ISO 42001 vs ISO 27701: AI-management en privacymanagement
ISO 42001 en ISO 27701 lijken op het eerste gezicht ver van elkaar te staan — de een gaat over AI, de ander over privacy. Maar de praktijk is anders. AI-systemen verwerken vrijwel altijd persoonsgegevens: trainingsdata, gebruikersdata, inferentie-outputs. Precies op dat raakvlak overlappen de twee normen. Op deze pagina leggen we de overlap uit, beschrijven we de verschillen en beantwoorden we wanneer je beide nodig hebt.
Voor de bredere vergelijking van ISO 42001 met informatiebeveiligingsnormen, zie ISO 42001 vs ISO 27001. ISO 27701 is een privacymanagement-uitbreiding op ISO 27001; voor een introductie op ISO 27701 kun je terecht op de ISO 27701 overzichtspagina.
Wat is ISO 27701?
ISO 27701 is een privacymanagement-uitbreiding op ISO 27001. Het breidt het informatiebeveiligingsmanagementsysteem (ISMS) uit met privacy-specifieke eisen en richtlijnen. Het doel: aantoonbaar voldoen aan privacywetgeving zoals de AVG (GDPR).
ISO 27701 introduceert twee nieuwe rollen: de Privacy Information Management System (PIMS) controller (voor organisaties die bepalen waarvoor persoonsgegevens worden gebruikt) en de PIMS processor (voor organisaties die persoonsgegevens verwerken in opdracht van anderen).
ISO 27701 is geen zelfstandige certificeerbare norm. Je implementeert het als uitbreiding op een bestaand ISO 27001-systeem.
Wat zijn de overeenkomsten?
Beide normen zijn gebouwd op dezelfde High Level Structure , wat integratie vereenvoudigt. Maar de overeenkomsten gaan dieper dan structuur.
Persoonsgegevens als gemeenschappelijk thema. ISO 42001 verplicht aandacht voor privacy als ethisch principe en als risicofactor. ISO 27701 gaat dieper in op hoe je die privacy operationeel waarborgt. Als je AI-systemen persoonsgegevens verwerken, hebben beide normen iets te zeggen.
Data governance. Beide normen stellen eisen aan hoe je met data omgaat: herkomst, kwaliteit, bewaring, toegang. De invalshoek verschilt (privacy versus AI-risico), maar de maatregelen overlappen sterk.
Transparantie naar betrokkenen. ISO 42001 vraagt om uitlegbaarheid van AI-beslissingen. ISO 27701 vraagt om transparantie over gegevensverwerking. Voor AI-systemen die besluiten nemen op basis van persoonsgegevens geldt allebei.
Rechten van betrokkenen. ISO 27701 vertaalt de AVG-rechten (inzage, correctie, bezwaar) naar processen. ISO 42001 vraagt om mechanismen zodat mensen AI-beslissingen kunnen aanvechten. Bij geautomatiseerde besluitvorming raken deze vereisten elkaar.
| Thema | ISO 27701 | ISO 42001 |
|---|---|---|
| Data governance | Uitgebreid, AVG-gericht | AI-specifiek (trainingsdata, datakwaliteit) |
| Transparantie | Over gegevensverwerking | Over AI-werking en beslissingen |
| Rechten van betrokkenen | Inzage, correctie, bezwaar (AVG) | Uitlegbaarheid, aanvechtbaarheid van AI-beslissingen |
| Risicoanalyse | Privacy Impact Assessment (PIA/DPIA) | AI System Impact Assessment (AISIA) |
| Governance | Privacy officer / FG | AI-officer / AI-governance |
| Bewaren van data | Retentiebeleid | Levenscyclus van trainingsdata |
Wat zijn de verschillen?
ISO 27701 is een AVG-compliance-instrument. Het is expliciet ontworpen om te helpen bij het aantonen van naleving van de AVG. Het bevat een gedetailleerde mapping naar de AVG-artikelen, rechten van betrokkenen en verwerkersverplichtingen. ISO 42001 heeft geen expliciete AVG-mapping.
ISO 42001 gaat over AI-specifieke risico’s. Model drift, bias, onuitlegbare beslissingen, misbruik van AI — dit zijn AI-risico’s die niet thuishoren in een privacymanagement-systeem. ISO 27701 gaat hier niet op in.
Impactanalyses zijn anders van aard. Een DPIA (Data Protection Impact Assessment) onder ISO 27701 beoordeelt de privacyrisico’s van een verwerking. Een AI impact assessment onder ISO 42001 beoordeelt de maatschappelijke impact van een AI-systeem op individuen en groepen. Ze vullen elkaar aan, maar zijn niet inwisselbaar.
ISO 27701 vereist een ISMS als basis. Je kunt ISO 27701 niet los implementeren. ISO 42001 kan als zelfstandige certificering worden ingericht, ook zonder ISO 27001 of ISO 27701.
ISO 42001 Annex D verwijst expliciet naar ISO 27701 als relevant voor organisaties waarvan de AI-systemen persoonsgegevens verwerken. De norm erkent dus dat de twee standaarden worden gebruikt als aanvullende set.
