Skip to Content
ISO 42001AI impact assessment

AI impact assessment

De AI System Impact Assessment (AISIA) is een onderscheidend element van ISO 42001 . Het gaat verder dan een standaard risicoanalyse. De EU AI Act  vraagt om vergelijkbare analyses voor hoog-risico AI. Je kijkt niet alleen naar wat er mis kan gaan, maar naar de gevolgen voor mensen en de maatschappij.

Waarom een impact assessment?

AI is anders dan traditionele software. AI-systemen kunnen beslissingen nemen die mensen direct raken. Een kredietaanvraag afwijzen. Een sollicitant afwijzen. Een medische diagnose stellen. Een persoon als verdacht aanmerken.

Als die beslissingen fout zijn, of systematisch bepaalde groepen benadelen, heeft dat echte gevolgen voor echte mensen. De impact assessment dwingt je om daarover na te denken voordat je AI live zet.

De risicoanalyse vraagt: wat kan er misgaan en hoe waarschijnlijk is dat? De impact assessment vraagt: als het misgaat, wie wordt dan geraakt en hoe erg is dat?

Impact vs. risico

Het onderscheid is subtiel maar belangrijk.

Risicoanalyse

  • Focus: dreigingen en kwetsbaarheden
  • Vraag: wat kan er misgaan?
  • Perspectief: de organisatie
  • Output: risicoscores, beheersmaatregelen

Impact assessment

  • Focus: gevolgen voor mens en maatschappij
  • Vraag: wie wordt geraakt en hoe erg?
  • Perspectief: de betrokkenen
  • Output: impactbeoordeling, mitigatiemaatregelen

Beide zijn nodig. De risicoanalyse kijkt naar het systeem. De impact assessment kijkt naar de wereld waarin het systeem opereert.

De EU AI Act vereist voor hoog-risico AI-systemen ook een beoordeling van de impact op fundamentele rechten. De AISIA uit ISO 42001 helpt je om hier aan te voldoen.

Wanneer voer je een impact assessment uit?

De impact assessment is geen eenmalige exercitie.

Bij nieuwe AI-systemen. Voordat je een nieuw AI-systeem in productie neemt, beoordeel je de impact.

Bij significante wijzigingen. Als een bestaand systeem wezenlijk verandert, nieuwe use cases krijgt, of op andere doelgroepen wordt toegepast.

Periodiek. Ook zonder wijzigingen: de wereld verandert. Periodieke herbeoordeling is verstandig.

Bij incidenten. Als er iets misgaat, herbeoordeel je de impact.

De stappen van een impact assessment

Stap 1: Beschrijf het AI-systeem

Begin met een heldere beschrijving van het AI-systeem.

  • Wat doet het systeem?
  • Waarvoor wordt het gebruikt?
  • Welke beslissingen beïnvloedt het?
  • Wie zijn de gebruikers?
  • Op wie heeft het impact?

Wees concreet. “Het systeem ondersteunt kredietbeslissingen” is te vaag. “Het systeem genereert een risicoscore voor kredietaanvragen, die door medewerkers wordt gebruikt om aanvragen goed te keuren of af te wijzen” is beter.

Stap 2: Identificeer de betrokkenen

Wie wordt geraakt door dit AI-systeem? Denk breed.

Directe betrokkenen:

  • Degenen over wie beslissingen worden genomen (aanvragers, sollicitanten, patiënten)
  • Gebruikers van het systeem (medewerkers, klanten)

Indirecte betrokkenen:

  • Familie of relaties van directe betrokkenen
  • Concurrenten of marktpartijen
  • De bredere maatschappij

Per groep: hoe worden ze geraakt? Positief of negatief? Direct of indirect?

Stap 3: Beoordeel de impact op individuen

Nu kijk je naar de specifieke impact op individuen. De norm noemt expliciet:

Eerlijkheid (fairness) Behandelt het systeem iedereen eerlijk? Zijn er groepen die systematisch benadeeld worden? Is er bias in de data of het model?

Voorbeeld: Een wervingssysteem dat vrouwen systematisch lager scoort vanwege historische patronen in de trainingsdata.

Privacy Hoe gaat het systeem om met persoonsgegevens? Worden er profielen gemaakt? Kunnen individuen worden geïdentificeerd?

Veiligheid (safety) Kan het systeem fysieke of psychologische schade veroorzaken? Denk aan medische systemen, autonome voertuigen, maar ook aan content-aanbevelingssystemen.

Autonomie Beïnvloedt het systeem de keuzevrijheid van mensen? Worden mensen gemanipuleerd of gestuurd zonder dat ze het weten?

Waardigheid Wordt de menselijke waardigheid gerespecteerd? Denk aan systemen die mensen categoriseren of dehumaniseren.

Stap 4: Beoordeel de maatschappelijke impact

Kijk ook breder dan individuen.

Werkgelegenheid Leidt het systeem tot banenverlies? Verandert het de aard van werk?

Publiek vertrouwen Hoe beïnvloedt het systeem het vertrouwen in AI, in je organisatie, in instituties?

Sociale dynamiek Versterkt het systeem bestaande ongelijkheden? Creëert het nieuwe scheidslijnen?

Democratie en rechtsstaat Voor systemen in de publieke sector: hoe beïnvloedt het de democratische principes?

