AI-governance opzetten voor ISO 42001
AI-governance is de structuur waarbinnen je organisatie beslissingen neemt over AI. Wie mag welke AI-systemen inzetten? Wie is verantwoordelijk als het misgaat? Hoe beoordeel je nieuwe AI-toepassingen voordat ze live gaan? ISO 42001 vereist dat je deze vragen beantwoordt en de antwoorden vastlegt. De EU AI Act maakt governance des te urgenter, want directieleden kunnen persoonlijk aansprakelijk worden gesteld voor AI-failures.
Op de pagina AI-managementsysteem leggen we uit wat een AIMS is. Op deze pagina verdiepen we het onderdeel governance: de mensen, de rollen, de structuren en de besluitvorming. Op de pagina AI-ethiek principes lees je over de principes die ten grondslag liggen aan verantwoorde AI-governance.
Waarom AI-governance meer is dan een organogram
Bij informatiebeveiliging ken je de CISO. Bij privacy ken je de Functionaris Gegevensbescherming (FG). Bij AI is er geen wettelijk verplichte rol, maar de praktijk laat zien dat organisaties die serieus werk maken van AI-governance een vergelijkbare functie nodig hebben.
Zonder expliciete governance-structuur ontstaan problemen die je later duur komen te staan:
- Niemand weet welke AI-systemen er zijn (shadow-AI)
- Elk team maakt eigen beslissingen over AI-inzet zonder toetsing
- Er is geen escalatiepad als een AI-systeem fout gaat
- Auditors kunnen niet vaststellen wie waarvoor verantwoordelijk is
- De directie is aansprakelijk maar heeft geen zicht op AI-risico’s
ISO 42001 vraagt om gedocumenteerde rollen en verantwoordelijkheden. Dat is meer dan namen invullen op een organogram. Het betekent dat mensen daadwerkelijk bevoegd zijn, actief betrokken zijn en weten wat er van hen wordt verwacht.
De kernrollen
Directie en topmanagement
ISO 42001 eist aantoonbaar commitment van de directie. Niet als papieren verklaring, maar in concrete acties: resources vrijmaken, het AI-beleid vaststellen, en betrokken zijn bij de management review.
De directie is eindverantwoordelijk. Dat is geen formaliteit. Onder de AI Act kunnen directieleden persoonlijk aansprakelijk worden gesteld als een organisatie opzettelijk of nalatig hoog-risico AI inzet zonder adequate beheersing.
AI-officer (of equivalent)
Dit is de centrale coördinatiefunctie voor AI-governance. De naam verschilt per organisatie: AI-officer, AI-lead, Head of Responsible AI, AI Compliance Officer. De taken zijn hetzelfde:
- Onderhouden van het AI-register
- Coördineren van risicobeoordelingen en impact assessments
- Bewaken van naleving van het AI-beleid
- Rapporteren aan de directie
- Aanspreekpunt voor externe partijen (toezichthouders, certificerende instanties)
- Volgen van ontwikkelingen in wet- en regelgeving (AI Act, ISO-normen)
De AI-officer hoeft geen fulltime functie te zijn. In kleinere organisaties kan dit een gecombineerde rol zijn met de CISO of compliance officer. Maar iemand moet de kar trekken.
AI-systeemeigenaren
Per AI-systeem is er een benoemde eigenaar. Die is verantwoordelijk voor:
- Het correct en verantwoord functioneren van het systeem
- Het uitvoeren of laten uitvoeren van de impactanalyse
- Het melden van incidenten of significante wijzigingen
- Het bijhouden van de documentatie voor dat systeem
De eigenaar is niet per se de technische bouwer. Het is degene die zakelijk verantwoordelijk is voor de toepassing. Bij een CV-ranker is dat de HR-directeur, niet de datawetenschapper.
Uitvoerende rollen
Naast de coördinerende rollen zijn er uitvoerende rollen:
- AI-ontwikkelaars en datawetenschappers: Verantwoordelijk voor technisch verantwoorde bouw (documentatie, bias-detectie, testprocedures)
- Privacy officer / FG: Aanspreekpunt voor AI-toepassingen die persoonsgegevens verwerken
- Interne auditors: Onafhankelijk controleren of het AIMS werkt
- Juridisch / compliance: Beoordelen van AI-toepassingen op wetgeving
AI-governance is geen IT-aangelegenheid alleen. Juridisch, HR, compliance en de business moeten meepraten. AI raakt iedereen in de organisatie.
Het AI-beleid
Het AI-beleid is het fundament van de governance. ISO 42001 vereist een gedocumenteerd beleid dat door de directie is vastgesteld en gecommuniceerd is aan de hele organisatie.
Een goed AI-beleid bevat:
De intenties en reikwijdte. Voor welke doeleinden zet de organisatie AI in? Welke toepassingen zijn expliciet uitgesloten? Voorbeeld: “Wij zetten geen AI in voor geautomatiseerde beslissingen over medewerkers zonder menselijke controle.”
