Skip to Content
ISO 42001EU AI Act en ISO 42001

EU AI Act en ISO 42001

De Europese AI Act  is de eerste uitgebreide AI-wetgeving ter wereld. ISO 42001  kan je helpen om eraan te voldoen, maar het is geen garantie voor volledige compliance. De Rijksoverheid  biedt actuele informatie over de Nederlandse implementatie. Op deze pagina leggen we uit hoe de twee zich tot elkaar verhouden.

Wat is de EU AI Act?

De AI Act  is een Europese verordening die eisen stelt aan AI-systemen. Het doel: AI betrouwbaar en veilig maken, mensenrechten beschermen, innovatie mogelijk houden. Het Europese AI Office  coördineert de implementatie.

De wet is op 1 augustus 2024 in werking getreden. De verschillende onderdelen worden gefaseerd van toepassing. Niet alles geldt meteen. Organisaties krijgen tijd om zich voor te bereiden.

De AI Act hanteert een risicogebaseerde aanpak. Hoe groter het risico van een AI-systeem, hoe strenger de eisen.

De risicocategorieën

Verboden AI

Sommige AI-toepassingen zijn simpelweg verboden. Dit zijn toepassingen die onaanvaardbare risico’s opleveren voor fundamentele rechten.

Sinds 2 februari 2025 verboden:

  • Social scoring door overheden (mensen beoordelen en classificeren op basis van sociaal gedrag)
  • Manipulatieve AI die mensen misleidt of uitbuit
  • Biometrische categorisatiesystemen op basis van gevoelige kenmerken
  • Real-time biometrische identificatie in publieke ruimtes door rechtshandhaving (met uitzonderingen)
  • Emotieherkenning op de werkplek en in onderwijs
  • Databases voor gezichtsherkenning op basis van scraping

Hoog-risico AI

AI-systemen met significant risico voor gezondheid, veiligheid of fundamentele rechten. Deze krijgen de strengste eisen.

Voorbeelden van hoog-risico AI:

  • AI in medische hulpmiddelen
  • AI voor toegang tot onderwijs en beroepsopleiding
  • AI voor werving en selectie
  • AI voor kredietbeoordeling
  • AI in kritieke infrastructuur
  • AI voor rechtshandhaving
  • AI in migratiemanagement

Wat moeten aanbieders van hoog-risico AI?

  • Risicomanagementsysteem opzetten
  • Data governance en -kwaliteit waarborgen
  • Technische documentatie bijhouden
  • Logging en traceerbaarheid inbouwen
  • Transparantie naar gebruikers
  • Menselijk toezicht mogelijk maken
  • Robuustheid, nauwkeurigheid en cybersecurity
  • Conformiteitsbeoordeling doen
  • CE-markering aanbrengen
  • Registreren in de EU-database

AI met beperkt risico

AI-systemen met specifieke transparantieverplichtingen. Gebruikers moeten weten dat ze met AI te maken hebben.

Voorbeelden:

  • Chatbots (moeten onthullen dat ze AI zijn)
  • Emotieherkenning (gebruikers informeren)
  • Deepfakes (labelen als kunstmatig)
  • AI-gegenereerde content (kenbaar maken)

AI met minimaal risico

Alle overige AI. Geen specifieke verplichtingen, maar vrijwillige gedragscodes worden aangemoedigd.

De tijdlijn

De AI Act wordt gefaseerd van toepassing:

DatumWat gaat gelden
2 februari 2025Verboden AI-toepassingen, AI-geletterdheidseis
2 augustus 2025Eisen voor AI-modellen voor algemene doeleinden (GPAI)
2 augustus 2026Volledige eisen voor hoog-risico AI (Bijlage III)
2 augustus 2027Eisen voor AI in gereguleerde producten (medische hulpmiddelen, etc.)
2 augustus 2030Legacy-systemen bij overheid

De AI-geletterdheidseis geldt al sinds februari 2025. Je moet zorgen dat medewerkers die met AI werken voldoende kennis hebben om het systeem te gebruiken en de risico’s te begrijpen.

Hoe helpt ISO 42001?

ISO 42001 en de AI Act overlappen significant. De norm biedt een raamwerk voor veel van de eisen uit de wet.

Wat ISO 42001 wel dekt

Risicomanagementsysteem. De AI Act eist een risicomanagementsysteem voor hoog-risico AI. ISO 42001 beschrijft precies hoe je dat opzet: risico’s identificeren, beoordelen, behandelen.

Governance en verantwoordelijkheden. De wet eist duidelijke verantwoordelijkheid. ISO 42001 vraagt om gedefinieerde rollen, bevoegdheden en aansprakelijkheden.

Documentatie. Beide vragen om gedocumenteerde processen, risicoanalyses en beheersmaatregelen.

Impactanalyse. De AI impact assessment uit ISO 42001 sluit aan bij de eis om de impact op fundamentele rechten te beoordelen.

Data governance. ISO 42001 Annex A bevat maatregelen voor datakwaliteit en databeheer.

