ISO 42001 en de EU AI Act: hoe ze samenhangen en waarom je beide nodig hebt

Sinds augustus 2025 zijn de eerste verplichtingen uit de EU AI Act van kracht. Organisaties die AI systemen ontwikkelen of inzetten zijn verplicht om risicoclassificaties uit te voeren, transparantie te bieden en governance in te richten. Tegelijkertijd groeit de adoptie van ISO 42001, de internationale standaard voor AI managementsystemen. De twee zijn geen concurrenten. Ze vullen elkaar aan. Maar het is belangrijk om te begrijpen waar de overlap zit en waar de gaten vallen.

De EU AI Act is wetgeving. Het stelt bindende eisen aan aanbieders en gebruikers van AI systemen binnen de EU. De wet classificeert AI systemen in risicocategorieen: onaanvaardbaar risico (verboden), hoog risico (strenge eisen), beperkt risico (transparantieverplichtingen) en minimaal risico (geen specifieke eisen). Voor hoog risico systemen gelden uitgebreide eisen rond datakwaliteit, documentatie, menselijk toezicht, robuustheid en transparantie.

ISO 42001 is een vrijwillige standaard. Het biedt een raamwerk voor het opzetten van een AI managementsysteem (AIMS) dat organisaties helpt om AI op een verantwoorde manier te ontwikkelen en in te zetten. De standaard volgt de bekende ISO structuur met clausules 4 tot 10 en een Annex A met beheersmaatregelen.

Waar ze overlappen

De overlap is substantieel. Beide vereisen een AI inventarisatie: je moet weten welke AI systemen je hebt. Beide eisen risicobeoordeling: de AI Act via risicocategorieen, ISO 42001 via een AI risk assessment. Beide stellen eisen aan documentatie, transparantie en menselijk toezicht. En beide verwachten dat organisaties governance inrichten met duidelijke rollen en verantwoordelijkheden.

In de praktijk betekent dit dat een organisatie die ISO 42001 implementeert, een groot deel van de EU AI Act vereisten al afdekt. Het managementsysteem biedt de structuur, de processen en het bewijs dat toezichthouders verwachten. Dat maakt ISO 42001 een logisch vertrekpunt voor AI Act compliance.

Waar de gaten zitten

Maar ISO 42001 dekt niet alles. De EU AI Act stelt specifieke technische eisen aan hoog risico systemen die verder gaan dan wat ISO 42001 voorschrijft. Denk aan verplichte conformiteitsbeoordelingen, CE markering, registratie in de EU database, en specifieke eisen aan datasets die worden gebruikt voor het trainen van modellen. ISO 42001 biedt het managementsysteem, maar niet de technische detailvereisten die de wet stelt.

Daarnaast kent de AI Act specifieke verplichtingen voor aanbieders van general purpose AI modellen (GPAI). Deze vereisten rond modeltransparantie, copyrightcompliance en energierapportage vallen buiten de scope van ISO 42001.

De praktische aanpak

Wat wij organisaties adviseren is om ISO 42001 als fundament te gebruiken en daarbovenop de specifieke AI Act vereisten te adresseren die niet door de standaard worden gedekt. Begin met de AI inventarisatie en risicoclassificatie. Bepaal welke van je AI systemen onder de AI Act als hoog risico kwalificeren. Implementeer het managementsysteem conform ISO 42001 en vul aan met de technische en juridische vereisten uit de AI Act.

Het risico van niet handelen

Organisaties die afwachten lopen risico. De AI Act kent significante boetes: tot 35 miljoen euro of 7% van de wereldwijde jaaromzet voor de zwaarste overtredingen. Maar het gaat niet alleen om boetes. Klanten en partners vragen steeds vaker om aantoonbare AI governance. Een ISO 42001 certificaat is daar het meest concrete bewijs van.

De combinatie van wettelijke verplichting en marktvraag maakt dat AI governance geen nice to have meer is. Het is een bedrijfskritische capability geworden. Organisaties die nu beginnen met ISO 42001 implementatie, staan straks sterker als de handhaving van de AI Act volledig op gang komt.

Wij helpen organisaties bij het opzetten van AI governance die zowel ISO 42001 als de EU AI Act afdekt. Van inventarisatie en risicoclassificatie tot implementatie en interne audit. De certificeringsaudit zelf wordt uitgevoerd door een geaccrediteerde certificeringsinstelling zoals DigiTrust (www.digitrust.nl). Neem contact op voor een pragmatisch startgesprek.