Skip to Content
ISO 42001Stappenplan

Stappenplan ISO 42001 certificering

Hoe kom je van niets naar een ISO 42001  certificaat? Dit stappenplan geeft je een praktische route. De norm, gepubliceerd door ISO  in december 2023, is in Nederland verkrijgbaar via NEN . Elke organisatie is anders, maar de basisstappen zijn voor iedereen hetzelfde.

Voordat je begint

ISO 42001 certificering vraagt om voorbereiding. Je hebt nodig:

Commitment van de directie. Zonder steun van boven komt er niets van terecht. De directie moet begrijpen wat AI-governance betekent en bereid zijn om resources vrij te maken.

Een verantwoordelijke. Iemand moet het project trekken. Dit hoeft geen fulltime rol te zijn, maar er moet iemand zijn die de kar trekt.

Overzicht van je AI. Je moet weten welke AI-systemen je hebt voordat je ze kunt managen. Dat klinkt logisch, maar veel organisaties hebben geen compleet overzicht.

De route in zeven stappen

Stap 1: AI-inventarisatie

Begin met een inventarisatie van alle AI-systemen in je organisatie. Dit is breder dan je misschien denkt.

Wat telt als AI? Niet alleen ChatGPT of zelfgebouwde machine learning modellen. Ook: aanbevelingsalgoritmes, automatische beslissystemen, voorspellende analytics, chatbots, beeldherkenning, spraakherkenning.

Documenteer per systeem:

  • Wat doet het?
  • Wie is de eigenaar?
  • Welke data gebruikt het?
  • Wie zijn de gebruikers?
  • Welke beslissingen beïnvloedt het?
  • Is het zelfgebouwd of ingekocht?

Veel organisaties ontdekken tijdens deze stap dat ze meer AI gebruiken dan ze dachten. Excel-modellen met automatische voorspellingen, ingekochte software met AI-componenten, cloud-diensten met machine learning.

Stap 2: Gap-analyse

Nu je weet welke AI je hebt, bepaal je waar je staat ten opzichte van de norm.

De gap-analyse vergelijkt je huidige situatie met de eisen van ISO 42001. Per hoofdstuk en per beheersmaatregel bekijk je: hebben we dit? Gedeeltelijk? Niet?

Dit levert een lijst van gaps op, de dingen die je moet opzetten of verbeteren. Prioriteer op basis van risico en inspanning.

De gap-analyse kun je zelf doen met de norm erbij, of je huurt een consultant in. Certificerende instanties bieden ook gap-analyse diensten aan.

Stap 3: Managementsysteem opzetten

Nu bouw je de structuur. Het AI-managementsysteem bestaat uit:

Beleid. Een AI-beleid dat de intenties en richting van de organisatie beschrijft. Wat zijn je principes voor verantwoorde AI?

Governance. Wie is waarvoor verantwoordelijk? Rollen, bevoegdheden, escalatiepaden.

Processen. Hoe neem je beslissingen over AI? Hoe beoordeel je nieuwe AI-systemen? Hoe monitor je bestaande systemen?

Documentatie. De norm vereist bepaalde documenten. Beleid, rollen, risicoanalyses, Verklaring van Toepasselijkheid. Lees meer over de vereiste documentatie.

Dit hoeft geen bureaucratisch monster te worden. Beschrijf wat je doet op een manier die past bij je organisatie. Een startup van 20 mensen heeft andere documentatie dan een bank met 10.000 medewerkers.

Stap 4: Risico- en impactanalyse

Dit is het hart van ISO 42001. Per AI-systeem voer je twee analyses uit.

De risicoanalyse identificeert wat er mis kan gaan. Technische risico’s (uitval, fouten), organisatorische risico’s (verkeerd gebruik, gebrek aan kennis), externe risico’s (regelgeving, reputatie). Lees meer over AI-risicomanagement.

De impactanalyse kijkt naar de gevolgen voor mensen. Wat gebeurt er als de AI een verkeerde beslissing neemt? Wie wordt daardoor geraakt? Hoe erg is dat?

De impactanalyse is uniek voor ISO 42001. Je kijkt niet alleen naar technische zaken, maar naar maatschappelijke effecten. Discrimineert je AI? Kunnen mensen de beslissingen begrijpen en aanvechten? Wordt iemands privacy geschaad?

Lees meer over de AI impact assessment.

Stap 5: Beheersmaatregelen implementeren

Op basis van je risico- en impactanalyse selecteer je beheersmaatregelen uit Annex A.

