Skip to Content
ISO 42001Annex A beheersmaatregelen

Annex A beheersmaatregelen

Annex A van ISO/IEC 42001  bevat 38 beheersmaatregelen verdeeld over negen domeinen. Dit is de gereedschapskist voor AI-governance. Je selecteert de maatregelen die passen bij je risico’s en legt je keuzes vast in de Verklaring van Toepasselijkheid.

Hoe werkt Annex A?

De maatregelen zijn niet allemaal verplicht. Je beoordeelt per maatregel of je hem nodig hebt, gegeven je risico’s en context. Maar je moet wel kunnen uitleggen waarom je een maatregel wel of niet hebt gekozen.

Annex B van de norm geeft implementatierichtlijnen bij elke maatregel. Die helpen je om de maatregel concreet te maken.

De maatregelen zijn normatief: ze maken deel uit van de norm. Als je ze selecteert, moet je ze ook daadwerkelijk implementeren en kun je erop worden geaudit.

A.2 - Beleid voor AI

Dit domein gaat over het vastleggen van je intenties en richting rond AI.

A.2.2 AI-beleid

Je documenteert een beleid voor de ontwikkeling of het gebruik van AI-systemen. Dit beleid beschrijft:

  • De principes en waarden die je hanteert
  • De doelstellingen van je AI-activiteiten
  • De governance-structuur
  • Hoe het beleid wordt gecommuniceerd en onderhouden

Het beleid is het fundament. Het stuurt alle andere beslissingen.

Praktisch: Schrijf een AI-beleidsdocument dat past bij je organisatie. Een startup van 20 mensen heeft een ander document dan een multinational. Houd het concreet en begrijpelijk.

A.3 - Interne organisatie

Dit domein gaat over hoe je AI-governance binnen je organisatie organiseert.

A.3.2 Rollen en verantwoordelijkheden

Je definieert en wijst rollen en verantwoordelijkheden toe voor AI-governance. Wie is waarvoor verantwoordelijk?

A.3.3 Rapportage over AI-systemen

Je stelt mechanismen in voor rapportage over AI-systemen naar de juiste partijen. Dit omvat incidentrapportage, prestatierapportage en compliance-rapportage.

Praktisch: Maak een RACI-matrix (Responsible, Accountable, Consulted, Informed) voor AI-gerelateerde taken. Zorg dat iedereen weet bij wie ze moeten zijn.

A.4 - Resources voor AI-systemen

Dit domein gaat over de middelen die je nodig hebt om AI verantwoord te beheren.

A.4.2 Resources AI-systeemontwikkeling

Je zorgt voor adequate resources voor de ontwikkeling van AI-systemen: mensen, tools, infrastructuur, budget.

A.4.3 AI-competenties

Medewerkers die werken met AI moeten de juiste competenties hebben. Dit omvat technische vaardigheden, maar ook kennis van ethiek en risico’s.

A.4.4 Bewustzijn

Medewerkers moeten zich bewust zijn van de AI-gerelateerde risico’s en hun rol in het beheersen ervan.

Praktisch: Stel competentieprofielen op voor verschillende rollen. Zorg voor training, zowel technisch als ethisch. Meet en documenteer bewustzijn.

A.5 - Beoordeling van AI-systemen

Dit is een kerndomein. Het gaat over het beoordelen van de impact van je AI.

A.5.2 Proces voor AI-systeemimpactbeoordeling

Je hebt een gedefinieerd proces voor het beoordelen van de impact van AI-systemen. Dit proces is consistent en herhaalbaar.

A.5.3 Uitvoeren van impactbeoordeling

Je voert de impactbeoordeling daadwerkelijk uit voor relevante AI-systemen.

A.5.4 Impact op individuen en groepen

De impactbeoordeling adresseert expliciet de impact op individuen en groepen. Denk aan eerlijkheid, privacy, veiligheid, autonomie.

A.5.5 Maatschappelijke impact

De impactbeoordeling adresseert ook bredere maatschappelijke effecten. Werkgelegenheid, publiek vertrouwen, sociale dynamiek.

Lees meer over de AI impact assessment.

De impactbeoordeling is meer dan een technische exercitie. Je moet echt nadenken over de gevolgen van je AI voor mensen. Wie wordt geraakt als de AI fouten maakt? Hoe erg is dat?

A.6 - AI-systeemlevenscyclus

Dit domein gaat over het beheren van AI door alle fasen heen.

A.6.2 Beheer van AI-systeemlevenscyclus

Je beheert AI-systemen gedurende hun hele levenscyclus: van concept tot uitfasering.

A.6.3 Technische documentatie

Je documenteert de technische aspecten van AI-systemen: architectuur, werking, beperkingen.

A.6.4 Geautomatiseerde besluitvorming

Als AI geautomatiseerde beslissingen neemt, heb je processen om dit te beheren. Denk aan escalatiemechanismen en menselijk toezicht.

A.6.5 Monitoring van AI-systemen

Je monitort AI-systemen na deployment. Werken ze nog zoals bedoeld? Zijn er afwijkingen?

A.6.6 AI-systeemvalidatie

Je valideert AI-systemen voordat je ze in productie neemt. Doen ze wat ze moeten doen?

A.6.7 AI-systeemverificatie

Je verifieert dat AI-systemen voldoen aan de gestelde eisen en specificaties.

Praktisch: Definieer fasen in je AI-levenscyclus. Per fase: wat zijn de activiteiten, de checks, de deliverables? Zorg voor gates tussen fasen.