De principes. Hoe werkt AI in jouw organisatie? Denk aan: transparantie naar gebruikers, geen discriminerende uitkomsten, menselijk toezicht bij hoog-risico systemen.
De governance-structuur. Wie is de AI-officer? Hoe worden nieuwe AI-systemen beoordeeld? Wie beslist?
De verplichtingen. Commitment aan naleving van ISO 42001, de AI Act en andere relevante wetgeving. Commitment aan continue verbetering.
Geldigheid en eigenaarschap. Wie heeft het beleid vastgesteld? Wanneer wordt het herzien?
Een AI-beleid is geen document dat je schrijft en vergeet. Plan een jaarlijkse review, gekoppeld aan de management review van het AIMS.
Het AI-comité: wanneer en hoe
Grotere organisaties zetten een AI-comité op. Dit is een multidisciplinair overlegorgaan dat beslist over AI-gerelateerde vraagstukken die de bevoegdheid van één functionaris overstijgen.
Typisch in een AI-comité:
- AI-officer (voorzitter)
- Vertegenwoordiger directie
- CISO of security-lead
- Privacy officer / FG
- Juridisch / compliance
- Vertegenwoordiger business (roterend per afdeling)
Het comité vergadert periodiek (kwartaal of bij grote beslissingen) over:
- Goedkeuring van nieuwe hoog-risico AI-systemen
- Beoordeling van impactanalyses
- Beleidsupdates
- Incidenten met AI
- Wijzigingen in wet- en regelgeving met consequenties voor het AIMS
Een comité is niet noodzakelijk voor kleinere organisaties. Als de AI-officer directe toegang heeft tot de directie en de andere functies, kan dit ook informeel werken. ISO 42001 schrijft geen comité voor — het vraagt om aantoonbare governance.
Voorbeeldstructuur: drie organisatietypen
Kleine organisatie (5-50 medewerkers, 1-5 AI-systemen)
Eenvoudige structuur met gecombineerde rollen.
| Rol | Wie |
|---|---|
| Eindverantwoordelijke | Directeur |
| AI-officer | Directeur of senior medewerker (parttime) |
| AI-systeemeigenaren | Hoofd van de afdeling die het systeem gebruikt |
| Interne auditor | Externe partij of medewerker van een andere afdeling |
Middelgrote organisatie (50-500 medewerkers, 5-20 AI-systemen)
Dedicated AI-officer, geen formeel comité maar regelmatig overleg.
| Rol | Wie |
|---|---|
| Eindverantwoordelijke | CTO of COO |
| AI-officer | Compliance officer of senior IT-medewerker (gecombineerde rol) |
| AI-systeemeigenaren | Afdelingshoofden |
| Privacy-afstemming | FG |
| Interne auditor | Compliance officer van andere afdeling of extern |
Grote organisatie (500+ medewerkers, 20+ AI-systemen)
Formele structuur met dedicated AI-officer en AI-comité.
| Rol | Wie |
|---|---|
| Eindverantwoordelijke | Raad van Bestuur (via CTO) |
| AI-officer | Dedicated Head of Responsible AI |
| AI-comité | AI-officer, CISO, FG, Legal, Business Representatives |
| AI-systeemeigenaren | Business owners per domein |
| Interne auditteam | Dedicated interne auditfunctie |
Besluitvorming: hoe beoordeel je nieuwe AI-toepassingen?
Goede governance vereist een helder besluitvormingsproces voor nieuwe AI-systemen. Zonder zo’n proces worden systemen ad hoc ingevoerd zonder beoordeling — precies wat shadow-AI voedt.
Een werkbaar besluitvormingsproces:
- Aanmelding. De afdeling die een nieuwe AI-toepassing wil gebruiken, meldt dit bij de AI-officer vóór ingebruikname.
- Snelle screening. AI-officer beoordeelt: valt het systeem onder verboden AI? Is het hoog-risico? Zijn er privacyimplicaties?
- Diepere beoordeling bij hoog-risico. Impact assessment, risicoanalyse, leveranciersbeoordeling. Dit doorloopt het comité (of directie bij kleine organisaties).
- Besluit. Goedkeuring, goedkeuring met voorwaarden, of afwijzing.
- Registratie. Het systeem wordt opgenomen in het AI-register.
- Periodieke herbeoordelingen. Elk jaar (of bij significante wijzigingen) beoordeel je actieve systemen opnieuw.
Dit hoeft geen bureaucratisch monster te zijn. Voor een kleine organisatie is een eenvoudige aanmeldprocedure van een halve pagina voldoende. Het gaat erom dat de toetsing plaatsvindt.
Meer lezen
- AI-managementsysteem - Wat een AIMS is en hoe het is opgebouwd
- AI-ethiek principes - De principes achter verantwoorde AI
- AI-inventarisatie - Je AI-systemen in kaart brengen
- Eisen van de norm - Wat ISO 42001 per hoofdstuk vraagt
- EU AI Act en ISO 42001 - De wettelijke context voor governance
- Veelgemaakte fouten - Valkuilen bij governance