ISO 42001 is de eerste internationale norm voor een AI-managementsysteem, het AIMS. Waar ISO 27001 zich richt op informatiebeveiliging, gaat ISO 42001 over het verantwoord ontwikkelen, inkopen en gebruiken van AI. Steeds meer organisaties willen zich certificeren, gedreven door klantvragen en de EU AI Act. Maar hoe pak je de implementatie concreet aan? Dit artikel geeft een praktisch stappenplan.
Stap 1: AI-inventarisatie
Elke ISO 42001-implementatie begint met een inventarisatie van de AI-systemen die de organisatie ontwikkelt, inkoopt of gebruikt. Dit is consequent de lastigste stap, omdat AI breder aanwezig is dan organisaties denken. Niet alleen eigen modellen of een ChatGPT-licentie, maar ook AI-functionaliteit in marketingtools, salesplatforms, HR-software en features die bestaande leveranciers stilletjes hebben toegevoegd. Zonder een volledige inventarisatie mist de rest van het traject een fundament. Betrek daarom niet alleen IT, maar ook business, marketing, finance en HR.
Stap 2: context, scope en governance
Vervolgens bepaal je de scope van het AIMS en de context waarin de organisatie AI inzet. Wie zijn de belanghebbenden, welke wettelijke eisen gelden, en welke rol speelt AI in de kernprocessen? Hier richt je ook de governance in. Een veelgemaakte fout is om de securityafdeling eigenaar te maken van alle AI-risico's; dat maakt elk AI-initiatief afhankelijk van één flessenhals. Het model dat werkt is: security en compliance adviseren, de business beslist en is eigenaar van de uitkomsten.
Stap 3: AI-risicobeoordeling
ISO 42001 vereist een risicobeoordeling van AI-systemen. AI-risico's verschillen van klassieke beveiligingsrisico's: het gaat ook om bias, transparantie, uitlegbaarheid, gegevenskwaliteit en de impact op betrokkenen. De kunst is om risico's concreet te maken in plaats van alles op 'middel' te zetten. Werk met scenario's: wat gebeurt er als dit model een verkeerde beslissing neemt, wie wordt geraakt, en wat is de impact op klanten, reputatie en compliance? Zo ontstaat een gedeelde taal en kun je prioriteren.
Stap 4: AI-impactassessments
Voor AI-systemen met betekenisvolle impact op mensen voer je een impactassessment uit. De norm ISO 42005 biedt hiervoor handvatten. Je beoordeelt de gevolgen voor betrokkenen, de maatregelen om risico's te beperken en de manier waarop je transparantie biedt over geautomatiseerde besluitvorming. Dit sluit direct aan op de verplichtingen rond hoog-risico AI uit de EU AI Act.
Stap 5: beleid, maatregelen en bewijslast
Op basis van de risico's en assessments stel je beleid en beheersmaatregelen op: richtlijnen voor verantwoord AI-gebruik, eisen aan leveranciers, processen voor monitoring van modellen en afspraken over menselijk toezicht. Belangrijk is dat het beleid werkbaar is. Te strikt beleid leidt tot shadow AI: medewerkers wijken uit naar persoonlijke accounts en omzeilen de regels. Betrek de business bij het opstellen, zodat het beleid adoptie mogelijk maakt binnen de afgesproken risicogrenzen. Verzamel gaandeweg bewijslast dat de maatregelen werken.
Stap 6: interne audit en management review
Net als ISO 27001 verplicht ISO 42001 een interne audit en een management review. De interne audit toetst of het AIMS in de praktijk werkt en legt verbeterpunten bloot. De management review borgt dat het management de effectiviteit beoordeelt en bijstuurt. Daarna is het AIMS gereed voor de certificeringsaudit door een certificeringsinstelling.
Certificering is geen eindpunt
De belangrijkste les uit de praktijk: ISO 42001 is geen project met een einddatum, maar een doorlopend proces. Modellen worden bijgewerkt, leveranciers wijzigen hun diensten, regelgeving verschuift en nieuwe AI-toepassingen worden geïntroduceerd. Zonder doorlopende monitoring veroudert het AIMS binnen een half jaar. Richt daarom van begin af aan een ritme in waarin de AI-inventarisatie actueel blijft en nieuwe systemen worden beoordeeld.
De samenhang met ISO 27001 en de EU AI Act
Veel organisaties die ISO 42001 implementeren, hebben al ISO 27001. Dat is een voordeel: beide normen delen de structuur van een managementsysteem met beleid, risicobeoordeling, interne audit en management review. Je kunt ze geïntegreerd inrichten en zo dubbel werk voorkomen. Daarnaast helpt ISO 42001 om aantoonbaar invulling te geven aan de governance-eisen van de EU AI Act, ook al is het geen één-op-één bewijs van conformiteit.
Secure Audit begeleidt organisaties bij een pragmatische ISO 42001-implementatie, van AI-inventarisatie tot certificering en doorlopende monitoring, ondersteund door ons eigen platform. Neem contact op voor een vrijblijvend gesprek over AI-governance.
Veelgestelde vragen
Wat is een AIMS in ISO 42001?+
Een AIMS is een AI-managementsysteem: het geheel van beleid, processen, risicobeoordeling en governance waarmee een organisatie AI verantwoord ontwikkelt, inkoopt en gebruikt. Het is het AI-equivalent van het ISMS uit ISO 27001.
Wat is de eerste stap bij een ISO 42001-implementatie?+
Een volledige AI-inventarisatie. AI zit vaak verstopt in marketing-, sales- en HR-tools en in features van bestaande leveranciers. Zonder compleet beeld mist de rest van het traject een fundament. Betrek daarom ook business, marketing, finance en HR.
Kun je ISO 42001 combineren met ISO 27001?+
Ja. Beide normen delen de structuur van een managementsysteem met beleid, risicobeoordeling, interne audit en management review. Een geïntegreerde inrichting voorkomt dubbel werk en is vaak efficiënter.
Bewijst ISO 42001-certificering dat je voldoet aan de EU AI Act?+
Niet één op één. ISO 42001 helpt om de governance-eisen van de EU AI Act aantoonbaar in te vullen en geeft een sterke basis, maar is geen directe conformiteitsverklaring onder de verordening.
Lees ook
ISO 42001 biedt richtlijnen voor het beheren van AI-systemen op een veilige en verantwoorde manier. Ontdek wat dit betekent voor jouw organisatie.
Een AI-managementsysteem opzetten en levend houden vraagt om overzicht. We laten zien hoe een GRC-platform de ISO 42001-implementatie versnelt en de AI-inventarisatie actueel houdt.
Medewerkers gebruiken AI-tools die niemand heeft goedgekeurd, leveranciers voegen stilletjes AI-functies toe, en de organisatie heeft geen overzicht. Dat is shadow AI, en het is voor iedere AI-governance het grootste blinde vlek. Een volledige AI-inventarisatie is de eerste en onmisbare stap, of je nu ISO 42001 implementeert of je voorbereidt op de EU AI Act.
Over de auteur
Partner | IT-auditor