Er is een nieuwe ISO-norm die specifiek gaat over kunstmatige intelligentie. ISO 42001 heet voluit ISO/IEC 42001:2023. De norm is in december 2023 gepubliceerd als de eerste internationale standaard voor AI-managementsystemen. Voor organisaties die worstelen met de vraag hoe ze hun AI-gebruik structureel moeten inrichten, biedt deze norm een helder kader.
Maar wat houdt ISO 42001 precies in? Heeft u het nodig? Hoe verhoudt het zich tot de EU AI Act die inmiddels van kracht is?
Wat is ISO 42001?
ISO 42001 is een managementsysteemstandaard. Wie bekend is met ISO 27001 voor informatiebeveiliging of ISO 9001 voor kwaliteitsmanagement, herkent de structuur direct. De norm beschrijft eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een AI-managementsysteem (AIMS) binnen een organisatie.
De kern: u bouwt een gestructureerd systeem waarmee u verantwoord omgaat met AI. Dat begint bij beleid en strategie. Het strekt zich uit tot risicobeheer, impactbeoordelingen, datamanagement, leveranciersbeheer, monitoring en voortdurende verbetering.
Dit is geen checklist die u in een middag afwerkt. Het is een raamwerk dat u dwingt om na te denken over hoe AI past binnen uw organisatie. Welke risico's brengt het mee? Wie is verantwoordelijk? Hoe bewaakt u de kwaliteit?
De structuur: Plan-Do-Check-Act
Zoals alle ISO-managementsysteemnormen is ISO 42001 opgebouwd rond de Plan-Do-Check-Act cyclus. Dat werkt als volgt.
U begint met het analyseren van de context van uw organisatie. Welke AI-systemen gebruikt u? Welke stakeholders zijn betrokken? Welke wet- en regelgeving is relevant? Op basis daarvan stelt u een AI-beleid op. Niet een pagina tekst die in een la verdwijnt, maar een levend document. Het beschrijft hoe uw organisatie omgaat met AI: principes als transparantie, eerlijkheid, veiligheid, privacy. Cruciaal is dat het management dit beleid actief draagt.
Dan volgt de uitvoering. U voert risicobeoordelingen uit per AI-systeem. U beoordeelt de impact op betrokkenen. U regelt het databeheer: welke data wordt gebruikt, hoe is de kwaliteit, zijn er privacyrisico's? U beschrijft hoe menselijk toezicht is ingericht. U legt afspraken vast met leveranciers die AI-componenten leveren.
Tot slot: meten, evalueren, bijsturen. U monitort of het systeem doet wat het moet doen. U voert interne audits uit. U rapporteert aan het management. Waar het beter kan, past u het systeem aan. Dit is geen eenmalige exercitie. Het is een doorlopend proces.
De kerncomponenten
ISO 42001 bevat een aantal specifieke eisen die het onderscheiden van andere ISO-normen. Vijf daarvan verdienen extra aandacht.
AI-beleid en governance. Uw organisatie moet een formeel AI-beleid hebben dat de doelstellingen, principes en verantwoordelijkheden beschrijft. Het topmanagement moet zich hieraan committeren. Zonder draagvlak aan de top werkt geen enkel managementsysteem. Klinkt logisch, maar in de praktijk ontbreekt dit bij verrassend veel organisaties.
Risicobeoordeling voor AI-systemen. Per AI-systeem brengt u de risico's in kaart. Wat kan er misgaan? Wat zijn de gevolgen voor individuen, voor uw organisatie, voor de maatschappij? Hoe waarschijnlijk is het? U documenteert dit en stelt beheersmaatregelen vast.
Impactbeoordeling. Naast risico's kijkt u naar de bredere impact. Raakt het AI-systeem fundamentele rechten? Kan het discrimineren? Zijn er gevolgen voor werkgelegenheid of autonomie van mensen? Dit gaat verder dan een technische risicoanalyse. Het dwingt u om het perspectief van de betrokkenen mee te wegen.
Databeheer. Goede AI begint bij goede data. ISO 42001 eist dat u vastlegt hoe data wordt verzameld, verwerkt, opgeslagen en beschermd. Datakwaliteit, representativiteit, bias in datasets: het moet allemaal worden geadresseerd.
