ISO 42001 is de nieuwe internationale norm voor AI-managementsystemen. Interessant voor organisaties die serieus werk willen maken van AI-governance. Maar wat kost zo'n certificering eigenlijk? En hoe lang duurt het?
Veel MKB-ondernemers schrikken van de getallen die online circuleren. Veertigduizend euro. Zes maanden traject. Dat klopt voor grote organisaties, maar voor een MKB-bedrijf liggen de cijfers realistischer.
Wat certificering echt inhoudt
ISO 42001-certificering betekent dat een externe, geaccrediteerde partij uw AI-managementsysteem heeft getoetst en een certificaat heeft afgegeven. Dit certificaat is drie jaar geldig. In die periode komt de auditor elk jaar terug voor een tussentijdse controle (surveillance audit). Na drie jaar volgt een volledige hercertificering.
De auditor is geen consultant die u helpt. De auditor controleert of uw systeem voldoet aan de norm. Voor advies en implementatie heeft u een andere partij nodig (of u doet het zelf).
In Nederland zijn DNV en BSI sinds januari 2025 als eerste RvA-geaccrediteerd om ISO 42001 te certificeren. Kiwa en TUV NORD werken aan accreditatie. Alleen met een geaccrediteerde auditor krijgt uw certificaat internationale erkenning.
De reele kosten voor een MKB-bedrijf
De kosten vallen uiteen in drie blokken. Direct audit-honorarium. Eigen implementatie-inzet. Eventuele externe advieskosten.
Audit-honorarium. Voor een MKB-bedrijf (10 tot 50 medewerkers) rekent een geaccrediteerde auditor typisch tussen de zes- en twaalfduizend euro voor de initiele certificering (Stage 1 plus Stage 2 audit samen). Surveillance audits in jaar 2 en 3 kosten ongeveer drie- tot vijfduizend euro per jaar. Hercertificering in jaar 4 zit dicht bij de initiele kosten.
Eigen implementatie-inzet. Reken op vier tot zes maanden doorlooptijd waarbij een of twee mensen bij u intern tussen de twintig en veertig procent van hun tijd besteden aan de implementatie. Vertaal dat naar een loonwaarde van tien tot vijfentwintigduizend euro. Dit is vaak de grootste, onzichtbare kostenpost.
Externe advieskosten (optioneel). Een consultant die u door de implementatie heen loodst rekent typisch tussen de vijf- en vijftienduizend euro voor een MKB-traject. Niet verplicht, wel verstandig als u geen intern compliance-hoofd heeft.
Totaalkosten eerste jaar voor een MKB: vijftien- tot vijfendertigduizend euro, inclusief interne tijdsbesteding. Doorlopende kosten: drie- tot zevenduizend euro per jaar vanaf jaar 2.
Dit is een serieuze investering. Weeg hem af tegen de concrete baten.
Het certificeringstraject in zes stappen
Stap 1: Gap-analyse (1 tot 2 maanden)
U vergelijkt uw huidige manier van werken met de eisen van ISO 42001. Welke onderdelen zijn al geregeld? Welke ontbreken? Wat is de prioriteit? Dit is een interne oefening. Tools zoals AIComplianceHub helpen bij de inventarisatie van AI-systemen en bestaande documentatie, wat een groot deel van de gap-analyse dekt.
Output: een overzicht met wat er al is, wat er moet komen, en in welke volgorde u het aanpakt.
Stap 2: Implementatie van het AIMS (3 tot 9 maanden)
U bouwt het daadwerkelijke managementsysteem. AI-beleid opstellen, risico-assessments uitvoeren per AI-systeem, impactanalyses opstellen, processen voor datakwaliteit en leveranciersbeheer inrichten, menselijk toezicht formaliseren, monitoring- en loggingafspraken documenteren. Dit is het grootste brok werk.
Output: een werkend AIMS dat u daadwerkelijk gebruikt, niet alleen documentatie.
