ISO 42001 vs EU AI Act: wat is het verschil?
ISO 42001 en de EU AI Act worden vaak in één adem genoemd, maar ze zijn fundamenteel anders. De AI Act is een wet, ISO 42001 is een vrijwillige norm. De Rijksoverheid handhaaft de wet; een certificerende instantie toetst de norm. Op deze pagina leggen we het verschil uit en laten we zien hoe ze samenwerken.
Wet versus norm: de kern van het verschil
De EU AI Act is bindende wetgeving. Voldoe je niet, dan riskeer je boetes tot 35 miljoen euro of 7% van je wereldwijde omzet. ISO 42001 is een internationale norm die je vrijwillig kiest. Hij is niet verplicht, maar geeft een kader om verantwoord met AI om te gaan.
Hieronder de belangrijkste verschillen op een rij.
| Aspect | EU AI Act | ISO 42001 |
|---|---|---|
| Type | Wet (verordening) | Internationale norm |
| Verplicht? | Ja, voor wie eronder valt | Nee, vrijwillig |
| Reikwijdte | AI-systemen op de EU-markt | Je hele AI-managementsysteem |
| Aanpak | Risicogebaseerd per AI-systeem | Managementsysteem voor de organisatie |
| Wie controleert? | Nationale toezichthouders | Onafhankelijke certificerende instantie |
| Gevolg bij falen | Boetes en handhaving | Geen certificaat |
| Bewijs | Conformiteitsverklaring, CE-markering | ISO-certificaat |
Helpt ISO 42001 bij AI Act-compliance?
Ja, maar het is geen garantie. Dit is het belangrijkste misverstand. ISO 42001 dekt veel van wat de wet vraagt: risicomanagement, governance, documentatie, impact assessment, monitoring en AI-geletterdheid. Je bouwt er precies de structuren mee op die de AI Act ook eist.
ISO 42001 is geen geharmoniseerde norm onder de AI Act. Een certificaat geeft geen “vermoeden van conformiteit” met de wet. Het legt een sterke basis, maar je moet zelf aantonen dat je aan de wettelijke eisen voldoet.
Wat ISO 42001 niet vervangt, zijn de formele wettelijke stappen. Denk aan de conformiteitsbeoordeling voor hoog-risico AI, de CE-markering, registratie in de EU-database en de EU-conformiteitsverklaring. Die doe je los van je certificering.
Toezichthouder versus certificeerder
Het verschil zit ook in wie je beoordeelt. Een certificerende instantie zoals DNV of BSI audit je AI-managementsysteem en reikt een certificaat uit. Dat is een vrijwillige keuze van jou.
Een toezichthouder handhaaft de wet. In Nederland wordt de toezichtstructuur voor de AI Act nog ingericht. Verschillende toezichthouders krijgen naar verwachting een rol per sector. Controleer de actuele stand bij de Rijksoverheid .
Wanneer heb je beide nodig?
Voor de meeste organisaties met serieuze AI is het antwoord: allebei, maar om verschillende redenen.
| Situatie | Wat je nodig hebt |
|---|---|
| Je hebt hoog-risico AI op de EU-markt | AI Act-compliance is verplicht; ISO 42001 helpt je er sneller te komen |
| Je wilt klanten vertrouwen geven | ISO 42001-certificaat als bewijs van verantwoorde AI |
| Je gebruikt alleen minimaal-risico AI | AI Act stelt weinig eisen; ISO 42001 blijft nuttig voor governance |
| Je wilt aantoonbaar in control zijn | ISO 42001 als kader, AI Act-stappen als wettelijke aanvulling |
Begin met ISO 42001 als je nog geen AI-governance hebt. Je bouwt de structuren op die je ook voor de AI Act nodig hebt, en je hebt een certificaat om aan klanten te tonen. De wettelijke stappen voeg je daarna gericht toe.
De praktische volgorde
Heb je nog niets? Start met je AI-managementsysteem volgens ISO 42001. Inventariseer je AI, beoordeel de risico’s en richt je governance in. Dat dekt het leeuwendeel van de AI Act-eisen.
Heb je hoog-risico AI? Doe daarnaast de gap-analyse tegen de wet. Welke formele stappen mis je nog? Vaak zijn dat procedurele zaken: conformiteitsbeoordeling, CE-markering, registratie. Geen volledige herbouw.
Bekijk het volledige stappenplan om te zien hoe je dit fasegewijs aanpakt.
Meer lezen
- EU AI Act en ISO 42001 - De wet in detail, met tijdlijn
- Wat is ISO 42001? - Introductie tot de norm
- AI impact assessment - De impactanalyse die beide vragen
- Veelgestelde vragen - Antwoorden op praktische vragen
- ISO-normen voor AI - De bredere normenfamilie
Bronnen
- EU AI Act (EUR-Lex) - De volledige wettekst
- Rijksoverheid over de AI-verordening - Nederlandse context
- ISO/IEC 42001 bij ISO - De officiële norm