ISO 42001 heeft 38 beheersmaatregelen verdeeld over negen domeinen:

  1. AI-beleid
  2. Interne organisatie
  3. Resources voor AI-systemen
  4. AI-systeemlevenscyclus
  5. Data voor AI-systemen
  6. Systeeminformatie
  7. Gebruik van AI-systemen
  8. Relaties met derden
  9. Impactbeoordeling

Je hoeft niet alle 38 maatregelen te implementeren. Je kiest wat past bij je risico’s. Maar je moet wel kunnen uitleggen waarom je maatregelen niet hebt gekozen.

Dit leg je vast in de Verklaring van Toepasselijkheid (Statement of Applicability). Per maatregel: van toepassing of niet, en waarom.

Lees meer over de Annex A beheersmaatregelen.

Stap 6: Interne audit

Voordat je de certificeringsaudit aanvraagt, test je je eigen systeem.

De interne audit controleert of je voldoet aan de eisen van de norm en aan je eigen beleid. Een interne auditor, of iemand die onafhankelijk is van het te auditen proces, beoordeelt de documentatie en de praktijk.

Wat komen we tegen? Procedures die niet worden gevolgd. Documentatie die niet actueel is. Risico’s die niet zijn geïdentificeerd. Maatregelen die niet werken.

Dit is geen faalmoment maar een leerkans. Elk bevinding is een kans om te verbeteren voordat de externe auditor komt.

Na de interne audit voer je corrigerende maatregelen door. Je fixt wat niet goed is. Lees meer over interne audits.

Stap 7: Certificeringsaudit

Nu ben je klaar voor de externe audit. Je vraagt de certificeringsaudit aan bij een geaccrediteerde certificerende instantie.

De audit verloopt in twee fasen.

Fase 1 is een documentatiecheck. De auditor beoordeelt of je managementsysteem op papier compleet is. Zijn alle vereiste documenten er? Is het beleid coherent? Zijn de rollen duidelijk?

Fase 2 is de praktijkaudit. De auditor komt langs en controleert of je doet wat je hebt opgeschreven. Interviews met medewerkers, bekijken van bewijs, observeren van processen.

Na fase 2 krijg je een rapport met bevindingen. Bij voldoende resultaat krijg je het certificaat. Bij tekortkomingen krijg je tijd om te corrigeren.

Lees meer over het auditproces.

Hoelang duurt dit?

De doorlooptijd hangt sterk af van je startpositie en de complexiteit van je AI.

Snelste route (4-6 maanden): Kleine organisatie, weinig AI-systemen, al ervaring met managementsystemen (ISO 27001 bijvoorbeeld), dedicated team.

Gemiddelde route (6-12 maanden): Middelgrote organisatie, meerdere AI-systemen, enige ervaring met certificering, parttime projectteam.

Complexe route (12-18 maanden): Grote organisatie, veel AI-systemen, geen ervaring met managementsystemen, beperkte resources.

Onderschat de tijd voor cultuurverandering niet. ISO 42001 vraagt dat mensen anders gaan denken over AI. Niet alleen bouwen, maar ook nadenken over impact. Dat kost tijd.

Tips voor succes

Begin klein. Je hoeft niet meteen al je AI-systemen aan te pakken. Begin met de belangrijkste of meest risicovolle. Leer van die ervaring.

Betrek de juiste mensen. AI-governance is geen IT-feestje. Betrek ook juridisch, compliance, HR, de business. AI raakt iedereen.

Maak het concreet. Abstracte beleidsregels zijn waardeloos als niemand weet wat ze betekenen. Geef voorbeelden, maak checklists, train mensen.

Gebruik bestaande structuren. Heb je al ISO 27001? Bouw erop voort. Heb je een privacy-programma? Integreer. Geen dubbel werk.

Plan voor onderhoud. Een certificaat halen is stap één. Het behouden vraagt doorlopende aandacht. Plan jaarlijkse reviews, audits, updates.

Hulp nodig?

Je kunt het traject zelf doorlopen of hulp inschakelen.

Zelf doen is goedkoper maar vraagt meer tijd en kennis. Geschikt als je ervaring hebt met managementsystemen en de capaciteit hebt.

Consultant inschakelen versnelt het traject en brengt expertise in. Kosten variëren, reken op €500-1.500 per dag.

Certificerende instantie kan helpen met training en gap-analyse, maar niet met implementatie (vanwege onafhankelijkheid).

Lees meer over kosten en doorlooptijd.

Volgende stappen

Wat is ISO 42001?Kosten en tijdlijn