ISO 42001: een AI-managementsysteem dat werkt in de praktijk
ISO/IEC 42001 is de internationale norm voor AI-governance. De norm legt vast wie verantwoordelijk is voor AI-gebruik, hoe risico’s worden beoordeeld en hoe een organisatie toezicht houdt op AI-toepassingen gedurende de volledige lifecycle.
iQomply implementeert ISO 42001 als een werkend sturingssysteem. Geen papieren kader, maar een managementsysteem dat aansluit op hoe de organisatie al werkt.
Wat is ISO 42001
ISO 42001 beschrijft hoe een organisatie AI beheert en bestuurt. De norm is niet gericht op de techniek van AI, maar op de organisatorische inrichting ervan: wie is verantwoordelijk, hoe worden beslissingen genomen, hoe wordt AI-gebruik gedocumenteerd en bijgestuurd.
De norm sluit logisch aan op bestaande managementsystemen. Organisaties met ISO 27001, ISO 9001 of ISO 22301 herkennen de structuur en kunnen de implementatie grotendeels opbouwen op wat er al ligt.
De norm rust op drie pijlers. Governance en verantwoordelijkheid: eigenaarschap van AI-gebruik is formeel belegd, met heldere rollen en escalatielijnen. Risicogestuurd AI-management: risico’s zoals databias, uitlegbaarheid en menselijk toezicht worden systematisch beoordeeld en gemitigeerd. Lifecycle management: AI-toepassingen worden beheerd van intake tot uitfasering, met logging, validatie en changemanagement gedurende de hele levensduur
Waarom ISO 42001 nu relevant is
In veel organisaties is AI al in gebruik, maar zonder dat eigenaarschap is belegd. Besluiten worden genomen zonder formeel toezicht. Medewerkers gebruiken AI-tools op eigen initiatief, zonder dat de organisatie weet welke data wordt verwerkt of hoe de output wordt gebruikt.
Toezichthouders, raden van bestuur en opdrachtgevers stellen steeds vaker vragen over AI-gebruik. De EU AI Act vergroot die druk verder. Organisaties die nu een governancestructuur inrichten, staan straks sterker, zowel richting toezichthouders als richting klanten en partners.
42001 brengt structuur aan in wat er al speelt. De norm maakt niet iets nieuws, maar maakt zichtbaar wat ontbreekt: eigenaarschap, logging en een heldere grens tussen wat de organisatie wil met AI en wat niet.
Uit de auditpraktijk: de meeste organisaties die beginnen aan ISO 42001 hebben al AI in gebruik. De norm brengt geen nieuwe technologie, maar maakt zichtbaar wat ontbreekt: wie beslist er over AI-gebruik, wie is verantwoordelijk als het misgaat, en hoe toont de organisatie dat aan een toezichthouder of raad van bestuur?
AI-governance is ook een strategisch vraagstuk. Organisaties die nu investeren in een werkende governancestructuur, bouwen een voorsprong op ten opzichte van organisaties die wachten tot wetgeving of incidenten hen dwingen. De EU AI Act is gefaseerd van kracht. Organisaties met een ISO 42001-managementsysteem staan bij elke nieuwe verplichting sterker, omdat de basisstructuur al staat.
De structuur van ISO 42001
Context en reikwijdte
De norm begint met het bepalen van de organisatiecontext: welke AI-toepassingen zijn in gebruik, welke zijn gepland, en wat verwachten interne en externe stakeholders. Dit vormt de basis voor alle keuzes in het managementsysteem.
Organisaties die dit goed doen, ontdekken in deze fase vaak dat AI al op meer plaatsen wordt gebruikt dan het management wist. Schaduw-AI, zoals medewerkers die ChatGPT gebruiken voor klantcommunicatie of rapportages, wordt hier zichtbaar gemaakt en bewust in scope gebracht of expliciet uitgesloten.
