Sinds ISO/IEC 42001 eind 2023 verscheen, duikt in offertes, aanbestedingen en bestuurskamers dezelfde aanname op: wie zich laat certificeren, is klaar voor de EU AI Act. Die aanname is begrijpelijk en onjuist. In dit artikel zetten we precies uiteen wat ISO 42001 wel en niet certificeert, waar de overlap met de AI Act zit, en hoe u de standaard verstandig inzet zonder in de certificeringsval te trappen.
Wat ISO/IEC 42001 is
ISO/IEC 42001 is de internationale norm voor een AI-managementsysteem (AIMS), vergelijkbaar met wat ISO 27001 is voor informatiebeveiliging. De norm beschrijft hoe een organisatie het gebruik en de ontwikkeling van AI structureel bestuurt: beleid, rollen en verantwoordelijkheden, risicomanagement, impact-assessments, levenscyclusbeheer, leveranciersmanagement en continue verbetering.
Cruciaal om te begrijpen: de norm certificeert het managementsysteem van de organisatie, niet de individuele AI-systemen. Een certificaat zegt dat uw organisatie een gestructureerd, auditeerbaar proces heeft om met AI om te gaan. Het zegt niet dat een specifiek AI-systeem aan de eisen van de AI Act voldoet.
Wat de EU AI Act daarentegen eist
De AI Act is geen managementnorm maar wetgeving, met verplichtingen die per risicocategorie en per rol (aanbieder, gebruiksverantwoordelijke, importeur, distributeur) verschillen. De belangrijkste mijlpalen: de verboden praktijken en de AI-geletterdheidsbepaling van artikel 4 gelden sinds 2 februari 2025, de transparantieverplichtingen van artikel 50 gelden vanaf 2 augustus 2026, en de verplichtingen voor zelfstandige hoog-risico systemen uit bijlage III zijn via de Digital Omnibus verschoven naar 2 december 2027.
Voor hoog-risico AI-systemen eist de wet onder meer een risicomanagementsysteem per systeem (artikel 9), datakwaliteit en -governance (artikel 10), technische documentatie (artikel 11), logging (artikel 12), transparantie richting gebruiksverantwoordelijken (artikel 13), menselijk toezicht (artikel 14) en nauwkeurigheid en robuustheid (artikel 15). Dat zijn eisen aan het systeem en zijn levenscyclus, niet alleen aan de organisatie eromheen.
Waar de overlap zit
De goede boodschap: wie serieus ISO 42001 implementeert, legt een fundament waar een groot deel van de AI Act-naleving op rust. De overlap is reëel:
- Risicomanagement. De AIMS-cyclus van risicoidentificatie, -beoordeling en -behandeling sluit qua denkwijze aan op artikel 9 van de AI Act.
- AI-inventarisatie. Zonder overzicht van AI-systemen geen managementsysteem; datzelfde overzicht is de basis voor risicoclassificatie onder de AI Act. Zie ook ons artikel over het AI-register.
- Rollen en verantwoordelijkheden. De norm dwingt eigenaarschap af; de wet veronderstelt het.
- Impact-assessments. ISO 42001 kent de AI-impactbeoordeling; de AI Act kent de FRIA voor specifieke gebruiksverantwoordelijken en de AVG kent de DPIA. De processen kunnen elkaar voeden.
- Leveranciersmanagement. De controls rond derde partijen helpen bij de informatie- en contractvereisten in de AI Act-keten.
- Documentatie en audit-gereedheid. Een werkend AIMS produceert precies het soort aantoonbaarheid waar toezichthouders om vragen.
Waar het certificaat ophoudt
Vier grenzen die in elk gesprek over ISO 42001 en de AI Act op tafel moeten:
1. Geen wettelijk vermoeden van conformiteit. De AI Act werkt met geharmoniseerde Europese normen: normen die op verzoek van de Europese Commissie door CEN-CENELEC (JTC 21) worden ontwikkeld en na publicatie in het Publicatieblad een vermoeden van conformiteit geven. ISO/IEC 42001 is niet zo'n geharmoniseerde norm. Een certificaat levert dus geen juridisch vermoeden op dat u aan de AI Act voldoet.
2. Systeemeisen blijven systeemeisen. De artikelen 9 tot en met 15 stellen eisen per hoog-risico systeem: datakwaliteit, logging, menselijk toezicht, nauwkeurigheid. Een organisatiebreed managementsysteem regelt het proces eromheen, maar vervangt de technische documentatie en conformiteitsbeoordeling per systeem niet.
3. Verboden blijven verboden. Een gecertificeerd managementsysteem dat een verboden praktijk netjes gedocumenteerd toestaat, blijft in overtreding. Certificering toetst het proces, de wet toetst de praktijk.
4. De wet beweegt sneller dan de norm. De AI Act krijgt uitvoeringshandelingen, richtsnoeren en geharmoniseerde normen die de komende jaren verschijnen. Een AIMS moet zo zijn ingericht dat het die veranderingen absorbeert; het certificaat zelf is een momentopname.
Hoe u ISO 42001 verstandig inzet
Voor de meeste organisaties is dit de nuchtere volgorde:
- Begin met de wet, niet met de norm. Inventariseer uw AI-systemen, classificeer ze en bepaal welke AI Act-verplichtingen voor uw rol gelden. Dat is weken werk, geen maanden.
- Gebruik ISO 42001 als inrichtingskader. Bouw het governance-proces (beleid, rollen, risicocyclus, leveranciersbeheer) langs de structuur van de norm, ook als u nog niet certificeert. Dan werkt elke stap dubbel.
- Certificeer als het commercieel loont. Voor AI-aanbieders die aan enterprise-klanten of overheden verkopen kan het certificaat inkoopvragen verkorten en vertrouwen versnellen. Voor een gebruiksverantwoordelijke met een handvol ingekochte systemen is volledige certificering zelden de eerste prioriteit.
- Houd het dossier per systeem op orde. Wat er ook gecertificeerd wordt: de risicoclassificatie, de gap-analyse en het bewijs per systeem vormen het dossier waar een toezichthouder of inkoper naar vraagt.
Wie eerst wil weten waar de eigen organisatie staat voordat er over certificering wordt gesproken, kan de AI Act artikelsgewijs doorzoeken op dit platform of een begeleide gap-analyse laten uitvoeren, bijvoorbeeld via de readiness sprint met vaste prijs van Embed AI.