Wanneer heb je beide nodig?
Alleen ISO 42001
Je gebruikt AI maar verwerkt nauwelijks persoonsgegevens. Denk aan AI voor procesoptimalisering zonder persoonsgegeven-input, of industriële AI zoals voorspellend onderhoud op machines.
In de praktijk zeldzaam: vrijwel elke AI-toepassing verwerkt op enig moment persoonsgegevens.
Alleen ISO 27701
Je verwerkt veel persoonsgegevens maar gebruikt geen of minimale AI. Denk aan een organisatie die een uitgebreid CRM-systeem beheert maar daarin geen AI-functionaliteit heeft.
Beide normen
Je verwerkt persoonsgegevens via AI-systemen. Dit is het meest voorkomende scenario.
Concrete gevallen waarbij je beide nodig hebt:
- HR-techbedrijf dat AI gebruikt voor werving en selectie (persoonsgegevens + hoog-risico AI)
- Fintech met AI-gedreven kredietbeoordeling (financiële persoonsgegevens + hoog-risico AI)
- Zorgorganisatie met AI-ondersteunde diagnostiek (bijzondere persoonsgegevens + hoog-risico AI)
- Marketingplatform met gepersonaliseerde aanbevelingen (gedragsgegevens + profilering)
- SaaS-bedrijf met AI-functies in hun product (klantdata + verwerkerrol)
De AVG kent een specifiek recht op uitleg bij volledig geautomatiseerde beslissingen (Artikel 22 AVG). Als jouw AI geautomatiseerde besluiten neemt met rechtsgevolgen voor mensen, zijn zowel AVG-compliance (ISO 27701) als uitlegbaarheid van AI (ISO 42001) verplicht.
Hoe combineer je ISO 42001 en ISO 27701?
Het startpunt bepaalt de strategie.
Je hebt al ISO 27001 en wilt ISO 27701 toevoegen en ISO 42001
De meest efficiënte route voor organisaties die serieus werk maken van AI-governance én privacy.
Bouw in twee stappen:
- Voeg ISO 27701 toe als uitbreiding op je ISMS (relatief snel, de structuur staat al)
- Voeg ISO 42001 toe als aanvullend AIMS, met gedeelde governance (beleid, rollen, audit)
Waar de processen overlappen, integreer je. De DPIA en de AI impact assessment kunnen in één proces worden gecombineerd voor AI-systemen die persoonsgegevens verwerken.
Je hebt niets en wilt beginnen
Begin met ISO 27001 als fundament, voeg ISO 27701 toe als je de AVG-compliance wilt formaliseren, en bouw ISO 42001 erbij als AI de kern van je activiteiten is.
Of bouw meteen een geïntegreerd systeem dat alle drie dekt. Dat vergt meer planning maar voorkomt driedubbel werk.
De gedeelde elementen
Wat je maar één keer hoeft op te zetten:
- Governance-structuur (beleid, rollen, directie-commitment)
- Risicomanagementproces (methodologie, risicobereidheid)
- Interne auditprogramma
- Management review
- Documentatiebeheer
- Leveranciersbeheer
Wat je dubbel moet doen (maar kunt integreren):
- Risicoregister: zowel privacy-risico’s als AI-risico’s
- Impactanalyses: DPIA én AISIA (samenvoegbaar voor AI-systemen met persoonsgegevens)
- Beheersmaatregelen: Annex A ISO 27001/27701 én Annex A ISO 42001
De praktische link: AI-systemen en persoonsgegevens
De meest directe overlap zit in de verwerking van persoonsgegevens door AI-systemen. Een aantal concrete situaties:
Trainingsdata met persoonsgegevens. Als je een model traint op klantdata, medewerkerdata of andere persoonsgegevens, geldt de AVG voor die verwerking. ISO 27701 helpt bij het borgen van rechtmatige verwerking, doelbinding en minimale dataretentie. ISO 42001 vraagt om datakwaliteit, representativiteit en bias-beoordeling van diezelfde data.
Inferentie op persoonsgegevens. Als je AI-systeem beslissingen neemt op basis van persoonsgegevens (krediet, werving, diagnose), geldt de uitlegbaarheidseis van ISO 42001 én de transparantieplicht van ISO 27701 / AVG.
Profilering. Profilering van personen op basis van gedrag is een AVG-gevoelige verwerking (Artikel 4 lid 4 en Artikel 22 AVG). ISO 27701 vereist juridische grondslag en transparantie. ISO 42001 vereist beoordeling van bias en impact.
Meer lezen
- ISO 42001 vs ISO 27001 - Bredere vergelijking van AI- en beveiligingsnormen
- AI impact assessment - De maatschappelijke impactanalyse uitgelegd
- AI-managementsysteem - Wat een AIMS is
- EU AI Act en ISO 42001 - De wettelijke context
- ISO 27701 overzicht - Introductie tot de privacymanagementnorm
- ISO 27701 bij ISO.org - Officiële normpagina