Skip to Content
ISO 42001Eisen van de norm

Eisen van ISO 42001

Wat vraagt ISO/IEC 42001  precies? Op deze pagina leggen we de eisen van de norm uit. ISO 42001 volgt de High Level Structure (HLS) die je misschien kent van ISO 27001 of ISO 9001. De norm is in Nederland verkrijgbaar via NEN .

Structuur van de norm

ISO 42001 heeft tien hoofdstukken. De eerste drie zijn inleidend (scope, referenties, definities). De hoofdstukken 4 tot en met 10 bevatten de eisen waarop je wordt geaudit.

Daarnaast zijn er vier bijlagen. Annex A bevat de 38 beheersmaatregelen. Annex B geeft implementatierichtlijnen. Annex C beschrijft AI-doelstellingen en risicobronnen. Annex D verwijst naar sectorspecifieke standaarden.

De High Level Structure betekent dat de hoofdstukindeling hetzelfde is als bij andere moderne ISO-normen. Als je ISO 27001 kent, herken je de structuur. Dit maakt integratie van meerdere managementsystemen eenvoudiger.

Hoofdstuk 4: Context van de organisatie

Voordat je een AI-managementsysteem kunt opzetten, moet je begrijpen in welke context je opereert.

Interne en externe factoren

Je identificeert welke factoren relevant zijn voor je AI-activiteiten.

Externe factoren zijn bijvoorbeeld: wet- en regelgeving (de EU AI Act), verwachtingen van klanten en maatschappij, technologische ontwikkelingen, concurrentie, publieke opinie over AI.

Interne factoren zijn bijvoorbeeld: je organisatiecultuur, technische capabilities, beschikbare expertise, bestaande governance-structuren, strategische richting.

Belanghebbenden

Wie heeft belang bij hoe je met AI omgaat? Denk aan:

  • Klanten die je AI-producten of -diensten gebruiken
  • Medewerkers die met AI werken
  • Toezichthouders en overheden
  • Aandeelhouders en investeerders
  • De bredere maatschappij

Per groep bepaal je wat hun verwachtingen en eisen zijn.

De scope

Je definieert wat binnen het AI-managementsysteem valt. Welke AI-systemen? Welke processen? Welke onderdelen van de organisatie?

De scope moet gedocumenteerd zijn. Een auditor controleert of je scope logisch en compleet is.

Het AI-managementsysteem

Je moet een AI-managementsysteem (AIMS) opzetten, implementeren, onderhouden en continu verbeteren. Dit is de kern van de norm: niet eenmalig iets regelen, maar een doorlopend systeem.

Hoofdstuk 5: Leiderschap

AI-governance werkt alleen met steun van de top.

Commitment van het topmanagement

De directie moet aantoonbaar betrokken zijn. Dit betekent:

  • Resources beschikbaar stellen (mensen, geld, tijd)
  • Het belang van het AIMS communiceren
  • Zorgen dat doelstellingen worden gehaald
  • Mensen aanmoedigen om bij te dragen
  • Verbetering ondersteunen

Dit is geen papieren exercitie. Auditors kijken of de directie daadwerkelijk betrokken is.

AI-beleid

Het topmanagement stelt een AI-beleid vast. Dit beleid beschrijft:

  • De intenties en richting van de organisatie rond AI
  • Commitment aan verantwoorde AI (transparantie, eerlijkheid, uitlegbaarheid)
  • Commitment aan het voldoen aan eisen (wet- en regelgeving, contracten)
  • Commitment aan continue verbetering

Het beleid moet gedocumenteerd, gecommuniceerd en beschikbaar zijn.

Rollen en verantwoordelijkheden

Duidelijk moet zijn wie waarvoor verantwoordelijk is. Typische rollen:

  • Wie is eigenaar van specifieke AI-systemen?
  • Wie voert impactanalyses uit?
  • Wie beslist over acceptatie van risico’s?
  • Wie is verantwoordelijk voor het AIMS als geheel?

AI-governance is niet alleen een IT-verantwoordelijkheid. Het raakt ook juridisch, compliance, HR, business. Zorg dat alle relevante functies betrokken zijn.

Hoofdstuk 6: Planning

Planning gaat over het aanpakken van risico’s en het stellen van doelen.

Risico’s en kansen

Je identificeert risico’s en kansen die van invloed zijn op het AIMS. Dit is een breder niveau dan de risicoanalyse per AI-systeem (die komt in hoofdstuk 8).