Levenscyclusbeheer. De norm vraagt aandacht voor de hele levenscyclus, net als de AI Act.

Monitoring en logging. Beide vragen om logging en monitoring van AI-systemen.

Training en bewustzijn. De AI-geletterdheidseis sluit aan bij de competentie- en bewustzijnseisen van ISO 42001.

Wat ISO 42001 niet dekt

Conformiteitsbeoordeling. De AI Act eist voor hoog-risico AI een formele conformiteitsbeoordeling. ISO 42001 certificering is niet hetzelfde. Je moet een aparte AI Act-conformiteitsprocedure doorlopen.

CE-markering. Als je AI in producten zit, moet je CE-markering aanbrengen. Dit is een apart traject.

EU-database registratie. Hoog-risico AI moet geregistreerd worden in een Europese database. Dit staat los van ISO 42001.

EU Declaration of Conformity. Je moet een ondertekende EU-conformiteitsverklaring kunnen overleggen.

Specifieke technische eisen. De AI Act bevat gedetailleerde technische eisen die specifieker zijn dan ISO 42001. Denk aan eisen voor datasets, bias-detectie, menselijk toezicht.

Samenwerking met autoriteiten. De AI Act bevat specifieke eisen voor samenwerking met toezichthouders, incidentmelding en markttoezicht.

ISO 42001 is geen geharmoniseerde norm onder de AI Act. Certificering geeft geen “vermoeden van conformiteit” aan de wet. Maar het legt wel een sterke basis voor compliance.

De praktische aanpak

Als je nog niets hebt

Begin met ISO 42001. Het geeft je een systematische aanpak voor AI-governance. Je bouwt de structuren op die je ook voor de AI Act nodig hebt. Risicomanagement, documentatie, governance, monitoring.

Tegelijkertijd: volg de AI Act-ontwikkelingen. Welke van je AI-systemen zijn hoog-risico? Wanneer gelden de eisen?

Als je ISO 42001 hebt of bezig bent

Je hebt een voorsprong. Gebruik je AIMS als basis voor AI Act-compliance.

Gap-analyse. Vergelijk je systeem met de AI Act-eisen. Wat mist er nog? Typisch: de formele conformiteitsprocedure, CE-markering, database-registratie.

Uitbreiden waar nodig. Voeg de ontbrekende elementen toe. Dit zijn vaak procedurele zaken, geen volledige herbouw.

Als je ISO 27001 hebt

De combinatie van ISO 27001 en ISO 42001 is krachtig. ISO 27001 dekt de informatiebeveiligingskant, ISO 42001 de AI-governance-kant. Samen vormen ze een stevige basis voor AI Act-compliance.

De sancties

De AI Act heeft tanden. De boetes zijn substantieel:

OvertredingMaximale boete
Verboden AI-praktijken€35 miljoen of 7% wereldwijde omzet
Niet voldoen aan hoog-risico eisen€15 miljoen of 3% wereldwijde omzet
Onjuiste informatie verstrekken€7,5 miljoen of 1% wereldwijde omzet

Voor mkb en startups gelden lagere maxima (het laagste van de twee bedragen).

De Nederlandse context

In Nederland wordt de AI Act gehandhaafd door verschillende toezichthouders, afhankelijk van de sector. De Autoriteit Persoonsgegevens  speelt een rol waar AI en privacy raken. Sectorspecifieke toezichthouders (DNB  voor financieel, IGJ  voor zorg) kijken naar hun domein. Meer informatie over de Nederlandse implementatie vind je bij de Rijksoverheid .

Er komt een coördinerend mechanisme om versnippering te voorkomen.

Voor organisaties betekent dit: weet wie je toezichthouder is. Bereid je voor op toezicht en mogelijke handhaving.

Tijdlijn voor actie

Nu (2025):

  • Inventariseer je AI-systemen
  • Classificeer ze naar risico
  • Check of je verboden toepassingen hebt (stop ermee)
  • Zorg voor AI-geletterdheid van medewerkers
  • Begin met ISO 42001 als je dat nog niet hebt

2025-2026:

  • Bouw je AIMS op
  • Voer risico- en impactanalyses uit
  • Bereid conformiteitsbeoordeling voor (hoog-risico)

Augustus 2026:

  • Hoog-risico AI moet compliant zijn
  • Conformiteitsbeoordeling afgerond
  • Registratie in EU-database

Na 2026:

  • Onderhouden en verbeteren
  • Monitoring en logging
  • Aanpassen aan nieuwe guidance en jurisprudentie

Wacht niet te lang

De verleiding is om te wachten tot alles duidelijk is. Maar dat is riskant.

De tijdlijn is strak. Augustus 2026 is dichtbij, zeker voor complexe organisaties met veel AI.

De eisen zijn al duidelijk genoeg om te beginnen. De kernprincipes veranderen niet meer.

ISO 42001 geeft je een kader om mee te starten. Zelfs als de details van de AI Act nog uitkristalliseren, bouw je de juiste structuren op.

Meer lezen

LeveranciersbeheerAI-geletterdheid