Wat is een AI-managementsysteem (AIMS)?
Een AI-managementsysteem (AIMS) is het geheel van beleid, processen, rollen en maatregelen waarmee een organisatie haar AI-activiteiten verantwoord beheerst. ISO 42001 beschrijft wat zo’n systeem moet bevatten. De norm is verkrijgbaar via NEN en bouwt op dezelfde High Level Structure als ISO 27001 en ISO 9001. De EU AI Act heeft geen eigen managementsysteemvereiste, maar een AIMS helpt aantoonbaar bij het voldoen aan die wet.
Een AIMS is geen document of handboek. Het is een doorlopend systeem dat werkt, verbetert en meebeweegt met je organisatie en de AI die je gebruikt. Op de pagina eisen van de norm lees je wat ISO 42001 per hoofdstuk vraagt. Op deze pagina leggen we uit wat een AIMS is, hoe het is opgebouwd en hoe het verschilt van een informatiebeveiligingsmanagementsysteem (ISMS).
De PDCA-cyclus als ruggengraat
ISO 42001 volgt de Plan-Do-Check-Act cyclus. Die cyclus zorgt voor continue verbetering: je stopt nooit, maar je wordt steeds beter.
| Fase | Wat het betekent | Hoofdstukken ISO 42001 |
|---|---|---|
| Plan | Context bepalen, risico’s identificeren, doelen stellen, maatregelen kiezen | Hoofdstuk 4, 5, 6 |
| Do | Het systeem uitvoeren: risicomanagement, impact assessments, maatregelen implementeren | Hoofdstuk 7, 8 |
| Check | Meten, monitoren, auditen, directiebeoordeling | Hoofdstuk 9 |
| Act | Afwijkingen corrigeren, systeem verbeteren | Hoofdstuk 10 |
Concreet voorbeeld: een middelgroot fintechbedrijf stelt in de Plan-fase vast dat hun kredietbeoordelingsalgoritme hoog-risico is. In de Do-fase voeren ze een AI impact assessment uit en implementeren ze bias-detectie. In de Check-fase meten ze of de uitkomsten eerlijk zijn voor verschillende klantsegmenten. In de Act-fase corrigeren ze het model als ze ongelijke uitkomsten zien. Daarna begint de cyclus opnieuw.
De elementen van een AIMS
Een AIMS bestaat uit vier lagen. Hieronder zie je welke elementen bij elke laag horen.
| Laag | Elementen |
|---|---|
| Beleid en governance | AI-beleid, rollen en verantwoordelijkheden, directie-commitment, doelstellingen |
| Processen | AI-inventarisatie, risicobeoordeling, impact assessment, levenscyclusbeheer, interne audit, management review |
| Maatregelen | Annex A beheersmaatregelen (technisch, organisatorisch, procedureel) |
| Documentatie | Scope, beleid, risicoregister, Verklaring van Toepasselijkheid, auditrapportages, impactanalyses |
Beleid en governance is het fundament. Zonder duidelijk AI-beleid en benoemde verantwoordelijken heeft de rest geen draagvlak. Het beleid beschrijft de intenties en grenzen: welke AI-toepassingen wil je? Welke niet? Welke principes gelden? Lees meer over AI-governance.
Processen zijn de motor. De risicobeoordeling per AI-systeem, de impactanalyse, het levenscyclusbeheer. Dit zijn de acties die periodiek plaatsvinden en die bewijzen dat je AIMS werkt.
Maatregelen zijn de concrete ingrepen. Je selecteert ze uit de Annex A beheersmaatregelen op basis van je risico’s. De 38 maatregelen zijn verdeeld over negen domeinen, van AI-beleid tot impactbeoordeling.
Documentatie is het bewijs. Zonder documentatie geen audit, geen certificaat. Maar documentatie is niet het doel — het is het bewijs dat de rest werkt.
