Skip to Content
ISO 42001Veelgestelde vragen

Veelgestelde vragen over ISO 42001

Antwoorden op de meest gestelde vragen over ISO 42001  certificering. De norm is in Nederland verkrijgbaar via NEN  en hangt nauw samen met de EU AI Act .

Algemene vragen

Wat is ISO 42001 precies?

ISO/IEC 42001 is de eerste internationale norm voor AI-managementsystemen. De norm beschrijft hoe organisaties AI verantwoord kunnen ontwikkelen, implementeren en gebruiken. Het geeft een raamwerk voor governance, risicomanagement en continue verbetering rond AI.

De norm is gepubliceerd in december 2023 en is ontwikkeld door ISO en IEC.

Is ISO 42001 verplicht?

Nee, certificering is niet wettelijk verplicht. Maar de EU AI Act stelt wel eisen aan AI-systemen. ISO 42001 helpt je om aan veel van die eisen te voldoen.

In de praktijk wordt ISO 42001 steeds vaker gevraagd door klanten, partners en toezichthouders. Vooral in sectoren waar AI kritisch is (finance, healthcare, HR-tech) groeit de druk om certificering te hebben.

Voor welke organisaties is ISO 42001 relevant?

De norm is relevant voor elke organisatie die AI ontwikkelt, implementeert of gebruikt. Specifiek:

  • AI-ontwikkelaars en techbedrijven
  • Organisaties die AI-oplossingen gebruiken voor besluitvorming
  • IT-dienstverleners die AI leveren
  • Overheidsorganisaties die AI inzetten
  • Bedrijven in gereguleerde sectoren (finance, healthcare, HR)

De grootte van de organisatie maakt niet uit. Een startup met één AI-product kan net zo goed certificeren als een multinational.

Wat is het verschil met ISO 27001?

ISO 27001 gaat over informatiebeveiliging: het beschermen van informatie tegen ongeautoriseerde toegang, verlies of wijziging.

ISO 42001 gaat over AI-governance: verantwoorde ontwikkeling en gebruik van AI, impact op mensen, eerlijkheid, transparantie.

Er is overlap. AI-systemen verwerken informatie. Maar de focus is anders. Veel organisaties hebben beide normen nodig.

Lees meer in ISO 42001 vs ISO 27001.

Welke AI valt onder de norm?

ISO 42001 hanteert een brede definitie van AI. Dit omvat:

  • Machine learning modellen
  • Deep learning / neural networks
  • Natural language processing (chatbots, vertalers)
  • Computer vision (beeldherkenning)
  • Aanbevelingssystemen
  • Voorspellende analytics
  • Automatische beslissystemen
  • Generatieve AI

Als een systeem autonoom leert, patronen herkent, of beslissingen neemt op basis van data, valt het waarschijnlijk onder de definitie.

Certificering

Hoelang duurt het om gecertificeerd te worden?

Dit hangt af van je startpositie:

  • Klein en ervaren: 4-6 maanden
  • Middelgroot: 6-9 maanden
  • Groot of complex: 9-15 maanden

Als je al ISO 27001 hebt, kan het sneller omdat je de governance-structuur al hebt.

Lees meer in kosten en tijdlijn.

Wat kost ISO 42001 certificering?

Indicatieve kosten:

KostenpostKleinMiddelGroot
Implementatie€10.000-30.000€25.000-75.000€75.000-200.000
Certificeringsaudit€6.000-12.000€10.000-20.000€15.000-40.000
Jaarlijkse controle€4.000-8.000€6.000-12.000€10.000-25.000

Dit zijn indicaties. De exacte kosten hangen af van je organisatie, het aantal AI-systemen en de gekozen aanpak.

Hoelang is het certificaat geldig?

Het certificaat is 3 jaar geldig. Elk jaar is er een controle-audit om te checken of je nog voldoet. Na 3 jaar volgt een hercertificeringsaudit.

Welke certificerende instanties zijn er in Nederland?

De belangrijkste CI’s in Nederland zijn:

  • DNV - Reikte het eerste NL-certificaat uit
  • BSI - Geaccrediteerd door de RvA
  • TÜV - Internationaal bekend
  • Kiwa - Nederlandse CI
  • LRQA - Internationaal opererend

Kies een CI die geaccrediteerd is voor ISO 42001.

Kan ik ISO 42001 combineren met ISO 27001?

Ja, dit is zelfs aan te raden. De normen hebben dezelfde structuur (High Level Structure). Je kunt:

  • Eén geïntegreerd managementsysteem bouwen
  • Gecombineerde audits doen
  • Veel processen delen (governance, audit, review)

Dit bespaart tijd en geld.

