AI compliance en ISO 42001 worden vaak in een adem genoemd. Toch zijn het verschillende dingen. De EU AI Act is wet, ISO 42001 is een vrijwillige norm. Hoe verhouden ze zich, en wanneer voegt het een waarde toe aan het ander?
Wat is de EU AI Act?
De EU AI Act, oftewel Verordening 2024/1689, is een Europese wet die het ontwikkelen, in de markt brengen en gebruiken van AI-systemen reguleert. De wet is risicogebaseerd: hoe gevaarlijker een AI-systeem voor gezondheid, veiligheid of grondrechten, hoe strenger de regels. Naleving is geen keuze. Wie de wet overtreedt, riskeert boetes tot 35 miljoen euro of 7 procent van de wereldwijde jaaromzet.
Wat is ISO/IEC 42001?
ISO 42001:2023 is een internationale norm voor een AI-managementsysteem (AIMS). Gepubliceerd in december 2023 door ISO en IEC. De norm beschrijft hoe een organisatie een gestructureerd managementsysteem inricht voor het verantwoord ontwikkelen en inzetten van AI: governance, risicobeoordeling, training, monitoring en doorlopende verbetering. Naleving is vrijwillig. Een externe certificering kan worden behaald via een geaccrediteerde certificerende instelling.
De norm volgt de bekende ISO-managementsysteemstructuur (Annex SL), dezelfde basis als ISO 9001, ISO 27001 en ISO 14001. Wie ervaring heeft met die normen herkent direct de Plan-Do-Check-Act-cyclus.
Wat overlapt?
Veel. De thema's komen sterk overeen.
Risicobeoordeling. Beide vereisen een gestructureerde inschatting van risico's per AI-systeem. De AI Act vraagt het voor classificatie en eventuele FRIA, ISO 42001 vraagt het als integraal onderdeel van het managementsysteem.
Governance. Beide vragen heldere rolverdeling, beleid en management-betrokkenheid.
Documentatie. Beide vereisen beschrijving van AI-systemen, beoogd doel, datasets, evaluatie en monitoring.
Training. AI Act Artikel 4 vraagt aantoonbare AI-geletterdheid; ISO 42001 vereist competentie en bewustwording binnen het AIMS.
Monitoring. Beide vragen continue evaluatie, prestatie-meting en bijsturing.
In de praktijk leveren veel ISO 42001-controls bewijs dat ook nuttig is voor AI Act-naleving. Andersom geldt: documentatie en risicoanalyses voor de AI Act voeden direct in een ISO 42001-systeem.
Wat is uniek per kader?
De AI Act is concreter over verboden praktijken (Artikel 5), specifieke transparantie-eisen (Artikel 50, deepfake-labeling), conformiteitsbeoordeling met CE-markering voor hoog-risico producten en de boetes en handhaving via nationale toezichthouders. Dit zijn dwingende vereisten met juridische consequenties.
ISO 42001 is concreter over de managementsysteem-structuur: leiderschap, planning, ondersteuning, operationele controle, evaluatie en verbetering. Plus een volledige set Annex A-controles (38 stuks in versie 2023) die u systematisch implementeert. De norm dwingt een doorlopend verbetertraject af; de AI Act doet dat niet expliciet.
Wanneer kiest u voor wat?
De AI Act kunt u niet kiezen. Als u AI inzet of ontwikkelt binnen de EU, geldt de wet automatisch. De vraag is dus niet of, maar hoe u eraan voldoet.
ISO 42001 is een toevoeging die de moeite waard is in vier scenarios.
B2B-eisen. Inkopers in de financiele sector, overheid en grote enterprises vragen steeds vaker om certificering. ISO 42001 is een herkenbaar antwoord op due-diligence vragen rondom AI.
Internationale schaal. Werkt u buiten de EU, dan is de AI Act minder relevant maar geldt ISO als wereldwijde taal voor verantwoorde AI.
Bestaande ISO-volwassenheid. Heeft u al ISO 27001 of ISO 9001 ingericht, dan is ISO 42001 een logische uitbreiding. De systematiek herkent u al.
Audittrail. Een ISO-certificering geeft u jaarlijks een externe blik op uw governance. Dat is waardevol voor bestuurders en aandeelhouders.
Waar het misgaat
De grootste fout: ISO 42001 zien als vervanging voor de AI Act. ISO is geen wet. Een gecertificeerde organisatie moet alsnog voldoen aan AI Act-vereisten zoals AI-geletterdheid, het verbod op manipulatieve praktijken en de specifieke documentatieplicht voor hoog-risico systemen.
De spiegelfout: AI Act-naleving alleen zien als een afvinkoefening zonder managementsysteem. Wie elke nieuwe deadline reactief oppakt, loopt structureel achter. Een lichte ISO 42001-achtige opzet (governance, risicocyclus, monitoring) maakt AI Act-naleving duurzaam.
In de praktijk
MKB-organisaties beginnen meestal met AI Act-naleving en komen later op de vraag of ISO 42001-certificering een investering waard is. Dat is een verstandige volgorde. Pas certificeren als u eerst een werkbare basis heeft. Een AI compliance platform zoals AIComplianceHub structureert die basis op een manier die later naadloos opschaalbaar is naar ISO 42001-niveau.
Kortom: niet of/of, maar veelal en/en. De AI Act is uw juridische verplichting. ISO 42001 is uw vrijwillige bovenbouw. Gebruik beide waar het past.