Op AIMS-niveau denk je aan risico’s als: onvoldoende expertise, veranderende regelgeving, reputatieschade bij AI-incidenten. Kansen kunnen zijn: efficiëntiewinst, nieuwe markten, concurrentievoordeel.

AI-risicoanalyse

De norm vereist een gedocumenteerd proces voor het beoordelen van AI-risico’s. Dit proces moet:

  • Criteria definiëren voor het beoordelen van risico’s
  • Consistente, valide en vergelijkbare resultaten opleveren
  • Risico’s identificeren, analyseren en evalueren

Het verschil met een standaard risicoanalyse: je kijkt specifiek naar AI-risico’s. Technische risico’s (model drift, bias, fouten), organisatorische risico’s, juridische risico’s, ethische risico’s. Lees meer over AI-risicomanagement.

AI-systeemimpactanalyse

Uniek aan ISO 42001 is de verplichting om de impact van AI-systemen op individuen, groepen en de maatschappij te beoordelen.

De AI impact assessment vraagt je om na te denken over:

  • Wat zijn de gevolgen als de AI verkeerde beslissingen neemt?
  • Wie wordt daardoor geraakt?
  • Hoe erg is dat?
  • Kunnen mensen de beslissingen begrijpen en aanvechten?
  • Zijn er groepen die systematisch benadeeld worden?

Risicobehandeling

Per geïdentificeerd risico bepaal je wat je doet:

  • Vermijden: de activiteit die het risico veroorzaakt niet uitvoeren
  • Verminderen: beheersmaatregelen implementeren
  • Overdragen: het risico overdragen (verzekering, uitbesteding)
  • Accepteren: het risico bewust accepteren

Voor risico’s die je vermindert, selecteer je beheersmaatregelen uit Annex A.

Verklaring van Toepasselijkheid

Je documenteert welke beheersmaatregelen uit Annex A je hebt geselecteerd en waarom. En voor maatregelen die je niet selecteert, leg je uit waarom niet.

Dit is de Statement of Applicability (SoA), een verplicht document voor certificering. Lees meer over vereiste documentatie.

Doelstellingen

Je stelt doelstellingen voor het AIMS. Deze moeten:

  • Consistent zijn met het AI-beleid
  • Meetbaar zijn waar mogelijk
  • Gemonitord worden
  • Gecommuniceerd worden
  • Bijgewerkt worden indien nodig

Voorbeelden: “95% van nieuwe AI-systemen doorloopt het impactanalyseproces voor livegang”, “Alle medewerkers die met AI werken volgen jaarlijks training”.

Hoofdstuk 7: Ondersteuning

Dit hoofdstuk gaat over de middelen die je nodig hebt.

Resources

Je moet voldoende resources beschikbaar stellen. Mensen, tijd, geld, tooling. Zonder resources geen werkend systeem.

Competenties

Medewerkers moeten de juiste competenties hebben voor hun taken. Dit betekent:

  • Bepalen welke competenties nodig zijn
  • Zorgen dat medewerkers deze hebben (via opleiding, ervaring, inhuur)
  • Bewijs bijhouden (certificaten, trainingsrecords)

Voor AI-governance zijn specifieke competenties nodig. Technische kennis over AI, maar ook kennis over ethiek, privacy, risicomanagement.

Bewustzijn

Iedereen in de organisatie moet zich bewust zijn van:

  • Het AI-beleid
  • Hun bijdrage aan het AIMS
  • De voordelen van goede AI-governance
  • De consequenties van niet-naleving

Communicatie

Je plant hoe je communiceert over het AIMS:

  • Wat communiceer je?
  • Wanneer?
  • Aan wie?
  • Hoe?
  • Wie is verantwoordelijk?

Gedocumenteerde informatie

De norm vereist bepaalde documenten. Daarnaast bepaal je zelf welke aanvullende documentatie nodig is.

Verplichte documenten:

  • Scope van het AIMS
  • AI-beleid
  • Risicobeoordeling en -behandeling
  • Verklaring van Toepasselijkheid
  • Doelstellingen
  • Competentiebewijs
  • Resultaten van interne audits
  • Resultaten van directiebeoordelingen
  • Afwijkingen en corrigerende maatregelen

Documentbeheer is ook vereist: versiebeheer, goedkeuring, beschikbaarheid, bescherming.

Hoofdstuk 8: Uitvoering

Hier draait het om de daadwerkelijke uitvoering.

Operationele planning en beheersing

Je plant en beheerst de processen die nodig zijn om aan de eisen te voldoen. Dit omvat:

  • Criteria voor processen vaststellen
  • Beheersing van processen implementeren
  • Gedocumenteerde informatie bijhouden

Risicoanalyse en impactanalyse uitvoeren

De in hoofdstuk 6 gedefinieerde processen moet je daadwerkelijk uitvoeren. Per AI-systeem voer je de risicoanalyse en impactanalyse uit.

