemen die ongecontroleerd externe acties uitvoeren, persoonsgegevens lekken, juridische besluiten beïnvloeden zonder menselijke toets, of cyber-capabilities versterken.
2. Architectuurlaag. Classificeer AI-deployments op capability, exposure en impact. Niet elk model vereist hetzelfde regime, een classificatiematrix met minimaal drie tiers (observerend, assisterend, muterend) is de basis.
3. Securitylaag. Neem AI op in SOC-detectie. Niet alleen applicatielogs, maar ook prompt telemetry, tool calls, retrieval sources, policy denials, agent decisions, memory writes en anomalous autonomy escalation.
4. Compliancelaag. Combineer AI Act, GDPR, NIS2 en ISO 27001. Voor high-impact use cases: DPIA, AI impact assessment, model/system card, dataset lineage, eval evidence, incident playbook, human oversight design, logging, vendor due diligence en periodieke reassessment.
5. Procurement-laag. Dicht de responsibility gap contractueel. Leveranciers moeten niet alleen "AI veilig" verklaren, maar bewijs leveren: evals, red-team resultaten, data governance, vulnerability disclosure, model updatebeleid, auditrechten, subprocessor transparency en exit-mogelijkheden.
30-60-90: waar begin je?
| Termijn | Actie | Eigenaar |
|---|---|---|
| 30 dagen | Classificeer alle AI-deployments op capability & impact; identificeer high-exposure use cases | CISO + DPO |
| 30 dagen | Stel risk appetite vast per risicodomein (minimaal: dangerous capabilities, privacy, security vulnerabilities, overreliance) | Bestuur / CIO |
| 60 dagen | Implementeer SOC-detectie voor AI-events (prompt telemetry, tool calls, policy denials) | CISO + SOC-lead |
| 60 dagen | Start vendor due diligence voor AI-leveranciers: evals, red-team rapportages, SBOM, auditrechten | Procurement + Legal |
| 90 dagen | Voer AI impact assessment uit voor alle high-exposure use cases (DPIA + AI Act-conform) | DPO + AI-officer |
| 90 dagen | Bouw capability-tiering voor agent-architecturen: scheid observerende, assisterende en muterende agent-types | Architectuur + Security |
Bestuurlijke conclusie
De MIT FutureTech Delphi-studie is geen technische control catalogue. Het is een strategisch risicokompas. De grootste waarde zit in het expliciet maken van prioriteiten én verantwoordelijkheidsasymmetrie, precies de laag die vaak ontbreekt tussen abstracte AI-ethiek en technische OWASP-controls.
Voor enterprise AI-governance is dit de evidence-base die ontbrak. Niet als vervanging van NIST AI RMF, ISO 42001 of de EU AI Act, maar als de bestuurlijke bovenlaag die prioriteert welke controls ertoe doen.
De MIT-data geven bestuurders wat ze nodig hebben om van "we moeten iets met AI-risico" naar "dit zijn de vijf risico's waar we morgen op sturen" te gaan.
De window is open. Maar smaller dan de meesten denken.
"Prioritization of Risks from Artificial Intelligence: A Delphi Study of 272 International Experts", Saeri, Graham, Noetel, Slattery, Thompson et al., MIT FutureTech & University of Queensland, juni 2026. Beschikbaar op airisk.mit.edu.
Relevant leesvoer:
- Van prompt orchestration naar governed state orchestration, waarom agentic AI governance verder gaat dan prompt management
- Oracle Poisoning: de nieuwe aanvalsvector voor kennisgrafen, hoe retrieval-systemen gemanipuleerd worden
- NSA's MCP-security framework, zero trust toegepast op model context protocol
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.