Organisaties die AI verantwoord willen beheren én hun informatiebeveiliging willen certificeren, staan voor twee normen: ISO 27001 voor informatiebeveiliging en ISO 42001 voor AI-management. Ze los van elkaar implementeren betekent dubbel werk: twee keer beleid, twee keer risicobeoordeling, twee interne audits. Maar beide normen delen dezelfde grondstructuur, waardoor een geïntegreerde implementatie veel efficiënter is. Dit artikel laat zien hoe je dat aanpakt.
De gedeelde structuur van ISO-managementsystemen
ISO-managementsysteemnormen volgen sinds enkele jaren een gemeenschappelijke opzet, de zogeheten harmonized structure. Daardoor delen ISO 27001 en ISO 42001 dezelfde hoofdstukindeling: context van de organisatie, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. Voor de implementatie betekent dit dat een groot deel van het raamwerk identiek is. Je hoeft de governance, het beleid op hoofdlijnen, het risicomanagementproces, de interne audit en de management review niet twee keer uit te vinden.
Wat je kunt delen
In een geïntegreerde aanpak deel je de overkoepelende elementen. Eén governancestructuur met duidelijke rollen, één set kernprocessen voor risicomanagement, documentbeheer, interne audit, management review en continue verbetering. Ook een aantal beheersmaatregelen overlapt in de praktijk: toegangsbeheer, leveranciersbeheer, bewustwording en incidentbeheer raken zowel informatiebeveiliging als AI-governance. Door deze maatregelen één keer in te richten en aan beide normen te koppelen, voorkom je dubbele administratie.
Wat domeinspecifiek blijft
Niet alles is te delen. ISO 27001 heeft zijn eigen Annex A met 93 beveiligingsmaatregelen en een Statement of Applicability. ISO 42001 kent zijn eigen AI-specifieke onderwerpen: de AI-inventarisatie, AI-impactassessments, transparantie over geautomatiseerde besluitvorming, bias en gegevenskwaliteit. Deze domeinspecifieke onderdelen richt je apart in, maar binnen hetzelfde overkoepelende managementsysteem. De kunst is het onderscheid tussen het gedeelde fundament en de specifieke bovenbouw scherp te houden.
De volgorde: gelijktijdig of na elkaar
Heeft een organisatie al ISO 27001, dan bouw je ISO 42001 daar bovenop: je gebruikt de bestaande governance en processen en voegt de AI-specifieke elementen toe. Begin je met beide tegelijk, dan richt je het gedeelde fundament één keer in en werk je daarna de twee domeinen parallel uit. Gelijktijdig implementeren vraagt meer coördinatie, maar levert de grootste efficiëntiewinst op omdat je het fundament niet achteraf hoeft aan te passen.
De rol van de risicobeoordeling
Beide normen draaien om risicomanagement, maar met een andere focus. ISO 27001 kijkt naar risico's voor de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. ISO 42001 kijkt naar risico's van AI-systemen, inclusief bias, transparantie en impact op betrokkenen. In een geïntegreerde aanpak gebruik je hetzelfde risicomanagementproces en dezelfde methodiek, maar met aparte risicoregisters of duidelijk gemarkeerde categorieën. Zo blijft de samenhang behouden zonder dat de twee risicotypen door elkaar lopen.
Eén interne audit, twee scopes
Een belangrijk voordeel zit in de interne audit en de management review. In plaats van twee losse trajecten voer je een gecombineerd auditprogramma uit dat beide normen dekt, met aandacht voor de specifieke eisen van elk. Dat bespaart tijd en geeft het management een integraal beeld van zowel informatiebeveiliging als AI-governance. De certificeringsaudits worden door de certificeringsinstelling uitgevoerd en kunnen vaak gecombineerd of op elkaar afgestemd worden ingepland.
De rol van tooling
Een geïntegreerde implementatie vraagt om overzicht over twee normen tegelijk. Een GRC-platform dat meerdere normen ondersteunt, laat je gedeelde maatregelen één keer registreren en aan beide normen koppelen, terwijl domeinspecifieke maatregelen apart blijven. Dat maakt de samenhang zichtbaar en voorkomt dat een wijziging in het ene systeem onopgemerkt gevolgen heeft voor het andere. Voor een geïntegreerd traject is dit overzicht het verschil tussen efficiëntie en chaos.
Secure Audit begeleidt geïntegreerde implementaties van ISO 27001 en ISO 42001, ondersteund door onze GRC-tool waarin beide normen samenkomen. Zo realiseer je twee certificaten met aanzienlijk minder dubbel werk. Neem contact op voor een vrijblijvend gesprek over een geïntegreerd traject.
Veelgestelde vragen
Waarom kun je ISO 27001 en ISO 42001 geïntegreerd implementeren?+
Beide normen volgen dezelfde harmonized structure: context, leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. Daardoor is een groot deel van het raamwerk, zoals governance, risicomanagement en interne audit, identiek en deelbaar.
Wat blijft domeinspecifiek tussen de twee normen?+
ISO 27001 houdt zijn eigen Annex A en Statement of Applicability; ISO 42001 kent AI-specifieke onderwerpen als de AI-inventarisatie, impactassessments, transparantie, bias en gegevenskwaliteit. Die richt je apart in binnen hetzelfde managementsysteem.
Kun je beide normen in één interne audit toetsen?+
Ja. Je voert een gecombineerd auditprogramma uit dat beide normen dekt, met aandacht voor de specifieke eisen van elk. Dat bespaart tijd en geeft het management een integraal beeld van informatiebeveiliging en AI-governance.
Is geïntegreerd implementeren altijd efficiënter?+
Meestal wel, omdat je het gedeelde fundament maar één keer inricht. Gelijktijdig implementeren vraagt meer coördinatie, maar levert de grootste winst op. Heb je al ISO 27001, dan bouw je ISO 42001 efficiënt op de bestaande structuur.
Lees ook
Van AI-inventarisatie tot AIMS en interne audit: een praktisch stappenplan voor de implementatie van ISO 42001, de standaard voor verantwoord AI-beheer.
Een gecombineerde audit van meerdere ISO-normen bespaart 25-40% tijd en kosten dankzij de gedeelde High Level Structure. Lees hoe je ISO 27001, ISO 42001, NEN 7510 en ISO 9001 integreert in één managementsysteem en audit.
Veel ISO 27001-trajecten verzanden in spreadsheets en gedeelde mappen. Een GRC-platform brengt controls, risico's en bewijslast samen en versnelt de implementatie aanzienlijk.
Over de auteur
Partner | IT-auditor