Wie moet de ISO 42001-certificering nastreven?

ISO 42001 is ontworpen voor elke organisatie die op AI gebaseerde producten of diensten ontwikkelt, levert of gebruikt. Ontwikkelaars en verkopers van AI-systemen zullen het het meest direct toepasbaar vinden, maar de aanbieders – bedrijven die AI gebruiken in hun activiteiten – vallen ook binnen de reikwijdte. Organisaties die al gecertificeerd zijn voor ISO 27001 zijn goed gepositioneerd om hun managementsysteem uit te breiden met AI, aangezien het structurele raamwerk identiek is.

Voldoet de ISO 42001-certificering aan de nalevingsvereisten van EU AI Act?

ISO 42001 is op zichzelf geen juridisch compliance-instrument en certificering voldoet niet automatisch aan de EU AI Act-verplichtingen. Het biedt echter het gedocumenteerde managementsysteemkader dat de verplichtingen van de EU AI Act voor de implementatie vereisen: gestructureerde AI-risicobeoordeling, menselijke toezichtcontroles, monitoringprocessen en gedocumenteerd bestuur. Regelgevers kunnen naar ISO 42001 verwijzen als een geharmoniseerde norm, waardoor conformiteit ermee een vermoeden van naleving van bepaalde AI Act-vereisten zou kunnen wekken – maar deze formele harmonisatie heeft nog niet plaatsgevonden.

Hoe lang duurt de ISO 42001-certificering?

De tijdlijn is sterk afhankelijk van de volwassenheid van uw bestaande AI-beheerprocessen. Organisaties met volwassen ISO 27001-beheersystemen kunnen doorgaans binnen zes tot twaalf maanden de gap-analyse voltooien, AI-specifieke controles implementeren en certificering behalen. Organisaties die helemaal opnieuw beginnen, hebben mogelijk twaalf tot vierentwintig maanden nodig. Certificering volgt een auditproces in twee fasen: een fase 1-documentatiebeoordeling, gevolgd door een fase 2-beoordeling ter plaatse, met jaarlijkse surveillance-audits en een volledige hercertificering om de drie jaar.

Wat is het verschil tussen ISO 42001 en ISO 27001?

ISO 27001 regelt het informatiebeveiligingsbeheer en beschermt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en informatiesystemen. ISO 42001 regelt AI-beheer en zorgt ervoor dat AI-systemen op verantwoorde wijze worden ontwikkeld, ingezet en gebruikt, met passende risicobeoordeling, menselijk toezicht, transparantie en gegevensbeheer. Ze delen dezelfde High Level Structure en kunnen worden geïntegreerd in één enkel managementsysteem. ISO 27001 omvat AI-systemen als informatieverwerkende middelen; ISO 42001 omvat de AI-specifieke bestuurslaag erboven.

Wat is een AI-systeemeffectbeoordeling onder ISO 42001?

De AI-systeemeffectbeoordeling is een gestructureerde evaluatie van de potentiële effecten van een AI-systeem op individuen, groepen en de samenleving. Het gaat verder dan de traditionele risicobeoordeling door van organisaties te eisen dat ze rekening houden met de maatschappelijke impact, eerlijkheid, transparantie en de rechten van mensen die getroffen worden door AI-beslissingen – inclusief degenen die geen directe gebruikers van het systeem zijn. De effectbeoordeling vormt de basis voor de selectie en implementatie van controles uit bijlage A van de norm en moet periodiek worden gedocumenteerd en beoordeeld.

ISO 42001: De AI-managementsysteemstandaard uitgelegd

Belangrijkste afhaalrestaurants

ISO 42001 is de eerste internationaal erkende AI-managementsysteemstandaard en is certificeerbaar, net als ISO 27001
Het is van toepassing op organisaties die op AI gebaseerde producten en diensten ontwikkelen, leveren of gebruiken – zowel aanbieders als uitvoerders
De standaard gebruikt dezelfde High Level Structure als ISO 27001 en ISO 9001, dus integratie met bestaande managementsystemen is eenvoudig
De impactbeoordeling van het AI-systeem is de centrale nieuwe vereiste: deze evalueert de potentiële effecten op mens en samenleving, en niet alleen de technische risico's
ISO 42001 is rechtstreeks gekoppeld aan verschillende verplichtingen van EU AI Act-implementeerders en kan de gedocumenteerde bestuursbasis vormen voor naleving van de AI Act
Organisaties met volwassen ISO 27001-programma's kunnen doorgaans binnen 6 tot 12 maanden gereed zijn voor ISO 42001-certificering

