AI-systemen inventariseren voor ISO 42001
De eerste stap naar ISO 42001 is weten wat je hebt. Zonder een compleet overzicht van je AI-systemen kun je geen risico’s beoordelen, geen beleid voeren en geen managementsysteem opzetten. Het EU AI Act stelt bovendien dat organisaties hun systemen moeten kunnen classificeren naar risiconiveau — ook dat begint bij de inventarisatie. Meer over die classificatie lees je op de pagina hoog-risico AI classificatie.
De meeste organisaties ontdekken tijdens deze stap dat ze meer AI gebruiken dan ze dachten. Ingekochte softwarepakketten met AI-componenten, ingebouwde aanbevelingsalgoritmen, automatische planningssystemen: het telt allemaal mee. En wat niet in kaart is gebracht, valt buiten je AIMS — met alle risico’s van dien.
Wat telt als een AI-systeem?
De definitie in de AI Act is bewust breed: elk machinaal systeem dat op basis van invoer uitkomsten genereert zoals voorspellingen, aanbevelingen, beslissingen of content. Dat omvat meer dan de voor de hand liggende toepassingen.
| Type AI-systeem | Voorbeelden |
|---|---|
| Generatieve AI | ChatGPT, Copilot, interne LLM-tools |
| Klassificatie en scoring | Kredietscores, fraudedetectie, spamfilters |
| Aanbevelingssystemen | Productaanbevelingen, nieuwsfeeds, matchingplatforms |
| Beeldherkenning | Kwaliteitscontrole, gezichtsherkenning, medische beeldanalyse |
| Voorspellende analytics | Churnpredictie, vraagprognoses, onderhoudspredictie |
| Automatische beslissingen | Routering, prioritering, aanvraagverwerking |
| Spraakherkenning | Transcriptie, spraakassistenten, klantenservice-bots |
| Planningssystemen | Personeelsplanning, logistiek, resourceallocatie |
Twijfel je of iets telt als AI-systeem? Gebruik deze vuistregel: als het systeem zelfstandig uitkomsten genereert op basis van data (ook zonder expliciete programmering per geval), telt het mee.
Shadow-AI: de verborgen voorraad
Shadow-AI is AI-gebruik dat buiten het zicht van IT en compliance valt. Medewerkers gebruiken gratis AI-tools, collega’s delen ChatGPT-outputs in klantdocumenten, afdelingen kopen SaaS-tools met ingebouwde AI-functies.
Dit is niet alleen een governance-probleem voor ISO 42001. Het is ook een risico voor de EU AI Act: als je hoog-risico AI niet kent, kun je ook niet voldoen aan de eisen.
Hoe je shadow-AI opspoort:
- HR en inkoop bevragen. Welke tools zijn aangeschaft buiten het standaard IT-proces? Welke tools vergoedt HR voor medewerkers?
- IT-verkeer analyseren. Welke AI-diensten bereiken je netwerk? Tools zoals Netskope of Zscaler kunnen dit inzichtelijk maken.
- Afdelingshoofden interviewen. Vraag direct: “Welke AI-tools gebruiken jullie, ook gratis of persoonlijke accounts?”
- App-stores controleren. Welke browser-extensies en mobiele apps staan medewerkers toe te installeren?
Shadow-AI levert de grootste onaangename verrassingen op tijdens audits. Een medewerker die klantteksten door ChatGPT haalt zonder toestemming is al een bevinding — ook als jij het niet wist.