ISO 42001 vereist geen dik handboek. Wat telt is dat je kunt aantonen dat processen daadwerkelijk worden uitgevoerd en dat je AI-systemen verantwoord worden beheerd. Een beknopte maar actuele documentatieset is beter dan een uitgebreide maar verouderde.
AIMS versus ISMS: de overeenkomsten en verschillen
Als je al een informatiebeveiligingmanagementsysteem (ISMS) hebt conform ISO 27001, herken je de opbouw van het AIMS meteen. Ze volgen dezelfde structuur, maar hebben een andere focus.
| Kenmerk | ISMS (ISO 27001) | AIMS (ISO 42001) |
|---|---|---|
| Doel | Informatie beschermen | AI verantwoord beheren |
| Focus | Vertrouwelijkheid, integriteit, beschikbaarheid | Transparantie, eerlijkheid, uitlegbaarheid |
| Risicoanalyse | Beveiligingsrisico’s | AI-specifieke risico’s (bias, model drift, impact op mensen) |
| Beheersmaatregelen | 93 maatregelen (Annex A ISO 27001) | 38 maatregelen (Annex A ISO 42001) |
| Uniek element | Informatieclassificatie, cryptografie | Impact assessment (AISIA), AI-levenscyclusbeheer |
| Governance | CISO-rol centraal | AI-officer rol (nieuw; zie AI-governance) |
| Certificeerbaar | Ja | Ja |
De grote overeenkomst: de governance-structuur, het risicomanagementproces, de interne audit en de management review zijn bij beide normen vrijwel identiek. Wie al een ISMS heeft, kan 60-70% van die infrastructuur hergebruiken.
Het grote verschil: de AI impact assessment bestaat niet in een ISMS. Dat gaat verder dan beveiligingsrisico’s — het vraagt je na te denken over de maatschappelijke gevolgen van je AI.
Een ISMS beschermt informatie. Een AIMS zorgt voor verantwoorde AI. Als jouw AI persoonsgegevens verwerkt, heb je idealiter beide. De systemen zijn integreerbaar in één gecombineerd managementsysteem.
Hoe groot moet een AIMS zijn?
De omvang past bij je organisatie. ISO 42001 schrijft geen minimale documentatieset voor, alleen verplichte elementen.
Een startup met één AI-product heeft een ander AIMS dan een groot bedrijf met tientallen AI-toepassingen. Dat is de bedoeling. De norm zegt: je hebt een systeem nodig dat proportioneel is aan de complexiteit en het risico van je AI.
Praktische indicaties:
- Klein bedrijf (< 50 medewerkers, 1-3 AI-systemen): AIMS past op een tiental documenten. Gap-analyse, AI-beleid, AI-register, risicoregister, één of twee impactanalyses, Verklaring van Toepasselijkheid en auditverslag.
- Middelgroot (50-500 medewerkers, 5-20 AI-systemen): Meer processen en meer documentatie, maar nog steeds beheersbaar. Reken op een half jaar implementatietijd.
- Groot (500+ medewerkers, veel AI): Complex systeem met formele governance-structuren, een AI-committee, een dedicated AI-officer.
Het AIMS als basis voor AI Act compliance
Een volledig ingericht AIMS is geen garantie voor AI Act compliance, maar het biedt een stevige basis. De kern van wat de EU AI Act van hoog-risico AI-aanbieders vraagt (risicomanagementsysteem, documentatie, logging, governance, impactanalyse) overlapt sterk met wat een AIMS al regelt.
Wat het AIMS niet dekt: de formele conformiteitsprocedure, CE-markering, EU-database-registratie en de EU Declaration of Conformity. Die zijn aanvullende stappen die je naast je AIMS moet zetten.
Meer lezen
- Eisen van de norm - Wat ISO 42001 per hoofdstuk vraagt
- AI-governance - Rollen, beleid en structuren opzetten
- AI-inventarisatie - Eerste stap: weten wat je hebt
- Annex A beheersmaatregelen - De 38 maatregelen
- ISO 42001 vs ISO 27001 - AIMS en ISMS vergeleken
- Stappenplan - Van nul naar certificaat