A.7 - Data voor AI-systemen

Data is de brandstof van AI. Dit domein gaat over het verantwoord omgaan ermee.

A.7.2 Data voor ontwikkeling en verbetering

Je beheert data die wordt gebruikt voor de ontwikkeling en verbetering van AI-systemen. Herkomst, kwaliteit, representativiteit.

A.7.3 Dataverzameling

Je hebt processen voor het verzamelen van data. Rechtmatig, transparant, met aandacht voor privacy.

A.7.4 Datakwaliteit

Je borgt de kwaliteit van data: nauwkeurigheid, volledigheid, actualiteit, relevantie.

A.7.5 Datalabeling

Als data wordt gelabeld (voor supervised learning), is er een proces dat de kwaliteit van labels borgt.

A.7.6 Datavoorbereiding

Datavoorbereiding (cleaning, transformatie) is gecontroleerd en gedocumenteerd.

A.7.7 Herkomst van data

Je documenteert de herkomst van data (data lineage). Waar komt het vandaan? Wat is ermee gedaan?

Praktisch: Stel data governance in. Documenteer datasets, hun bronnen, hun beperkingen. Controleer op bias in trainingsdata.

A.8 - Informatie voor belanghebbenden

Dit domein gaat over transparantie naar gebruikers en anderen.

A.8.2 Informatie over AI-systeeminteractie

Gebruikers worden geïnformeerd wanneer ze met een AI-systeem interacteren.

A.8.3 Informatie over AI-systeemuitvoer

Gebruikers krijgen informatie over de uitvoer van AI-systemen. Wat betekent het? Hoe betrouwbaar is het?

A.8.4 Informatie over menselijk toezicht

Gebruikers weten of en hoe er menselijk toezicht is op de AI.

A.8.5 Gebruikerscommunicatie

Er is een kanaal voor gebruikers om vragen te stellen of zorgen te uiten over AI.

A.8.6 Verantwoorde AI-communicatie

Externe communicatie over AI is eerlijk en niet misleidend.

Praktisch: Maak duidelijk op je website, in je product, in je contracten hoe je AI inzet. Geen verborgen AI.

A.9 - Gebruik van AI-systemen

Dit domein gaat over het verantwoord gebruiken van AI.

A.9.2 Beoogd gebruik

Je definieert het beoogde gebruik van AI-systemen. Waarvoor is het bedoeld? Waarvoor niet?

A.9.3 Verantwoord gebruik

Je zorgt dat AI wordt gebruikt op een manier die consistent is met je beleid en de bedoeling van het systeem.

A.9.4 Misbruik voorkomen

Je neemt maatregelen om misbruik van AI-systemen te voorkomen.

A.9.5 Kennisgeving van voorzienbaar misbruik

Als je voorzienbaar misbruik van AI-systemen identificeert, geef je dit door aan relevante partijen.

Praktisch: Documenteer use cases en non-use cases. Train gebruikers. Monitor op afwijkend gebruik.

A.10 - Relaties met derden

Dit domein gaat over AI in de keten: leveranciers en klanten.

A.10.2 Leveranciersbeleid

Je hebt beleid voor de omgang met AI-leveranciers.

A.10.3 Leveranciersrisicobeoordeling

Je beoordeelt de risico’s van AI-leveranciers. Wat levert de leverancier? Hoe beïnvloedt dat je risico’s?

A.10.4 Klantrelaties

Je identificeert klanteisen rond AI en beheert de klantrelatie.

A.10.5 Aanbieden van componenten

Als je AI-componenten levert aan anderen, zorg je voor adequate informatie en ondersteuning.

Praktisch: Evalueer AI-leveranciers. Stel contractuele eisen. Communiceer naar klanten hoe je AI werkt.

Selectie van maatregelen

Je hoeft niet alle 38 maatregelen te implementeren. De selectie hangt af van:

  • Je risico’s. De risicoanalyse identificeert welke risico’s je hebt. De maatregelen helpen die risico’s te beheersen.
  • Je context. Een AI-ontwikkelaar heeft andere maatregelen nodig dan een organisatie die alleen AI gebruikt.
  • Je AI-systemen. Complexe, impactvolle AI vraagt om meer maatregelen dan eenvoudige toepassingen.
  • Wet- en regelgeving. De EU AI Act kan specifieke maatregelen verplichten.

De Verklaring van Toepasselijkheid

Je legt je selectie vast in de Statement of Applicability (SoA). Per maatregel documenteer je:

  • Is de maatregel van toepassing? Ja/nee
  • Waarom wel of waarom niet?
  • Hoe is de maatregel geïmplementeerd? (als van toepassing)
  • Wat is de status?

De auditor gebruikt de SoA om te controleren of je keuzes logisch zijn en of je de geselecteerde maatregelen daadwerkelijk hebt geïmplementeerd.

Relatie met ISO 27001

Als je ISO 27001 hebt, zie je overlap. Beide normen hebben een Annex met beheersmaatregelen, een risicogebaseerde selectie, en een Statement of Applicability.

Maar de maatregelen zijn anders. ISO 27001 gaat over informatiebeveiliging, ISO 42001 over AI-governance. Er zijn raakvlakken, zoals databescherming en toegangsbeheer. Maar ISO 42001 voegt AI-specifieke zaken toe: impactanalyse, uitlegbaarheid, bias, levenscyclusbeheer.

Lees meer over ISO 42001 vs ISO 27001.

Volgende stappen

Eisen van de normAI impact assessment