ISO 42001 integreren met bestaande systemen
Veel organisaties hebben al managementsystemen draaien. ISO 27001 voor informatiebeveiliging, ISO 9001 voor kwaliteit, misschien ISO 14001 voor milieu. ISO 42001 hoeft geen nieuw eiland te worden. Door de gemeenschappelijke High Level Structure is integratie niet alleen mogelijk, het is slim.
Waarom integreren?
Losse managementsystemen leiden tot:
- Dubbel werk (dezelfde processen meerdere keren documenteren)
- Inconsistentie (verschillende aanpakken voor vergelijkbare zaken)
- Audit-moeheid (meerdere audits per jaar)
- Versnippering (niemand heeft overzicht)
Integratie lost dit op. Je bouwt één systeem dat aan meerdere normen voldoet. Efficiënter, consistenter, beheersbaarder.
De High Level Structure
Alle moderne ISO-managementsysteemnormen volgen dezelfde structuur: de High Level Structure (HLS). Dit is geen toeval maar ontwerp. Het maakt integratie mogelijk.
| Hoofdstuk | Onderwerp |
|---|---|
| 4 | Context van de organisatie |
| 5 | Leiderschap |
| 6 | Planning |
| 7 | Ondersteuning |
| 8 | Uitvoering |
| 9 | Evaluatie van prestaties |
| 10 | Verbetering |
ISO 27001, ISO 9001, ISO 14001, ISO 45001 en ISO 42001 volgen allemaal deze structuur. Dezelfde hoofdstukken, dezelfde concepten, dezelfde terminologie.
Dit betekent dat je veel kunt delen:
- Eén governance-structuur
- Eén beleidshiërarchie
- Eén auditprogramma
- Eén management review
- Eén verbeterproces
ISO 42001 + ISO 27001
De meest logische combinatie. AI verwerkt data, data moet beveiligd. Informatiebeveiliging en AI-governance zijn verwant.
Wat kun je delen?
Governance en leiderschap: Dezelfde directie die het ISMS bestuurt, kan het AIMS besturen. Dezelfde rollen (Information Security Officer) kunnen worden uitgebreid.
Risicomanagement: Het proces is hetzelfde: identificeren, beoordelen, behandelen. Je voegt AI-specifieke risico’s toe aan je bestaande register.
Documentbeheer: Eén systeem voor al je procedures. Geen aparte wiki’s.
Interne audit: Eén auditprogramma dat beide normen dekt. Auditoren die beide aspecten kunnen beoordelen.
Management review: Eén review die informatiebeveiligingsen AI-governance behandelt.
Training en bewustzijn: Gecombineerde trainingen die beide onderwerpen dekken.
Wat moet apart?
De beheersmaatregelen: ISO 27001 heeft 93 controls voor informatiebeveiliging. ISO 42001 heeft 38 controls voor AI. Ze overlappen deels maar zijn niet hetzelfde.
De risicoanalyse: Beveiligingsrisico’s zijn anders dan AI-risico’s. Bias en uitlegbaarheid zijn geen traditionele security-onderwerpen.
De impactanalyse: Specifiek voor ISO 42001. Niet standaard in ISO 27001.
Praktische aanpak
Als je ISO 27001 hebt:
- Breid je scope uit om AI te omvatten
- Voeg AI-risico’s toe aan je risicoregister
- Maak een aparte Annex A mapping voor ISO 42001
- Implementeer de AI-specifieke maatregelen
- Update je beleid om AI te dekken
- Train je team op AI-governance
- Laat een gecombineerde audit doen
De basis staat er al. Je voegt de AI-laag toe.
Veel CI’s bieden gecombineerde audits aan. Eén audit voor ISO 27001 en ISO 42001 samen. Scheelt tijd en geld.
ISO 42001 + ISO 9001
ISO 9001 gaat over kwaliteit. AI kan een grote impact hebben op productkwaliteit. De combinatie is minder voor de hand liggend dan met ISO 27001, maar wel logisch.
De raakvlakken
Kwaliteit van AI-output: Als je AI onderdeel is van je product of dienst, raakt de kwaliteit van die AI je ISO 9001 scope.
Procesbeheer: Beide normen vragen om beheerste processen, documentatie, monitoring.
Klanttevredenheid: Als AI de klantervaring beïnvloedt, is het relevant voor ISO 9001.
Praktische integratie
Je integreert AI als onderdeel van je productrealisatie (hoofdstuk 8 van ISO 9001). De AI-specifieke eisen uit ISO 42001 worden onderdeel van je kwaliteitssysteem.
ISO 42001 + andere normen
ISO 14001 (Milieu)
Op het eerste gezicht los van AI. Maar AI wordt steeds vaker ingezet voor duurzaamheid: optimalisatie van energieverbruik, predictive maintenance, supply chain efficiency.
Als je AI inzet voor milieudoelen, raken de systemen elkaar.