Wat ISO 42001 is

ISO/IEC 42001:2023 – formeel getiteld ‘Informatietechnologie – Kunstmatige Intelligentie – Managementsysteem’ – is de internationale standaard voor het opzetten, implementeren, onderhouden en verbeteren van een Kunstmatig Intelligentie Management Systeem (AIMS). Het werd in december 2023 door ISO gepubliceerd en werd de eerste wereldwijd erkende certificeerbare standaard voor AI-beheer.

De norm is geen technische specificatie voor het bouwen van AI-systemen. Het is een managementsysteemstandaard: het definieert de bestuursprocessen, documentatie, toezichtsmechanismen en continue verbeteringscycli die een organisatie nodig heeft om AI op verantwoorde wijze te beheren. Het gaat om de manier waarop je beslissingen neemt over AI, niet om de wiskunde of techniek achter de AI zelf.

ISO 42001 is van toepassing op elke organisatie die AI-systemen ontwikkelt, op AI gebaseerde producten of diensten levert, of AI-systemen gebruikt in haar activiteiten. Dat betekent dat softwareleveranciers die AI-functies bouwen, SaaS-bedrijven waarvan de platforms AI bevatten, en bedrijven die AI-tools van externe leveranciers inzetten, allemaal binnen de reikwijdte van de standaard vallen. De verplichtingen zijn afhankelijk van de rol: aanbieders worden geconfronteerd met meer gedetailleerde implementatievereisten, maar exploitanten hebben ook echte bestuurstaken.

Waarom het aantal zoekopdrachten naar ISO 42001 toeneemt

Er zijn twee krachten die de acceptatie stimuleren. Ten eerste vereist de EU AI Act gedocumenteerde processen voor AI-risicobeheer, menselijk toezicht en monitoring, waarvoor ISO 42001 het raamwerk biedt om te implementeren. Ten tweede beginnen inkoopbedrijven, verzekeraars en investeerders te vragen om bewijs van gestructureerd AI-beheer – op dezelfde manier waarop ze tien jaar geleden om ISO 27001 vroegen. De certificeringsmarkt voor ISO 42001 groeit snel.

De structuur van de standaard

ISO 42001 maakt gebruik van de Harmonised Structure (HS), het gemeenschappelijke raamwerk dat wordt gedeeld door alle moderne ISO-managementsysteemnormen, waaronder ISO 27001, ISO 9001 en ISO 14001. Dit betekent dat als uw organisatie al een ISO 27001 Information Security Management System gebruikt, de governance-architectuur voor ISO 42001 onmiddellijk bekend zal zijn - en dat de twee systemen kunnen worden geïntegreerd in plaats van parallel te draaien.

De tien clausules van de standaard volgen de Plan-Do-Check-Act-cyclus:

Context

Inzicht in de organisatie, haar belanghebbenden, AI-specifieke interne en externe kwesties en de reikwijdte van de AIMS. Vereist identificatie van alle AI-systemen binnen het bereik en de rol van de organisatie voor elk daarvan (ontwikkelaar, leverancier of implementeerder).

Leiderschap

Het topmanagement moet blijk geven van betrokkenheid bij de AIMS, een AI-beleid opstellen en rollen en verantwoordelijkheden toewijzen voor AI-governance. Het AI-beleid moet zich richten op verantwoord AI-gebruik, menselijk toezicht en afstemming op de waarden van de organisatie.

Planning

AI-specifieke risico’s en kansen moeten worden geïdentificeerd en beoordeeld. Er moeten AI-doelstellingen worden vastgesteld: meetbare doelstellingen voor verantwoord AI-gebruik. Risicobehandelingsplannen moeten worden gedocumenteerd en gekoppeld aan de controles uit bijlage A.

Steun

Middelen, competentie, bewustzijn, communicatie en gedocumenteerde informatie. Personeel dat betrokken is bij de ontwikkeling of inzet van AI moet blijk geven van de competentie die voor hun rol vereist is. Registraties van AIMS-processen moeten worden bijgehouden.