Leiderschap en governance
ISO 42001 vereist dat de directie aantoonbaar betrokken is bij AI-governance. Eigenaarschap wordt formeel belegd, rollen en verantwoordelijkheden zijn vastgelegd en er is een escalatielijn voor AI-gerelateerde beslissingen.
In de praktijk betekent dit dat er een AI-eigenaar wordt aangewezen op managementniveau. Dat hoeft geen technisch expert te zijn. Het gaat om iemand die beslissingen neemt over scope, risicoacceptatie en inzet van AI binnen de organisatie. Zonder deze stap blijft governance een papieren exercitie.
AI-risicobeleid
Risico’s worden systematisch beoordeeld op basis van criteria die de organisatie zelf vaststelt. Databias, uitlegbaarheid, menselijk toezicht en privacy zijn vaste aandachtsgebieden. Risico’s sturen maatregelen, niet andersom.
De norm schrijft geen specifieke risicodrempelwaarden voor. Wat het wel vereist is dat de organisatie haar eigen criteria bepaalt en die consistent toepast. Een organisatie in de zorg hanteert andere risicocriteria voor AI-ondersteunde besluitvorming dan een marketingbureau. De norm is daar bewust op ingericht.
AI lifecycle management
Elke AI-toepassing doorloopt een beheerde lifecycle: van intake en business case via risicoanalyse en validatie naar monitoring, changemanagement en uiteindelijk uitfasering. De norm vereist dat elke fase aantoonbaar wordt uitgevoerd.
Dit onderdeel is voor veel organisaties het meest concreet merkbaar in de dagelijkse praktijk. Een AI-toepassing die wordt aangepast, een nieuw model dat wordt ingezet of een leverancier die zijn onderliggende technologie wijzigt: allemaal triggers die een changemanagementprocedure activeren. Zonder lifecycle management worden dit blinde vlekken.
Toezicht, evaluatie en verbetering
Het managementsysteem wordt periodiek geëvalueerd via interne audits en een management review. Afwijkingen leiden tot corrigerende maatregelen. Continu verbeteren is een expliciete eis van de norm.
De management review is het moment waarop de directie formeel vaststelt of het AI-managementsysteem nog passend is bij de strategie en het risicoprofiel van de organisatie. Dit is geen administratieve formaliteit. Het is het moment waarop nieuwe AI-toepassingen worden getoetst, risico-inschattingen worden herzien en beslissingen worden gedocumenteerd.
Integratie bestaande managementsystemen
ISO 42001 volgt de High Level Structure en sluit direct aan op ISO 27001, ISO 9001 en ISO 22301. Organisaties met een bestaand managementsysteem kunnen de AI-governance daarop enten zonder een parallel systeem op te bouwen.
Voor organisaties met ISO 27001 is de overlap het grootst. Risicomethodiek, interne auditstructuur, management review en documentatiebeheer zijn al ingericht. ISO 42001 breidt dat uit met AI-specifieke elementen. In de praktijk resulteert dit in een gecombineerd implementatietraject dat sneller en goedkoper is dan een volledig zelfstandige 42001-implementatie.
Zo pakt iQomply ISO 42001 aan
STAP 01
Context & ambities
We starten bij de organisatie: welke processen zijn kritiek, welke dreigingen zijn strategisch relevant en waar zit echte impact op continuïteit en vertrouwen.
42001:2023
STAP 02
Governance & beleid
We brengen structuur aan in rollen, verantwoordelijkheden, besluitvorming en toezicht. Zonder bureaucratie, met duidelijkheid over wie wat besluit.
42001:2023 | AI ACT
STAP 03
Implementatie & lifecycle
Elke AI-toepassing doorloopt een beheerde lifecycle: intake, risicoanalyse, validatie, monitoring en uitfasering. Wijzigingen in een AI-systeem of onderliggende technologie activeren een changemanagementprocedure. Niets wordt stilzwijgend aangepast.