Leveranciersbeheer. Veel organisaties bouwen hun AI niet zelf. Ze kopen het in. De norm eist dat u ook de AI-componenten van derden beoordeelt. Wat levert de leverancier precies? Welke garanties geeft hij? Hoe bewaakt u de kwaliteit van ingekochte AI?
ISO 42001 en de EU AI Act: hoe verhouden ze zich?
Dit is de vraag die veel ondernemers stellen. Is ISO 42001-certificering voldoende om te voldoen aan de AI Act?
Het korte antwoord: nee. Het langere antwoord verdient nuance.
ISO 42001 is op dit moment geen geharmoniseerde standaard onder de AI Act. Dat betekent dat een certificering geen automatisch vermoeden van conformiteit oplevert. U kunt niet bij een inspecteur aankomen met uw ISO 42001-certificaat en zeggen: kijk, we voldoen. Zo werkt het niet.
Toch is de overlap aanzienlijk. Kijk naar wat de AI Act vraagt voor hoog-risico systemen: een risicobeheersysteem, technische documentatie, databeheer, menselijk toezicht, monitoring, logging. ISO 42001 adresseert al deze onderwerpen. Niet identiek aan hoe de AI Act het voorschrijft, maar het raamwerk is er.
Waar zit het verschil dan? De AI Act stelt hele concrete eisen. Specifieke documentatie-items. Verplichte registratie in de EU-databank. Conformiteitsbeoordelingen volgens vastgelegde procedures. ISO 42001 is breder en minder prescriptief. De norm zegt: zorg dat u risico's beheert. De AI Act zegt: dit zijn de specifieke documenten die u moet opstellen.
Denk aan ISO 42001 als het fundament van een huis. De AI Act voegt daar specifieke kamers en installaties aan toe.
Waar de overlap concreet zit
Om het tastbaar te maken: op welke punten helpt ISO 42001 u bij het voldoen aan de AI Act?
Risicomanagement. De AI Act vereist een risicobeheersysteem voor hoog-risico AI (Artikel 9). ISO 42001 schrijft een vergelijkbaar systeem voor. Wie het ISO-raamwerk implementeert, heeft al een werkende risicobeoordeling per AI-systeem. De AI Act vraagt meer specifieke details, maar de basis staat.
Documentatie. Beide vragen uitgebreide documentatie. ISO 42001 eist dat u uw AI-beleid, risicobeoordelingen, impactanalyses en operationele procedures vastlegt. De AI Act vraagt technische documentatie volgens een specifiek format (Bijlage IV). Er is overlap, al moet u voor de AI Act aanvullende items toevoegen.
Menselijk toezicht. ISO 42001 adresseert de rol van mensen in AI-besluitvorming. De AI Act schrijft voor hoog-risico systemen concrete eisen voor menselijk toezicht voor (Artikel 14). Het ISO-raamwerk geeft u een structuur om dit in te richten.
Monitoring en evaluatie. Beide vragen doorlopende monitoring van AI-systemen. Presteren ze zoals bedoeld? Zijn er afwijkingen? ISO 42001 biedt een PDCA-cyclus voor continue verbetering. De AI Act eist specifieke logging en post-market monitoring.
De voordelen van ISO 42001
Waarom zou u zich dan toch verdiepen in deze norm? Structuur loont.
Organisaties die ISO 42001 implementeren, bouwen een systematische aanpak voor AI-governance. Als de AI Act straks volledig wordt gehandhaafd, heeft u al een werkend systeem. U hoeft niet van nul te beginnen. U vult de specifieke AI Act-eisen aan bovenop een bestaand fundament.
Formele certificering stuurt een signaal naar klanten, partners en toezichthouders. Het laat zien dat u AI-governance serieus neemt. Bij aanbestedingen of samenwerkingen met grotere organisaties kan dit het verschil maken. Want steeds meer opdrachtgevers stellen eisen aan de AI-governance van hun toeleveranciers.
Het raamwerk dwingt u ook om blinde vlekken te identificeren. Welke AI-systemen gebruiken uw medewerkers eigenlijk? Hoe zit het met die gratis tools die ze downloaden? Wie beheert de data die in AI-modellen wordt gestopt? Veel organisaties ontdekken pas bij het doorlopen van ISO 42001 hoeveel AI er daadwerkelijk in hun processen zit.
Voor wie is certificering interessant?
