Zijn we écht in control? Ingrid Bakker legt uit hoe we bij PGGM aan verantwoorde innovatie werken

Als Senior Enterprise Risk Manager bij PGGM draait een belangrijk deel van mijn werk om AI (Artificial Intelligence)‑risico’s en de vraag: zijn we écht in control? Ik kijk kritisch mee met de eerste lijn: zijn de risico’s goed in beeld, zijn de juiste maatregelen genomen en is de governance op orde?  

Mijn achtergrond is een mix van rechten, IT‑audit, privacy en data science. Die combinatie komt nu perfect samen in AI governance, omdat deze AI al die domeinen tegelijk raakt: juridisch, technisch, ethisch en organisatorisch. Bij PGGM heeft de tweedelijns afdeling Risk, bestaande uit Enterprise Risk Management (ERM) en Modelvalidatie, een logische rol in het AI‑risicomanagement. AI‑systemen zijn in de kern modellen, dus Modelvalidatie had al een stevige positie. Omdat AI‑toepassingen meerdere soorten risico’s meebrengen, pakken ERM en Modelvalidatie AI‑risicomanagement gezamenlijk op. 

Wij spelen een belangrijke rol in het opstellen van AI-beleid, het beheren van het AI-register, het beoordelen van de risicoclassificaties van AI-systemen en het adviseren van de business en de Raad van Bestuur over risico’s die te maken hebben met AI.  

Het fundament voor verantwoord AI‑gebruik 

Het AI-beleid vormt het fundament en beschrijft het wat en waarom van verantwoord gebruik binnen PGGM. Het stelt eisen aan verantwoord ontwikkelen, inkopen en gebruiken van AI. Heel concreet: het beschrijft wat wel en niet is toegestaan én wat vereist is om een AI‑systeem in te zetten of te ontwikkelen. 

We sluiten aan op relevante wet- en regelgeving, zoals de AI‑verordening, maar beperken ons daar niet toe. Het beleid wordt jaarlijks geactualiseerd of zelfs eerder als daar aanleiding toe is, wat logischerwijs te verwachten is vanwege de ontwikkelingen van AI in hoog tempo. Daarom komt er nu al binnen een jaar een update. In de nieuwe update zitten twee belangrijke vernieuwingen: 

Specifieke vereisten voor agentic AI, omdat dit type systemen andere risico’’s met zich meebrengt dan traditionele modellen; 

Één integrale risicoclassificatie, zodat in één oogopslag duidelijk is welk risiconiveau een systeem heeft en welke eisen daarbij horen. Hierin wegen de wettelijke vereisten, impact voor PGGM en/of pensioenfondsen in geval van fouten of onjuistheden, persoonsgegevens en mate van autonomie in mee.  

Welke AI‑risico’s voor mij centraal staan 

Als enterprise risk manager draait het voor mij om twee dingen: 

1. Dat risico’s tijdig en volledig in beeld zijn, en
2. Dat daar passende maatregelen tegenover staan. 

PGGM werkt risico gebaseerd: hoe hoger het risico, hoe zwaarder de eisen. Bij systemen die onder de AI‑verordening als hoog risico kwalificeren, spelen compliance, ethiek en uitlegbaarheid een grote rol. Denk aan vragen als: 

• Is het systeem eerlijk en niet discriminerend?
• Kunnen we uitleggen hoe beslissingen tot stand komen?
• Voldoen we aan alle wettelijke verplichtingen? 

Bij andere toepassingen kunnen juist operationele of financiële risico’s domineren, bijvoorbeeld als een AI‑systeem een belangrijke rol speelt in processen of besluitvorming. Wat voor mij altijd geldt: menselijke betrokkenheid blijft essentieel. Hoe hoger het risico, hoe dieper de beoordeling en hoe belangrijker het is dat er een mens kritisch meekijkt en kan ingrijpen. 

In control blijven: meer dan één vinkje zetten 

In control zijn met AI begint bij mensen. Collega’s moeten weten welke risico’s er zijn, wat er van hen verwacht wordt en welke stappen ze moeten zetten. Heldere processen, goede training en nauwe samenwerking tussen de eerste, tweede en derde lijn zijn daarvoor onmisbaar. 

De AI‑risicoanalyse is een belangrijk instrument, maar zeker niet het enige. Vaak zijn aanvullende assessments nodig, zoals: 

• Een DPIA (Data Protection Impact Assessment) als er persoonsgegevens worden verwerkt;
• Leveranciers‑securitybeoordelingen als we technologie inkopen;
• Modelvalidatie als het gaat om complexe of kritieke modellen. 

