Veel Nederlandse MKB-bedrijven zijn inmiddels ISO 27001-gecertificeerd. Informatiebeveiliging is een standaard gespreksonderwerp geworden bij elke zakelijke deal. De vraag die nu opkomt: hoe past ISO 42001 daarbij? Moet u twee losse managementsystemen onderhouden? Of kunnen ze samen?
Het goede nieuws: ISO 42001 is specifiek ontworpen om naadloos aan te sluiten op andere ISO-normen. Wie ISO 27001 al heeft, heeft een groot deel van het fundament liggen.
Waarom de twee normen zo goed combineren
ISO 42001 deelt de zogenoemde Annex SL-structuur met ISO 27001, ISO 9001 en andere bekende ISO-managementsystemen. Annex SL is de gemeenschappelijke hoofdstukindeling die alle moderne ISO-normen volgen. Tien hoofdstukken, dezelfde volgorde, dezelfde structuur.
Context van de organisatie (hoofdstuk 4). Leiderschap (5). Planning (6). Ondersteuning (7). Uitvoering (8). Prestatiebeoordeling (9). Verbetering (10). De eerste drie hoofdstukken zijn voorwoorden en definities.
Dit betekent dat een organisatie die al ISO 27001 heeft, vrijwel alle basiselementen op zijn plek heeft. Het managementcommitment, de documentstructuur, de interne auditsystematiek, het risicoprocedé, het managementreview-proces. Dat kunt u hergebruiken.
Concreet: u hoeft geen nieuw managementsysteem te bouwen. U breidt uw bestaande systeem uit met AI-specifieke elementen.
Waar de normen elkaar overlappen
Vijf gebieden waar ISO 27001 en ISO 42001 direct op elkaar aansluiten.
Risicomanagement. ISO 27001 Clause 6.1 eist risicobeoordelingen voor informatiebeveiliging. ISO 42001 Clause 6.1 eist hetzelfde voor AI-risico's. Het proces is identiek, alleen de scope verschilt. Wie al een risicoproces heeft draaien, voegt AI-risico's toe aan dezelfde methodiek.
Asset management. ISO 27001 Annex A.5.9 vraagt een inventarisatie van informatie-assets. ISO 42001 vraagt een inventarisatie van AI-systemen en de data die ze gebruiken. Dat is grotendeels dezelfde oefening in een bredere jas.
Incident management. Beide normen eisen een proces voor het melden, afhandelen en analyseren van incidenten. Een datalek is een beveiligingsincident onder ISO 27001. Een bias-probleem in een AI-model is een AI-incident onder ISO 42001. Het proces kan hetzelfde zijn, de triggers verschillen.
Leveranciersbeheer. ISO 27001 eist beoordeling van leveranciers op informatiebeveiliging. ISO 42001 eist beoordeling van leveranciers op AI-governance. Als u Microsoft Copilot of een AI-API inkoopt, moet u beide toetsen. Het contract- en beoordelingsproces kunt u integreren.
Bewustzijn en training. ISO 27001 eist security-awareness voor medewerkers. ISO 42001 eist AI-geletterdheid. U kunt een gecombineerd opleidingsprogramma opzetten dat beide afdekt.
Waar de normen juist verschillen
Er zijn ook onderwerpen die alleen in ISO 42001 voorkomen.
AI-impactbeoordeling. Dit gaat verder dan een risicoanalyse. U beoordeelt hoe AI-systemen fundamentele rechten, autonomie en maatschappelijke belangen raken. ISO 27001 kent dit niet. Dit is nieuw werk.
Datakwaliteit voor AI. Beveiliging en kwaliteit zijn verschillende zaken. Een dataset kan perfect beveiligd zijn, maar toch slechte bias bevatten. ISO 42001 eist expliciet datakwaliteitsbeoordeling. Dit vraagt nieuwe competenties.
Menselijk toezicht op AI. ISO 27001 kent geen expliciet concept van menselijke controle over geautomatiseerde beslissingen. ISO 42001 wel. U moet formaliseren hoe mensen AI-beslissingen kunnen overrulen.
Transparantie richting betrokkenen. ISO 42001 eist dat u uitlegt wanneer en hoe AI wordt ingezet richting klanten, medewerkers, burgers. Dit raakt AVG-overlap, maar gaat verder.
Drie integratiestrategieen
Organisaties kiezen tussen drie manieren om de normen te combineren.
Strategie 1: volledig geintegreerd managementsysteem
U bouwt een systeem dat zowel ISO 27001 als ISO 42001 dekt. Een gezamenlijke beleidspiramide, een gedeeld risicoregister, een geintegreerd auditproces. Auditors kennen deze aanpak als IMS (Integrated Management System).
Voordeel: efficient, minder dubbel werk, consistent beeld richting auditors en management. Medewerkers zien een coherent systeem in plaats van twee losse regeltornados.