Het AI-register: structuur en voorbeeldtabel
Een AI-register is het centrale document van je inventarisatie. Het is ook een verplicht element van je AIMS. Per systeem leg je minimaal vast:
- Naam en beschrijving
- Eigenaar (persoon of afdeling)
- Aanbieder (zelfgebouwd, SaaS, open source)
- Gebruiksdoel
- Gebruikers en doelgroep
- Verwerkte data (inclusief of het persoonsgegevens betreft)
- Risiconiveau (minimaal, beperkt, hoog — zie hoog-risico AI classificatie)
- Status (in gebruik, in ontwikkeling, uitgedienst)
- Datum laatste beoordeling
Hieronder een voorbeeld van een ingevuld register voor een middelgroot HR-techbedrijf:
| Systeem | Eigenaar | Aanbieder | Doel | Data | Risiconiveau | Status |
|---|---|---|---|---|---|---|
| CV-ranker | Hoofd Recruitment | Zelfgebouwd (Python/ML) | Sollicitanten scoren en rangschikken | Persoonsgegevens, cv-tekst | Hoog-risico | In gebruik |
| Planningsassistent | HR Operations | SaaS-leverancier X | Werkroosters opstellen | Dienstverbanddata | Minimaal | In gebruik |
| Chatbot servicedesk | IT Manager | Azure OpenAI | Interne helpdeskvragen beantwoorden | Interne kennisbank | Beperkt | In gebruik |
| Turnoverpredictor | Analytics | Intern ontwikkeld | Verlooprisico per medewerker voorspellen | Persoonsgegevens HR-systeem | Hoog-risico | In ontwikkeling |
| E-mailfilter | IT Manager | Microsoft 365 | Spam en phishing filteren | E-mailinhoud | Minimaal | In gebruik |
De CV-ranker en turnoverpredictor in dit voorbeeld vallen onder hoog-risico AI (Annex III EU AI Act: werving en werknemersbeheer). Dat betekent strengere eisen als de hoog-risico-verplichtingen van kracht worden.
Stappenplan voor de inventarisatie
Scope vaststellen
Bepaal welk deel van de organisatie je inventariseert. Is dat de hele organisatie, of alleen de onderdelen die je opneemt in de AIMS-scope? Documenteer dit.
Bronnen raadplegen
Verzamel input uit meerdere bronnen: IT-asset management, inkoopsystemen, gesprekken met afdelingshoofden, contracten met softwareleveranciers. Kijk ook naar cloud- en SaaS-abonnementen.
Shadow-AI opsporen
Gebruik de methoden hierboven. Plan korte gesprekken met sleutelpersonen per afdeling. Vraag expliciet naar gratis tools en persoonlijk gebruik.
Register opstellen
Vul het register in op basis van de verzamelde informatie. Wees grondig maar pragmatisch: een compleet register met basisinformatie is beter dan een halfvoltooid register met perfecte details.
Eerste risicoclassificatie
Classificeer elk systeem op risiconiveau. Dit hoeft nog geen definitieve beoordeling te zijn, maar geeft prioriteit voor de verdiepende analyses. Zie hoog-risico AI classificatie voor criteria.
Eigenaarschap vastleggen
Zorg dat elk systeem een benoemde eigenaar heeft. Geen eigenaar betekent geen verantwoordelijkheid — en dat is een afwijking die elke auditor noteert.
Register levend houden
Plan halfjaarlijkse reviews. Spreek af dat nieuwe AI-systemen worden aangemeld vóór ingebruikname, niet erna.
Tooling voor AI-inventarisatie
Je hoeft het register niet in een spreadsheet bij te houden (hoewel dat prima werkt voor kleinere organisaties). Er zijn gespecialiseerde tools beschikbaar.
| Aanpak | Voorbeelden | Geschikt voor |
|---|---|---|
| Spreadsheet | Excel, Google Sheets | Klein tot middelgroot, max ~20 systemen |
| GRC-platform | ServiceNow GRC, OneTrust | Grote organisaties met bestaande GRC-tooling |
| AI governance tools | Credo AI, IBM OpenPages, Holistic AI | Organisaties met veel AI-systemen |
| ISMS-tools met AI-module | Vanta, Drata, Secureframe | Organisaties die ook ISO 27001 beheren |
Welke tool je kiest, is minder belangrijk dan dat je het register bijhoudt. Een actueel spreadsheet is beter dan een verwaarloosde enterprise-tool.
Wat je oplevert na deze stap
Na de inventarisatie heb je:
- Een up-to-date AI-register met alle bekende systemen
- Een eerste risicoklassificatie per systeem
- Inzicht in shadow-AI-gebruik
- Benoemde eigenaren per systeem
Dit is de basis voor de gap-analyse en het stappenplan, de risico- en impactanalyses per systeem en de opbouw van je AI-managementsysteem.
Meer lezen
- Hoog-risico AI classificatie - Is mijn AI hoog-risico onder de AI Act?
- AI-managementsysteem - Wat je bouwt nadat je weet wat je hebt
- EU AI Act en ISO 42001 - De wettelijke context
- AI-risicomanagement - Risico’s per systeem beoordelen
- Stappenplan ISO 42001 - De volledige route naar certificering
- EU AI Act bij EUR-Lex - Wettekst