Formele ISO 42001-certificering is niet voor iedereen de juiste keuze. Het kost tijd, geld en inzet. Een externe auditor moet uw systeem beoordelen. U moet het systeem onderhouden. Jaarlijkse herbeoordelingen zijn vereist.
Voor welke organisaties is het wel de moeite waard? Bedrijven die meerdere hoog-risico AI-systemen inzetten. AI-aanbieders die hun systemen op de Europese markt brengen. Organisaties in gereguleerde sectoren als zorg, financiele dienstverlening of overheid. Bedrijven die zich willen onderscheiden van concurrenten op het gebied van verantwoorde AI.
Bent u een MKB-bedrijf met drie of vier AI-tools waarvan er misschien een in de hoog-risico categorie valt? Dan is volledige certificering waarschijnlijk overdreven. De kosten wegen niet op tegen de baten.
Maar dat betekent niet dat de norm nutteloos is voor u.
Het raamwerk gebruiken zonder certificering
Voor de meeste MKB-bedrijven zit de waarde van ISO 42001 niet in het certificaat. Die zit in het raamwerk zelf. U kunt de principes overnemen zonder het volledige certificeringstraject te doorlopen.
Concreet: stel een AI-beleid op voor uw organisatie. Een pagina of twee waarin u beschrijft hoe u met AI omgaat. Voer per AI-systeem een eenvoudige risicobeoordeling uit. Leg vast wie verantwoordelijk is voor welk systeem. Documenteer hoe u omgaat met data die in AI-systemen terechtkomt. Maak afspraken met leveranciers over AI-compliance.
Dit hoeft geen maanden te duren. Met de juiste structuur kunt u in enkele weken een solide basis leggen. Het resultaat: u bent beter voorbereid op de AI Act. U heeft overzicht over uw AI-landschap. U kunt bij een eventuele inspectie laten zien dat u gestructureerd te werk gaat.
Is ISO 42001 de moeite waard zonder certificering? Ja. Vergelijk het met gezond eten: u hoeft geen dieetcertificaat te halen om er baat bij te hebben.
Praktische stappen om te beginnen
Wilt u aan de slag met ISO 42001-principes? Begin hier.
Inventariseer al uw AI-systemen. Niet alleen de voor de hand liggende tools, maar ook AI die is ingebouwd in bestaande software. CRM-systemen met AI-functies, boekhoudsoftware met geautomatiseerde categorisering, HR-tools met CV-screening: het telt allemaal mee.
Classificeer per systeem het risiconiveau. Gebruik hiervoor de risicocategorieen uit de AI Act. Zo weet u meteen welke systemen extra aandacht vragen.
Stel een eenvoudig AI-beleid op. Beschrijf uw principes, verantwoordelijkheden, escalatieprocedures. Wie beslist of een nieuw AI-systeem mag worden ingezet? Wie monitort de kwaliteit? Maak het praktisch, niet academisch.
Voer een risico- en impactbeoordeling uit voor uw belangrijkste AI-systemen. Focus op de systemen met het hoogste risico. Documenteer de bevindingen.
Leg afspraken vast met uw AI-leveranciers. Vraag naar hun AI Act-voorbereiding. Kunnen zij technische documentatie leveren? Bieden zij transparantie over hoe hun modellen werken?
Plan een jaarlijkse review. AI-governance is geen eenmalige exercitie. Uw AI-landschap verandert continu. Nieuwe tools komen erbij. De regelgeving evolueert. Plan minimaal een jaarlijks moment waarop u uw AI-register en -beleid doorloopt.
Hoe AIComplianceHub u helpt
Bij AIComplianceHub.nl kunt u deze stappen direct in de praktijk brengen. Het platform helpt u bij het opzetten van een AI-register, het classificeren van risico's, het genereren van compliance-documenten en het vastleggen van leveranciersafspraken. U hoeft het wiel niet opnieuw uit te vinden.
De gratis AI Risicoscanner geeft u in vijf minuten inzicht in de risicoclassificatie van uw AI-systemen. Van daaruit bouwt u stap voor stap aan uw AI-governance. Gebaseerd op de principes van ISO 42001, gericht op de concrete eisen van de AI Act.
Formele certificering is voor veel MKB-bedrijven een stap te ver. Maar de discipline die ISO 42001 biedt: die is voor iedereen waardevol.