Operatie

De kernimplementatieclausule. Vereist impactbeoordelingen van het AI-systeem, AI-risicobeoordelingen, risicobehandeling en de operationele controles voor elk AI-systeem dat binnen de reikwijdte valt. Dit is waar het grootste deel van het AI-specifieke werk plaatsvindt.

Prestatie-evaluatie

Monitoring, meting, interne audit en managementbeoordeling. Organisaties moeten definiëren wat ze meten, hoe vaak en wie de resultaten beoordeelt. Managementbeoordelingen moeten betrekking hebben op de AI-risicoprestaties en AIMS-verbeteringen.

Verbetering

Non-conformiteit, corrigerende maatregelen en voortdurende verbetering. AI-specifieke incidenten – systeemstoringen, schadelijke resultaten, bevindingen over bias – moeten worden geregistreerd, onderzocht en gebruikt om procesverbeteringen aan te sturen.

De impactbeoordeling van het AI-systeem

De impactbeoordeling van het AI-systeem is het meest onderscheidende element van ISO 42001. Het maakt deel uit van clausule 8 (Bediening) en vereist dat organisaties, voordat ze een AI-systeem in de reikwijdte inzetten, de potentiële impact van dat systeem evalueren op:

Individuen die interactie hebben met het systeem of wiens gegevens het verwerkt – inclusief nauwkeurigheid, eerlijkheid, transparantie en de mogelijkheid van schadelijke resultaten.
Groepen en gemeenschappen die kunnen worden beïnvloed door de resultaten van het systeem op grote schaal, inclusief de mogelijkheid van discriminerende of onevenredige gevolgen voor beschermde groepen.
De samenleving breder – inclusief de impact op het milieu, machtsconcentratie en effecten op democratische processen of het vertrouwen van het publiek.
De organisatie zelf, reputatie-, juridische en operationele risico’s die voortkomen uit het gedrag van het AI-systeem.

De effectbeoordeling moet worden gedocumenteerd, beoordeeld wanneer het AI-systeem wezenlijk verandert, en worden gebruikt om de selectie van controles te onderbouwen. Het is geen eenmalige gebeurtenis, maar een doorlopend proces: als een AI-systeem qua reikwijdte, gebruiksscenario of onderliggend model verandert, moet de effectbeoordeling opnieuw worden bekeken.

Voor organisaties die zich voorbereiden op naleving van EU AI Act komt de effectbeoordeling nauw overeen met de Fundamental Rights Impact Assessment (FRIA) die op grond van de wet vereist is voor bepaalde AI-implementanten met een hoog risico. Het implementeren van het impactbeoordelingsproces van ISO 42001 is een praktische manier om de documentatiediscipline op te bouwen die FRIA-compliance vereist.

De effectbeoordeling is geen compliance-checkbox. Het is het mechanisme waarmee een organisatie laat zien dat ze serieus heeft nagedacht over wat haar AI-systemen kunnen doen met de mensen die erdoor worden getroffen – en niet alleen wat ze voor het bedrijf kunnen doen.

Bijlage A-controles

Bijlage A van ISO 42001 bevat AI-specifieke controles die organisaties zouden moeten overwegen om te implementeren, vergelijkbaar met de 93 controles in bijlage A van ISO 27001. De controles van bijlage A in ISO 42001 bestrijken zes domeinen:

Beleid met betrekking tot AI: Controles die betrekking hebben op het vaststellen, communiceren en beoordelen van het AI-beleid van de organisatie en ondersteunend beleid met betrekking tot specifieke AI-onderwerpen.
Interne organisatie: Controles die betrekking hebben op bestuursstructuren, rollen, toezichthoudende instanties en verantwoordelijkheid voor AI-systemen.
Hulpbronnen voor AI-systemen: Controles die betrekking hebben op databeheer, computerbronnen en de tools en infrastructuur die worden gebruikt bij de ontwikkeling en implementatie van AI.
Beoordeling van de AI-impact: Controles die betrekking hebben op de proces- en documentatievereisten voor de effectbeoordeling van het AI-systeem.
Levenscyclus van AI-systeem: Controles die betrekking hebben op het ontwerpen, ontwikkelen, testen, inzetten, monitoren en buiten gebruik stellen van AI-systemen.
Relaties met derden en klanten: Controles met betrekking tot AI-gerelateerde verplichtingen in leveranciers- en klantencontracten, en due diligence op AI-componenten van derden.