De norm

Hoeveel beheersmaatregelen heeft ISO 42001?

Annex A bevat 38 beheersmaatregelen verdeeld over 9 domeinen:

  1. Beleid voor AI
  2. Interne organisatie
  3. Resources voor AI-systemen
  4. AI-systeemlevenscyclus
  5. Data voor AI-systemen
  6. Informatie voor belanghebbenden
  7. Gebruik van AI-systemen
  8. Relaties met derden
  9. Beoordeling van AI-systemen

Je hoeft niet alle maatregelen te implementeren. Je selecteert op basis van je risico’s.

Lees meer in Annex A beheersmaatregelen.

Wat is een AI impact assessment?

De AI System Impact Assessment (AISIA) is een uniek element van ISO 42001. Je beoordeelt de impact van je AI op individuen, groepen en de maatschappij.

Vragen die je beantwoordt:

  • Wie wordt geraakt door dit AI-systeem?
  • Wat zijn de gevolgen als de AI fouten maakt?
  • Zijn bepaalde groepen benadeeld?
  • Kunnen mensen de beslissingen begrijpen?

Lees meer in AI impact assessment.

Wat is de Verklaring van Toepasselijkheid?

De Statement of Applicability (SoA) documenteert welke beheersmaatregelen je hebt geselecteerd en waarom. Per maatregel leg je vast:

  • Is de maatregel van toepassing? Ja/nee
  • Waarom wel of waarom niet?
  • Hoe is de maatregel geïmplementeerd?

De auditor gebruikt de SoA om te beoordelen of je keuzes logisch zijn.

EU AI Act

Helpt ISO 42001 bij compliance met de EU AI Act?

Ja, significant. ISO 42001 dekt veel van de eisen uit de AI Act:

  • Risicomanagement
  • Governance
  • Documentatie
  • Impact assessment
  • Monitoring en logging
  • Training en bewustzijn

Maar ISO 42001 is niet gelijk aan AI Act-compliance. De wet heeft ook eisen die de norm niet dekt, zoals de conformiteitsbeoordeling, CE-markering en database-registratie.

Lees meer in EU AI Act en ISO 42001.

Wanneer moet ik voldoen aan de AI Act?

De tijdlijn:

  • Februari 2025: Verboden AI, AI-geletterdheid
  • Augustus 2025: General Purpose AI
  • Augustus 2026: Hoog-risico AI
  • Augustus 2027: AI in gereguleerde producten

Is mijn AI hoog-risico onder de AI Act?

Hoog-risico AI omvat onder andere:

  • AI in medische hulpmiddelen
  • AI voor toegang tot onderwijs
  • AI voor werving en selectie
  • AI voor kredietbeoordeling
  • AI in kritieke infrastructuur
  • AI voor rechtshandhaving

Check de bijlagen van de AI Act voor de volledige lijst.

Praktisch

Moet ik een consultant inhuren?

Niet verplicht, maar vaak verstandig. Een consultant kan:

  • Het traject versnellen
  • Expertise inbrengen
  • Valkuilen vermijden
  • De implementatie begeleiden

Zeker als je geen ervaring hebt met managementsystemen.

Kan ik zelf ISO 42001 implementeren?

Ja, als je:

  • Voldoende tijd hebt
  • Ervaring hebt met ISO-normen
  • Toegang hebt tot de norm
  • Interne capaciteit hebt

De norm is te koop bij NEN of ISO.

Wat als ik slechts één AI-systeem heb?

Je kunt de scope beperken tot dat ene systeem. Het managementsysteem is dan kleiner en eenvoudiger. De kosten en doorlooptijd zijn navenant lager.

Later kun je de scope uitbreiden als je meer AI gaat gebruiken.

Moet ik alle AI-systemen certificeren?

Nee, je bepaalt zelf de scope. Je kunt beginnen met de belangrijkste of meest risicovolle systemen. De scope moet wel logisch en verdedigbaar zijn.

Hoe bereid ik me voor op de audit?

Tips:

  1. Zorg dat documentatie actueel is
  2. Doe een interne audit of pre-audit
  3. Bereid medewerkers voor op interviews
  4. Verzamel bewijs (risicoanalyses, trainingsrecords, logs)
  5. Ken je eigen systeem

Lees meer in het auditproces.

Heb je een vraag die hier niet staat? Neem contact op. We breiden deze pagina regelmatig uit.

Meer lezen

Begrippen en definitiesWat is ISO 45001?