Skip to Content
ISO 42001Wat is ISO 42001?

ISO 42001: de norm voor verantwoorde AI

ISO 42001  is de eerste internationale norm voor AI-managementsystemen. Als je AI ontwikkelt, implementeert of gebruikt, helpt deze norm je om dat verantwoord te doen. Met de komst van de EU AI Act  wordt dit steeds relevanter.

Wat is ISO 42001?

ISO/IEC 42001  beschrijft hoe organisaties een AI-managementsysteem (AIMS) opzetten. Zo’n systeem zorgt ervoor dat je AI betrouwbaar, transparant en ethisch verantwoord ontwikkelt en gebruikt. In Nederland is de norm verkrijgbaar via NEN .

De norm is in december 2023 gepubliceerd door ISO  en is de eerste certificeerbare standaard voor AI ter wereld. Het geeft organisaties een kader om de risico’s van AI te beheersen zonder innovatie te remmen.

Waar gaat het concreet over? Over zaken als: hoe beoordeel je de impact van je AI-systeem op mensen? Hoe zorg je dat beslissingen uitlegbaar zijn? Hoe ga je om met bias in je data? Hoe bewaak je de kwaliteit gedurende de hele levenscyclus van je AI?

ISO 42001 is gebaseerd op dezelfde structuur als ISO 27001, ISO 9001 en andere moderne managementsysteemnormen. De High Level Structure (HLS) maakt het makkelijker om meerdere certificeringen te combineren.

Waarom is ISO 42001 nu relevant?

De timing is geen toeval. De Europese Unie heeft de AI Act aangenomen, de eerste uitgebreide AI-wetgeving ter wereld. Deze wet stelt strenge eisen aan AI-systemen, vooral als ze risico’s opleveren voor mensen.

ISO 42001 helpt je om aan veel van die eisen te voldoen. Het is geen garantie voor volledige compliance, maar het biedt een stevige basis. Organisaties die nu beginnen met ISO 42001 zijn straks beter voorbereid op de verplichtingen die eraan komen.

De tijdlijn van de EU AI Act is als volgt:

  • Februari 2025: Verboden AI-toepassingen en AI-geletterdheidseis
  • Augustus 2025: Eisen voor AI-modellen voor algemene doeleinden
  • Augustus 2026: Volledige eisen voor hoog-risico AI-systemen
  • Augustus 2027: Eisen voor AI in gereguleerde producten

Voor wie is ISO 42001?

De norm is relevant voor elke organisatie die AI ontwikkelt, implementeert of gebruikt. In de praktijk gaat het vooral om deze groepen.

AI-ontwikkelaars en techbedrijven die AI-systemen bouwen voor klanten of voor eigen gebruik. Denk aan machine learning platforms, chatbots, beeldherkenning, aanbevelingssystemen.

Organisaties die AI implementeren in hun bedrijfsprocessen. Een bank die AI gebruikt voor kredietbeoordeling. Een ziekenhuis met AI-ondersteunde diagnostiek. Een retailer met gepersonaliseerde aanbevelingen.

IT-dienstverleners die AI-oplossingen leveren aan klanten. Consultants, system integrators, managed service providers.

Overheidsorganisaties die AI inzetten voor publieke dienstverlening of handhaving. Hier is de maatschappelijke impact extra groot.

Sectoren met directe impact op mensen, zoals gezondheidszorg, financiële dienstverlening en HR, krijgen de strengste eisen onder de EU AI Act. Voor deze sectoren is ISO 42001 extra relevant.

De kern van ISO 42001

ISO 42001 draait om zes principes voor betrouwbare AI.

Transparantie betekent dat duidelijk is hoe je AI-systeem werkt en welke beslissingen het neemt. Geen black box waar niemand doorheen kan kijken.

Verantwoording houdt in dat je kunt uitleggen waarom je AI-systeem bepaalde beslissingen neemt. Er is iemand verantwoordelijk voor wat de AI doet.

Eerlijkheid gaat over het voorkomen van discriminatie en bias. Je AI mag niet systematisch bepaalde groepen benadelen.

Uitlegbaarheid is verwant aan transparantie: de factoren die de uitkomst beïnvloeden zijn begrijpelijk voor de mensen die ermee werken.

Privacy betekent dat je zorgvuldig omgaat met de gegevens die je AI gebruikt en genereert.

Betrouwbaarheid houdt in dat je AI-systeem veilig en voorspelbaar werkt in alle omstandigheden.

De onderdelen van de norm

ISO 42001 bestaat uit tien hoofdstukken en vier bijlagen.

De hoofdstukken 1-3 zijn inleidend: scope, verwijzingen, definities.