Stap 3: Interne audit en management review
Voordat u de externe auditor uitnodigt, controleert u intern of alles klopt. Een interne auditor (een eigen medewerker die onafhankelijk van het proces staat, of een ingehuurde professional) loopt het systeem door. Daarna volgt een management review: het topmanagement kijkt formeel naar de werking van het systeem.
Output: een interne auditrapport en een managementverklaring dat het systeem klaar is voor externe audit.
Stap 4: Stage 1 audit (1 dag, op locatie of remote)
De externe auditor komt langs voor een documentatie-audit. Hij controleert of uw beleid, procedures en records op papier kloppen. Vaak identificeert hij verbeterpunten voordat de echte audit plaatsvindt.
Output: een lijst met bevindingen die u moet oplossen voor Stage 2.
Stap 5: Stage 2 audit (2 tot 5 dagen)
De daadwerkelijke certificatie-audit. De auditor kijkt of het managementsysteem in de praktijk werkt. Hij spreekt medewerkers, controleert logs, toetst risicobeoordelingen op steekproefbasis. Dit is waar het op aankomt.
Output: een auditrapport met non-conformiteiten (major of minor) die u moet oplossen voordat het certificaat wordt afgegeven.
Stap 6: Certificaatuitgifte en surveillance
Als u de bevindingen heeft opgelost, wordt het certificaat afgegeven. Dit is drie jaar geldig. In jaar 2 en 3 komt de auditor terug voor een surveillance audit (1 tot 2 dagen), die zich richt op een deel van het systeem.
Totale doorlooptijd: 6 tot 12 maanden voor een MKB-bedrijf dat fris begint.
Vier veelgemaakte fouten
Wachten tot alles perfect is. De norm eist geen perfectie. Hij eist een werkend managementsysteem dat continu verbetert. Start audit zodra het systeem draait, niet als alles glimt.
Alleen documentatie schrijven. Papier is papier. Auditors toetsen of het systeem daadwerkelijk wordt gebruikt. Als medewerkers niet weten dat het AI-beleid bestaat, is uw kans op certificering minimaal.
Het managementcommitment onderschatten. ISO 42001 Clause 5 eist expliciete betrokkenheid van het topmanagement. Geen handtekening onder het beleid, geen certificaat. De directie moet tijd en middelen vrijmaken.
Geen integratie met bestaande systemen. Heeft u al ISO 27001? Bouw ISO 42001 er slim op. Aparte systemen naast elkaar zijn duurder en foutgevoeliger.
Wanneer is certificering de moeite waard?
Voor veruit de meeste MKB-bedrijven is volledige ISO 42001-certificering op dit moment niet direct noodzakelijk. De EU AI Act-compliance is de eerste prioriteit. Wel zinvol in vier situaties:
U levert AI-diensten aan grote corporates of overheidsorganisaties. Zij gaan ISO 42001 eisen in hun inkoopvoorwaarden, vaak vanaf 2026 of 2027.
U doet mee aan publieke aanbestedingen. Overheden beginnen ISO 42001 op te nemen als gunningscriterium.
U bent een AI-scaleup of software-aanbieder die zich wil onderscheiden. Certificering is een commercieel signaal richting zakelijke klanten.
U zit in een zwaar gereguleerde sector (financiele dienstverlening, zorg, kritieke infrastructuur) waar toezichthouders governance-volwassenheid meewegen.
In alle andere gevallen: werk met de principes van ISO 42001, zonder formele certificering. Dat kost u een fractie en u krijgt 80 procent van de baten.
Waar begint u?
De eerste stap is een realistische inventarisatie van uw AI-gebruik en een eerste risicobeoordeling. De gratis AI Risicoscanner van AIComplianceHub biedt u dat startpunt. In het platform bouwt u het register op dat zowel de AI Act als de ISO-principes dekt. Dat maakt een latere certificering, mocht u ervoor kiezen, significant eenvoudiger.
Verwacht geen wonderen in vier weken. Verwacht wel dat u een duidelijk beeld krijgt van waar u staat en welke stappen nodig zijn. Dat alleen al is veel waard.