Het NIST AI Risk Management Framework (AI RMF 1.0), gepubliceerd in januari 2023, is het praktische equivalent van de EU AI Act. De AI Act vertelt u wat de wet vereist; het NIST AI RMF biedt een vrijwillige, leveranciersonafhankelijke methode om daadwerkelijk betrouwbare AI te bouwen en te exploiteren. Voor Belgische organisaties is het combineren van beide krachtig: gebruik het RMF als operationeel handboek en het levert het grootste deel van het bewijs dat de AI Act verwacht.
TL;DR
- Vier functies: Govern (besturen), Map (in kaart brengen), Measure (meten), Manage (beheren) — Govern loopt door de drie andere heen.
- Verankerd in zeven kenmerken van betrouwbare AI (valide, veilig, beveiligd, verantwoordelijk, uitlegbaar, privacybeschermend, eerlijk).
- Het Generative AI Profile (NIST AI 600-1, juli 2024) voegt 12 GenAI-specifieke risico’s toe.
- Het is vrijwillig — maar sluit direct aan op de verplichte risicobeheerplichten van de AI Act.
- Het beste te gebruiken als het hoe onder uw AI Act- en AVG-verplichtingen.
De vier functies
| Functie | Wat u doet |
|---|---|
| Govern (besturen) | Bouw de cultuur, het beleid, de rollen en de verantwoordelijkheid voor AI-risico’s. Loopt transversaal door de drie andere functies. |
| Map (in kaart brengen) | Stel de context vast: het doel van het systeem, de belanghebbenden, het beoogde gebruik en mogelijke schade. Breng het risico in kaart vóór het te meten. |
| Measure (meten) | Beoordeel, test en volg risico’s met kwantitatieve en kwalitatieve methoden — bias, robuustheid, beveiliging, drift. |
| Manage (beheren) | Prioriteer, behandel en bewaak risico’s gedurende de levenscyclus; wijs middelen toe; reageer wanneer er iets verandert. |
De zeven kenmerken van betrouwbare AI
Het framework definieert betrouwbaarheid aan de hand van concrete eigenschappen die een AI-systeem moet bezitten: valide en betrouwbaar (het fundament), veilig, beveiligd en veerkrachtig, verantwoordelijk en transparant, uitlegbaar en interpreteerbaar, privacybeschermend, en eerlijk met beheerste schadelijke bias. Dit zijn bewust dezelfde aandachtspunten die de AI Act oplegt aan hoog-risicosystemen — nauwkeurigheid, robuustheid, transparantie, menselijk toezicht, non-discriminatie — waardoor een systeem dat met het RMF is opgebouwd grotendeels al de taal van de AI Act spreekt.
Het Generative AI Profile
Omdat generatieve AI specifieke risico’s met zich meebrengt, publiceerde NIST het Generative AI Profile (NIST AI 600-1) in juli 2024. Het identificeert twaalf risicocategorieën die specifiek zijn voor of versterkt worden door GenAI — waaronder confabulatie (hallucinatie), aantasting van gegevensprivacy, schadelijke bias, informatie-integriteit, informatiebeveiliging, blootstelling van intellectueel eigendom en risico in de waardeketen en componentintegratie — en koppelt aanbevolen acties terug aan Govern/Map/Measure/Manage. Als u RAG- of LLM-systemen inzet, is dit profiel de meest praktische risicochecklist die beschikbaar is.
Aanvulling op de EU AI Act
| Dimensie | EU AI Act | NIST AI RMF |
|---|---|---|
| Aard | Bindende wet (EU) | Vrijwillig raamwerk (wereldwijd) |
| Beantwoorde vraag | Waaraan moet ik voldoen? | Hoe beheer ik AI-risico’s operationeel? |
| Risicobeheer | Verplicht voor hoog-risicosystemen | Methode Map / Measure / Manage |
| Governance | Verplichtingen aanbieder/inzetter | Functie Govern |
| Generatieve AI | GPAI-verplichtingen | Generative AI Profile (600-1) |
Geen van beide vervangt de andere. De pragmatische aanpak voor een Belgische organisatie is om het RMF als motor te adopteren en de AI Act als bestemming te beschouwen: bestuur, breng in kaart, meet en beheer uw AI, en u zult het grootste deel van de documentatie, het toezicht en het risicobewijs hebben opgebouwd dat de wet vereist — terwijl u ook klanten ver buiten de EU geruststelt.
Aan de slag
- Govern eerst: wijs eigenaarschap van AI-risico’s toe en stel een lichtgewicht beleid op — hergebruik uw bestaande beveiligingsgovernance.
- Map elke AI-use case: doel, belanghebbenden, gegevens, mogelijke schade.
- Measure met proportionele tests — biascontroles, red-teaming, beveiligings- en robuustheidsevaluatie.
- Manage in een cyclus, met prioriteit voor de risico’s met de grootste impact; werk voor GenAI de categorieën van het 600-1-profiel door.
- Kruisrefereer de resultaten met uw AI Act- en AVG-verplichtingen zodat één inspanning alle drie dient.
Algemene informatie, geen juridisch advies. ICTLAB helpt Belgische organisaties AI-risicobeheer te operationaliseren met het NIST AI RMF naast de AI Act — zie onze AI & LLM-diensten, de EU AI-implementatiechecklist, of praat met ons team.