De hoofdstukken 4-10 bevatten de eisen. Ze volgen de bekende Plan-Do-Check-Act cyclus. Context bepalen, leiderschap tonen, plannen maken, ondersteuning regelen, uitvoeren, evalueren, verbeteren.

Annex A bevat 38 beheersmaatregelen verdeeld over negen domeinen. Dit is de gereedschapskist waaruit je kiest op basis van je risico’s. Lees meer over de Annex A beheersmaatregelen.

Annex B geeft implementatierichtlijnen bij de beheersmaatregelen.

Annex C beschrijft AI-gerelateerde doelstellingen en risicobronnen.

Annex D bevat verwijzingen naar sectorspecifieke standaarden.

Uniek aan ISO 42001: de AI impact assessment

Een onderscheidend element van ISO 42001 is de AI System Impact Assessment (AISIA). Dit gaat verder dan een standaard risicoanalyse.

Bij een risicoanalyse kijk je naar wat er mis kan gaan en hoe waarschijnlijk dat is. Bij een impact assessment kijk je naar de gevolgen van je AI-systeem voor individuen, groepen en de maatschappij.

Wat gebeurt er als je AI een verkeerde beslissing neemt? Wie wordt daardoor geraakt? Hoe erg is dat? Kan iemand benadeeld worden zonder dat ze het weten of kunnen aanvechten?

Dit soort vragen dwingen je om breder te kijken dan alleen technische risico’s. Lees meer over de AI impact assessment.

Het eerste certificaat in Nederland

In 2025 reikte DNV het eerste ISO 42001-certificaat in Nederland uit aan Metyis, een internationaal opererend data- en AI-bedrijf. Dit markeerde een mijlpaal voor de Nederlandse markt.

Sindsdien groeit het aantal gecertificeerde organisaties gestaag. De bekendheid met de norm is nog relatief laag, maar dat verandert nu de EU AI Act concreet wordt.

Certificerende instanties in Nederland zijn onder andere DNV, TÜV, BSI, Kiwa en LRQA. Ze bieden trainingen, gap-analyses en certificeringsaudits aan. Lees meer over certificerende instanties.

Wat kost ISO 42001 certificering?

De kosten hangen af van je organisatiegrootte, de complexiteit van je AI-systemen en je huidige volwassenheidsniveau.

Reken voor een middelgrote organisatie op:

  • Implementatie: €15.000 - €75.000
  • Certificeringsaudit: €8.000 - €20.000
  • Jaarlijkse controle-audits: €5.000 - €12.000

Dit zijn indicaties. Een kleine startup met één AI-product is goedkoper dan een grote organisatie met tientallen AI-toepassingen.

Lees meer over kosten en doorlooptijd.

Hoe begin je?

De route naar ISO 42001 certificering volgt een logische opbouw.

Stap 1: Inventariseer je AI-systemen. Welke AI gebruik je? Waar? Met welk doel? Wie is verantwoordelijk?

Stap 2: Doe een gap-analyse. Hoe ver sta je af van de norm? Wat heb je al, wat ontbreekt?

Stap 3: Bouw je AI-managementsysteem. Beleid, procedures, rollen, governance.

Stap 4: Voer risico- en impactanalyses uit. Per AI-systeem. Lees meer over AI-risicomanagement.

Stap 5: Implementeer beheersmaatregelen. Kies uit Annex A wat past bij je risico’s.

Stap 6: Interne audit en verbetering. Test je eigen systeem. Lees meer over interne audits.

Stap 7: Certificeringsaudit. Een externe auditor beoordeelt je systeem.

Bekijk het stappenplan voor een gedetailleerde uitwerking.

ISO 42001 en andere normen

Als je al ISO 27001 hebt, heb je een voorsprong. De structuur is identiek, veel processen kun je hergebruiken. Je voegt de AI-specifieke elementen toe.

De combinatie is logisch: ISO 27001 gaat over informatiebeveiliging, ISO 42001 over AI-governance. AI-systemen verwerken data, dus beveiliging is relevant. En veel AI-risico’s, zoals datalekken of ongeautoriseerde toegang, zijn ook informatiebeveiliging.

Lees meer over ISO 42001 vs ISO 27001.

StappenplanKosten en tijdlijnDocumentatieInterne auditHet auditprocesCertificerende instantiesEisen van de normAnnex A beheersmaatregelenAI impact assessmentAI-risicomanagementLeveranciersbeheerEU AI ActAI-geletterdheidAI-ethiek principesISO 42001 vs ISO 27001Integratie met andere systemenVoor startupsBegrippen en definitiesVeelgemaakte foutenVeelgestelde vragen

Externe bronnen

Normen en wetgeving:

Frameworks en richtlijnen:

Accreditatie en certificering:

Veelgestelde vragenStappenplan