Twee namen duiken steeds vaker samen op in gesprekken over verantwoorde AI: de EU AI Act en ISO 42001. Ondernemers vragen zich af of ze nu het een moeten doen, het ander, of allebei. Het antwoord is genuanceerd.
De EU AI Act is een wet. Niet voldoen betekent boetes tot 35 miljoen euro of 7 procent van de wereldwijde omzet. ISO 42001 is een vrijwillige internationale norm. Niet voldoen heeft geen juridische gevolgen. Toch kiezen steeds meer organisaties voor beide. Waarom?
Het verschil in een zin
De AI Act beschrijft wat u moet bereiken. ISO 42001 beschrijft hoe u dat organiseert.
De AI Act is prescriptief. Er staat zwart op wit dat hoog-risico systemen een risicobeheersysteem moeten hebben (Artikel 9), technische documentatie volgens Bijlage IV, menselijk toezicht (Artikel 14) en post-market monitoring (Artikel 72). De wet zegt niet hoe u dat inricht, maar wel dat het moet.
ISO 42001 is een managementsysteemnorm. De norm, voluit ISO/IEC 42001:2023, beschrijft hoe u een AI Management System (AIMS) opzet. Beleid, verantwoordelijkheden, processen, audits, continue verbetering. De structuur is identiek aan ISO 27001 of ISO 9001. Wie een van die normen kent, herkent de opzet meteen.
Kort door de bocht: de AI Act wijst het doel aan, ISO 42001 geeft u het bouwwerk waarmee u dat doel structureel haalt.
Waar de overlap zit
Raming van de bruikbare overlap: 40 tot 50 procent op hoog niveau. Geen officiele 1-op-1 mapping, wel meerdere commerciele mappingguides. Vijf gebieden waar beide vrijwel hetzelfde vragen:
Risicobeheer. AI Act Artikel 9 eist een doorlopend risicobeheersysteem voor hoog-risico AI. ISO 42001 Clause 6.1 eist precies dat: risico's identificeren, beoordelen, mitigeren, opnieuw evalueren. Wie het ISO-proces implementeert, heeft 80 procent van wat de AI Act vraagt.
Data governance. Artikel 10 van de AI Act stelt eisen aan trainingsdata: kwaliteit, representativiteit, bias-detectie. Annex A.7 en A.8 van ISO 42001 stellen dezelfde eisen. Verschil: de AI Act eist meer expliciete documentatie per systeem.
Technische documentatie en records. Bijlage IV van de AI Act vraagt specifieke documentatie per hoog-risico systeem. Annex A.4 van ISO 42001 vraagt een bredere documentatielaag. Wie voor ISO documenteert, heeft het grootste deel van de Bijlage IV-eisen al voorbereid.
Menselijk toezicht. Beide frameworks eisen dat mensen beslissingen van AI kunnen overrulen. De AI Act is specifieker (Artikel 14 noemt interventie, stopknop, rol van de operator). ISO 42001 is breder maar dwingt wel tot formele inrichting.
Post-market monitoring. AI Act Artikel 72 vraagt om actieve monitoring nadat een systeem live is. ISO 42001 Clause 9 en Annex A.6.2.8 vragen hetzelfde. De ISO-cyclus van meten, evalueren, bijsturen sluit direct aan op wat de wet vraagt.
AI-geletterdheid is nog een overlap. AI Act Artikel 4 verplicht alle organisaties om hun medewerkers voldoende AI-kennis mee te geven. ISO 42001 Clause 7.2 vraagt hetzelfde onder de noemer competentie.
Wat uniek is aan de AI Act
De AI Act bevat elementen die ISO 42001 niet adresseert.
Risicoclassificatie met verboden praktijken. De AI Act kent vier risiconiveaus (onaanvaardbaar, hoog, beperkt, minimaal) en een lijst verboden AI-toepassingen. Social scoring, manipulatieve AI, emotieherkenning op werkplek en in onderwijs: simpelweg niet toegestaan. ISO 42001 kent die concrete verbodslijst niet.
Conformiteitsbeoordeling en CE-markering. Hoog-risico AI moet door een conformity assessment voordat het op de markt mag. Voor sommige categorieen moet een aangemelde instantie (Notified Body) het systeem beoordelen. Dit is puur AI Act.
EU-databankregistratie. Aanbieders van hoog-risico AI moeten hun systemen registreren in een Europese databank. ISO 42001 kent zoiets niet.
GPAI-verplichtingen. Aanbieders van grote taalmodellen zoals GPT-4, Claude of Gemini krijgen eigen verplichtingen onder Hoofdstuk V van de AI Act. ISO 42001 raakt dit niet.