Stap 5: Beoordeel de ernst

Per geïdentificeerde impact bepaal je de ernst.

Schaal Hoeveel mensen worden geraakt? Eén persoon, honderden, miljoenen?

Intensiteit Hoe erg is de impact? Een kleine irritatie, een financiële tegenslag, levensbedreigende gevolgen?

Omkeerbaarheid Kan de impact ongedaan worden gemaakt? Een verkeerde aanbeveling is makkelijker te corrigeren dan een afgewezen krediet of een gemiste diagnose.

Kwetsbaarheid Zijn de betrokkenen extra kwetsbaar? Kinderen, ouderen, mensen met beperkingen, mensen in afhankelijke posities?

Stap 6: Identificeer mitigatiemaatregelen

Voor significante negatieve impacts bepaal je wat je eraan doet.

Mogelijke maatregelen:

  • Aanpassen van het systeem (bias corrigeren, transparantie verhogen)
  • Menselijk toezicht inbouwen
  • Beroepsmogelijkheden bieden
  • Informatie verstrekken aan betrokkenen
  • Monitoring en alerting
  • Beperken van de toepassing
  • Niet implementeren (als de impact te groot is)

Stap 7: Documenteer en onderhoud

Leg de impact assessment vast. Documenteer:

  • De beschrijving van het systeem
  • De geïdentificeerde betrokkenen
  • De beoordeelde impacts
  • De ernst
  • De genomen maatregelen
  • De resterende risico’s

Plan wanneer je de assessment herhaalt of bijwerkt.

Voorbeeld: kredietbeoordeling

Een concreet voorbeeld maakt het tastbaar.

Systeem: AI-model dat kredietaanvragen scoort op risico.

Betrokkenen:

  • Kredietaanvragers (direct)
  • Partners/gezinnen van aanvragers (indirect)
  • Medewerkers die met de score werken
  • Maatschappij (kredietverlening beïnvloedt economie)

Impact op individuen:

Eerlijkheid: Risico dat bepaalde groepen systematisch hogere risicoscores krijgen vanwege correlaties met beschermde kenmerken. Bijvoorbeeld: postcode correleert met etniciteit, wat kan leiden tot indirecte discriminatie.

Privacy: Het model gebruikt persoonsgegevens. Er worden profielen gemaakt. Mensen weten mogelijk niet welke data wordt gebruikt.

Autonomie: Een afgewezen krediet beperkt de keuzevrijheid (geen huis kunnen kopen, geen bedrijf kunnen starten).

Maatschappelijke impact:

Ongelijkheid: Als het model systematisch bepaalde groepen afwijst, versterkt dit bestaande economische ongelijkheid.

Mitigatiemaatregelen:

  • Bias-analyse op trainingsdata en modeluitkomsten
  • Verbod op gebruik van beschermde kenmerken en proxies
  • Uitlegbaarheid: aanvragers kunnen opvragen waarom ze zijn afgewezen
  • Menselijke beoordeling bij grensgevallen
  • Beroepsprocedure
  • Periodieke audit op eerlijkheid

Veel voorkomende valkuilen

Te technisch. De impact assessment is geen technische exercitie. Het gaat over mensen, niet over algoritmes.

Te oppervlakkig. “We behandelen iedereen gelijk” is geen beoordeling. Je moet concreet kijken naar hoe het systeem in de praktijk uitwerkt.

Alleen naar de happy path. Kijk ook naar wat er gebeurt als het misgaat. En naar edge cases.

Eenmalig. De wereld verandert. Je AI-systeem verandert. De impact assessment moet meegroeien.

Geen gevolgen. Een impact assessment die alleen wordt gedocumenteerd maar niet leidt tot actie is zinloos.

De impact assessment is niet optioneel of nice-to-have. Het is een kernvereiste van ISO 42001. De auditor zal vragen om impactbeoordelingen te zien en zal controleren of ze serieus zijn uitgevoerd.

Relatie met andere frameworks

De AISIA uit ISO 42001 staat niet op zichzelf.

EU AI Act Fundamental Rights Impact Assessment. De AI Act eist voor hoog-risico systemen een beoordeling van de impact op fundamentele rechten. De AISIA overlapt hier sterk mee.

Data Protection Impact Assessment (DPIA). Onder de AVG moet je voor risicovolle gegevensverwerking een DPIA doen. Er is overlap: privacy is onderdeel van de impact assessment.

Ethical AI assessments. Verschillende organisaties (IEEE, OECD) hebben ethische kaders gepubliceerd. De AISIA is hier consistent mee.

Je kunt deze assessments integreren. Eén document dat alle perspectieven dekt, is efficiënter dan losse documenten die overlappen.

Praktisch beginnen

Als je nog geen ervaring hebt met impact assessments, begin dan klein.

Kies één AI-systeem. Liefst een met duidelijke impact op mensen.

Loop de stappen door. Gebruik de structuur van deze pagina.

Betrek anderen. Dit is geen eenmanswerk. Betrek mensen met verschillende perspectieven: technisch, juridisch, ethisch, business.

Wees eerlijk. Het doel is niet om een mooi document te produceren, maar om echte risico’s te identificeren en aan te pakken.

Leer en verbeter. De eerste impact assessment is niet perfect. Leer ervan en verbeter het proces.

Meer lezen

Annex A beheersmaatregelenAI-risicomanagement