ISO 42001 is de nieuwe internationale norm voor AI-managementsystemen. Interessant voor organisaties die serieus werk willen maken van AI-governance. Maar wat kost zo'n certificering eigenlijk? En hoe lang duurt het?
Veel MKB-ondernemers schrikken van de getallen die online circuleren. Veertigduizend euro. Zes maanden traject. Dat klopt voor grote organisaties, maar voor een MKB-bedrijf liggen de cijfers realistischer.
Wat certificering echt inhoudt
ISO 42001-certificering betekent dat een externe, geaccrediteerde partij uw AI-managementsysteem heeft getoetst en een certificaat heeft afgegeven. Dit certificaat is drie jaar geldig. In die periode komt de auditor elk jaar terug voor een tussentijdse controle (surveillance audit). Na drie jaar volgt een volledige hercertificering.
De auditor is geen consultant die u helpt. De auditor controleert of uw systeem voldoet aan de norm. Voor advies en implementatie heeft u een andere partij nodig (of u doet het zelf).
In Nederland zijn DNV en BSI sinds januari 2025 als eerste RvA-geaccrediteerd om ISO 42001 te certificeren. Kiwa en TUV NORD werken aan accreditatie. Alleen met een geaccrediteerde auditor krijgt uw certificaat internationale erkenning.
De reele kosten voor een MKB-bedrijf
De kosten vallen uiteen in drie blokken. Direct audit-honorarium. Eigen implementatie-inzet. Eventuele externe advieskosten.
Audit-honorarium
Voor een MKB-bedrijf (10 tot 50 medewerkers) rekent een geaccrediteerde auditor typisch tussen de zes- en twaalfduizend euro voor de initiele certificering (Stage 1 plus Stage 2 audit samen). Surveillance audits in jaar 2 en 3 kosten ongeveer drie- tot vijfduizend euro per jaar. Hercertificering in jaar 4 zit dicht bij de initiele kosten.
Eigen implementatie-inzet
Reken op vier tot zes maanden doorlooptijd waarbij een of twee mensen bij u intern tussen de twintig en veertig procent van hun tijd besteden aan de implementatie. Vertaal dat naar een loonwaarde van tien tot vijfentwintigduizend euro. Dit is vaak de grootste, onzichtbare kostenpost.
Externe advieskosten (optioneel)
Een consultant die u door de implementatie heen loodst rekent typisch tussen de vijf- en vijftienduizend euro voor een MKB-traject. Niet verplicht, wel verstandig als u geen intern compliance-hoofd heeft.
Totaalkosten eerste jaar voor een MKB: vijftien- tot vijfendertigduizend euro, inclusief interne tijdsbesteding. Doorlopende kosten: drie- tot zevenduizend euro per jaar vanaf jaar 2.
Dit is een serieuze investering. Weeg hem af tegen de concrete baten.
Het certificeringstraject in zes stappen
Gap-analyse
Vergelijk uw werkwijze met de eisen van ISO 42001. Wat is al geregeld, wat ontbreekt, wat is prioriteit. Doorlooptijd 1 tot 2 maanden.
Implementatie van het AIMS
Bouw het managementsysteem: AI-beleid, risico-assessments per systeem, impactanalyses, processen voor datakwaliteit en leveranciersbeheer. Doorlooptijd 3 tot 9 maanden.
Interne audit en management review
Controleer intern of alles klopt voor de externe auditor langskomt. Een onafhankelijke interne auditor en een formele managementreview.
Stage 1 audit
Externe documentatie-audit. De auditor toetst beleid, procedures en records op papier en levert een lijst met bevindingen voor Stage 2.
Stage 2 audit
De daadwerkelijke certificatie-audit. De auditor toetst of het systeem in de praktijk werkt: gesprekken, logs, steekproeven van risicobeoordelingen.
Certificaatuitgifte en surveillance
Bevindingen oplossen en certificaat krijgen voor 3 jaar. In jaar 2 en 3 komt de auditor terug voor een surveillance-audit van 1 tot 2 dagen.
Totale doorlooptijd: 6 tot 12 maanden voor een MKB-bedrijf dat fris begint.
Vier veelgemaakte fouten
Wachten tot alles perfect is. De norm eist geen perfectie. Hij eist een werkend managementsysteem dat continu verbetert. Start audit zodra het systeem draait, niet als alles glimt.
Alleen documentatie schrijven. Papier is papier. Auditors toetsen of het systeem daadwerkelijk wordt gebruikt. Als medewerkers niet weten dat het AI-beleid bestaat, is uw kans op certificering minimaal.
Het managementcommitment onderschatten. ISO 42001 Clause 5 eist expliciete betrokkenheid van het topmanagement. Geen handtekening onder het beleid, geen certificaat. De directie moet tijd en middelen vrijmaken.
Geen integratie met bestaande systemen. Heeft u al ISO 27001? Bouw ISO 42001 er slim op. Aparte systemen naast elkaar zijn duurder en foutgevoeliger.
Wanneer is certificering de moeite waard?
Voor veruit de meeste MKB-bedrijven is volledige ISO 42001-certificering op dit moment niet direct noodzakelijk. De EU AI Act-compliance is de eerste prioriteit. Wel zinvol in vier situaties:
U levert AI-diensten aan grote corporates of overheidsorganisaties. Zij gaan ISO 42001 eisen in hun inkoopvoorwaarden, vaak vanaf 2026 of 2027.
U doet mee aan publieke aanbestedingen. Overheden beginnen ISO 42001 op te nemen als gunningscriterium.
U bent een AI-scaleup of software-aanbieder die zich wil onderscheiden. Certificering is een commercieel signaal richting zakelijke klanten.
U zit in een zwaar gereguleerde sector (financiele dienstverlening, zorg, kritieke infrastructuur) waar toezichthouders governance-volwassenheid meewegen.
In alle andere gevallen: werk met de principes van ISO 42001, zonder formele certificering. Dat kost u een fractie en u krijgt 80 procent van de baten.
Waar begint u?
De eerste stap is een realistische inventarisatie van uw AI-gebruik en een eerste risicobeoordeling. De gratis AI Risicoscanner van AIComplianceHub biedt u dat startpunt. In het platform bouwt u het register op dat zowel de AI Act als de ISO-principes dekt. Dat maakt een latere certificering, mocht u ervoor kiezen, significant eenvoudiger.
Verwacht geen wonderen in vier weken, maar wel een duidelijk beeld van waar u staat en welke stappen nodig zijn. Dat alleen al is veel waard.