Fundamental Rights Impact Assessment. Overheidsorganisaties en aanbieders van bepaalde publieke diensten moeten een FRIA uitvoeren. ISO 42001 kent een bredere impact-beoordeling, maar geen FRIA in deze specifieke vorm.
Wat uniek is aan ISO 42001
ISO 42001 bevat elementen die de AI Act niet voorschrijft.
PDCA-managementcyclus. Plan, Do, Check, Act. De AI Act eist een risicobeheersysteem, maar beschrijft geen formele management review of interne audits. ISO 42001 wel.
Managementcommitment. Clause 5 eist expliciete betrokkenheid van het topmanagement. Handtekening onder het AI-beleid. Middelen vrijmaken. Periodieke review. De AI Act laat dit in het midden.
Integratie met andere normen. ISO 42001 deelt de Annex SL-structuur met ISO 27001 (informatiebeveiliging), ISO 9001 (kwaliteit) en ISO 13485 (medische hulpmiddelen). Wie al ISO-gecertificeerd is, kan AI-governance inbedden in het bestaande managementsysteem.
Certificering. U kunt ISO 42001-gecertificeerd worden door een geaccrediteerde auditor (DNV, BSI, Kiwa, TUV). Dat is een signaal naar klanten, partners en toezichthouders. De AI Act kent geen vergelijkbaar certificaat.
Geeft ISO 42001-certificering vermoeden van conformiteit onder de AI Act?
Kort: nee. Niet op dit moment.
De AI Act kent het concept van geharmoniseerde normen. Wie aan zo'n norm voldoet, krijgt een vermoeden van conformiteit (presumption of conformity). Dat maakt inspecties eenvoudiger. ISO 42001 is geen geharmoniseerde norm. Het Europese normalisatie-instituut CEN-CENELEC werkt aan specifieke AI-normen die deze status wel gaan krijgen. Die zijn er nog niet.
Praktisch betekent dit: ISO 42001-certificering helpt u om aan de AI Act te voldoen, maar het vervangt de AI Act-documentatie en procedures niet. U moet beide kunnen laten zien.
Wanneer kies je voor allebei?
Vier scenario's waar de combinatie waarde toevoegt.
U levert AI-diensten aan grote zakelijke klanten. Die vragen steeds vaker om ISO 27001 of een SOC 2-rapport. ISO 42001 komt daar binnen twee jaar bij. Wie nu begint, ligt voor op de concurrentie.
U zit in een gereguleerde sector. Financiele dienstverlening, zorg, overheid. Toezichthouders kijken naar uw governance-volwassenheid. Een gecertificeerd AIMS is een sterk signaal.
U bouwt AI-producten die hoog-risico zijn onder de AI Act. De compliance-last is fors. ISO 42001 als fundament maakt het compliance-werk efficient en voorkomt dat u het wiel opnieuw uitvindt.
U wilt AI-governance vanaf dag een goed inrichten. In plaats van losse checklisten voor elke regel, bouwt u een managementsysteem dat mee-evolueert met nieuwe regelgeving. ISO 42001 is dat fundament.
Wanneer is de AI Act alleen voldoende?
Voor de meeste MKB-bedrijven die AI gebruiken maar niet zelf ontwikkelen, is AI Act-compliance de juiste eerste stap. U bent dan gebruiksverantwoordelijke (deployer), niet aanbieder. Uw verplichtingen zijn beperkter: AI-register, risicoclassificatie, transparantie, AI-geletterdheid.
Volledige ISO 42001-certificering is voor zo'n organisatie vaak overdreven. De kosten (tussen de vijftien en vijfendertig duizend euro in het eerste jaar) wegen niet op tegen de baten. De discipline van de norm kunt u wel overnemen zonder formeel certificaat.
De slimme aanpak
Begin met het in kaart brengen van uw AI-landschap. Welke systemen gebruikt u? Wat is de risicoclassificatie? Dit is werk dat u sowieso moet doen onder de AI Act.
Bouw daarop een eenvoudig AI-beleid en risicobeoordeling. Hanteer de structuur van ISO 42001 als leidraad, zonder u meteen te committeren aan certificering. U krijgt een werkend fundament dat aansluit op de AI Act.
Overweeg formele certificering pas als u er een concrete aanleiding voor heeft: een grote klant die erom vraagt, een aanbesteding die het eist, een concurrent die het claimt.
Waar u kunt starten
De gratis AI Risicoscanner van AIComplianceHub helpt u in vijf minuten om uw AI-systemen in de juiste risicocategorie te plaatsen. Vanuit het platform bouwt u uw AI-register op, genereert u de documenten die de AI Act eist en volgt u e-learning die voldoet aan de geletterdheidsplicht. De opzet sluit aan op de structuur van ISO 42001. Zo houdt u de optie op certificering open, zonder er nu al aan vast te zitten.