42001:2023
STAP 04
Toetsing & certificering
Interne audit, management review en voorbereiding op de certificeringsaudit door een erkende certificerende instantie. iQomply begeleidt het volledige proces. Doorlooptijd: 2 tot 3 weken.
42001:2023
Totale doorlooptijd: 10 tot 14 weken, afhankelijk van de complexiteit van de organisatie.
Wat ISO 42001 oplevert
Overzicht en sturing op alle AI-toepassingen binnen de organisatie. Aantoonbaar risicogestuurd AI-management, gedocumenteerd en controleerbaar. Betere besluitvorming op MT- en bestuursniveau over AI-gebruik en AI-risico’s. Gereedheid voor de eisen van de EU AI Act en toekomstig toezicht. Vertrouwen bij klanten, partners en toezichthouders dat AI verantwoord wordt ingezet.
iQomply certificeerde de eerste organisatie in Nederland onder ISO 42001:2023.
ISO 42001 is relevant voor organisaties die AI al inzetten of dat op korte termijn willen doen, en die aantoonbaar verantwoord willen werken. Denk aan zorginstellingen en IT-leveranciers in de zorg, SaaS- en technologiebedrijven, onderwijsinstellingen, nutsbedrijven en kritieke infrastructuur, en organisaties die AI willen opschalen op een structureel verantwoorde manier.
Organisaties die ISO 42001 implementeren, merken in de praktijk dat de norm ook intern iets verandert. Discussies over AI-gebruik worden concreter. Medewerkers weten wat wel en niet is toegestaan. De directie heeft een instrument om AI-risico’s te wegen en te prioriteren. Dat is de waarde die verder gaat dan het certificaat.
Veelgestelde vragen over interne audits
Is ISO 42001 verplicht?
ISO 42001 is op dit moment niet wettelijk verplicht. De EU AI Act stelt eisen aan AI-systemen met een hoog risicoprofiel, maar verplicht geen specifieke norm. Organisaties die ISO 42001 implementeren, voldoen aan de geest van de AI Act en kunnen dat aantoonbaar maken richting toezichthouders, opdrachtgevers en samenwerkingspartners.
Wat is het verschil tussen ISO 42001 en de AI Act?
ISO 42001 is op dit moment niet wettelijk verplicht. De EU AI Act stelt eisen aan AI-systemen met een hoog risicoprofiel, maar verplicht geen specifieke norm. Organisaties die ISO 42001 implementeren, voldoen aan de geest van de AI Act en kunnen dat aantoonbaar maken richting toezichthouders, opdrachtgevers en samenwerkingspartners.
Voor welke organisaties is ISO 42001 relevant?
ISO 42001 is relevant voor elke organisatie die AI inzet of dat wil gaan doen, en die aantoonbaar verantwoord wil werken. In de praktijk gaat het vaak om organisaties in gereguleerde sectoren zoals zorg, onderwijs en financiële dienstverlening, en om technologiebedrijven die AI als onderdeel van hun dienstverlening aanbieden.
Wat is het verschil tussen ISO 42001 en ISO 27001?
ISO 27001 richt zich op informatiebeveiliging: de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. ISO 42001 richt zich specifiek op AI-governance: de inrichting, het toezicht en het lifecycle management van AI-toepassingen. Beide normen volgen de High Level Structure en kunnen goed worden gecombineerd in één geïntegreerd managementsysteem.
ISO 42001 implementeren begint met een helder vertrekpunt
Bart de Man begeleidt organisaties bij ISO 42001-implementaties op basis van directe auditervaring. Hij certificeerde de eerste organisatie in Nederland onder ISO 42001:2023 in zijn rol als Lead Auditor bij DNV.
Geen standaardaanpak, maar een traject dat past bij de schaal van de organisatie, het AI-gebruik dat er al is en wat realistisch haalbaar is.
Klaar om van compliance naar volwassenheid te groeien?
Vrijblijvend, praktisch en gericht op jouw situatie.