In de eerste lijn is veel inhoudelijke kennis aanwezig. Daar ontstaan initiatieven die helpen om AI‑toepassingen structureel beter te beheersen, bijvoorbeeld rond registratie, versiebeheer, monitoring en verantwoording. Daarmee zorg je dat een toepassing niet alleen verantwoord wordt ontwikkeld, maar ook gedurende de hele levenscyclus beheerst blijft. 

Samenwerking als sleutel 

AI‑risicomanagement is een multidisciplinair onderwerp. Bij het opstellen en toepassen van AI‑beleid werken we samen met collega’s van onder andere risk, data & analytics, innovatie, juridische zaken, security en inkoop. Die verschillende perspectieven zijn nodig om beleid te maken dat niet alleen duidelijke eisen stelt, maar ook echt aansluit op de praktijk. 

Mijn eigen rol zie ik vooral als die van verbinder. Ik breng perspectieven samen, zorg dat de juiste expertise op het juiste moment aan tafel zit en bewaak dat we zowel de risico’s als de praktische haalbaarheid in het oog houden. Bij de review van het nieuwe AI‑beleid zijn veel collega’s betrokken. Dat laat zien hoe relevant het onderwerp is en helpt om draagvlak te creëren. 

Wanneer AI governance echt het verschil maakt 

Een recente casus rond een nieuwe AI‑toepassing laat zien hoe AI‑beleid in de praktijk werkt. Er werd een AI‑risicoanalyse uitgevoerd die beoordeeld werd door Risk. De toepassing bleek als hoog risico te kwalificeren onder de AI‑verordening. Doordat we daar vroegtijdig het gesprek over voerden, werd duidelijk welke verplichtingen daarbij horen en welke impact dat zou hebben op de organisatie. Op basis van dat inzicht heeft de business uiteindelijk besloten de toepassing niet te gebruiken. 

Voor mij is dat een goed voorbeeld van wat “in control” betekent: niet alles wat technisch mogelijk is, doen we ook. We nemen bewuste beslissingen, op basis van een helder beeld van risico’s, verplichtingen en impact. 

Transparantie en uitlegbaarheid 

PGGM stelt al jarenlang hoge eisen aan modelbeheersing. Modelvalidatie toetst en monitort modellen en rapporteert daarover, en AI‑systemen vallen daar logisch onder. De eisen aan transparantie en uitlegbaarheid zijn dus niet nieuw, maar de lat ligt wel hoger. Mede door de AI‑verordening kijken we nog explicieter naar vragen als: 

• Kunnen we uitleggen hoe het model tot een uitkomst komt?
• Kunnen we dat begrijpelijk maken voor bijvoorbeeld management, toezichthouders en – waar relevant – deelnemers? Kunnen we aantonen dat we de juiste controles en monitoring hebben ingericht? 

Dat vraagt soms om extra documentatie en checks, maar het versterkt ook het vertrouwen in AI‑toepassingen. 

Waar we nu staan en waar we naartoe werken 

PGGM heeft al een volwassen basis voor AI‑risicomanagement. De fundamenten zijn er: beleid, processen, rollen en expertise. Tegelijkertijd geloof ik dat AI‑risicomanagement nooit “af” is. De technologie ontwikkelt snel, de regelgeving verandert en ook de verwachtingen van deelnemers, fondsen en toezichthouders bewegen mee. 

De volgende stap is tweeledig: verder professionaliseren, via de nieuwe beleidsupdate, aangescherpte richtlijnen en governance tooling, en verder verankeren, door AI‑risicoanalyse nog beter in te bedden in bestaande processen. Zo blijven toepassingen niet buiten beeld en worden risico’s op tijd gesignaleerd. 

Training en awareness van medewerkers zijn daarbij cruciaal. AI is geen niche‑onderwerp meer; steeds meer collega’s komen ermee in aanraking. Zij moeten weten wat de kansen zijn, maar ook welke risico’s er spelen en welke stappen ze moeten zetten om verantwoord met AI om te gaan. Aan die bewustwording lever ik graag mijn bijdrage – als kritische sparringpartner, als verbinder tussen disciplines en als iemand die haar “rare mix” van achtergronden inzet om AI bij PGGM verantwoord verder te brengen.