Organisaties selecteren controles uit bijlage A op basis van de uitkomsten van hun AI-risicobeoordeling en impactbeoordeling. Niet elke controle is van toepassing op elke organisatie; de Statement of Applicability (SoA) documenteert welke controles binnen de reikwijdte vallen en geeft de rechtvaardiging voor eventuele uitsluitingen.

ISO 42001 versus ISO 27001: wat is er anders

Dimensie	ISO 27001	ISO42001
Focus	Bescherming van informatie en informatiesystemen	Een verantwoord beheer van AI gedurende de hele levenscyclus
Risicoomvang	Vertrouwelijkheid, integriteit, beschikbaarheid van informatie	Impact van AI-systemen op mensen, de samenleving en de organisatie; eerlijkheid, transparantie, verantwoordelijkheid
Belangrijke beoordeling	Risicobeoordeling van informatiebeveiliging	Impactbeoordeling van AI-systemen + AI-risicobeoordeling
Bijlage A-controles	93 bedieningselementen verdeeld over 4 thema's	AI-specifieke controles over 6 domeinen
Definitie van het toepassingsgebied	Informatiemiddelen en -systemen binnen bereik	De reikwijdte van AI-systemen en de rol van de organisatie voor elk ervan
Certificeringscyclus	3 jaar, jaarlijkse toezichtaudits	3 jaar, jaarlijkse toezichtaudits
Integratie	Integreert met ISO 9001, ISO 14001 en andere	Ontworpen om te integreren met ISO 27001 en ISO 9001

Voor organisaties die al met een ISO 27001 ISMS werken, is de weg naar ISO 42001 aanzienlijk korter. De infrastructuur van het managementsysteem – gedocumenteerde informatie, interne audit, managementbeoordeling, corrigerende maatregelen – is al aanwezig. Wat moet worden toegevoegd is AI-specifiek: het AI-beleid, het impactbeoordelingsproces, de AI-risicobeoordeling en de AI-specifieke controles uit bijlage A. Veel organisaties kiezen ervoor om deze te integreren in hun bestaande ISMS in plaats van een afzonderlijk AIMS te gebruiken.

ISO 42001 en de EU AI Act

ISO 42001 en de EU AI Act pakken hetzelfde probleem vanuit verschillende invalshoeken aan. De AI-wet stelt wettelijke minimumeisen. ISO 42001 biedt een managementsysteemraamwerk dat het voldoen aan deze eisen systematisch en controleerbaar maakt.

Verschillende EU AI Act-verplichtingen voor implementaties van AI met een hoog risico zijn rechtstreeks gekoppeld aan ISO 42001-processen:

De eis van de wet om te implementeren menselijk toezicht wordt in kaart gebracht met de menselijke toezichtcontroles van ISO 42001 in bijlage A en de impactbeoordelingseis om de geschiktheid van menselijke beoordeling in overweging te nemen.
De eis van de wet om de prestaties van het AI-systeem monitoren en het detecteren van onverwacht gedrag komt overeen met de monitoring- en meetvereisten van ISO 42001 Clausule 9.
De eis van de wet om logboeken bijhouden komt overeen met de gedocumenteerde informatie-eisen van ISO 42001 en de controles van bijlage A over het bijhouden van gegevens.
De FRIA-vereiste van de wet voor bepaalde implementeerders komt overeen met het AI-systeemeffectbeoordelingsproces van ISO 42001.
De eis van de wet om werknemers informeren getroffen door AI-systemen komen overeen met de communicatie- en bewustzijnscontroles van ISO 42001.