ISO 45001 (Arbeidsveiligheid)
AI kan arbeidsomstandigheden beïnvloeden. Denk aan automatisering, werkdruk door AI-monitoring, ergonomie van mens-AI-interactie.
In industriële omgevingen waar AI machines aanstuurt, is de link direct.
NEN 7510 (Zorg)
Voor zorgorganisaties die AI gebruiken is de combinatie ISO 42001 + NEN 7510 relevant. Patiëntgegevens, AI in diagnostiek, beslisondersteuning.
Het geïntegreerde managementsysteem (IMS)
Een Integrated Management System combineert meerdere normen in één systeem. Je hebt:
Eén beleidsdocument dat alle normen dekt. Of een overkoepelend beleid met norm-specifieke uitwerkingen.
Eén governance-structuur. Misschien een Management System Manager die alle systemen overziet, met norm-specifieke specialisten eronder.
Eén procesarchitectuur. Processen die aan meerdere normen voldoen.
Eén auditprogramma. Gecombineerde audits of een roterend schema.
Eén verbetersysteem. Afwijkingen en verbeteringen in één database.
Voordelen
- Efficiency (minder dubbel werk)
- Consistentie (één manier van werken)
- Overzicht (alles op één plek)
- Lagere auditkosten
- Betere acceptatie (één systeem om te leren)
Uitdagingen
- Complexiteit in het begin
- Meer kennis nodig (alle normen begrijpen)
- Risico dat details verloren gaan
- Niet alle CI’s bieden alle combinaties
De praktische stappen
Als je begint met ISO 42001 en al iets hebt:
Stap 1: Inventariseer wat je hebt Welke systemen draaien? Wat zijn de raakvlakken met AI?
Stap 2: Bepaal de integratiestrategie Volledig geïntegreerd of aparte modules met gedeelde kern?
Stap 3: Identificeer wat je kunt hergebruiken Processen, documentatie, tools, rollen.
Stap 4: Identificeer wat nieuw moet AI-specifieke elementen, nieuwe risico’s, impact assessments.
Stap 5: Plan de implementatie Wat eerst? Hoe communiceer je?
Stap 6: Update je bestaande systeem Breid uit in plaats van naast te bouwen.
Stap 7: Train je team Op de nieuwe elementen én op hoe alles samenhangt.
Als je niets hebt:
Overweeg om meteen geïntegreerd te bouwen. ISO 27001 + ISO 42001 tegelijk implementeren is niet veel zwaarder dan één van beide, maar levert meer op.
Veelgemaakte fouten bij integratie
Te snel gaan: Eerst je bestaande systeem goed begrijpen voordat je erbij bouwt. Anders maak je een puinhoop.
Te veel kopiëren: ISO 42001 is niet ISO 27001 met “AI” erbij. De AI-specifieke elementen verdienen echte aandacht.
Niemand met overzicht: Bij integratie is iemand nodig die beide (of alle) normen begrijpt. Anders ontstaan inconsistenties.
CI niet vroegtijdig betrekken: Als je een gecombineerde audit wilt, check dan vroeg of je CI dat aanbiedt en wat de voorwaarden zijn.
De investering
Integratie kost vooraf meer denkwerk maar bespaart later tijd en geld.
| Scenario | Implementatie | Jaarlijkse audit |
|---|---|---|
| ISO 27001 + ISO 42001 los | €40.000 - €100.000 | €15.000 - €30.000 |
| ISO 27001 + ISO 42001 geïntegreerd | €30.000 - €80.000 | €10.000 - €22.000 |
De besparing groeit over de jaren door lagere onderhouds- en auditkosten.
Integratie is geen vervanging. Je moet nog steeds aan alle eisen voldoen. Een geïntegreerd systeem dat aan ISO 27001 voldoet maar ISO 42001 negeert, is geen goed geïntegreerd systeem.
Documentatie bij integratie
Een geïntegreerd systeem vraagt om slimme documentatie.
Gedeelde documenten:
- Handboek managementsysteem (overkoepelend)
- Governance-structuur
- Auditprogramma
- Verbeterprocedure
Norm-specifieke documenten:
- Statement of Applicability per norm
- Risicoregister met alle risico’s (getagd per norm)
- Norm-specifieke procedures waar nodig
Tools: Overweeg software die meerdere normen ondersteunt. Veel GRC-platforms kunnen dit.
Volgende stappen
Als je wilt integreren:
- Lees de normen die je wilt combineren
- Map de overlap - wat is hetzelfde?
- Identificeer de gaps - wat is uniek?
- Praat met je CI over gecombineerde audits
- Plan de aanpak - gradueel of big bang?
Meer lezen
- ISO 42001 vs ISO 27001 - De vergelijking
- Stappenplan - De implementatieroute
- Wat is ISO 27001? - De informatiebeveiligingsnorm
- Veelgemaakte fouten - Wat te vermijden