In mei 2025 publiceerde ISO de norm ISO/IEC 42005, de eerste internationale standaard die volledig is gewijd aan het uitvoeren van AI-systeem impactassessments. Waar ISO 42001 voorschrijft dat een organisatie impactassessments moet uitvoeren, vult ISO 42005 die opdracht concreet in. De standaard beantwoordt de vraag die veel organisaties parten speelt: hoe pak je zo'n assessment nu daadwerkelijk aan?
Wat is een AI-impactassessment?
Een AI-impactassessment brengt in kaart hoe een AI-systeem, en het redelijkerwijs te verwachten gebruik ervan, individuen, groepen en de samenleving kan raken. Het gaat dus verder dan een klassieke risicoanalyse die naar de organisatie zelf kijkt. De kernvraag is naar buiten gericht: wie ondervindt de gevolgen van dit systeem, en welke gevolgen zijn dat?
Dat onderscheid is belangrijk. Een datalek raakt in de eerste plaats de organisatie. Een AI-systeem dat sollicitanten onterecht afwijst, raakt mensen die nooit klant of medewerker worden en die het besluit vaak niet eens kunnen herleiden. De impactassessment is ontworpen om juist die effecten zichtbaar te maken voordat het systeem in productie gaat.
Geen certificering, wel structuur
Een belangrijk kenmerk van ISO 42005 is dat het geen certificeerbare norm is. Er komt geen externe auditor langs om een certificaat af te geven. De standaard is bedoeld voor intern gebruik: hij geeft organisaties een gemeenschappelijke methode om de gevolgen van hun AI-systemen te beoordelen, van het eerste ontwerp tot aan deployment en monitoring.
Dat maakt de norm niet vrijblijvend. ISO 42005 sluit aan op ISO 42001, dat wel certificeerbaar is. Een organisatie die ISO 42001 implementeert en in haar AI-managementsysteem verwijst naar ISO 42005 als methode voor impactassessments, bouwt een onderbouwde en uitlegbare aanpak. En voor wie zich voorbereidt op de EU AI Act levert de assessment precies de documentatie op die toezichthouders verwachten.
Wat de standaard vraagt
ISO 42005 beschrijft welke onderwerpen in een impactassessment thuishoren. Dat begint bij een beschrijving van het AI-systeem zelf: wat doet het, voor wie, in welke context, en op basis van welke data. Vervolgens komt het beoogde en het redelijkerwijs voorzienbare gebruik aan bod, inclusief misbruikscenario's. Daarna volgen de potentiële gevolgen, zowel de voordelen als de schade, voor de verschillende betrokken partijen.
De standaard benadrukt dat een impactassessment geen eenmalige exercitie is. AI-systemen veranderen: modellen worden hertraind, datasets schuiven, en het gebruik in de praktijk wijkt af van wat bij het ontwerp was bedacht. Daarom hoort de assessment een vast moment te krijgen in de levenscyclus van het systeem, met herbeoordeling bij significante wijzigingen.
De samenhang met de AVG-DPIA
Veel privacyprofessionals herkennen in de AI-impactassessment de structuur van de Data Protection Impact Assessment uit de AVG. Die gelijkenis is er, maar de scope verschilt. Een DPIA richt zich op de verwerking van persoonsgegevens en de privacyrisico's daarvan. Een AI-impactassessment kijkt breder: naar bias, naar betrouwbaarheid, naar transparantie, naar maatschappelijke effecten die niets met persoonsgegevens te maken hoeven hebben.
In de praktijk lopen beide assessments vaak in elkaar over. Een AI-systeem dat persoonsgegevens verwerkt voor een besluit met rechtsgevolgen vraagt zowel om een DPIA als om een AI-impactassessment. Wij adviseren organisaties om die twee niet als losse trajecten te behandelen, maar als één geïntegreerde beoordeling waarin de privacy- en de AI-invalshoek samenkomen.
Hoe Secure Audit hierin ondersteunt
Wij helpen organisaties bij het opzetten van een werkbaar impactassessment-proces dat aansluit op ISO 42005, ISO 42001 en de eisen van de EU AI Act. Dat begint bij een sjabloon dat past bij de eigen context, en bij het scherp krijgen van de vraag welke AI-systemen welke vorm van assessment nodig hebben. Neem contact op voor een kennismaking.
Veelgestelde vragen
Is ISO 42005 een certificeerbare norm?+
Nee. ISO/IEC 42005:2025 is een leidraad voor intern gebruik; er wordt geen certificaat tegen afgegeven. De norm sluit wel aan op het certificeerbare ISO 42001, waarin je naar ISO 42005 kunt verwijzen als methode voor impactassessments.
Wat is het verschil tussen een AI-impactassessment en een DPIA?+
Een DPIA richt zich op de privacyrisico's bij de verwerking van persoonsgegevens. Een AI-impactassessment kijkt breder, naar bias, betrouwbaarheid, transparantie en maatschappelijke effecten. In de praktijk overlappen beide en zijn ze vaak te combineren tot één beoordeling.
Wanneer moet je een AI-impactassessment uitvoeren?+
Voordat een AI-systeem in productie gaat, en opnieuw bij significante wijzigingen zoals hertraining van het model of nieuw gebruik. Het is geen eenmalige exercitie maar een vast moment in de levenscyclus van het systeem.
Lees ook
ISO 42001 biedt richtlijnen voor het beheren van AI-systemen op een veilige en verantwoorde manier. Ontdek wat dit betekent voor jouw organisatie.
De AI-verordening (EU AI Act) treedt augustus 2026 volledig in werking voor hoog-risico AI-systemen. Hoe classificeer je jouw AI-systemen, wat zijn de verplichtingen en hoe bereid je de conformiteitsbeoordeling voor? Een praktische gids met boetes tot 35 miljoen euro.
De EU AI Act is van kracht en ISO 42001 biedt het managementsysteem om eraan te voldoen. Maar hoe verhouden ze zich tot elkaar? En waar zitten de hiaten?
Sinds 2 februari 2025 verplicht artikel 4 van de EU AI Act elke organisatie die AI inzet om te zorgen voor voldoende AI-geletterdheid bij haar personeel. Het is de eerste concrete verplichting die al van kracht is, en het raakt vrijwel iedere organisatie. Wat houdt de eis precies in en hoe geef je er invulling aan?
Over de auteur
Partner | IT-auditor