Nadeel: de bouw is complex in het begin. U moet nadenken over hoe u scope, verantwoordelijkheden en documenten laag bij laag structureert.
Geschikt voor: volwassen organisaties met een stevig managementsysteem en kennis van integratie.
Strategie 2: parallelle managementsystemen met gedeelde basis
U houdt ISO 27001 en ISO 42001 als aparte systemen, maar deelt gemeenschappelijke onderdelen: risicoproces, documentbeheer, trainingssysteem, leveranciersbeoordeling. Per norm heeft u specifieke elementen bovenop de gedeelde basis.
Voordeel: eenvoudiger te beheren dan volledige integratie. Duidelijker welk proces bij welke norm hoort.
Nadeel: u heeft wat dubbele elementen en moet waken voor inconsistenties.
Geschikt voor: MKB-bedrijven die beide normen willen halen zonder zich eerst in te lezen in IMS-theorie.
Strategie 3: gefaseerde aanpak
U hebt ISO 27001. U breidt dat systeem stap voor stap uit richting ISO 42001. Eerst een AI-register toevoegen. Dan AI-risico's meenemen in de bestaande risicomethodiek. Dan een AI-beleid ernaast leggen. Pas als alles stabiel draait, start u het formele certificeringstraject.
Voordeel: geen grote schok voor de organisatie. Het managementsysteem groeit mee.
Nadeel: langere doorlooptijd naar formele certificering.
Geschikt voor: organisaties die voorlopig nog geen ISO 42001-certificering nodig hebben, maar wel een toekomstbestendig managementsysteem willen.
Wat een gezamenlijke audit scheelt
Steeds meer geaccrediteerde certificeerders (DNV, BSI, Kiwa, TUV) bieden gecombineerde audits aan. De auditor kijkt in een traject naar zowel ISO 27001 als ISO 42001. Dat scheelt doorlooptijd en kosten.
Typische besparing: 20 tot 35 procent op audit-honorarium vergeleken met twee losse trajecten. Voor een MKB-bedrijf betekent dat al snel een paar duizend euro per jaar.
Check dit expliciet bij uw huidige ISO 27001-auditor. Als ze nog geen ISO 42001 aanbieden (niet alle auditors zijn al geaccrediteerd), overweeg dan een overstap naar een partij die beide doet.
Praktische stappen om te beginnen
Stap 1: bepaal uw scope. Welke AI-systemen vallen onder het managementsysteem? Begin klein als u nog geen ervaring heeft. De scope kan later groeien.
Stap 2: voer een gap-analyse uit tussen uw huidige ISO 27001-systeem en ISO 42001. Waar heeft u al procedures die hergebruikt kunnen worden? Waar zitten de echte gaten?
Stap 3: breid uw bestaande documentenstructuur uit. Voeg een AI-beleid toe. Actualiseer de informatiebeveiligingsrisicomethodiek met AI-risico's. Neem AI-systemen op in uw asset-register.
Stap 4: werk toe naar een interne audit die beide normen dekt. Dit is de test voor uw integratie. Pas daarna bepaalt u of u klaar bent voor externe certificering.
Stap 5: betrek uw auditor vroeg. Vraag of zij ISO 42001 erbij kunnen doen en hoe zij de integratie beoordelen. Verschillende auditors hanteren verschillende voorkeuren.
De waarde van de combinatie
Voor uw klanten en de markt betekent de dubbele certificering een sterk signaal. U beveiligt informatie goed en u beheert AI-risico's professioneel. In sectoren waar beide aspecten zwaar wegen (financiele dienstverlening, zorg, overheid) wordt deze combinatie de nieuwe norm.
Het alternatief (los ISO 27001 hebben maar geen AI-governance) wordt geleidelijk lastiger. Klanten beginnen specifieke vragen te stellen over AI-gebruik bij leveranciers. Een ISO 27001-certificaat zonder AI-governance-verhaal is op termijn niet voldoende.
Wat u vandaag kunt doen
Begin met een inventarisatie. Welke AI-systemen gebruikt u? Welke data verwerken ze? Wie is verantwoordelijk? Dit is de eerste stap naar zowel AI Act-compliance als ISO 42001-readiness.
Met de gratis AI Risicoscanner van AIComplianceHub brengt u in vijf minuten uw AI-landschap in kaart. Het platform ondersteunt u daarna met het bouwen van uw AI-register, het genereren van documenten en het regelen van AI-geletterdheidstraining. Het resultaat is direct bruikbaar voor uw AI Act-compliance, en het vormt de basis voor een latere ISO 42001-uitbreiding op uw bestaande ISO 27001-systeem.
Twee managementsystemen kunnen als twee voelen, of als een. Het verschil zit in hoe u de integratie vanaf het begin opzet.