Formele harmonisatie – waarbij conformiteit met ISO 42001 een juridisch vermoeden schept van naleving van specifieke AI Act-artikelen – wordt verwacht, maar was per juni 2026 nog niet bevestigd. Wanneer geharmoniseerde normen in het Publicatieblad worden gepubliceerd, zal ISO 42001-certificering waarschijnlijk een belangrijke troef worden voor zowel aanbieders als exploitanten die naleving willen aantonen.

dec
2023

ISO/IEC 42001:2023 gepubliceerd – de eerste certificeerbare norm voor AI-managementsystemen

6–12

maanden tot certificeringsgereedheid voor organisaties met volwassen ISO 27001-programma's

3 jaar

certificeringscyclus met jaarlijkse surveillance-audits, dezelfde structuur als ISO 27001

Aan de slag met ISO 42001

Het implementatietraject is afhankelijk van waar u begint. Organisaties met ISO 27001 hebben een aanzienlijke voorsprong. Degenen die geen formeel managementsysteem hebben, hebben een langere weg te gaan, maar kunnen beide standaarden samen implementeren vanuit een gedeelde basis.

Stap 1: Definieer uw AIMS-scope

Maak een lijst van elk AI-systeem dat uw organisatie ontwikkelt, aanbiedt of gebruikt in een professionele context. Bepaal voor elk systeem uw rol: ontwikkelaar, provider of implementeerder. Systemen waarbij u een ontwikkelaar of leverancier bent, vereisen meer gedetailleerde documentatie en controles. Systemen waarbij u een implementeerder bent (die een AI-tool van derden gebruikt) vereisen controle over hoe u ze gebruikt, niet over hoe ze zijn gebouwd.

Stap 2: Voer effectbeoordelingen van AI-systemen uit

Voer voor elk AI-systeem dat onder de reikwijdte valt een impactbeoordeling uit die de vier dimensies bestrijkt: impact op individuen, groepen, de samenleving en de organisatie. Documenteer uw bevindingen, identificeer waar de impact aanzienlijk is en gebruik de beoordeling om uw controleselectie te bepalen. Deze stap brengt vaak lacunes in het bestuur aan het licht die voorheen niet zichtbaar waren: AI-tools die zonder behoorlijke evaluatie worden ingezet, datapraktijken die moeten worden bijgewerkt en toezichtsmechanismen die informeel of afwezig zijn.

Stap 3: Voer uw AI-risicobeoordeling uit

Gebruik de bevindingen uit uw impactbeoordelingen om een formele AI-risicobeoordeling uit te voeren voor elk systeem dat binnen de reikwijdte valt. Identificeer risico's voor de organisatie als gevolg van AI-fouten, misbruik of schadelijke resultaten. Beoordeel ze. Identificeer de behandelingsopties: accepteren, verzachten, overdragen of vermijden. Documenteer de besluiten en koppel ze aan de controles die u gaat implementeren uit bijlage A.

Stap 4: Breng uw AI-beleid en bestuursstructuur tot stand

Stel een AI-beleid op waarin de verplichtingen van uw organisatie op het gebied van verantwoord AI-gebruik, menselijk toezicht, transparantie voor de betrokken partijen en databeheer worden uiteengezet. Wijs duidelijk eigenaarschap toe: wie is verantwoordelijk voor het AIMS in het algemeen, wie beoordeelt de prestaties van het AI-systeem en wie is verantwoordelijk voor het effectbeoordelingsproces. Als je een bestaande informatiebeveiligingsfunctie hebt, kan AI-governance ernaast staan, maar daarvoor is een benoemde eigenaar nodig.

Stap 5: Implementeer controles en bereid u voor op audit

Selecteer en implementeer de controles uit bijlage A die relevant zijn voor uw relevante systemen en risicoprofiel. Documenteer uw Verklaring van Toepasselijkheid. Voer ten minste één volledige interne auditcyclus uit voordat u een certificeringsinstantie inschakelt. De Fase 1-audit beoordeelt uw documentatie; de Stage 2 audit toetst of uw controles in de praktijk werken. Vervolgens vinden gedurende drie jaar jaarlijks toezichtaudits plaats voordat de volledige hercertificering plaatsvindt.

Ons audit- en complianceteam ondersteunt organisaties via ISO 42001 gap assessments, impact assessment design en implementatieplanning. Ons AI-adviespraktijk brengt domeinkennis met zich mee van de risico's van AI-systemen in de financiële dienstverlening, de gezondheidszorg en de professionele dienstverlening – de drie sectoren waar de vragen over AI-beheer het meest acuut zijn.

ISO 42001: De AI-managementsysteemnorm die uw organisatie moet kennen