De resultaten documenteer je en bewaar je.

Risicobehandeling implementeren

De gekozen beheersmaatregelen implementeer je daadwerkelijk. Dit is waar de theorie praktijk wordt.

AI-systeemlevenscyclus

De norm vraagt aandacht voor de hele levenscyclus van AI-systemen: ontwikkeling, testen, deployment, monitoring, onderhoud, uitfasering.

Per fase zijn er specifieke aandachtspunten. Bij ontwikkeling: datakwaliteit, bias-detectie. Bij deployment: monitoring, logging. Bij uitfasering: data-retentie, archivering.

De levenscyclus-benadering is belangrijk. AI is niet “klaar” na de eerste release. Modellen kunnen degraderen, data verandert, de wereld verandert. Doorlopende aandacht is nodig.

Hoofdstuk 9: Evaluatie van prestaties

Je moet controleren of het systeem werkt.

Monitoring en meting

Je bepaalt:

  • Wat je meet (effectiviteit van het AIMS, prestaties van AI-systemen)
  • Hoe je meet
  • Wanneer je meet
  • Wie meet
  • Hoe je de resultaten analyseert

Interne audit

Periodiek voer je interne audits uit. De audit controleert:

  • Voldoet het AIMS aan de eisen van de norm?
  • Voldoet het AIMS aan je eigen eisen?
  • Is het AIMS effectief geïmplementeerd en onderhouden?

De audit moet onafhankelijk zijn. De auditor mag niet zijn eigen werk beoordelen.

Je moet een auditprogramma hebben: frequentie, methoden, verantwoordelijkheden, rapportage. Lees meer over interne audits.

Directiebeoordeling

Periodiek beoordeelt het topmanagement het functioneren van het AIMS. De management review kijkt naar:

  • Status van acties uit vorige beoordelingen
  • Veranderingen in context en belanghebbenden
  • Prestaties: afwijkingen, audits, doelstellingen
  • Kansen voor verbetering

De output is: beslissingen over verbeteringen, eventuele wijzigingen in het AIMS, benodigde resources.

Hoofdstuk 10: Verbetering

Het systeem moet continu beter worden.

Afwijkingen en corrigerende maatregelen

Als er iets misgaat (een afwijking), moet je:

  • Reageren: het probleem aanpakken
  • Evalueren: is actie nodig om herhaling te voorkomen?
  • Corrigeren: de oorzaak wegnemen
  • Effectiviteit controleren: werkt de correctie?
  • Documenteren: vastleggen wat er is gebeurd en gedaan

Continue verbetering

Je verbetert doorlopend de geschiktheid, toereikendheid en effectiviteit van het AIMS.

Dit is geen vage intentie maar een concrete verplichting. Je moet kunnen aantonen dat je verbetert.

De bijlagen

Annex A: Beheersmaatregelen

Annex A bevat 38 beheersmaatregelen verdeeld over negen domeinen. Dit is geen checklist om blind af te werken. Je selecteert maatregelen op basis van je risico’s.

Lees meer over de Annex A beheersmaatregelen.

Annex B: Implementatierichtlijnen

Annex B geeft voor elke beheersmaatregel uit Annex A praktische guidance. Hoe kun je de maatregel implementeren? Wat zijn aandachtspunten?

Annex C: Doelstellingen en risicobronnen

Annex C helpt bij het identificeren van AI-gerelateerde doelstellingen en risicobronnen. Het geeft voorbeelden van waar je aan kunt denken.

Annex D: Sectorspecifieke standaarden

Annex D verwijst naar andere standaarden die relevant kunnen zijn voor specifieke sectoren of toepassingen.

Verschil met ISO 27001

Als je ISO 27001 kent, herken je veel. De structuur is identiek. Maar er zijn wezenlijke verschillen.

AI-specifieke elementen: impactanalyse, aandacht voor bias en eerlijkheid, uitlegbaarheid, de hele AI-levenscyclus.

Andere beheersmaatregelen: Annex A van ISO 42001 gaat over AI, niet over informatiebeveiliging.

Andere focus: ISO 27001 beschermt informatie. ISO 42001 zorgt voor verantwoorde AI. Er is overlap (AI verwerkt data), maar de invalshoek is anders.

Lees meer over ISO 42001 vs ISO 27001.

Meer lezen

Veelgemaakte foutenAnnex A beheersmaatregelen